Systém řízení bezpečnosti informací (ISMS) je nástroj, který organizaci pomáhá efektivně zabezpečit a konzistentně řídit vlastní nebo organizací spravovaná data. Systém managementu bezpečnosti informací dle normy ISO 27001 vede organizaci k využití ověřené sady kontrol pro zabezpečení dat, informačních a komunikačních technologií.
Z ISO 27001 čerpá i zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (dále v textu „ZoKB“ a „zákon o kybernetické bezpečnosti“), zejména pak vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat.
Kdo se musí zabývat ISMS, respektive ZoKB
Zákon o kybernetické bezpečnosti hned ve svém úvodu jasně vymezuje odvětví a osoby, které se tímto zákonem musí řídit. Záměrem tohoto zákona je maximalizovat odolnost klíčových částí národní infrastruktury.
Jsou to:
- energetika
- doprava
- bankovnictví
- infrastruktura finančních trhů
- zdravotnictví
- vodní hospodářství
- digitální infrastruktura
- chemický průmysl
Proč je dobré implementovat ISMS, i když ze zákona nutně nemusíte
I když jste nyní zrovna v pozici, kdy se vás povinnosti vyplývající ze ZoKB netýkají, má implementace a provoz ISMS ve vaší společnosti významné benefity.
Mezi největší benefity bezesporu patří hlavně tyto:
- Zvýšení povědomí a odpovědnosti zaměstnanců při práci s informacemi
- Naplnění legislativních požadavků
- Zvýšení důvěryhodnosti pro partnery
- Trvalé monitorování a zlepšování systému řízení bezpečnosti informací (ISMS)
- Konkurenční výhoda, kultivace image a firemní kultury
- Přechod od nesystémového a neuceleného řízení bezpečnosti k bezpečnosti řízené a komplexní
- Efektivní řízení investic vkládaných do bezpečnosti
- Inventura vlastních aktiv, jejich ocenění a klasifikace
- Řízené odstranění nebo snížení rizik v oblasti informačních systémů
- Zavedení systémového a systematického přístupu při používání IT/IS
- Shoda s průmyslovými standardy, jako je PCI DSS.
Pokud zvažujete, zda je pro vás ISMS vhodné, je dobré si nejdříve položit otázku. Jak moc by se vás dotklo, kdyby vaše data byla nedostupná? Nebo naopak dostupná každému? Případně kdybyste se nemohli spolehnout na to, že jsou vaše data autentická a kompletní tak, jak jste je původně uložili?
Pokud máte pocit, že dostupnost, důvěrnost a integrita vašich dat má pro vás opravdu velký význam, je nepochybné, že ISMS je pro vaši společnost vhodným a důležitým nástrojem bez ohledu na velikost vaší společnosti nebo obor, ve kterém působíte.
Implementací to nekončí, benefity přináší kontinuita
ISMS je hlavně proces, který funguje kontinuálně. Tak jako u dalších norem z rodiny ISO, tak i u 27001 se využívá tzv. Demingův cyklus PDCA (Plan, Do, Check, Act). Hlavním přínosem tohoto přístupu je neustálé zvyšování odolnosti společnosti a přizpůsobování se aktuální situaci na trhu. Ať už z pohledu nových příležitostí, nebo nových hrozeb.
Závěrem bych chtěl podotknout, že úspěšné nasazení a provoz ISMS lze realizovat pouze tehdy, pokud se v něm angažují všechny úrovně vedení společnosti včetně vrcholného vedení. Naopak prostor, kde dá „šetřit“, je v rozsahu implementace. V oblasti bezpečnosti platí pravidlo, že náklady na ochranu by neměly převýšit hodnotu aktiv, která chráníme. To znamená, že zdroje určené na bezpečnost je třeba směřovat hlavně do těch oblastí ve společnosti, které se podílejí největší částí na zisku nebo patří mezi nejvýznamnější rizika. Proto implementací ISMS není nutné pokrývat všechny oblasti podnikání a procesy společnosti, ale je možné se zaměřit jen na ty klíčové.
Mimochodem i řízení a kvalifikace rizik je nedílnou součásti ISMS. Ale o tom se rozepíšu případně až v dalším příspěvku.
Jan Šaroch
PwC Cyber & Privacy