Úvod Novinky

ISMS, ITSM, BCMS – kdy se zabývat certifikací organizace a jaký to má přínos?

29.5.2012

V záplavě zkratek pro různé ISO normy a standardy bychom v oblasti ICT měli věnovat pozornost těm, které jsou mezinárodně uznávané a jejich zavedení má pro organizaci přínos. K certifikaci dle ISO/IEC 27001 (ISMS), ISO/IEC 20000-1 (ITSM) či k BCMS (BS 25999) nás dovedou tři cesty – buď požadavek zákazníků, nebo požadavky výběrových řízení, nebo v nejlepším případě z vlastní vůle organizace. Získání certifikátu v oblasti ISMS, ITSM a BCMS je jednak prestižní a jednak konkurenčně výhodné. Kdy a proč zavést jednotlivé systémy je shrnuto v tomto článku.

 ISMS

ISMS je zkratkou pro Information security management systems, tedy Systém managementu bezpečnosti informací a váže se na rodinu ISO/IEC norem 2700x, přičemž certifikace probíhá dle ISO/IEC 27001 a je aplikovatelná v jakékoliv organizaci a to ve všech oblastech výroby nebo poskytovaní služeb.

Současné moderní podnikání je závislé na informačních technologiích a systémech. Znamená to kromě podpory podnikání i skutečnost, že jsou organizace zranitelnější ohrožením své bezpečnosti dat. Informace jsou aktiva, která jako jiná významná obchodní aktiva mají pro organizaci svou hodnotu a musí být vhodným způsobem chráněna. Identifikací a klasifikací aktiv a vyhodnocováním jejich ohrožení a zranitelnosti si může každá organizace vybrat způsoby řízení takovýchto rizik, aby byla zachována důvěrnost, integrita a dostupnost informací. Přitom se jedná o informace příslušných zainteresovaných stran jako např. informace vlastní, klientů, odběratelů, dodavatelů, ale i akcionářů, úředních orgánů, apod.

Certifikace ISMS je objektivním důkazem, prostřednictvím kterého vlastníci a management certifikované organizace potvrzují svým vlastníkům, zaměstnancům, zákazníkům a dalším zainteresovaným stranám nejen, že vnímají odpovědnosti k bezpečnosti informací, ale i deklarují naplňování svého závazku, že uplatňované zásady v chování a v přístupu k bezpečnosti informací jsou součástí podnikání. 

 Přínosy certifikace dle ISO/IEC 27001 (ISMS):

  • Zabezpečení informací je integrální částí celého systému řízení organizace
  • Hlavní faktory ovlivňující podnikatelskou soutěž, informace a jejich zabezpečení jsou v řízeném režimu 
  • Zaměstnanci jsou odpovědni za zabezpečení informací svých pracovišť i dat svých zákazníků
  • Požadavek na kontinuální zlepšování zaručuje dlouhodobě efektivní řízení nákladů
  • Prokázání přístupu k managementu bezpečnosti informací a to i v komunikaci se zákazníky, investory, občanskou veřejností, státními i soukromými institucemi a dalšími zainteresovanými stranami
  • Zprůhlednění důsledků incidentů a jejich snížení, odhalování rizik, neshod a incidentů s nežádoucími dopady na důvěrnost, integritu a dostupnost informací a tím i na chod organizace
  • Zvýšení podnikatelské důvěryhodnosti pro investory, banky a pojišťovny
  • Úspora na pokutách a jiných sankcích, spojených s únikem informací

ITSM

ITSM je zkratkou Information technology service management, tedy management IT služeb a jeho normativním základem je ISO/IEC 20000, což je první celosvětový standard určený přímo managementu služeb IT.  Popisuje integrovaný soubor řídících procesů pro efektivní dodávání služeb IT byznysu vůči zákazníkům. Norma ISO/IEC 20000-1 doplňuje procesní přístup definovaný v rámci publikační řady ITIL (Information Technology Infrastructure Library), která představuje soubor best practice v rámci managementu služeb IT. Tedy zatímco ITIL je best practice, tak ITSM je norma, kterou v případě certifikace prokážete, že plníte i aspekty z oblasti ITILu (Service support a Service delivery).  

Přínosy certifikace dle ISO/IEC 20000-1 (ITSM):

  • Výborný marketingový prostředek zejména ve spojení s ISMS – certifikace ITSM garantuje vůči zákazníkovi dodržení stanovených (zákazníkem zaplacených) úrovní IT služeb
  • Ke každé IT službě (např. poskytování web hostingu) organizace přistupuje individuálně
  • Individuální řešení zdrojů pro služby  - finanční i personální
  • pro každou službu musí existovat plán kontinuity v případě incidentů
  • Kontinuálním sledováním úrovně poskytovaných služeb jednak organizace lépe garantuje dodržení SLA a jednak lépe vidí volné kapacity služby pro její další prodej.
  • Požadavek na ITSM je vhodné uplatnit i na subdodavatele organizace, aby kontinuita a kvalitativní úroveň poskytování IT služeb byla maximálně robusní a generovala zvýšenou konkurenční výhodu.

