Manažérstvo informačnej bezpečnosti v podmienkach ISO 9001:2000

29.10.2007
Zdroj: 
KBaKP SjF - TU Košice
Téma BOZPinfo
,
D - Hodnocení a řízení rizik v pracovním prostředí

Systém manažérstva kvality zavedený v praxi je dobrým základom organizácie pre budovanie manažérstva informačnej bezpečnosti v rámci normy ISO/IEC 27 001:2005. Slúži pre zavedenie efektívneho systému bezpečnosti a následnú certifikáciu tohto systému. Cieľom príspevku je tiež poukázať na spoločné prvky týchto medzinárodných noriem.

management kvality
management rizik

Systém manažérstva kvality

Systém manažérstva kvality

Systém manažérstva kvality tvorí súčasť systému manažérstva organizácie, ktorý sa sústreďuje na dosahovanie výsledkov týkajúcich sa cieľov kvality uspokojujúcich potreby, očakávania a požiadavky zainteresovaných strán.

SMK je obsiahnutý v normách ISO 9000, ktoré majú univerzálny charakter, tieto normy sú aplikovateľné ako vo výrobných organizáciách, tak aj v podnikoch poskytujúcich služby, bez ohľadu na ich veľkosť. Nemajú záväzný charakter, iba sa doporučujú. Až v okamžiku, keď sa dodávateľ v obchodnej zmluve zaviaže odberateľovi, že u seba aplikuje systém ISO 9001, stáva sa táto norma pre daného producenta záväzným predpisom. Z praxe je známe, že ani striktné uplatňovanie požiadaviek ISO noriem nedokáže garantovať plnú spokojnosť a lojalitu zákazníkov, či dobré ekonomické výsledky.

Základný súbor noriem ISO 9000 tvoria tieto štandardy:

  1. ISO 9000:2005 Systém manažérstva kvality – Základy, zásady a slovník,
  2. ISO 9001:2000 Systém manažérstva kvality – Požiadavky,
  3. ISO 9004:2000 Systém manažérstva kvality – Smernica pre zlepšovanie výkonnosti,
  4. ISO 19011:2002 Smernica pre auditovaný systém manažérstva kvality a systém environmentálneho manažérstva.

Základom poňatia noriem ISO 9001:2000 a ISO 9004:2000 je skutočnosť, že SMK považovaný za sústavu na seba nadväzujúcich procesov. Procesný prístup k SMK je zreteľný z tzv. procesného modelu (obr. 1). Veľkou výhodou procesného prístupu je nepretržité riadenie väzieb medzi jednotlivými procesmi v systéme procesov, ako aj ich kombinácia a vzájomné pôsobenie.

klikněte pro zvětšení

Obr. 1 Model procesne orientovaného systému manažérstva kvality

Uvedený model je natoľko obecný, že platí pre všetky typy organizácii. Je už len na manažmente týchto organizácii, aby si tento model a požiadavky na SMK prispôsobili svojim špecifickým podmienkam. Organizácie musia neustále zlepšovať efektívnosť SMK využívaním politiky kvality, cieľov kvality, výsledkov auditov (interných a externých), analýz údajov, nápravných alebo preventívnych opatrení.

Systém manažérstva informačnej bezpečnosti - Information Security Management System (ISMS = SMIB)

Základným cieľom SMIB je ochrana aktív pred hrozbami, zabezpečenie kontinuity podnikania, minimálne podnikateľské riziko a maximálne využitie investícií a obchodných príležitostí. Zakladá na princípoch systémov manažérstva kvality radu ISO 9000:

  • PDCA cyklus,
  • procesný prístup na „báze rizík” pre definovanie politiky a postupov na výber primeraných opatrení pre riadenie rizika,
  • trvalé zlepšovanie.

SMIB patrí do novej skupiny noriem ISO 27000:

  • ISO/IEC 27001:2005 Požiadavky na zavedenie a CERT SMIB
  • ISO/IEC 27002 Kódex SMIB (terajšia ISO/IEC 17799:2005)
  • ISO/IEC 27003 Implementačné smernice
  • ISO/IEC 27004 Metrika a meranie
  • ISO/IEC 27005 Manažérstvo rizík

ISO 27001: 2005 poskytuje model a požiadavky na certifikáciu efektívneho SMIB. Návrh a implementácia SMIB je ovplyvnená potrebami a cieľmi podnikania, vyplývajúcimi z požiadaviek bezpečnosti, uplatňovanými procesmi ako aj veľkosťou a štruktúrou organizácie.

klikněte pro zvětšení

Obr. 2 Normy súvisiace s certifikáciou SMIB

Vo svete je budovanie a certifikácia SMIB bežným pojmom, zatiaľ čo na Slovensku sa tento proces ešte len rozbieha. Aktuálny prehľad certifikovaných spoločností a ich podiel na certifikačnom trhu je možné zistiť z dostupných WEB stránok (www.xisec.com).

V porovnaní s certifikáciou podľa ISO 9001 je situácia na Slovensku podstatne odlišná. Nárast certifikovaných spoločností podľa ISO 27 000 je veľmi pomalý. Môže to spôsobovať aj fakt, že na manažérstvo informačnej bezpečnosti nebol doposiaľ kladený taký dôraz ako na manažérstvo kvality. Niektoré firmy majú vcelku dobre zvládnutú infraštruktúru informačnej
bezpečnosti, avšak založenú zväčša na subjektivite prístupov, úloh a zodpovedností. Ďalším aspektom je aj chýbajúca motivácia, ktorá by posunula realizáciu informačnej bezpečnosti o krok vpred.

Implementácia normy ISO 27 000 do už fungujúceho systému manažérstva má svoje výhody v kompatibilite týchto noriem (tab. 1). V tomto prípade sa na proces implementácie môžeme pozerať z dvoch rovín:

  1. implementácia ISO 27 000 separatne, bez ohľadu na už existujúce systémy,
  2. vytvorenie integrovaného systému (napr. SMK a SMIB).

klikněte pro zvětšení

Obr. 3 Integrovaný systém

Pri druhej variante sa zabráni hlavne duplicite dokumentácie, napr. existencii dvoch/viacerých politík v organizácii – politika kvality, politika informačnej bezpečnosti, environmnentálna politika atď. SMIB tvorí integrálnu súčasť SMK v časti procesov,  dokumentácie a interného auditu.

 

Stránky

Autor článku: 
Golianová Anna
Mokrišová Alena

Také si můžete přečíst

19.05.2021 - Prezentace vědecké práce VÚBP
22.03.2010 - Právní předpisy BOZP a jejich vazba na požadavky bezpečnostního managementu dle OHSAS 18001
16.05.2007 - Ovládání rizika

Nabízíme Vám možnost BEZPLATNÉHO odběru e-mailového zpravodajství

Přehled příspěvků publikovaných na oborovém portálu BOZPinfo zasílaný každý pátek odpoledne

Provozovatel portálu

Výzkumný ústav bezpečnosti práce, v. v. i.
Jeruzalémská 1283/9
110 00 Praha 1
bozpinfo@vubp.cz
https://www.vubp.cz

Sociální sítě VÚBP

facebook linkedin instagram buzzsprout twitter youtubepinterest

Kde nás najdete

X

Přihlášení

Zapomněli jste heslo?
zašleme vám nové na váš e-mail

Zaregistrovat se