ISMS (BS 7799-1)
Information Security Management System
ISO/IEC 17799
ISO/IEC 27001
ISO/IEC 27001
Obě tyto normy specifikující požadavky na Systém řízení bezpečnosti informací a vychází z britské normy BS 7799, která sestává ze dvou částí
- směrnice pro zabezpečení informací
- specifikace pro systémy zabezpečení informací
Norma BS 7799-1 byla vydána v roce 1995 za účelem poskytnutí kontroly v oblasti zabezpečení informací ve velkých, středních i malých organizacích včetně organizací státní správy. Revize v roce 1999 vzala v úvahu poslední vývoj v použití technologie zpracování informací, zvláště v oblasti sítí a komunikací. Také klade větší důraz na začlenění podniku do zabezpečení informací a na odpovědnost za zabezpečení informací.
Dokument normy může být použit jako základ, ze kterého může být odvozena například politika společnosti nebo vnitropodniková obchodní dohoda. Neměla by být citována jako specifikace a zvláštní pozornost by měla být věnována tomu, aby požadavky na shodu s jejími ustanoveními nebyly nesprávné. Předpokládá se, že výkon jejích opatření bude svěřen příslušně kvalifikovaným a zkušeným osobám.
Důvody implementace systému bezpečnosti informací
- zabezpečení informací
- zefektivnění informačních toků ve společnosti
- ochrana osobních údajů (zák. č. 101/2000 Sb.)
- ziskové organizace (firmy) – spolehlivé zabezpečení informací je spojeno s existencí organizace vůbec a vždy vede k získání lepší pozice na trhu
- trestní odpovědnost podle §178 Trestního zákoníku (neoprávněné nakládání s osobními údaji)
- organizace veřejné správy – přistupují na požadavky implementace ISVS (Informační systém veřejné správy) dle zákona č. 365/2000 Sb., resp. 517/2002 Sb.
- stále větší množství zpracovávaných informací, automatizace jejich zpracování a vliv dalších zákonů a vyhlášek. Při těchto činnostech je nezbytně nutné zajistit
- včasnou dostupnost informací
- zamezení nechtěné modifikace informací
- zamezit zneužití informací
- zamezení ztrátě informací
Způsob zavádění systému
- definování politiky bezpečnosti informací
- identifikace, ocenění a klasifikace informačních aktiv
- stanovení úrovně bezpečnosti
- stanovení rozsahu aplikovatelnosti
- určení způsobu řízení rizik v oblasti informací
- implementace systému
- certifikace nezávislou akreditovanou firmou
Politika bezpečnosti informací
- závazek managementu organizace k ochraně a způsobu zpracování informací
- hlavní zásady práce s informacemi a způsob jejich zabezpečení
- následky porušení informační politiky
Máte zájem o ISO produkty?
