Praktické zkušenosti ze zavádění certifikace ISO 27001

Norma ISO 27001 je mezinárodně uznávaný standard pro zavedení systému řízení bezpečnosti informací. Do bezpečnosti každá firma ráda investuje v okamžiku, kdy se stane nějaký bezpečnostní incident, což bývá už pozdě!

Co je ISO 27001 a proč by ho firma měla používat?

ISO 27001 je mezinárodně uznávaný standard pro řízení bezpečnosti informací. Cílem normy je vést firmu k zavedení procesů, které pomohou bezpečnostní riziko minimalizovat. Dobře implementovaný standard ISO 27001 pomůže firmě nastavit pravidla práce s informacemi tak, aby se eliminoval chaos a přitom zůstala dostatečná volnost pro efektivní práci s informacemi.

Splnění standardu dává firmě větší důvěryhodnost v očích partnerů i zákazníků. Hlavním důvodem pro implementaci by ale vždy mělo být zlepšení bezpečnosti informací!

Jak se zaváděl systém řízení bezpečnosti informací (ISSM)

Už před certifikací a auditem je potřeba samozřejmě řešit bezpečnost a k tomu byla zpracovaná interní směrnice bezpečnosti informací, se kterou musí být seznámený každý zaměstnanec. Směrnice je základem, od kterého se při práci vytvoření ISSM odrazí.

Jak už zaznělo, cílem ISO 27001 je primárně bezpečnost informací. Prvním krokem je tedy zdokumentovat, které informace musíme chránit. Musí se provést klasifikace všech informací, a také analýza rizik.

Samotná analýza rizik poté mapuje jaká nebezpečí nám hrozí. V tom hodně pomáhá konfigurační databáze (CMDB), protože v ní jasně vidíte nejen prvky v infrastruktuře, o kterých se musí přemýšlet, ale také jejich vazby do celého systému. Díky tomu si potom dokážeme dobře představit, jaký dopad by mohlo mít odstavení toho či onoho prvku.

Z analýzy rizik potom už vyplývají konkrétní úkoly, které je potřeba splnit. Je jasné, že nelze vždy všechna rizika vyřešit okamžitě. Proto je potřeba rizika jasně popsat, určit priority a naplánovat opatření. Analýzu rizik je potřeba pravidelně revidovat.

Následně je nutné revidovat směrnici bezpečnosti informací. Směrnici můžeme připodobnit k pravidlům hry, kterými se ve firmě musíme řídit. Aby pravidla byla účinná, nesmí být zbytečně komplikovaná. Nemůžete očekávat, že když napíšete alibisticky pojatou osmdesátistránkovou směrnici, lidé se jí budou řídit. Proto směrnice musí být napsaná lidsky a srozumitelně! Proto je důležité lidsky vysvětlit pojmy jako veřejné informace vs. chráněné informace a nemluvit zbytečně technickým jazykem.

Zaměstnanci jsou totiž klíčový faktor v řízení bezpečnosti. Je nutné, aby si každý z nich uvědomoval, že bezpečnost informací je prioritou. Proto je potřeba vysvětlovat nejen samotná pravidla práce s informacemi, ale také jejich smysl a konkrétní příklady, jak může skrze jejich porušení dojít k úniku či poškození informací a jaké následky to má pro celou firmu.

Zavedený systém řízení bezpečnosti informací je potřeba pravidelně kontrolovat a v ideálním případě jednou za rok firmu provést profesionálním externím auditem.

Tématické články