ISMS systém řízení bezpečnosti informací

V loňském roce byla vydána nová norma ISO/IEC 27005, která by se dala nazvat podpůrným prostředkem pro řízení rizik bezpečnosti informací ve společnosti. Tato norma neposkytuje konkrétní metodiku pro řízení rizik bezpečnosti informací. Je tedy opět na organizaci, aby si sama zvolila přístup k řízení rizik.

V prvé řadě si společnost, která se rozhodla k řízení rizik, musí uvědomit, že jde o neustálý koloběh (model PDCA). To znamená, že hrozba, kterou společnost identifikovala včera, již dnes platit nemusí. Důležitou a snad i nedílnou součástí bezpečnosti informací je monitorování a přezkoumávání rizik. Následně na to pak aplikovaná opatření. Z toho vyplývá, že analýza rizik by měla být taková, aby se dala revidovat.

Další nedílnou součástí bezpečnosti informací jsou tzv. plány kontinuity. Díky těmto plánům se společnost připraví na obnovu činnosti poškozené služby či produktu. Nesmí však opomenout to, že plány kontinuity musí být provázány s analýzou rizik a měly by být testovány. Především kvůli tomu, že nic nikdy není na 100 %.

Největším problémem ve společnosti je zaznamenávání bezpečnostních incidentů. Pokud k tomuto kroku nedochází, svědčí to o tom, že systém není řízen. Pokud totiž nedojde k zaznamenání tohoto incidentu, nedojde k přezkoumání rizika, opatření atd.

Jak vlastně management pozná, že systém opravdu funguje? Odpověď je jednoduchá. Co nemůžeme měřit, nemůžeme ani efektivně řídit. Pokud tedy stanovíme smysluplné metriky při realizaci bezpečnostních opatření, můžeme zjistit, jak jsou tato opatření účinná.

Vracíme se tedy k tomu, že principem celého ISMS (systém řízení bezpečnosti) je model PDCA – plánuj, dělej, kontroluj a jednej, který zavádí kontinuální systém řízení bezpečnosti informací v organizaci. Zavedení principu PDCA zaručuje, že zavedení systému nebude jen jednorázovou aktivitou, ale neustálým koloběhem.