Není to jen nutná formalita
Rozvoj IT služeb a jejich plošné využívání ruku v ruce způsobuje zranitelnost jejich uživatelů. Poškození a ztráta uložených informací, natož krádež důvěrných dat, by na poskytovatele cloudových služeb mělo nedozírné následky. Proto je nezbytná ochrana všech systémů, které obsahují důležitá data, prostřednictvím systému řízení bezpečnosti informací, známého pod zkratkou ISMS, jehož zavedení je nezbytné pro certifikaci procesů ISO/IEC 27001:2014.
Opatření přijatá procesy ISO/IEC 27001:2014 odpovídají požadavkům vyhlášky č. 82/2018 Sb., která provádí zákon č. 181/2014 Sb., o kybernetické bezpečnosti a Nařízení Evropského parlamentu a Rady (EU) č. 2016/679, obecné nařízení o ochraně osobních údajů (GDPR).
Proč nám na normě záleží?
Information Security Management System
Information Security Management System je metodický dokument, který je vytvořen za účelem řízení systému informační bezpečnosti dle ISO/IEC 27001:2014 a slouží jako podklad pro vymezení pravomocí kompetentních osob v systému kybernetické bezpečnosti, tedy Manažera kybernetické bezpečnosti, Architekta kybernetické bezpečnosti, Výboru kybernetické bezpečnosti, Auditora kybernetické bezpečnosti, Garanta aktiva (souboru informací) a Technického správce aktiva. Příručka ISMS je založena na cyklickém modelu PDCA, tedy Plan-Do-Check-Act, který je pravidelně přezkoumáván za účelem vylepšení nastavených procesů.
Information Security Standard
Information Security Standard definuje soubor opatření pro náš personál, který minimalizuje rizika ohrožení dostupnosti, důvěrnosti a integrity dat. Dostupností se dle tohoto dokumentu rozumí zajištění takových procesů a informací, které jsou nezbytné pro náš provoz, společně s plněním zákonných požadavků. V tomto dokumentu jsou také definovány procesy řízení aktiv, bezpečnosti lidských zdrojů, fyzické bezpečnosti, řízení komunikací a provozu, kontroly přístupů, přejímání, vývoje a údržby informačních systémů, řízení incidentů informační bezpečnosti a Business Continuity Management.
Security Board
Výbor kybernetické bezpečnosti je orgánem odpovědným za řízení bezpečnosti informací. Činnosti Výboru kybernetické bezpečnosti spočívají v řízení bezpečnostní strategie, bezpečnostních politik, implementace bezpečnostních opatření, rozpočtu na bezpečnost, bezpečnostních incidentů, vzdělávání a školení v oblasti bezpečnosti a také bezpečnostních kontrol a auditů. Výbor kybernetické bezpečnosti se skládá z představitelů všech klíčových oddělení, které jsou do poskytování cloudu zapojeny. Výbor je veden Manažerem kybernetické bezpečnosti a je jako celek odpovědný vedení naší obchodní společnosti.
Security Policy
Bezpečnostní politika zřizuje funkce Manažera kybernetické bezpečnosti, Architekta kybernetické bezpečnosti a Výboru kybernetické bezpečnosti. Jedná se o odpovědné osoby v rámci organizace, kterým je v příručce ISMS stanoven rozsah jejich kompetencí v oblasti kybernetické bezpečnosti. Nastavený procesní systém, který Bezpečnostní politika zastřešuje, je vypracován a auditován v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcími vyhláškami, dále s nařízením Evropského parlamentu a rady EU 2016/679 GDPR a dalšími požadavky, které vyplývají z obecně závazných právních předpisů.
