Nacházíte se: Úvodní stránka > Certifikace systému řízení > ISMS - ČSN ISO/IEC 27001
CERTIFIKACE SYSTÉMU ŘÍZENÍ: Systém ISMS podle ISO/IEC 27001
Certifikace systému managementu bezpečnosti informací podle ČSN ISO/IEC 27001
Úvod:
Systém managementu bezpečnosti informací (ISMS - Information security management systems - specification with guidance for use) umožňuje realizaci efektivního systému řízení orientovaného i na ochranu informačních aktiv. Systém managementu bezpečnosti informací je uplatňován za účelem, aby byla organizace schopna vyhodnocovat rizika a uplatňovat náležité kontrolní a řídící mechanismy k zachování důvěrnosti, integrity a dostupnosti informací. Základním cílem tak je chránit informační aktiva organizace, aby se informace nedostaly do nesprávných rukou nebo aby nedošlo k jejich ztrátě.
Současné moderní podnikání je závislé na informačních technologiích a systémech. Znamená to kromě podpory podnikání i skutečnost, že jsou organizace zranitelnější ohrožením své bezpečnosti. Informace jsou aktiva, která jako jiná významná obchodní aktiva mají pro organizaci svou hodnotu a musí být vhodným způsobem chráněna. Identifikací a klasifikací aktiv a vyhodnocováním jejich ohrožení a zranitelnosti si může každá organizace vybrat způsoby řízení takovýchto rizik, aby byla zachována důvěrnost, integrita a dostupnost informací. Přitom se jedná o informace příslušných zainteresovaných stran jako např. informace vlastní, klientely, odběratelů, dodavatelů, ale i akcionářů, úředních orgánů, ap..
Certifikace dle ČSN ISO/IEC 27001 (dle mezinárodní normy zaměřené na ISMS) je aplikovatelná v jakékoliv organizaci a to ve všech oblastech výroby nebo poskytovaných služeb. Norma ČSN ISO/IEC 27001 patří mezi normy s důslednou procesní orientací a aplikací Demingova principu „PDCA“.
Certifikace ISMS je objektivním důkazem, prostřednictvím kterého vlastníci a management certifikované organizace potvrzují svým vlastníkům, zaměstnancům, zákazníkům a dalším zainteresovaným stranám nejen, že vnímají odpovědnosti k bezpečnosti informací, ale i deklarují naplňování svého závazku, že uplatňované zásady v chování a v přístupu k bezpečnosti informací jsou součástí podnikání.
Certifikace dle ČSN ISO/IEC 27001 je v současné době již nezbytností v mnoha oblastech podnikání. Certifikáty jsou vyžadovány v obchodních vztazích a zvyšují důvěryhodnost organizace. Plnění požadavků normy ČSN ISO/IEC 27001 je základem i pro některé další certifikace systému managementu nebo i pro některé certifikace oborové/profesní.
Zabezpečení informací a norma ČSN ISO/IEC 27001 se netýká jen informačních technologií. Stejně tak jako systémy managementu jakosti, systémy environmentálního managementu nebo systémy bezpečnosti a ochrany zdraví při práci, systém managementu bezpečnosti informací v sobě zahrnuje management, politiku, organizaci i pravidelné přezkoumávání. Náročnými částmi systému ISMS jsou např. analýza hodnoty vlastního majetku v oblasti IT, analýza rizik ve vztahu k informacím, management informačních rizik, prohlášení o zajištění informací a dalších postupů.
Související normy
Základní normy systému managementu bezpečnosti informací jsou rozčleněny na:
ISO/IEC 17799 Informační technologie – Soubor postupů pro management bezpečnosti informací (Information technology - Code of practice for information security management)
ČSN ISO/IEC 27001 Systémy managementu bezpečnosti informací - specifikace s návodem pro použití (Information security management systems - specification with guidance for use)
Přínosy certifikace dle ČSN ISO/IEC 27001:
- Zabezpečení informací je integrální částí celého systému řízení organizace
- Hlavní faktory ovlivňující podnikatelskou soutěž, informace a jejich zabezpečení jsou v řízeném režimu
- Spolehlivost systému podporují systémy zálohování
- Zaměstnanci jsou odpovědni za zabezpečení informací svých pracovišť i svých zákazníků
- Požadavek na kontinuální zlepšování zaručuje dlouhodobě efektivní řízení nákladů
- Zajištění a vylepšení péče o důvěrnost, integritu a dostupnost informací
- Prokázání přístupu k managementu bezpečnosti informací a to i v komunikaci se zákazníky, investory, občanskou veřejností, státními i soukromými institucemi a dalšími zainteresovanými stranami
- Uvědomování si vlastní odpovědnosti k ISMS
- Zprůhlednění důsledků incidentů a jejich snížení, odhalování rizik, neshod a incidentů s nežádoucími dopady na důvěrnost, integritu a dostupnost informací a tím i na chod organizace
- Zvýšení podnikatelské důvěryhodnosti pro investory, banky a pojišťovny
- Úspora na pokutách a jiných sankcích, spojených s únikem informací
- Profil / Image / Firemní kultura organizace
- Motivace zaměstnanců
- Včasné rozpoznání incidentů
- Více záruk o plnění právních a jiných požadavků
- Konkurenční výhody
- Nástroj řízení, vhodné využívání zdrojů, úspora nákladů důsledným řízením
EZÚ, s.p. je akreditovaným certifikačním orgánem pro systémy managementu:
Postup a podmínky certifikace a žádost:
Další informace:
Certifikace systémů managementu - Komplexní nabídka
Přínosy a strategie zavádění systému managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001
Kontakty:
Lubomír Krůta
Manažer produktu: Certifikace systémů managementu
266 104 260 603 556 350
lkruta@ezu.cz
