Information Security Management System (ISMS) - Systém řízení bezpečnosti informací

Informace a jejich efektivní a bezpečné zpracování je synonymem současnosti. Zejména institut bezpečnosti ve spojitosti se zpracováním informací v celém jejich životním cyklu je trvale na vzestupu a dnes již neexistuje organizace nebo jiný subjekt, které by se tímto problémem nemusely vážně zabývat. Řešení je rozmanité a výsledky tomu také mnohdy odpovídají.

Principem ISMS je ochrana identifikovaných informačních aktiv přiměřená jim příslušným bezpečnostním rizikům a hrozbám a celý systém je navržen tak, aby zajistil (na základě analýzy rizik) odpovídající a přiměřená opatření chránící informační aktiva a poskytl odpovídající bezpečnostní jistotu zainteresovaným stranám.

ISMS není problém z větší části také integrovat do jiných systémů řízení. Při implementaci a udržování ISMS je využívána metoda PDCA (plan-do-check-act).

Základní normativní rámec

Normy řady ISO 27000 vycházejí z dřívějších britských standardů BS7799 vydaných v roce 1998, později koncem roku 2000 přijatých jako standard ISO/IEC 17799.

Struktura norem řady ISO 27000:

Základní národní normy

• ČSN ISO/IEC 27001:2006 - Systém managementu bezpečnosti informací - Specifikace s návodem pro použití;
• ČSN ISO/IEC 17799:2006 - Informační technologie - Soubor postupů pro management bezpečnosti informací;

Významné mezinárodní normy

• ISO/IEC 27000:2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary (Základy a slovník pro systém řízení bezpečnosti informací);
• ISO/IEC 27001:2005 (BS 7799-2) Information technology - Security techniques - Information security management systems - Requirements (Sytém řízení bezpečnosti informací - Požadavky) - dříve známá jako BS7799 část 2;
• ISO/IEC 27002:2005 (dříve ISO/IEC 17799:2005) Information technology - Security techniques - Code of practice for information security management (Soubor postupů pro řízení bezpečnosti informací) - v červenci 2007 došlo k přejmenování ISO/IEC 17799:2005 na ISO/IEC 27002:2005, obsahově se normy neliší;
• ISO/IEC 27003:2010 Information technology - Security techniques - Information security management system implementation guidance (Směrnice pro zavádění systému řízení bezpečnosti informací);
• ISO/IEC 27004:2009 Information technology - Security techniques - Information security management - Measurement (Měření řízení bezpečnosti informací);
• ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management (Řízení rizik bezpečnosti informací); český překlad je k dispozici na stránkách ÚNMZ);
• ISO/IEC 27006:2007 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems (Informační technologie - Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací); český překlad je k dispozici na stránkách ÚNMZ);
• ISO/IEC 27007 Information technology - Security techniques - Guidelines for information security management systems auditing (Směrnice auditora ISMS);
• ISO/IEC 27011:2008 Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 (doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních operátorů);
• ISO/IEC 27033-1:2009 Information technology - Security techniques - Network security - Part 1: Overview and concepts (Zabezpečení sítě);
• ISO/IEC 27799:2008 Health informatics - Information security management in health using ISO/IEC 27002 (doporučení a požadavky na řízení bezpečnosti informací ve zdravotnických zařízeních);
• ISO/IEC WD 27008: Information technology - Security techniques - Guidance for auditors on ISMS controls (Průvodce auditora ISMS).