ISO 27001 je medzin\u00e1rodn\u00fd \u0161tandard pre riadenie bezpe\u010dnosti inform\u00e1ci\u00ed vo firme.
Aj mal\u00fdm organiz\u00e1ci\u00e1m pom\u00e1ha identifikova\u0165 citliv\u00e9 d\u00e1ta, odkry\u0165 rizik\u00e1 a nastavi\u0165 kontroln\u00e9 mechanizmy na ich ochranu.
Je nevyhnutn\u00fd pre firmy, ktor\u00e9 pracuj\u00fa s klientsk\u00fdmi, osobn\u00fdmi alebo obchodne citliv\u00fdmi inform\u00e1ciami. Zavedenie ISO 27001 zvy\u0161uje d\u00f4veryhodnos\u0165 a zni\u017euje rizik\u00e1, no najvy\u0161\u0161ou pridanou hodnotou je ochrana konate\u013ea pred n\u00e1sledkami nezvl\u00e1dnutej ochrany zveren\u00fdch inform\u00e1ci\u00ed. Z\u00e1rove\u0148 prin\u00e1\u0161a systematick\u00fd pr\u00edstup k riadeniu riz\u00edk.<\/p>\n\n\n\n
ISO 27001 je medzin\u00e1rodn\u00fd \u0161tandard pre syst\u00e9m riadenia bezpe\u010dnosti inform\u00e1ci\u00ed (ISMS)<\/strong>. V praxi to znamen\u00e1, \u017ee organiz\u00e1cia:<\/p>\n\n\n\n ISO 27001 teda neur\u010duje konkr\u00e9tne technol\u00f3gie, ale r\u00e1mec, pod\u013ea ktor\u00e9ho si firma nastav\u00ed bezpe\u010dnos\u0165 tak, aby zodpovedala jej re\u00e1lnym potreb\u00e1m a rizik\u00e1m.<\/p>\n\n\n\n ISO 27001 je nevyhnutn\u00fd najm\u00e4 pre organiz\u00e1cie, ktor\u00e9 pracuj\u00fa s citliv\u00fdmi inform\u00e1ciami alebo s\u00fa s\u00fa\u010das\u0165ou dod\u00e1vate\u013esk\u00fdch re\u0165azcov v\u00e4\u010d\u0161\u00edch partnerov.<\/p>\n\n\n\n Typicky ide o:<\/p>\n\n\n\n Pre mal\u00e9 a stredn\u00e9 firmy nie je ISO 27001 v\u017edy povinnos\u0165ou, ale \u010doraz \u010dastej\u0161ie sa st\u00e1va praktickou nevyhnutnos\u0165ou<\/strong> \u2013 bu\u010f z poh\u013eadu obchodn\u00fdch po\u017eiadaviek, alebo riadenia vlastn\u00fdch riz\u00edk.<\/p>\n\n\n\n Zavedenie ISO 27001 nie je prim\u00e1rne o certifik\u00e1te, ale o tom, aby firma vedela riadi\u0165 rizik\u00e1 spojen\u00e9 s inform\u00e1ciami vedome a systematicky<\/strong>.<\/p>\n\n\n\n Bez poriadku v ohrozeniach vznikaj\u00fa skratkovit\u00e9 rozhodnutia. To zvy\u0161uje pravdepodobnos\u0165 ch\u00fdb, incidentov a straty d\u00f4very. V neposlednom rade je to ohrozenie aj pre prev\u00e1dzku firmy a pr\u00e1vnu zodpovednos\u0165 konate\u013ea.<\/p>\n\n\n\n ISO 27001 prin\u00e1\u0161a \u0161trukt\u00faru: pom\u00e1ha pomenova\u0165 rizik\u00e1, ur\u010di\u0165 zodpovednosti a nastavi\u0165 kontroln\u00e9 mechanizmy tak, aby bezpe\u010dnos\u0165 nebola n\u00e1hodn\u00e1, ale riaden\u00e1.<\/p>\n\n\n\n Ved\u013eaj\u0161\u00edm efektom je vy\u0161\u0161ia d\u00f4veryhodnos\u0165 vo\u010di klientom a partnerom \u2013 no skuto\u010dn\u00e1 hodnota je v tom, \u017ee firma lep\u0161ie rozumie vlastn\u00fdm slab\u00fdm miestam a vie s nimi pracova\u0165.<\/p>\n\n\n\n Aby bol syst\u00e9m riadenia bezpe\u010dnosti funk\u010dn\u00fd a udr\u017eate\u013en\u00fd, postupujeme po krokoch, ktor\u00e9 na seba logicky nadv\u00e4zuj\u00fa:<\/p>\n\n\n\n Cie\u013eom je pochopi\u0165, kde sa firma nach\u00e1dza dnes. V\u00fdstupom je preh\u013ead medzier medzi aktu\u00e1lnym stavom a po\u017eiadavkami ISO \u2013 bez zbyto\u010dn\u00e9ho formalizmu.