ISMS — Systém řízení bezpečnosti informací
ISMS — Systém řízení bezpečnosti informací
Information Security Management System (ISMS) je systematický přístup k řízení citlivých informací organizace tak, aby zůstaly bezpečné. Zahrnuje lidi, procesy a IT systémy.
Základní pilíře
| Pilíř | Anglicky | Popis |
|---|---|---|
| Důvěrnost | Confidentiality | Přístup pouze oprávněným osobám |
| Integrita | Integrity | Ochrana před neoprávněnou změnou |
| Dostupnost | Availability | Systémy a data dostupné v potřebný čas |
| Nepopiratelnost | Non-repudiation | Prokázání autorství akce |
Normativní rámec
ISO/IEC 27000 rodina
- ISO/IEC 27001 — požadavky na ISMS (certifikační norma)
- ISO/IEC 27002 — soubor bezpečnostních opatření (best practices)
- ISO/IEC 27005 — řízení rizik bezpečnosti informací
- ISO/IEC 27014 — governance bezpečnosti informací
- ISO/IEC 27011 — ISMS pro telekomunikace
- ISO/IEC 27019 — ISMS pro energetiku
- ISO/IEC 27799 — ISMS pro zdravotnictví
Další rámce
- NIST — americké standardy (SP 800 řada)
- ISACA — profesní certifikace (CISM, CISA)
- ENISA — evropská agentura pro kybernetickou bezpečnost
Governance (řízení)
Bezpečnostní role
| Role | Zkratka | Odpovědnost |
|---|---|---|
| Chief Information Officer | CIO | Celkové řízení ICT |
| Chief Information Security Officer | CISO | Řízení informační bezpečnosti |
| Chief Technology Officer | CTO | Technologická strategie |
| IS Security Officer | ISSO | Bezpečnost IS |
| Manažer KB | — | Odpovědný za ISMS |
| Architekt KB | — | Návrh a implementace opatření |
| Auditor KB | — | Provádění auditů |
| Garant aktiva | — | Rozvoj, použití a bezpečnost aktiva |
Tři třídy informační bezpečnosti
- Management — hodnocení rizik, plánování, akvizice, certifikace
- Provoz — kontinuita, personální bezpečnost, fyzická ochrana, incidenty, SAE
- Technická — identifikace/autentizace, řízení přístupu, audit, ochrana komunikace
ISMS cyklus (PDCA)
- Plan — stanovení kontextu, politiky, rozsahu ISMS
- Do — implementace opatření, řízení rizik
- Check — monitorování, audit, přezkoumání
- Act — nápravná opatření, neustálé zlepšování
Oborová řešení ISMS
Kurz ImorK pokrývá ISMS specifika pro:
- Akademické/univerzitní prostředí
- Zdravotnictví (HIPAA, ISO 27799)
- Energetiku (ISO 27019, IEC 61850)
- Smart Grid (NISTIR 7628)
- Dopravu/železnici (CLC/TS 50701)
- Automotive (TISAX)
- ISP/telekomunikace (ISO 27011)
- Mission Critical Networks
- Finanční sektor
Propojení s dalšími tématy
- Řízení rizik — jádro ISMS procesu
- SAE — budování bezpečnostního povědomí
- BCM — kontinuita činnosti
- Kybernetická bezpečnost — širší kontext
- Ochrana dat — technologická opatření