2. Znalostní báze
  3. Informační bezpečnost
  4. Základy řízení informační bezpečnosti

Základy řízení informační bezpečnosti

Datum poslední aktualizace: 13. 01. 2025
Podívejte se na řešení:
Software pro správu IT majetku - IT Asset Management
Pomohl Vám tento článek?
1 z celkových 1 článek pomohl.

Řízení bezpečnosti informací: Perspektiva malých a středních podniků

Správa informační bezpečnosti (ISM) zahrnuje implementaci zásad a kontrol k ochraně informačních aktiv organizace před hrozbami a zranitelnostmi. Zde je shrnutí z pohledu společnosti:

Základní pilíře  správy bezpečnosti informací

  • Důvěrnost: Zajištění toho, že citlivé informace jsou přístupné pouze oprávněným osobám.
  • Integrita: Zachování přesnosti a úplnosti údajů, zabránění neoprávněným změnám.
  • Dostupnost: Zajištění, že informace a zdroje budou v případě potřeby k dispozici oprávněným uživatelům.

Klíčové součásti řízení bezpečnosti informací

Řízení rizik:

  • Posouzení rizik: Identifikace a vyhodnocení rizik pro informační aktiva.
  • Snižování rizik: Provádění opatření ke snížení nebo odstranění rizik.

Zásady a postupy:

  • Bezpečnostní zásady: Stanovení pokynů pro ochranu informací.
  • Procedurální kontroly: Implementace konkrétních akcí k prosazování zásad.

Systém řízení bezpečnosti informací (ISMS):

  • Formální, zdokumentovaný proces pro správu informační bezpečnosti, často v souladu s normami, jako je ISO/IEC 270011.

Řízení incidentů:

  • Detekce a reakce: Rychlé rozpoznání bezpečnostních incidentů a reakce na ně.
  • Obnova: Obnovení normálního provozu po incidentu.

Kdo se musí zapojit do správy bezpečnosti informací

Výkonné vedení:

  • Chief Information Security Officer (CISO): Dohlíží na celý program informační bezpečnosti.
  • Chief Technology Officer (CTO): Zajišťuje, aby bezpečnostní opatření odpovídala technologickému pokroku.

IT a bezpečnostní týmy:

  • Bezpečnostní analytici: Monitorujte a analyzujte bezpečnostní hrozby.
  • IT operátoři: Implementujte a udržujte bezpečnostní kontroly

HR a personalisté

  • Spolupráce s IT při nástupu a odchodu zaměstnance
  • Prověřování uchazečů a nových zaměstnanců
  • Nástup zaměstnance a přidělování oprávnění
  • Odchod zaměstnance a odebírání oprávnění 

Office a Facility manažeři

  • Office manažeři mají zpravidla ve své kompetenci přístupy k místnostem, klíče, vstupní karty a podobně

Zaměstnanci:

  • Školení a informovanost: Všichni zaměstnanci musí být vyškoleni v bezpečnostních politikách a postupech, aby se zabránilo lidským chybám a vnitřním hrozbám1.

Zúčastněné strany:

  • Compliance Officers: Zajistěte, aby bezpečnostní opatření byla v souladu s právními a regulačními požadavky.
  • Dodavatelé třetích stran: Pro ochranu sdílených informací musí dodržovat bezpečnostní standardy společnosti.
Kam pokračovat dále