Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

Dokumentace

 

V předchozích dílech seriálu o zavádění ISMS, byly předvedeny, vysvětleny a popsány jednotlivé postupy a principy, popisující jak, proč a kdy zavádět systém bezpečnosti informací. Ve II dílem byla obsažena zmínka o povinné dokumentaci, kterou norma vyžaduje. Systém ISMS rozlišuje dva typy dokumentace - povinnou a nepovinnou. Povinná dokumentace je taková, kterou norma taxativně požaduje. Nepovinná je taková, kterou norma nezmiňuje, nicméně neznamená to, že taková dokumentace je nedůležitá. Typicky jde o různou pomocnou dokumentaci, která popisuje některé konkrétní činnosti.

 

Tento díl se bude zabývat dokumentací povinnou. V případě, kdy budete chtít ISMS zavést ve své organizaci, ale nebude jej chtít certifikovat, musíte samozřejmě tuto dokumentaci vytvořit také. Dokumentace se nevytváří „kvůli certifikaci", ale jako základní část PDCA systému. Hlavním úkolem dokumentace je přehledné a aktuální zaznamenání všech důležitých komponent systému. A to tak, aby kdokoliv, kdo není obeznámen s podrobnostmi systému, pochopil  po prostudování dokumentace celkové nastavení systému a dílčích segmentů.

Řízení dokumentů a záznamů

Dokumentace patří mezi nejméně oblíbené části systému ISMS. Především její vznik. Obecně zde platí podobné principy jako u jiných částí ISMS. Doporučuji jmenovat pro každou část dokumentace garanta, plně odpovědného za vytvoření dokumentu. Dále je nesmírně důležité dodržovat schvalovací a verzovací principy. Jinak se Vám také může stát, že za několik dnů Vám bude po firmě běhat několik verzí jednoho dokumentu. Vzhledem k tomu, že nasazujeme systém bezpečnosti informací, tak by k takovým situacím nemělo docházet. V rámci implementace jste povinni dokumenty požadované ISMS chránit a řídit. Musí být vytvořen dokumentovaný postup tak, aby vymezil řídící činnosti potřebné ke správě dokumentace.

 

Záznamy musí být vytvořeny a udržovány tak, aby poskytovaly důkaz o shodě s požadavky a o efektivním fungování ISMS. Záznamy musí být chráněny a řízeny. ISMS musí zohlednit všechny příslušné právní nebo regulatorní požadavky a smluvní závazky. Záznamy musí zůstat čitelné, snadno identifikovatelné a musí být možné je snadno vyhledat. Opatření potřebná k identifikaci, uložení, ochraně, vyhledání, době platnosti a uspořádání záznamů musí být dokumentována.

 

Dokumentace musí obsahovat záznamy o rozhodnutích učiněných vedením organizace. Veškeré činnosti musí být zpětně identifikovatelné v politikách a dohledatelné záznamech o rozhodnutí vedením. Veškeré činnosti musí být zaznamenány, aby se zajistila jejich opakovatelnost.

  

Seznam dokumentů, které budeme potřebovat, je uveden v následující tabulce:

  • Rozsah a hranice ISMS;
  • Politika ISMS;
  • Definice a popis přístupu khodnocení rizik;
  • Identifikace a ohodnocení aktiv;
  • Identifikace rizik;
  • Analýza rizik;
  • Návrh protiopatření;
  • Cíle opatření a bezpečnostní opatření pro zvládání rizik (viz příloha A) ;
  • Akceptace rizik;
  • Získání povolení kprovozování ISMS vrámci organizace ;
  • Prohlášení o aplikovatelnosti.

 

Rozsah a hranice ISMS

Dokument, který popisuje které části systému ISMS budou implementovány a popsány. Definuje rozsah a hranice ISMS na základě posouzení specifických rysů činností organizace, jejího uspořádání, struktury, umístění (lokality), aktiv a technologií,včetně důvodů pro vyjmutí z rozsahu ISMS.

 

Politika ISMS

Základní a jednoduchý dokument, kterým vedení společnosti deklaruje plnou připravenost a odpovědnost k prosazení cílů při zavádění systému řízení bezpečnosti informací. Tento dokument znamená, že management společnosti chápe co znamená zavedení tohoto systému a je připraven uvolnit prostředky personální i finanční.

 

Definice a popis přístupu k hodnocení rizik

Dokument, který definuje systematický přístup k hodnocení rizik. Určuje metodiku hodnocení rizik, která vyhovuje ISMS a stanovené bezpečnosti informací, legislativním a regulatorním požadavkům. Metodikou rozumíme podrobný popis celkové činnosti. Je nutné si uvědomit, že na základě tohoto dokumentu, by měl být schopen například auditor provést Analýzu rizik, tedy tento dokument musí být jasný stručný a výstižný. Dále popisuje a určuje kritéria pro akceptaci rizik a pro definování jejich akceptační úrovně, tedy, která rizika budou akceptována. Důležité je vždy vzít v úvahu, že vybraná metodika hodnocení rizik musí zajistit, že jsou výsledky hodnocení rizik porovnatelné a reprodukovatelné.

