Bezpečnost informací více a více nabývá na vážnosti pro každou firmu. Hackerských útoků rok od roku přibývá a je nezbytné chránit firemní know how, informace, ale také celou infrastrukturu, která vám pomáhá sdílet právě tato data a informace. Prozíravé firmy již mají zavedeny a nebo připravují certifikaci managementu bezpečnosti informací dle mezinárodní normy ISO 27001.
Pokud jste se ještě nad ochranou informací nezamysleli, zkuste si představit, že se nemůžete dostat ke všem firemním informacím, že nevíte, zda vaše výrobní stroje mají správná data. Co budete dělat? Jak to ochromí vaší firmu? Asi hodně, pokud ji to rovnou nepoloží.
Více se dočtete v naší sekci Kybernetická bezpečnost.
Cíle a opatření systému ISMS
Mezinárodní norma ISO 27001 je skvělý, jasně strukturovaný návod, jak si vytvořit účinný systém řízení bezpečnosti informací (ISMS). Má v sobě zapracované zkušenosti specialistů na IT a bezpečnost. Nejen, že se dovíte, co vše je v rámci systému důležité, ale také si budete muset identifikovat všechna rizika celé organizace. Tedy kde všude může dojít k poškození, ztrátě, záměně, krádeži dat a informací a to nejen chybou informačních systémů nebo hackerským útokem, ale také fyzickým zásahem. Zpracujete si analýzu rizik bezpečnosti informací. Tady se dostáváme ke stěžejnímu dokumentu Prohlášení o použitelnosti (SoA). Každá analýza má nejen vyhodnocení, ale hlavně musí obsahovat konkrétní opatření, která zavedete s ohledem na míru rizika nebo již máte zavedená ve svém systému managementu.
Snadno zjistíte, že opatření bude velké množství. Některá:
- zavedete ihned a nabudou účinnosti okamžitě – nemusíte je již sledovat
- zavedete ihned, ale účinnost poznáte až za měsíce nebo až v momentu, kdy nastane bezpečnostní incident
- můžete zavést později
- nemůžete zavést, dokud nenastane určitá podmínka
Rozhodně si nepřejete, aby se důležitá opatření ztratila v každodenní operativě, když budete věnovat spoustu času analýze rizik. K tomu právě slouží SoA – nic neztratit a všechna opatření řádně uvést do praxe. Kromě toho jen během roku projdete řadou změn a bude třeba cíle a opatření ISMS aktualizovat. SoA má smysl ve své přehlednosti a komplexnosti. Jinak se vám opatření roztříští do celého systému ISMS.
SoA hlavní dokument systému bezpečnosti informací
Povinným dokumentem pro dosažení certifikace ISO 27001 je mít zpracovanou přílohu A této normy. V angličtině se dokument nazývá Statement of Applicability, zkráceně SoA. V překladu jde o Prohlášení o použitelnosti. Dokument napovídá, které všechny politiky a oblasti v rámci systému bezpečnosti informací byste měli řešit, aspoň v tom nezbytném základu. K jednotlivým politikám doplňuje realizovaná opatření. Má celkem 13 hlavních kapitol číslovaných od 5 do 18. Najdete zde například tyto politiky:
- politiky vedení firmy
- mobilní zařízení
- práce na dálku
- bezpečnost lidských zdrojů – pracovní vztahy (změna, ukončení)
- řízení aktiv
- klasifikace informací
- manipulace s médii
- řízení přístupů
- odpovědnost uživatelů
- kryptografická opatření
- fyzická bezpečnost prostředí
- zařízení
- bezpečnost provozu
- ochrana proti malware
- zálohování
- monitorování logů
- správa software
- správa sítě
- přenos informací
- akvizice
- vývoj a údržba systémů
- proces vývoje a podpory
- dodavatelské vztahy
- řízení incidentů
- kontinuita bezpečnosti informací
- soulad s právními a legislativními požadavky
- apod.
Vlastně v jednom dokumentu popisujete opatření, která jste vybrali k řešení bezpečnostních rizik. Vysvětlujete, proč jste opatření vybrali a nebo proč nemáte některá opatření ve firmě aplikována.
Stáhněte si šablonu SoA | Statement of Applicability a neztrácejte čas přepisováním přílohy A
Příloha A normy ISO 27001 je velmi rozsáhlá. Nemá smysl ztrácet čas přepisování povinných kapitol, které musíte předložit certifikačnímu auditorovi. Ušetřete si čas a stáhněte si šablonu, která obsahuje českou i anglickou verzi přílohy A Cíle opatření a jednotlivá opatření. To co musíte v šabloně vyplnit je:
- Které politiky bezpečnosti máte aplikované
- Popis jak a proč jste se je aplikovali
- Doplnění konkrétních odkazů na aplikovaná opatření