ISO 27001 - implementace Systému řízení bezpečnosti informací (ISMS)

Obsah:

• Co je norma ISO 27001?
• Jaké jsou výhody certifikace podle ISO 27001?
• Jak implementovat ISO 27001?

Co je norma ISO 27001?

ISO 27001 je mezinárodní norma stanovující požadavky na systém řízení bezpečnosti informací (ISMS) organizace. Norma poskytuje návod pro vytvoření, implementaci, údržbu a neustálé zlepšování bezpečnosti informačních aktiv organizace.

Hlavním cílem normy je poskytnout postupy a zásady jak chránit citlivé informace a zachovat důvěrnost, integritu a dostupnost informací. Aby organizace splnila požadavky normy, musí zavést řadu následujících opatření:

• Vtvořit proces identifikace a hodnocení rizik pro informační aktiva organizace.
• Implementovat soubor kontrol ke zmírnění identifikovaných rizik. Tyto kontroly zahrnují technická opatření jako jsou jako jsou firewally a šifrování, fyzická bezpečnost a administrativní opatření.
• Vytvořit  dokumentaci ISMS, včetně zásad, postupů a souvisejících směrnic.
• Vytvořit plány reakcí na incidenty.
• Provádět pravidelná školení zaměstnanců a zainteresovaných osob.
• Plánovat a provádět pravidelné kontroly a hodnocení účinnosti ISMS.
• Vytvořit proces kontroly vedením, který zajistí, že ISMS je udržováno v souladu s celkovými obchodními cíli a strategiemi organizace.

Organizace mohou být certifikovány podle normy ISO 27001 akreditovaným certifikačním orgánem. K získání certifikace musí organizace projít auditem, který zajistí, že její ISMS splňuje požadavky normy. Certifikace má obvykle platnost tři roky, poté musí organizace projít recertifikačním auditem, aby si certifikaci udržela. Certifikace je obvyklá v různých odvětvích, včetně sektoru zdravotnictví, financí a státní správy.

Jaké jsou výhody certifikace podle ISO 27001?

Vylepšené zabezpečení informací a informačních aktiv

Zavedením vhodných kontrol a opatření na ochranu vašich informačních aktiv se snižuje riziko narušení dat, jejich nedostupnosti nebo ztráty, kybernetických útoků a dalších bezpečnostních incidentů.

Zlepšená pověst a důvěryhodnost

Prokázáním svého závazku k zabezpečení informací prostřednictvím certifikace ISO 27001 můžete zlepšit svou pověst u zákazníků, partnerů a regulačních orgánů.

Vyšší shoda

Certifikace podle ISO 27001 je široce uznávána jako měřítko bezpečnosti informací a mnoho organizací je povinno tuto normu dodržovat před regulačními orgány nebo aby splnily podmínky odběratelů a dodavatelů v případě sdílení citlivých informací. Získáním certifikace můžete prokázat, že tyto požadavky splňujete.

Vyšší efektivita a úspora nákladů

Zavedením strukturovaného a systematického přístupu k zabezpečení informací můžete zefektivnit své procesy a snížit riziko chyb nebo zpoždění způsobených bezpečnostními problémy. Implementace ISMS vám může pomoci identifikovat a eliminovat zbytečné nebo nadbytečné bezpečnostní kontroly, což z dlouhodobého hlediska vede k úsporám nákladů.

Jak implementovat ISO 27001?

Implementace normy ISO 27001 zahrnuje několik dále uvedených kroků. Pokud se pro implementaci rozhodnete, můžeme vám vše zajistit na klíč.

Krok 1.  Rozsah systému řízení bezpečnosti informací (ISMS)

Rozsah systému řízení bezpečnosti informací (ISMS), který splňuje požadavky normy ISO 27001, definuje organizace jako součást procesu hodnocení rizik. Rozsah by měl zahrnovat všechna informační aktiva organizace, která je třeba chránit, včetně fyzických aktiv, jako jsou papírové dokumenty nebo elektronická aktiva, jako jsou databáze, servery a cloudové systémy. Rozsah ISMS musí být komplexní a pokrývající všechna informační aktiva a procesy organizace, které je třeba chránit.

Rozsah by měl také zahrnovat procesy a činnosti, které mají dopad na bezpečnost informačních aktiv organizace, jako je manipulace s daty a jejich ukládání, řízení přístupu a řízení incidentů.

Organizace nemůže vyloučit z rozsahu ISMS část informačních aktiv a procesů, které jsou vzájemně provázané z pohledu sdílení dat a přístupů nebo mají vzájemné podpůrné funkce.

Krok 2.  Politika bezpečnosti informací

Bezpečnostní politika je klíčovou součástí systému řízení bezpečnosti informací (ISMS) organizace a je nezbytná pro zajištění bezpečnosti citlivých informací. Účelem bezpečnostní politiky je poskytnout jasný rámec pro správu a ochranu informačních aktiv a nastínit role a odpovědnosti zaměstnanců a zainteresovaných stran ve vztahu k informační bezpečnosti. Politiku bezpečnosti informací vypracovává organizace za účasti nejvyššího vedení. 

Politika bezpečnosti by měla obsahovat následující prvky:

• Prohlášení o závazku organizace k zabezpečení informací, tedy zdůraznění důležitosti ochrany citlivých informací a závazek organizace udržovat důvěrnost, integritu a dostupnost těchto informací.
• Rozsah politiky by měl definovat typy informací, na které se politika vztahuje.
• Cíle politiky jako je ochrana proti narušení dat a neoprávněnému přístupu k citlivým informacím.
• Stanovení rolí a povinnosti zaměstnanců a dalších zúčastněných stran ve vztahu k bezpečnosti informací, včetně nakládání s citlivými informacemi a hlášení bezpečnostních incidentů.
• Plán kontrol a opatření k zajištění bezpečnosti informačních aktiv včetně technických opatření (fyzická ochrana, zařízení, firewally, šifrování, řízení přístupů) a organizačních zásad a postupů (školení zaměstnanců, plány reakcí na incidenty).
• Procesy pro přezkoumání a aktualizaci politiky, aby bylo zajištěno, že zůstane účinná, aktuální a relevantní.

Krok 3.  Závazek a odpovědnost managementu

Závazek a odpovědnost managementu je důležitým aspektem systému managementu bezpečnosti informací (ISMS). Vedení organizace by mělo prokázat svůj závazek vůči ISMS a provést následující:

• Zajistit, že ISMS je v souladu s celkovými obchodními cíli a strategiemi organizace.
• Zajistit, že ISMS je efektivní a že všichni zaměstnanci chápou své role a odpovědnosti v udržování bezpečnosti informačních aktiv organizace.
• Zajistit komunikaci o důležitosti informační bezpečnosti k zaměstnancům a dalším zainteresovaným stranám.
• Poskytovat nezbytné zdroje a podporu pro implementaci a údržbu ISMS.
• Účastnit se v procesu přezkoumání ISMS a zajistit provedení všech nezbytných změn.

Krok 4.  Hodnocení rizik

Proces hodnocení rizik musí zahrnovat identifikaci a hodnocení rizik ohrožujících informační aktiva organizace a vývoj opatření ke zmírnění nebo odstranění těchto rizik. Hodnocení rizik zahrnuje několik kroků:

• Identifikaci informačních aktiv organizace jako jsou všechna fyzická a elektronická aktiva, která obsahují citlivé nebo cenné informace, např. servery, databáze a papírové dokumenty.
• Identifikaci interních i externích hrozeb pro tato aktiva, jako jsou kybernetické útoky, narušení dat nebo chyby zaměstnanců.
• Hodnocení pravděpodobnosti a dopadu těchto hrozeb, tedy to, že hrozba nastane, a potenciální důsledky, pokud k ní dojde.
• Určení úrovně rizika na základě pravděpodobnosti a dopadu identifikovaných hrozeb pro každé informační aktivum.
• Přípravu strategie zmírnění identifikovaných rizik, jako je implementace technických kontrol, stanovení zásad a postupů nebo školení zaměstnanců.

Celkově proces hodnocení rizik pomáhá organizacím porozumět rizikům ohrožujícím jejich informační aktiva a přijmout vhodná a účinná opatření k ochraně těchto aktiv.

Krok 5.  Ochrana důvěrnosti, integrity a dostupnosti informací

ISO 27001 je návodem, jak organizacím pomoci zajistit důvěrnost, integritu a dostupnost informací. Důvěrnost znamená, že k citlivým informacím mají přístup pouze oprávněné osoby. Integrita znamená, že informace jsou přesné a úplné. Dostupnost se týká zajištění toho, aby oprávněné osoby měly přístup k informacím, když je potřebují. K ochraně důvěrnosti, integrity a dostupnosti informací mohou organizace zavést různé kontroly, jako například:

• Řízení přístupu: To představuje kontrolu, kdo má přístup k jakým informacím a jaké operace může s těmito informacemi provádět.
• Šifrování: Jedná se o převod informací do kódovaného formátu, aby byly chráněny před neoprávněným přístupem.
• Zabezpečení sítě: Zahrnuje implementaci ovládacích prvků na ochranu sítě organizace před vnějšími hrozbami, jako je hacking a malware nebo kybernetické útoky.
• Fyzické zabezpečení: Zahrnuje ochranu fyzických aktiv, jako jsou servery a úložná zařízení, před neoprávněným přístupem.
• Obnova po havárii a kontinuita podnikání: To zahrnuje vytvoření plánu, který zajistí, že organizace může pokračovat v provozu v případě napadení, selhání nebo jiného narušení.
• Školení a povědomí: To zahrnuje vzdělávání zaměstnanců o rizicích bezpečnosti informací a osvědčených postupech a poskytuje jim znalosti a dovednosti, které potřebují k ochraně informačních aktiv organizace.

Krok 6.  Akční plán

Akční plán je důležitou součástí systému řízení bezpečnosti informací (ISMS). Akční plán musí obsahovat konkrétní kroky a opatření, které organizace podnikne k zavedení a udržování ISMS obsahovat podrobnosti, jako jsou např. požadované zdroje, termíny dokončení a odpovědné strany. Akční plán je vypracován na základě výsledků procesu hodnocení rizik a měl by zahrnovat opatření k řešení nebo snížení identifikovaných rizik a také průběžnou údržbu a kontrolu ISMS.

Akční plán by měl obsahovat:

• Identifikaci a seznam opatření, která jsou nezbytná pro plnění požadavků normy.
• Stanovení cílů a měřitelných cílových hodnot pro každé opatření.
• Stanovení časového rámce pro realizaci opatření.
• Plán školení a programů pro zvyšování povědomí, aby bylo zajištěno, že všichni zaměstnanci chápou své role a odpovědnosti při udržování bezpečnosti informačních aktiv organizace.
• Seznam zdrojů, které lze pro realizaci opatření použít.
• Stanovení způsobu monitorování a měření účinnosti opatření, způsobu získávání informací o průběžném plnění opatření.

Akční plán by měl poskytovat jasný a strukturovaný přístup k zavádění a udržování ISMS a měl by být pravidelně přezkoumáván a aktualizován, aby bylo zajištěno, že zůstane relevantní, aktuální a účinný.

Krok 7.  Hodnocení výkonnosti

Hodnocení výkonnosti je klíčovým aspektem systému řízení bezpečnosti informací (ISMS). Zahrnuje monitorování, měření a hodnocení výkonnosti ISMS, aby bylo zajištěno, že splňuje cíle organizace týkající se bezpečnosti informací. Pro hodnocení výkonnosti ISMS může organizace přijmout následující akce:

• Definování hodnotících kritérií a identifikaci konkrétních oblastí ISMS, které budou hodnoceny, a stanovení jasných a měřitelných kritérií pro hodnocení těchto oblastí.
• Shromažďování dat o výkonu ISMS, jako jsou metriky účinnosti kontrol, incidentů a porušení a zpětná vazba od zákazníků.
• Provedení analýzy shromážděných dat pro určení celkového výkon ISMS a identifikaci jakékoli oblasti zlepšení.
• Vytvoření zprávy o výsledcích hodnocení výkonnosti, včetně případných slabých stránek nebo zlepšení.
• Přijetí nápravných opatřen na základě výsledků hodnocení výkonnosti pro zlepšení výkonnosti ISMS.

Provádění pravidelného hodnocení výkonnosti ISMS je důležité, protože pomáhá organizaci identifikovat jakékoli slabé stránky nebo oblasti pro zlepšení a podniknout kroky k řešení těchto problémů.

Krok 8. Interní audity

Interní audity jsou důležitou součástí normy ISO 27001 a také účinným nástrojem pro přezkoumání a vyhodnocení účinnosti systému řízení bezpečnosti informací (ISMS), s cílem zjištění souladu s požadavky normy a vlastními zásadami, postupy a cíli organizace. Interní audity provádí tým zkušených interních auditorů, kteří znají požadavky normy ISO 27001 a ISMS organizace. Cílem interního auditu je identifikovat oblasti, kde ISMS nesplňuje požadavky normy nebo interních směrnic v rámci akčního plánu a bezpečnostní politiky. Interní audit nenahrazuje pravidelné a kontinuální provozní kontroly, jeho cílem je mimo jiné naopak hodnotit účinnost a neformálnost těchto kontrol.