<\/p>\n\n\n\n Bez jasn\u00e9ho preh\u013eadu akt\u00edv nie je mo\u017en\u00e9 riadi\u0165 bezpe\u010dnos\u0165.<\/p>\n\n\n\n Mapujeme:<\/p>\n\n\n\n D\u00f4le\u017eit\u00e9 je ur\u010di\u0165:<\/p>\n\n\n\n Na z\u00e1klade akt\u00edv sa identifikuj\u00fa rizik\u00e1:<\/p>\n\n\n\n Rizik\u00e1 sa hodnotia kombin\u00e1ciou:<\/p>\n\n\n\n Cie\u013eom nie je \u201ezachyti\u0165 v\u0161etko\u201c, ale identifikova\u0165 relevantn\u00e9 rizik\u00e1<\/strong>, ktor\u00e9 maj\u00fa re\u00e1lny vplyv na fungovanie firmy.<\/p>\n\n\n\n Ku ka\u017ed\u00e9mu v\u00fdznamn\u00e9mu riziku sa navrhuj\u00fa opatrenia:<\/p>\n\n\n\n K\u013e\u00fa\u010dov\u00e9 je:<\/p>\n\n\n\n Bez \u013eud\u00ed syst\u00e9m nefunguje.<\/p>\n\n\n\n Zamestnanci potrebuj\u00fa:<\/p>\n\n\n\n Cie\u013eom nie je jednorazov\u00e9 \u0161kolenie, ale praktick\u00e9 pochopenie a prijatie pravidiel<\/strong>.<\/p>\n\n\n\n Dokument\u00e1cia m\u00e1 sl\u00fa\u017ei\u0165 firme, nie aud\u00edtorovi.<\/p>\n\n\n\n Obsahuje:<\/p>\n\n\n\n D\u00f4le\u017eit\u00e9 je:<\/p>\n\n\n\n ISO 27001 nekon\u010d\u00ed implement\u00e1ciou.<\/p>\n\n\n\n Je potrebn\u00e9:<\/p>\n\n\n\n Bezpe\u010dnos\u0165 sa postupne st\u00e1va s\u00fa\u010das\u0165ou rozhodovania \u2013 Firma sa s\u00fastred\u00ed na dokument\u00e1ciu namiesto reality. Snaha pokry\u0165 v\u0161etko do detailu vedie k zbyto\u010dne komplikovan\u00e9mu syst\u00e9mu. Bezpe\u010dnostn\u00e9 opatrenia sa navrhuj\u00fa bez pochopenia re\u00e1lneho fungovania firmy. Bezpe\u010dnos\u0165 sa deleguje v\u00fdlu\u010dne na IT oddelenie. Zamestnanci nerozumej\u00fa, pre\u010do sa pravidl\u00e1 zav\u00e1dzaj\u00fa. ISO sa implementuje \u201ekv\u00f4li certifik\u00e1tu\u201c a po audite sa prestane rozv\u00edja\u0165. Pou\u017eitie univerz\u00e1lnych \u0161abl\u00f3n bez prisp\u00f4sobenia firme. Praktick\u00fd postup krok za krokom ISO 27001 je medzin\u00e1rodn\u00fd \u0161tandard pre riadenie bezpe\u010dnosti inform\u00e1ci\u00ed vo firme.Aj mal\u00fdm organiz\u00e1ci\u00e1m pom\u00e1ha identifikova\u0165 citliv\u00e9 d\u00e1ta, odkry\u0165 rizik\u00e1 a nastavi\u0165 kontroln\u00e9 mechanizmy na ich ochranu.Je nevyhnutn\u00fd pre firmy, ktor\u00e9 pracuj\u00fa s klientsk\u00fdmi, osobn\u00fdmi alebo obchodne citliv\u00fdmi inform\u00e1ciami. Zavedenie ISO 27001 zvy\u0161uje d\u00f4veryhodnos\u0165 a zni\u017euje rizik\u00e1, no najvy\u0161\u0161ou pridanou hodnotou […]<\/p>\n","protected":false},"author":1,"featured_media":43,"comment_status":"open","ping_status":"open","sticky":false,"template":"page-with-title","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[13,10],"tags":[],"class_list":["post-41","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digital","category-compliance_a_normy"],"yoast_head":"\n
Nejde o jeden dokument alebo technick\u00e9 rie\u0161enie, ale o s\u00fabor pravidiel, procesov a kontrol, ktor\u00e9 pom\u00e1haj\u00fa firme chr\u00e1ni\u0165 inform\u00e1cie.<\/p>\n\n\n\n\n
Pre koho je tento \u0161tandard nevyhnutn\u00fd?<\/h3>\n\n\n\n
\n
Pre\u010do v\u00f4bec zav\u00e1dza\u0165 ISO?<\/h3>\n\n\n\n
Na\u0161e rie\u0161enie takejto v\u00fdzvy<\/h2>\n\n\n\n
