Obchodní i osobní know-how, citlivá data zaměstnanců i obchodních partnerů, informace ze zakázek a obchodních vztahů, každá firma či instituce vytváří a spravuje obrovské množství informací. Řada z nich přitom může být velmi cenná pro konkurenci, ale třeba i některé kriminální skupiny. Útoky s cílem získat přístup k citlivým datům přitom mohou být jak fyzické – narušení bezpečnosti firemních či soukromých prostor – nebo kybernetické, což znamená snahu získat přístup prostřednictvím datové sítě. I kvůli skutečně široké paletě možných útoků a současně velkému množství chráněných dat, je zajištění informační bezpečnosti stále větším a obtížnějším úkolem. Vodítkem při vytváření systému informační bezpečnosti může být technická norma ČSN EN ISO/IEC 27001 – Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Systémy managementu informační bezpečnosti – Požadavky. Ta je nyní již dostupná také v českém jazyce a lze si ji velmi snadno zakoupit v internetovém obchodě České agentury pro standardizaci na adrese eshop.agentura-cas.cz.
Tato norma je součástí sady technických norem ČSN EN ISO/IEC 27000, do které patří také norma ČSN EN ISO/IEC 27002 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Opatření informační bezpečnosti vydaná v češtině již v dubnu roku 2023. Aktuální znění technické normy ČSN EN ISO/IEC 27001 je nyní v souladu se zněním normy ČSN EN ISO/IEC 27002. Norma ČSN EN ISO/IEC 27001 specifikuje požadavky na ustavení, zavedení, udržování a neustálé zlepšování systému managementu informační bezpečnosti v rámci kontextu organizace. Tento dokument také zahrnuje požadavky na posuzování a ošetření rizik informační bezpečnosti, přizpůsobené potřebám organizace. Požadavky tohoto dokumentu jsou obecné a jsou určené pro použití ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností. Vyloučení jakýchkoli požadavků specifikovaných v kapitolách 4 až 10 je nepřijatelné, pokud organizace prohlašuje shodu s tímto dokumentem.
Přijetí systému managementu informační bezpečnosti je pro organizaci strategickým rozhodnutím. Ustavení a zavedení systému managementu informační bezpečnosti organizace jsou ovlivněny potřebami a cíli organizace, požadavky na bezpečnost, používanými procesy a velikostí a strukturou organizace. Všechny tyto ovlivňující faktory se pravděpodobně budou v čase měnit. Systém managementu informační bezpečnosti zachovává důvěrnost, integritu a dostupnost informací aplikováním procesu managementu rizik a dává jistotu zainteresovaným stranám, že jsou rizika přiměřeně řízena.
Je důležité, aby byl systém managementu informační bezpečnosti součástí procesů a celkové struktury managementu organizace, a aby byla informační bezpečnost zohledněna při návrhu procesů, informačních systémů a opatření. Očekává se, že zavedení systému managementu informační bezpečnosti bude nastaveno v souladu s potřebami organizace. Tento dokument může být použit interními a externími stranami k posuzování schopnosti organizace splnit její vlastní požadavky informační bezpečnosti.
Všechny technické normy sady ČSN EN ISO/IEC 27000 jsou dostupné prostřednictvím systému ČSN on-line a lze si je také jednotlivě zakoupit v elektronické či tištěné podobě na adrese: eshop.agentura-cas.cz.
Normu ČSN EN ISO/IEC 27001 zakoupíte v elektronické verzi za 315 korun, případně prostřednictvím sponzorovaného přístupu. Technická norma ČSN EN ISO/IEC 27002 obsahující opatření k zajištění informační bezpečnosti pak v elektronické verzi stojí 896 korun. Obě normy je možné objednat také v tištěné podobě.