Systém manažérstva kvality zavedený v praxi je dobrým základom organizácie pre budovanie manažérstva informačnej bezpečnosti v rámci normy ISO/IEC 27 001:2005. Slúži pre zavedenie efektívneho systému bezpečnosti a následnú certifikáciu tohto systému. Cieľom príspevku je tiež poukázať na spoločné prvky týchto medzinárodných noriem.
Systém manažérstva kvality tvorí súčasť systému manažérstva organizácie, ktorý sa sústreďuje na dosahovanie výsledkov týkajúcich sa cieľov kvality uspokojujúcich potreby, očakávania a požiadavky zainteresovaných strán.
SMK je obsiahnutý v normách ISO 9000, ktoré majú univerzálny charakter, tieto normy sú aplikovateľné ako vo výrobných organizáciách, tak aj v podnikoch poskytujúcich služby, bez ohľadu na ich veľkosť. Nemajú záväzný charakter, iba sa doporučujú. Až v okamžiku, keď sa dodávateľ v obchodnej zmluve zaviaže odberateľovi, že u seba aplikuje systém ISO 9001, stáva sa táto norma pre daného producenta záväzným predpisom. Z praxe je známe, že ani striktné uplatňovanie požiadaviek ISO noriem nedokáže garantovať plnú spokojnosť a lojalitu zákazníkov, či dobré ekonomické výsledky.
Základný súbor noriem ISO 9000 tvoria tieto štandardy:
Základom poňatia noriem ISO 9001:2000 a ISO 9004:2000 je skutočnosť, že SMK považovaný za sústavu na seba nadväzujúcich procesov. Procesný prístup k SMK je zreteľný z tzv. procesného modelu (obr. 1). Veľkou výhodou procesného prístupu je nepretržité riadenie väzieb medzi jednotlivými procesmi v systéme procesov, ako aj ich kombinácia a vzájomné pôsobenie.
Obr. 1 Model procesne orientovaného systému manažérstva kvality
Uvedený model je natoľko obecný, že platí pre všetky typy organizácii. Je už len na manažmente týchto organizácii, aby si tento model a požiadavky na SMK prispôsobili svojim špecifickým podmienkam. Organizácie musia neustále zlepšovať efektívnosť SMK využívaním politiky kvality, cieľov kvality, výsledkov auditov (interných a externých), analýz údajov, nápravných alebo preventívnych opatrení.
Systém manažérstva informačnej bezpečnosti - Information Security Management System (ISMS = SMIB)
Základným cieľom SMIB je ochrana aktív pred hrozbami, zabezpečenie kontinuity podnikania, minimálne podnikateľské riziko a maximálne využitie investícií a obchodných príležitostí. Zakladá na princípoch systémov manažérstva kvality radu ISO 9000:
SMIB patrí do novej skupiny noriem ISO 27000:
ISO 27001: 2005 poskytuje model a požiadavky na certifikáciu efektívneho SMIB. Návrh a implementácia SMIB je ovplyvnená potrebami a cieľmi podnikania, vyplývajúcimi z požiadaviek bezpečnosti, uplatňovanými procesmi ako aj veľkosťou a štruktúrou organizácie.
Obr. 2 Normy súvisiace s certifikáciou SMIB
Vo svete je budovanie a certifikácia SMIB bežným pojmom, zatiaľ čo na Slovensku sa tento proces ešte len rozbieha. Aktuálny prehľad certifikovaných spoločností a ich podiel na certifikačnom trhu je možné zistiť z dostupných WEB stránok (www.xisec.com).
V porovnaní s certifikáciou podľa ISO 9001 je situácia na Slovensku podstatne odlišná. Nárast certifikovaných spoločností podľa ISO 27 000 je veľmi pomalý. Môže to spôsobovať aj fakt, že na manažérstvo informačnej bezpečnosti nebol doposiaľ kladený taký dôraz ako na manažérstvo kvality. Niektoré firmy majú vcelku dobre zvládnutú infraštruktúru informačnej
bezpečnosti, avšak založenú zväčša na subjektivite prístupov, úloh a zodpovedností. Ďalším aspektom je aj chýbajúca motivácia, ktorá by posunula realizáciu informačnej bezpečnosti o krok vpred.
Implementácia normy ISO 27 000 do už fungujúceho systému manažérstva má svoje výhody v kompatibilite týchto noriem (tab. 1). V tomto prípade sa na proces implementácie môžeme pozerať z dvoch rovín:
Obr. 3 Integrovaný systém
Pri druhej variante sa zabráni hlavne duplicite dokumentácie, napr. existencii dvoch/viacerých politík v organizácii – politika kvality, politika informačnej bezpečnosti, environmnentálna politika atď. SMIB tvorí integrálnu súčasť SMK v časti procesov, dokumentácie a interného auditu.
Vkládat příspěvky do diskuzí mohou pouze přihlášení uživatelé. Využijte přihlašovací a registrační formulář.