 

Identifikace a ohodnocení aktiv

Dokument, který popisuje jaká aktiva organizace vlastní, kdo je jejich majitelem a kterých aktiv se bude týkat ohodnocení a identifikace. Dále je zde popsán systém, jakým se provádí ohodnocení aktiv. Nedílnou součástí je konkrétní popis aktiv a jejich ohodnocení, typicky ve formě tabulky. Podrobnosti o hodnocení aktiv, byly zmíněny v předchozích dílech.

 

Identifikace rizik

Dokument, který může být součástí výše popisovaného dokumentu (např. v menší organizaci). Popisuje konkrétní výsledky identifikace rizik konkrétního informačního systému. Musí zde být uveden název Informačního systému, odkaz na metodiku pro hodnocení rizik a tabulka s možnými hrozbami a mírou rizika.

 

Analýza rizik

Dokument, který může být součástí výše popisovaného dokumentu (např. v menší organizaci). Popisuje principy Analýzy rizik (minimálně algoritmus výpočtu), aktiva, rizika a výsledky Analýzy rizik. Podrobnosti najdete v předchozích dílech seriálu.

 

Návrh protiopatření

Dokument, který popisuje „jak minimalizovat zjištěná rizika". Tento dokument může obsahovat jak konkrétní řešení (například popis konkrétní hardwarové komponenty), tak návrh řešení v obecné rovině (nasazení minimální úrovně zabezpečení). Dále tento dokument popisuje tzv. akceptovaná rizika. Podrobnosti viz. Předchozí díly seriálu.

 

Cíle opatření a bezpečnostní opatření pro zvládání rizik

Dokument, který vychází z přílohy A této normy musí být vybrány a implementovány vhodné cíle opatření a jednotlivá bezpečnostní opatření a tento výběr musí být zdůvodněn na základě výsledků procesů hodnocení a zvládání rizik. Při výběru musí být zohledněna kritéria pro akceptaci rizik, stejně tak jako legislativní, regulatorní a smluvní požadavky.

Cíle opatření a jednotlivá bezpečnostní opatření uvedená v příloze A nejsou vyčerpávající, mohou tedy být vybrány i další cíle opatření a jednotlivá opatření. Příloha A obsahuje ucelený seznam cílů opatření a jednotlivých bezpečnostních opatření, které byly shledány jako obecně použitelné pro všechny typy organizací. Seznam poskytuje uživatelům důležité vodítko pro zajištění toho, aby nebyla opomenuta nebo přehlédnuta žádná z důležitých opatření.

 

Akceptace rizik

Dokument popisující ve stručné formě akceptovaná rizika. Vychází z dokumentu Návrh protiopatření, kde je navržena a zdůvodněna akceptace rizika. V tomto dokumentu je akceptace popsána a schválena nebo zamítnuta.

 

Získání povolení k provozování ISMS v rámci organizace

Dokument, kde vedení organizace musí deklarovat svoji vůli k ustavení, zavedení, provozu, monitorování, přezkoumání, udržování a zlepšování ISMS. Dokument musí obsahovat tyto kapitoly:

  • zajistí stanovení cílů ISMS a plánu jejich dosažení;
  • stanoví role, povinnosti a odpovědnosti v oblasti bezpečnosti informací;
  • propaguje v rámci organizace význam plnění cílů bezpečnosti informací, jejich souladu s politikou bezpečnosti informací, plnění povinností vyplývajících ze zákona a potřebu soustavného zlepšování;
  • zajistí dostatečné zdroje pro ustavení, zavedení, provoz, monitorování, přezkoumání, údržbu a zlepšování ISMS;
  • stanoví svým rozhodnutím akceptovatelnou úroveň rizika;
  • zajistí provádění interních auditů ISMS;
  • provede přezkoumání ISMS.

 

Prohlášení o aplikovatelnosti

Dokument, který obsahuje dokumentované prohlášení popisující cíle opatření a jednotlivá bezpečnostní opatření, která jsou relevantní a aplikovatelná v rámci ISMS organizace. Dokument „Prohlášení o aplikovatelnosti" musí obsahovat následující:

  • cíle opatření a jednotlivá bezpečnostní opatření vybrané a důvody pro jejich výběr;
  • cíle opatření a jednotlivá bezpečnostní opatření, která jsou již v organizaci implementována;
  • vyřazené cíle opatření a jednotlivá vyřazená bezpečnostní opatření uvedená v příloze A, včetně zdůvodnění pro jejich vyřazení.

 

Prohlášení o aplikovatelnosti poskytuje souhrn rozhodnutí jakým způsobem bude naloženo s identifikovanými riziky. Zdůvodnění pro vyřazení cílů a jednotlivých opatření poskytuje zpětnou kontrolu zda nebyly vyřazeny omylem.

 

 

 



Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění