Co znamená ISMS, definice
ISMS je zkratka pro Information Security Management System a znamená zavedený systém řízení informační bezpečnosti. V praxi to znamená že v organizaci jsou zavedené a řízené procesy ochrany informací a informačních technologií. Zavedené ISMS tedy zajišťuje přiměřeně nejvyšší možnou bezpečnost informací a informačních technologií. Fungující ISMS je jedním z pilířů norem informační bezpečnosti, například ISO 27001.
Co znamená, že je ve firmě zavedené ISMS
Konkrétně lze splnění a zavedení ISMS shrnout do následujících bodů.
- Identifikace aktiv a hodnocení rizik: Organizace ví, jaké informace chrání a proč. Identifikovala své informační aktiva a vyhodnotila s nimi spojená rizika.
- Ochranná opatření: Organizace zavedla procesy a implementovala informační technologie k ochraně informací a prevenci útoků, katastrof, nehod a dalších incidentů.
- Reakce na incidenty a obnova: Když dojde ke katastrofě, nehodě, útoku nebo incidentu, organizace ví, jak efektivně reagovat a je schopna se zotavit.
- Kontrola dodavatelů: Organizace udržuje smluvní a procedurální kontrolu nad všemi dodavateli, kteří mají vliv na bezpečnost informací.
- Reakce a neustálé zlepšování: Organizace podporuje myšlení zaměřené na opravy, zpětnou vazbu a neustálé zlepšování, přizpůsobuje se neustále se měnícím podmínkám – co fungovalo včera, nemusí fungovat zítra.
- Dokumentace a řízení: Všechny výše uvedené body jsou zdokumentovány v firemních směrnicích, postupech a dokumentech, které řídí všechny procesy a personál.
Přínosy zavedeného ISMS
Pomocí systému managementu bezpečnosti informací je organizace schopna vyhodnocovat rizika a uplatňovat náležité kontrolní a řídicí mechanismy k zachování bezpečnosti informací. Cílem ISMS je chránit informační aktiva organizace, aby se informace nedostaly do nesprávných rukou nebo aby nedošlo k jejich ztrátě.
- zavedené ISMS snižuje riziko ztráty informací a snížení reputace na trhu
- pro obchodní partnery je zavedené ISMS známkou serióznosti
- ISMS obsahuje nejlepší praxi