Informační bezpečnost (ISO/IEC 27001) v TOP 3 globálně využívaných standardů

Přímo na hlavní stránce www.iso.org naleznete odkaz na nejpopulárnější normy světového měřítka. Společně s kvalitou (ISO 9001) a environmentem (ISO 14001) zde najdete právě informační bezpečnost. Tato informace je ještě hodnotnější v kontextu sloganu, který najdete také na hlavní stránce International Organization for Standardization (ISO): “Great things happen when the world agrees.” 

Logicky se tedy organizace na celém světě zaměřují zejména na: 

1. Uspokojování potřeb zákazníků – podmínka nezbytná pro udržitelnost   a rozvoj podnikání. 
2. Ochranu životního prostředí a její prokazatelnost – podmínka nezbytná pro udržitelnost a rozvoj podnikání, zejména výrobních organizací. 
3. Zabezpečení dat, informací a ICT infrastruktury – podmínka nezbytná pro udržitelnost a rozvoj podnikání, jak výrobních organizací, tak organizací poskytujících služby. Zde je třeba zmínit i ochranu informací zákazníků  a ochranu komunikace se zákazníky, která se stává stále častěji cílem útoků a obchodování. 

Narůstající závislost na informačních technologiích je nepopiratelná. Úplně běžnou se stala práce na dálku, současným trendem jsou cloudové řešení, bez přístupu na e-mail a použití smartphonů si většina z nás už pracovní den ani nedokáže představit. Informatizace veřejné správy a státních institucí je dalším důkazem toho, že využívání kybernetického prostoru je neoddělitelnou součástí běžného života. 

Aby ale vše fungovalo, musíme všechny tyto oblasti (aktiva) řídit. Alternativní možností je řešit informační bezpečnost živelně, nesystémově, a přímo tím poskytovat výhodu konkurenci. To už se, ale nejedná o klasické řízení, ve smyslu Demingového cyklu PDCA.  

Právě normy řady 27 (označované jako 27k) nabízí fungující a ověřené globální praxe

S cílem zohlednit specifika jednotlivých odvětví byly v návaznosti na ISO/IEC 27001  zpracované například i tyto mezinárodní normy: 

ISO/IEC 27009 pro specifická odvětví 

ISO/IEC 27011 pro telekomunikace 

ISO/IEC 27017 pro cloud computing  

ISO/IEC 27019 pro energetický sektor 

Jejich použití se doporučuje například v odvětví financí, dopravy, zdravotní péče, nebo například pro projekty v oblasti infrastruktury, jako jsou inteligentní města, tzv. smart cities. 

Samotná certifikace systému informační bezpečnosti poskytuje organizaci důkaz. Důkaz o tom, že to, jak byla postavená infrastruktura a nastavená pravidla, je ve shodě s požadavky nejlepší globální praxe. Proces hodnocení požadavků zabezpečují nezávislí a kvalifikovaní auditoři.  

Nezávislý pohled na organizaci zvenčí i zevnitř je jednou z největších výhod certifikace. Protože umožňuje pohled na fungování nastavení bezpečnosti z jiného úhlu a v širším kontextu. To je předpokladem toho, že případné nedostatky budou identifikované a řešené dříve než dojde k jejich zneužití.