BCMS

BCMS je zkratkou pro Business continuity management system, tedy Systém managementu kontinuity organizace a mezi nejdůležitějšími standardy počítáme BS 25999 a BS25777. Přičemž certifikace probíhá dle BS 25999 a je aplikovatelná v jakékoliv organizaci a to ve všech oblastech výroby nebo poskytovaní služeb. Požadavek na řízení kontinuity je vyžadován jak v rámci ISMS (kapitola A14), tak v rámci ITSM (u každé služby).  Standard BS 25999 jde však mnohem detailněji do hloubky problematiky BCMS a poskytuje implementační rámec pro kontinuitu i mimo oblast ICT.


BCMS je strategická a taktická způsobilost organizace. Cílem BCMS je vytvořit takové havarijní plány a plány obnovy, které společně s implementací technicko-systémových opatření umožní zajistit kontinuitu a obnovu klíčových procesů organizace na předem stanovené minimální úrovni, a to v případě jejich narušení nebo ztráty vlivem havárie, přírodní katastrofy či bezpečnostního incidentu.

 Přínosy implementace a certifikace dle BS 25999 (BCMS):

  • Ochrana dobrého jména organizace.
  •  Poskytnutí záruk - zajištění hlavní podnikatelské činnosti, co nejrychlejší a odpovídající plnění závazků vůči zákazníkům/klientům.
  •  Snížení (finančních) ztrát v případě přerušení kontinuity činností.
  •  Je provedena analýza dopadů scénářů jednotlivých havárií na kontinuitu činnosti.
  •  U kritických (business) procesů bude zajištěna jejich kontinuita i v případě mimořádných událostí.
  •  Vytvoření přehledných, strukturovaných a na sebe navazujících plánů/postupů činností v případě mimořádné události.
  •  Jsou specifikovány priority činností nutných pro obnovu ICT v organizaci sloužících pro zachování hlavní činnosti organizace.
  •  Délka výpadku a nedostupnosti ICT, které zajišťují klíčové procesy, je snížena na minimum.
  •  Všichni zaměstnanci znají svoje povinnosti a odpovědnosti při haváriích, živelných katastrofách a řešení bezpečnostních incidentů.

Co obnáší proces certifikace ISMS, ITSMS a BCMS

Poté co jste vlastními silami nebo s pomocí konzultační společnosti zavedli do organizační praxe všechny požadavky, které ISMS, ITSM či BCMS vyžadují, tak lze přistoupit k certifikaci. Certifikát, po úspěšně absolvovaném auditu, vydá certifikační orgán, který je k provedení auditu a vydání certifikátu tzv. akreditován. Je vhodné vybírat takové certifikační orgány, které jsou členy mezinárodních certifikačních sdružení, což zajistí vyšší prestiž a mezinárodní akceptovatelnost certifikátu.  Vlastní certifikace probíhá formou auditu ve dvou stupních – v prvním stupni probíhá přezkoumání vytvořené dokumentace a v druhém stupni praktické ověření, zda popsané postupy jsou implementovány v organizační praxi. Certifikát je vydán na 3 roky, přičemž každý rok probíhá dozorový audit, který ověřuje, zda jsou procesy a dokumentace neustále udržovány a zlepšovány ve shodě s požadavky norem




Ing. Martin Tobolka,

Senior IT Security Consultant,
AEC, spol. s r.o., člen Cleverlance Group
Vedoucí auditor CQS pro ISO/IEC 27001 (ISMS) a ISO/IEC 20000-1 (ITSM), certifikační orgán CQS (www.cqs.cz), člen IQNet

 

 

 

 

Autor: Lenka Adamčíková   |   Sekce: Novinky   |   Tisk   |   Poslat článek známému


Související články

Školení

GDPR - Obecné nařízení o ochraně osobních údajů24.8.2017
Místo konání: Praha Prosek

Interní auditor podle normy ČSN EN ISO 9001:2016 a ČSN EN ISO 14001:201617.5.2017 - 12.9.2017
Místo konání: Praha Prosek

všechna školení

Licence

Osvědčení
o akreditaci

Certifikáty

Členové CQS

Elektrotechnický zkušební ústav, s.p. Technický a zkušební ústav stavební Praha, s.p. Institut pro testování a certifikaci, a.s. Textilní zkušební ústav s.p. Fyzikálně technický zkušební ústav, s.p. Strojírenský zkušební ústav, s.p.