ISO/IEC 27001

INFORMAČNÁ BEZPEČNOSŤ - Cenné aktívum

 

Čo sú informácie?
Informácie sú hodnotou, ktorá je rozhodujúca pre  potreby obchodu pre dobré fungovanie a snáď aj pre prežitie organizácie. „Hodnota Informácií" je definovateľný údaj, uložený vhodným spôsobom, podľa hodnoty  pre organizáciu. Môže to  byť niečo viac ako predstava mena a adresy súboru,  môžu to byť napr. plány nových produktov, ktorými chceme súperiť s konkurenciou


Čo je to  informačná bezpečnosť?
Informačná bezpečnosť znamená ochranu informácií a informačných systémov pred neoprávneným prístupom, využívaním, odhalením, zmenou alebo zničením. Za viac ako dvadsať rokov  informačná bezpečnosť zahŕňa a poskytuje 3 hlavné princípy: dôvernosť, integritu a dostupnosť (známu ako trojica CIA)

  • Dôvernosť (confidentiality) - informácie nie sú sprístupňované a odhaľované neautorizovaným osobám, entitám, alebo procesom
  • Integrita  (integrity) - zabezpečenie presnosti a úplnosti aktív
  • Dostupnosť (availability) - schopnosť byť dostupný a použiteľný na  požiadanie autorizovanej entity


Čo je Systém manažérstva informačnej bezpečnosti? (SMIB)

(Information security management system ISMS)


Kľúčovým konceptom SMIB (ISMS)  pre organizácie je navrhnúť, zaviesť a udržiavať súvislú sadu procesov a systémov pre efektívne riadenie  informačného prístupu.
Rovnako ako u všetkých procesov riadenia, musí aj SMIB (ISMS) zostať efektívny a účinný v dlhodobom horizonte, prispôsobovať sa zmenám vo vnútri organizácie a aj vplyvom vonkajšieho prostredia. ISO/IEC 27001 obsahuje typické "Plan-Do-Check-Act" (PDCA), ktorý si vyžaduje prístup k neustálemu zlepšovaniu:

  • fáza Plan (Plánuj) je návrh SMIB (ISMS), hodnotenie rizika bezpečnosti informácií a výber vhodného riadenia
  • fáza Do (Urob) zahŕňa implementáciu a prevádzku SMIB (ISMS)
  • fáza Check (Overuj) si kladie za cieľ preskúmať a posúdiť výkonnosť,efektívnosť a účinnosť SMIB (ISMS)
  • fáza Act (Konaj) vykonáva zmeny s cieľom dosiahnuť trvalé zlepšovanie SMIB (ISMS)


Čo môže norma ISO/IEC 27001 ponúknuť?
ISO/IEC 27001 je uznávanou normou pre oblasť riadenia rizík. Posúdenie informačnej bezpečnosti čoraz viac využívajú zákazníci súkromného a verejného sektora .
Byť certifikovaný podľa normy ISO/IEC 27001 vám pomôže spravovať a chrániť vaše cenné informačné aktívum.
Pomôže vám dodať dôvernosť pre všetky zainteresované strany, najmä Vašim zákazníkom. Norma prijíma procesný prístup k tvorbe, zavádzaniu, prevádzke, monitorovaniu, preskúmaniu, udržiavaniu a zlepšovaniu vášho SMIB (ISMS).

Pre koho to je?
". . . takmer 90% zo spoločností, ktoré prijali ISO 27001 uviedli, že formálna certifikácia  zlepšila ich zachovanie kontinuity prevádzky, 85% uviedlo, že sa minimalizovali škody z bezpečnostných udalostí, a 53% uviedlo, že viedlo k vyššej návratnosti investícií. . . "- Computer Weekly

Zavedenie a nárast využívania nových technológií zákazníkmi a ich zamestnancami zvýšilo vplyv na  bezpečnosť a poskytovanie služieb pre všetky organizácie bez ohľadu na typ alebo veľkosť.
Norma je vhodná najmä v prípade, kde je rozhodujúca ochrana informácií, napríklad v oblasti financií, zdravotníctva, verejného sektora a IT sektora. ISO/IEC 27001 je veľmi účinné aj pre organizácie, ktoré spravujú informácie za iné spoločnosti, ako IT outsourcing: možno ho použiť ako ubezpečenie pre zákazníkov, že ich informácie sú chránené.

Prínosy zavedenia a certifikácie podľa normy  ISO/IEC 27001:

  • Prostredníctvom systematického prístupu zabezpečuje kontinuitu podnikania a minimalizuje straty z podnikateľskej činnosti, môže byť rozhodujúca pre definovanie hodnôt.
  • Zlepšuje porozumenie obchodných aspektov, dáva Vám istotu, že investície do bezpečnosti informácií boli nasmerované efektívne.
  • Nezávisle potvrdzuje, že vaše organizačné riziká sú náležite označené prostredníctvom posudzovania obchodných rizík.
  • Pravidelné hodnotenie procesov Vám pomôže zvýšiť účinnosť podnikania, zlepšuje poistenie zodpovednosti a neustále sleduje Váš výkon
  • Najviac zo všetkého Vám prináša dôvernosť, motivuje vedenie a tiež môžete podporiť bezpečnosť smerom k Vašim zákazníkom


Ako to zrealizovať a byť certifikovaný?
Certifikácia podľa ISO/IEC 27001, rovnako ako ostatné certifikácie manažérskych systémov, zvyčajne zahŕňa tri-fázy auditu:

  • Fáza 1 je predbežné, neformálne hodnotenie ISMS, napríklad kontrola existencie a úplnosť kľúčových dokumentov, ako je Dokument politiky informačnej bezpečnosti organizácie, Vyhlásenie o aplikovateľnosti, Scope Statement rozsah údajov, Preskúmavanie rizík a Business Continuity Plan. Táto fáza slúži na zoznámenie sa audítorov s organizáciou a naopak.
  • Fáza 2 je podrobnejšia a formálnejšia v zmysle auditu, je to sám Certifikačný audit. Tento proces znamená, nezávislé porovnanie SMIB (ISMS) s požiadavkami uvedenými v norme ISO/IEC 27001. Audítori sa budú usilovať hľadať dôkazy, ktoré potvrdzujú, že systém riadenia bol riadne navrhnutý a implementovaný.
  • Fáza 3 zahŕňa Kontrolné audity, aby potvrdili, že organizácia zostáva v súlade s normou. Udržiavanie SMIB (ISMS) vyžaduje pravidelné periodické audity, ktoré potvrdia, že SMIB (ISMS) naďalej funguje, ako je uvedené, a ako je určené.


Prečo si vybrať Vinçotte ako partnera pri certifikácii:

  • Pretože Vinçotte je organizácia existujúca viac ako 135 rokov - založená v roku 1872 Belgickou asociáciou a od tej doby slúži svojim zákazníkom.
  • Pretože Vinçotte ponúka profesionálne a inovatívne služby v oblasti certifikácie, inšpekcie, riadenia a školenia neutrálnym a nezávislým spôsobom.
  • Pretože služby Vinçotte sú dodávané vysoko kvalifikovanými a motivovanými tímami pracovníkov.
  • Pretože Vinçotte jedná poctivo a otvorene. Hovoríme, čo máme na mysli, a robíme to, čo hovoríme.
  • Pretože zamestnanci Vinçotte rešpektujú partnerov, kolegov a samých seba. Toto sa prejavuje pri ich práci, bezpečnostné predpisy  sú v súlade s ich správaním voči klientom, dodávateľom a kolegom.