\n
Zmapovanie aktu\u00e1lneho stavu \u2013 ako firma pracuje s inform\u00e1ciami, ak\u00e9 procesy existuj\u00fa a kde s\u00fa hlavn\u00e9 slab\u00e9 miesta.<\/li>\n\n\n\n
Identifik\u00e1cia k\u013e\u00fa\u010dov\u00fdch akt\u00edv \u2013 d\u00e1ta, syst\u00e9my, \u013eudia, procesy \u2013 a ur\u010denie ich vlastn\u00edkov a v\u00fdznamu pre firmu.<\/li>\n\n\n\n
Pomenovanie hrozieb a zranite\u013enost\u00ed, pos\u00fadenie dopadu a pravdepodobnosti \u2013 \u010do je re\u00e1lne riziko a \u010do nie.<\/li>\n\n\n\n
Nastavenie kontrol a opatren\u00ed, ktor\u00e9 rizik\u00e1 zni\u017euj\u00fa \u2013 technick\u00fdch, procesn\u00fdch aj organiza\u010dn\u00fdch.<\/li>\n\n\n\n
Prenesenie pravidiel do praxe \u2013 aby \u013eudia rozumeli, \u010do a pre\u010do robia, nie len \u201e\u010do maj\u00fa podp\u00edsa\u0165\u201c.<\/li>\n\n\n\n
Zachytenie pravidiel, zodpovednost\u00ed a postupov tak, aby boli pou\u017eite\u013en\u00e9 a auditovate\u013en\u00e9.<\/li>\n\n\n\n
Priebe\u017en\u00e1 pr\u00e1ca s \u013eu\u010fmi, pripom\u00ednanie, aktualiz\u00e1cia \u2013 bezpe\u010dnos\u0165 ako s\u00fa\u010das\u0165 ka\u017edodennej pr\u00e1ce, nie jednorazov\u00fd projekt.<\/li>\n<\/ol>\n\n\n\nDetailn\u00fd postup implement\u00e1cie ISO 27001<\/h3>\n\n\n\n
1. Z\u00e1kladn\u00e1 anal\u00fdza (gap anal\u00fdza)<\/h4>\n\n\n\n
Nejde len o kontrolu dokument\u00e1cie, ale o re\u00e1lne fungovanie:<\/p>\n\n\n\n\n
2. Evidencia akt\u00edv<\/h4>\n\n\n\n
\n
\n
3. Identifik\u00e1cia a hodnotenie riz\u00edk<\/h4>\n\n\n\n
\n
\n
4. N\u00e1vrh a implement\u00e1cia opatren\u00ed<\/h4>\n\n\n\n
\n
\n
5. \u0160kolenia a zapojenie zamestnancov<\/h4>\n\n\n\n
\n
6. Dokument\u00e1cia<\/h4>\n\n\n\n
\n
\n
7. Udr\u017eiavanie povedomia a bezpe\u010dnostnej kult\u00fary<\/h4>\n\n\n\n
\n
nie ako kontrola zvonku, ale ako prirodzen\u00e1 s\u00fa\u010das\u0165 fungovania organiz\u00e1cie.<\/p>\n\n\n\nNaj\u010dastej\u0161ie chyby<\/h3>\n\n\n\n
1. ISO ako \u201epapierov\u00fd projekt\u201c<\/h4>\n\n\n\n
Vznikn\u00fa smernice a politiky, ktor\u00e9 s\u00edce vyhovuj\u00fa auditu, ale nikto ich nepou\u017e\u00edva.<\/p>\n\n\n\n
\n\n\n\n2. Prehnan\u00e1 komplexnos\u0165<\/h4>\n\n\n\n
V\u00fdsledok: vysok\u00e1 administrat\u00edva, n\u00edzka udr\u017eate\u013enos\u0165.<\/p>\n\n\n\n
\n\n\n\n3. Odtrhnutie od praxe<\/h4>\n\n\n\n
Procesy potom existuj\u00fa \u201ena papieri\u201c, ale obch\u00e1dzaj\u00fa sa.<\/p>\n\n\n\n
\n\n\n\n4. IT ako jedin\u00fd vlastn\u00edk bezpe\u010dnosti<\/h4>\n\n\n\n
Ch\u00fdba prepojenie na biznis procesy, \u013eud\u00ed a rozhodovanie mana\u017ementu.<\/p>\n\n\n\n
\n\n\n\n5. Nedostato\u010dn\u00e9 zapojenie zamestnancov<\/h4>\n\n\n\n
V\u00fdsledkom je form\u00e1lne plnenie bez re\u00e1lneho dopadu.<\/p>\n\n\n\n
\n\n\n\n6. Jednorazov\u00fd projekt bez kontinuity<\/h4>\n\n\n\n
Rizik\u00e1 sa menia, ale syst\u00e9m zost\u00e1va statick\u00fd.<\/p>\n\n\n\n
\n\n\n\n7. Kop\u00edrovanie cudz\u00edch rie\u0161en\u00ed<\/h4>\n\n\n\n
Syst\u00e9m potom nereflektuje re\u00e1lne rizik\u00e1 ani procesy organiz\u00e1cie.<\/p>\n","protected":false},"excerpt":{"rendered":"