ISMS, ITSM, BCMS – kdy se zabývat certifikací organizace a jaký to má přínos?

29.5.2012

V záplavě zkratek pro různé ISO normy a standardy bychom v oblasti ICT měli věnovat pozornost těm, které jsou mezinárodně uznávané a jejich zavedení má pro organizaci přínos. K certifikaci dle ISO/IEC 27001 (ISMS), ISO/IEC 20000-1 (ITSM) či k BCMS (BS 25999) nás dovedou tři cesty – buď požadavek zákazníků, nebo požadavky výběrových řízení, nebo v nejlepším případě z vlastní vůle organizace. Získání certifikátu v oblasti ISMS, ITSM a BCMS je jednak prestižní a jednak konkurenčně výhodné. Kdy a proč zavést jednotlivé systémy je shrnuto v tomto článku.

ISMS

ISMS je zkratkou pro Information security management systems, tedy Systém managementu bezpečnosti informací a váže se na rodinu ISO/IEC norem 2700x, přičemž certifikace probíhá dle ISO/IEC 27001 a je aplikovatelná v jakékoliv organizaci a to ve všech oblastech výroby nebo poskytovaní služeb.

Současné moderní podnikání je závislé na informačních technologiích a systémech. Znamená to kromě podpory podnikání i skutečnost, že jsou organizace zranitelnější ohrožením své bezpečnosti dat. Informace jsou aktiva, která jako jiná významná obchodní aktiva mají pro organizaci svou hodnotu a musí být vhodným způsobem chráněna. Identifikací a klasifikací aktiv a vyhodnocováním jejich ohrožení a zranitelnosti si může každá organizace vybrat způsoby řízení takovýchto rizik, aby byla zachována důvěrnost, integrita a dostupnost informací. Přitom se jedná o informace příslušných zainteresovaných stran jako např. informace vlastní, klientů, odběratelů, dodavatelů, ale i akcionářů, úředních orgánů, apod.

Certifikace ISMS je objektivním důkazem, prostřednictvím kterého vlastníci a management certifikované organizace potvrzují svým vlastníkům, zaměstnancům, zákazníkům a dalším zainteresovaným stranám nejen, že vnímají odpovědnosti k bezpečnosti informací, ale i deklarují naplňování svého závazku, že uplatňované zásady v chování a v přístupu k bezpečnosti informací jsou součástí podnikání.

Přínosy certifikace dle ISO/IEC 27001 (ISMS):

Zabezpečení informací je integrální částí celého systému řízení organizace
Hlavní faktory ovlivňující podnikatelskou soutěž, informace a jejich zabezpečení jsou v řízeném režimu
Zaměstnanci jsou odpovědni za zabezpečení informací svých pracovišť i dat svých zákazníků
Požadavek na kontinuální zlepšování zaručuje dlouhodobě efektivní řízení nákladů
Prokázání přístupu k managementu bezpečnosti informací a to i v komunikaci se zákazníky, investory, občanskou veřejností, státními i soukromými institucemi a dalšími zainteresovanými stranami
Zprůhlednění důsledků incidentů a jejich snížení, odhalování rizik, neshod a incidentů s nežádoucími dopady na důvěrnost, integritu a dostupnost informací a tím i na chod organizace
Zvýšení podnikatelské důvěryhodnosti pro investory, banky a pojišťovny
Úspora na pokutách a jiných sankcích, spojených s únikem informací

ITSM

ITSM je zkratkou Information technology service management, tedy management IT služeb a jeho normativním základem je ISO/IEC 20000, což je první celosvětový standard určený přímo managementu služeb IT. Popisuje integrovaný soubor řídících procesů pro efektivní dodávání služeb IT byznysu vůči zákazníkům. Norma ISO/IEC 20000-1 doplňuje procesní přístup definovaný v rámci publikační řady ITIL (Information Technology Infrastructure Library), která představuje soubor best practice v rámci managementu služeb IT. Tedy zatímco ITIL je best practice, tak ITSM je norma, kterou v případě certifikace prokážete, že plníte i aspekty z oblasti ITILu (Service support a Service delivery).

