Organizace ISO rezervovala sérii ISO 27000 pro normy z oblasti bezpečnosti informací. Celá rodina ISMS standardů obsahuje 19 norem a klade si za cíl pro jakoukoliv organizaci pomoci implementovat a řídit informační bezpečnost. V oblasti informačních technologií se od poslední revize norem mnohé změnilo. Došlo zejména k rozvoji mobilních technologií, k dalšímu zvýšení sofistikovanosti útoků na ICT infrastrukturu a tím ke zvýšení výskytu a rozsahu souvisejících incidentů např. v oblasti úniku a krádeží dat. Proto se technická skupina organizace ISO rozhodla standardy 27000 přezkoumat a zajistit, aby i do budoucna vhodně podporovaly ISMS.

Jakub Kejval, Bureau Veritas

„V důsledku revize normy ISO/IEC 27 000 mají firmy a povinné instituce veřejné správy striktnější povinnost provádět detekci zranitelnosti na technické infrastruktuře. Revize normy vyžaduje rovněž větší zapojení projektového managementu do řízení bezpečnosti. Umožňuje však také větší volnost v metodice provádění analýz rizik,“ vyjmenovává několik změn Jakub Kejval, generální ředitel inspekční a certifikační společnosti Bureau Veritas.

Zůstává princip, že dle ISO/IEC 27001 se certifikuje a dle ISO/IEC 27002 se ISMS zavádí. Díky revizi je již použita nová struktura ISO norem (Annex SL), která sjednotí přístup a ulehčí situaci hlavně firmám, které mají ISO standardů integrováno více. „Cílem je umožnit organizacím sjednotit dokumentaci do jednotné, přehlednější struktury, která je lépe čitelná jak pro management organizace, tak pro běžné zaměstnance, kteří v systému managementu pracují. Výsledek pak fyzicky vypadá tak, že existuje jednotná dokumentace a nikoliv několik dílčích dokumentů pro různé ISO normy,“ přibližuje Jakub Kejval.

Firmy a instituce držící certifikaci ISO/IEC 27001 mají významný náskok v oblasti plnění požadavků zákona o kybernetické bezpečnosti. Legislativa mimo jiné říká, že pokud si firma nechá certifikovat normu ISO 27001, automaticky plní veškeré bezpečnostní požadavky kybernetického zákona. Dle § 29 vyhlášky k zákonu o kybernetické bezpečnosti lze certifikací ISMS doložit zavedení bezpečnostních opatření dle zákona č. 181/2014Sb. „Je to proto, že tato norma pokrývá bezpečnost informací v daleko širším a komplexnějším rámci. Organizace se s pomocí certifikátů ISO nejen naplní požadavky zákona o kybernetické bezpečnosti, ale je mnohem lépe chráněna vůči kybernetickým útokům,“ shrnuje Jakub Kejval.

Shrnutí

Aktualizace ISO/IEC 27000 přináší novou strukturu, aktualizovanou terminologii a nové požadavky na procesní i technickou bezpečnost. Nicméně s patřičným nadhledem je potřeba si uvědomit, že převážná část aktualizovaných norem je bez zásadních změn. Přesto je důležité, aby organizace existujícím změnám porozuměla. V neposlední řadě je třeba administrativní cvičení s aktualizací dokumentace přenést do každodenní praxe organizace, seznámit s novými požadavky nejen ICT oddělení, ale i management organizace, který musí poskytnout nezbytné zdroje a podporu.