Áno, zavedenie systému riadenia informačnej bezpečnosti (ISO 27001) vie vašej firme pomôcť a uľahčiť vám prácu. Pri odbornom poradenstve a implementácii tejto normy som sa stretla s určitými pochybnosťami o jej praktickom význame. Informačná bezpečnosť však význam jednoznačne má!

ISO 27001 nie je len súbor bezvýznamných dokumentov. Správnou aplikáciou prináša úsporu nákladov, času a zlepšenie organizácie a pozície firmy.

Pripravila som si preto pre vás 6 dôvodov, pre ktoré sa oplatí implementácia štandardu ISO 27001 – informačná bezpečnosť:

Lepšia organizácia

Používatelia informačného systému spoločnosti vedia svojim konaním spôsobiť rôzne komplikácie. Implementáciou ISO 27001 sa definujú a nastavujú jasné pravidlá – kto a čo môže robiť, kto a akým spôsobom je zodpovedný. Samozrejme, správne nastavenie týchto pravidiel si vyžaduje nejaký čas, ale hneď ako sú zapracované, môžete očakávať menej vzniknutých problémov a úsporu času aj nákladov s nimi súvisiacich.  

Nižšie náklady

Každý bezpečnostný incident, či už veľký alebo malý, stojí firmu peniaze. Hlavnou filozofiou ISO 27001 je zabrániť výskytu takýchto incidentov, čo šetrí náklady, čas a umožňuje sústrediť sa na priority.

Plnenie zákonných požiadaviek

Existuje čoraz viac zákonov, nariadení a zmluvných požiadaviek týkajúcich sa informačnej bezpečnosti a dobrou správou je, že väčšinu z nich je možné jednoducho vyriešiť implementáciou normy ISO 27001 (informačná bezpečnosť).

Marketingová výhoda

Certifikát ISO 27001 je konkurenčnou výhodou a spôsobom, ako stúpnuť v očiach potenciálnych zákazníkov, ktorí sú citliví na udržovanie svojich informácií v bezpečí. Dôležitým faktorom je vlastníctvo certifikátu ISO 27001 (informačná bezpečnosť) pri získavaní rôznych tendrov a verejných obstarávaní, keďže niektoré to bezpodmienečne vyžadujú.

Prehľad o bezpečnostných rizikách

Pravdepodobne ste sa už ocitli v situácii, keď vás niekto z firmy oslovil s návrhom/žiadosťou o zmenu procesu či využitia novej technológie, ktorých zavedenie by si vyžadovalo nemalé finančné a časové investície, a tak ste sa pohrávali s myšlienkou, či je to skutočne nevyhnutné.

Jednou z nevyhnutných súčastí implementácie ISO 27001 je tzv. hodnotenie rizika. V podstate to znamená, že je potrebné systematicky prejsť a zhodnotiť všetky možné riziká a problémy vo firme a zvoliť z nich tie, ktorých výskyt je najpravdepodobnejší a môžu najviac poškodiť vašu spoločnosť. Na základe výsledkov hodnotenia bude jasné, ktoré problémy majú najvyššiu prioritu a ktorými sa treba zaoberať.

Jasné vymedzenie zodpovednosti

Pri vzniku bezpečnostného incidentu vo firme nemusí byť jasné, kto je za jeho vznik zodpovedný a často si to môže „odniesť“ nevinné IT oddelenie. Implementácia systému ISO 27001 eliminuje problém určenia a vyvodenia zodpovednej osoby za vznik incidentu. V rámci štandardu sú veľmi jasne definované úlohy a zodpovednosti, a teda je oveľa jednoduchšie odhaliteľné, kto sa dopustil chyby alebo nedodržal stanovený postup.

ISO 27001 nie je len súbor bezvýznamných dokumentov. Správnou aplikáciou prináša úsporu nákladov, času a zlepšenie organizácie a pozície firmy. Zavedenie systému riadenia informačnej bezpečnosti odporúčame aj z pohľadu budúceho smerovania legislatívnych požiadaviek v tejto oblasti a vzniku konkurenčnej výhody pre firmu.

Autor: Mgr. Monika Jaborníková, consultant & internal auditor