Přínosy certifikace dle ISO/IEC 20000-1 (ITSM):

Výborný marketingový prostředek zejména ve spojení s ISMS – certifikace ITSM garantuje vůči zákazníkovi dodržení stanovených (zákazníkem zaplacených) úrovní IT služeb
Ke každé IT službě (např. poskytování web hostingu) organizace přistupuje individuálně
Individuální řešení zdrojů pro služby - finanční i personální
pro každou službu musí existovat plán kontinuity v případě incidentů
Kontinuálním sledováním úrovně poskytovaných služeb jednak organizace lépe garantuje dodržení SLA a jednak lépe vidí volné kapacity služby pro její další prodej.
Požadavek na ITSM je vhodné uplatnit i na subdodavatele organizace, aby kontinuita a kvalitativní úroveň poskytování IT služeb byla maximálně robusní a generovala zvýšenou konkurenční výhodu.

BCMS

BCMS je zkratkou pro Business continuity management system, tedy Systém managementu kontinuity organizace a mezi nejdůležitějšími standardy počítáme BS 25999 a BS25777. Přičemž certifikace probíhá dle BS 25999 a je aplikovatelná v jakékoliv organizaci a to ve všech oblastech výroby nebo poskytovaní služeb. Požadavek na řízení kontinuity je vyžadován jak v rámci ISMS (kapitola A14), tak v rámci ITSM (u každé služby). Standard BS 25999 jde však mnohem detailněji do hloubky problematiky BCMS a poskytuje implementační rámec pro kontinuitu i mimo oblast ICT.

BCMS je strategická a taktická způsobilost organizace. Cílem BCMS je vytvořit takové havarijní plány a plány obnovy, které společně s implementací technicko-systémových opatření umožní zajistit kontinuitu a obnovu klíčových procesů organizace na předem stanovené minimální úrovni, a to v případě jejich narušení nebo ztráty vlivem havárie, přírodní katastrofy či bezpečnostního incidentu.

Přínosy implementace a certifikace dle BS 25999 (BCMS):

Ochrana dobrého jména organizace.
Poskytnutí záruk - zajištění hlavní podnikatelské činnosti, co nejrychlejší a odpovídající plnění závazků vůči zákazníkům/klientům.
Snížení (finančních) ztrát v případě přerušení kontinuity činností.
Je provedena analýza dopadů scénářů jednotlivých havárií na kontinuitu činnosti.
U kritických (business) procesů bude zajištěna jejich kontinuita i v případě mimořádných událostí.
Vytvoření přehledných, strukturovaných a na sebe navazujících plánů/postupů činností v případě mimořádné události.
Jsou specifikovány priority činností nutných pro obnovu ICT v organizaci sloužících pro zachování hlavní činnosti organizace.
Délka výpadku a nedostupnosti ICT, které zajišťují klíčové procesy, je snížena na minimum.
Všichni zaměstnanci znají svoje povinnosti a odpovědnosti při haváriích, živelných katastrofách a řešení bezpečnostních incidentů.

Co obnáší proces certifikace ISMS, ITSMS a BCMS

Poté co jste vlastními silami nebo s pomocí konzultační společnosti zavedli do organizační praxe všechny požadavky, které ISMS, ITSM či BCMS vyžadují, tak lze přistoupit k certifikaci. Certifikát, po úspěšně absolvovaném auditu, vydá certifikační orgán, který je k provedení auditu a vydání certifikátu tzv. akreditován. Je vhodné vybírat takové certifikační orgány, které jsou členy mezinárodních certifikačních sdružení, což zajistí vyšší prestiž a mezinárodní akceptovatelnost certifikátu. Vlastní certifikace probíhá formou auditu ve dvou stupních – v prvním stupni probíhá přezkoumání vytvořené dokumentace a v druhém stupni praktické ověření, zda popsané postupy jsou implementovány v organizační praxi. Certifikát je vydán na 3 roky, přičemž každý rok probíhá dozorový audit, který ověřuje, zda jsou procesy a dokumentace neustále udržovány a zlepšovány ve shodě s požadavky norem