Informace jsou cenné. Zajistěte jejich bezpečnost.
28.04.2023 08:35
Česká agentura pro standardizaci vydává český překlad evropské normy
EN ISO/IEC 27002 z listopadu 2022, která přejímá identicky mezinárodní normu ISO/IEC 27002:2022, jedné z velmi důležitých norem týkajících se informační bezpečnosti. Norma přináší soubor postupů pomáhajících zajistit bezpečnost informací v rámci firem či institucí. Je důležité si uvědomit, že potřeba zajistit bezpečnost informací se netýká pouze kybernetické (informační) bezpečnosti, ale současně i fyzického zabezpečení prostor organizace i ochrany zaměstnanců. Norma tak nabízí například nejen soubor opatření, jak zajistit fyzickou bezpečnost budovy, před možným přístupem cizích osob, ale současně i postupy zajištění oprávněného přístupu k datům organizace, či třeba bezpečnost informací ve vztazích s dodavateli.
"Informace jsou jedním z nejcennějších aktiv, kterým každá organizace disponuje. Nejde jen o fyzická data zanesená ve firemních dokumentech či v počítačích nebo serverech. Patří sem také nehmotné informace jako znalosti zaměstnanců, koncepty, nápady, značky a mnoho dalšího," připomíná Zdeňka Slaná, ředitelka odboru standardizace České agentury pro standardizaci. "Hodnota informací je mnohdy nevyčíslitelná. Proto je velmi důležité, že soubor opatření k zajištění informační bezpečnosti obsažený v normě ČSN EN ISO/IEC 27002 je nyní k dispozici i v českém jazyce. Současně na druhou polovinu roku připravuje Česká agentura pro standardizaci také překlad související normy ISO/IEC 27001. Obě normy lze zakoupit jednotlivě na e-shopu Agentury ČAS, případně je získat prostřednictvím služby ČSN online," doplňuje Slaná.
Informace jsou vystaveny jak úmyslným, tak neúmyslným hrozbám, zatímco související procesy, systémy, sítě a lidé mají vlastní zranitelnosti. Nová rizika se mohou objevovat i v průběhu času, stačí malá změna obchodních procesů či systémů. Svou roli mohou sehrát také vnější vlivy, například nové zákony a předpisy. Riziko ohrožení bezpečnosti informací je tedy neustálé, proto je důležité nejen přijmout veškerá opatření směřující k efektivnímu zajištění bezpečnosti informací, ale současně mít připraven i postup pro případy, kdy dojde k jejímu narušení, aby byly omezeny dopady na firmu či instituci.
Od bezpečnosti lidských zdrojů až po analýzu dat
Technická norma ČSN EN ISO/IEC 27002 provádí organizace výběrem opatření v rámci procesu zavádění systému řízení bezpečnosti informací a zavést obecně uznávaná opatření bezpečnosti informací. Současně může být základem pro vypracování vlastní politiky řízení bezpečnosti informací. V normě je možné nalézt 93 opatření, která jsou v podstatě identifikací možného narušení informační bezpečnosti. Každé opatření přitom popsané, obsahuje cíl, kterého má být s jeho pomocí dosaženo, a také pokyny k jeho implementaci. Současně, pokud je to potřeba, poskytuje další informace, které může být potřeba vzít v úvahu, například právní aspekty a odkazy na další normy.
ČSN EN ISO/IEC 27002 tak může posloužit i jako seznam klíčových bodů pro posouzení možných rizik v rámci organizace a nalezení míst, kde by potenciálně mohlo dojít k narušení bezpečnosti informací. Současně v ní lze najít také popis toho, jaké opatření zavést, aby bylo to které bezpečnostní riziko eliminováno nebo zmenšeno. Důležitou součástí normy je i návrh postupů a procesů, jak zamezit, identifikovat narušení informační bezpečnosti a minimalizovat vzniklé škody.
Agentura ČAS připravuje i překlad souvisejících norem
Původní norma ISO/IEC 27002:2022 je technickou revizí normy vydané již v roce 2014 a společně s dalšími normami řady ISO/IEC 27000 tvoří základní normativní rámec pro Systém řízení bezpečnosti informací (ISMS - Information Security Management System). Česká agentura pro standardizaci v současné době připravuje také český překlad normy ISO/IEC 27001, která určuje požadavky pro zavedení systému řízení bezpečnosti informací. Současně probíhají práce na evropské harmonizaci této problematiky.
Norma ČSN ISO/IEC 27002 poradí co udělat. Od dubna je navíc v češtině
• Norma ČSN EN ISO/IEC 27002 vychází v dubnu v češtině a je překladem evropské potažmo mezinárodní normy EN ISO/IEC 27002:2022
• Norma obsahuje soubor postupů pro opatření bezpečnosti informací
• Organizace v ní mohou nalézt možné cesty, jak řídit bezpečnost informaci
• Hodnota informací přesahuje napsaná slova, čísla a obrázky. Patří sem i znalosti, koncepty, nápady nebo značky
• Soubor opatření se týká celé oblasti zabezpečení informací od fyzické bezpečnosti přes bezpečnost kybernetickou až po bezpečnost zaměstnanců
• Norma ČSN EN ISO/IEC 27002 pomůže identifikovat možné body narušení bezpečnosti a nabízí postup jejich eliminace
• Od dubna je tato klíčová norma dostupná také v českém jazyce a lze si ji koupit samostatně i na e-shopu České agentury pro standardizaci na adrese eshop.agentura-cas.cz, případně v rámci ČSN online
Normu je možné zakoupit jednotlivě na e-shopu Agentury ČAS za cenu 896 Kč. Současně je samozřejmě k dispozici i v rámci předplatného služby ČSN online.
1