Informace o zavedení normy ISO/IEC 27001, popis a bližší informace

ISO/IEC 27001(Information Security Management System)

Systém řízení bezpečnosti informací (ISO/IEC 27001) vychází z britské normy BS 7799:1999, která byla vydána za účelem poskytnutí kontroly v oblasti zabezpečení informací ve velkých, středních i malých organizacích včetně organizací státní správy. Norma klade důraz zejména na používané technologie zpracování informací, zabezpečení informací a na odpovědnost za zabezpečení informací. Dokument normy může být použit jako základ, ze kterého může být odvozena například politika společnosti nebo vnitropodniková obchodní dohoda. Neměla by být citována jako specifikace a zvláštní pozornost by měla být věnována tomu, aby požadavky na shodu s jejími ustanoveními nebyly nesprávné. Předpokládá se, že výkon jejích opatření bude svěřen kvalifikovaným a zkušeným osobám.

Výsledkem zavedení systému je spolehlivé zabezpečení informací, zamezení zneužití a ztráty informací, zefektivnění informačních toků ve společnosti, ochrana osobních údajů, získání lepší pozice na trhu, zajištění souladu s trestním zákoníkem (trestní odpovědnost podle §178 Trestního zákoníku - neoprávněné nakládání s osobními údaji) a zvýšení podnikatelské důvěryhodnosti pro bankovní ústavy, pojišťovny a veřejnou správu.

Průběh zavedení systému ISO/IEC 27001

• vstupní analýza (zmapování stávajících procesů, vymezení systému a jeho procesů)
• zavedení systému představuje
  • definovat politiku bezpečnosti informací
  • identifikovat, ocenit a klasifikovat informační aktiva
  • stanovit úrovně bezpečnosti
  • stanovit rozsah aplikovatelnosti
  • určit způsob řízení rizik v oblasti informací
• implementace definovaných postupů do praxe
• interní audit k ověření implementace postupů do praxe
• korektura dokumentace na základě zjištění z interního auditu
• výběr certifikační společnosti a podání přihlášky k certifikačnímu auditu
• certifikační audit