Systém managementu bezpečnosti informací (ISMS)

Specifikuje požadavky na ustavení, zavedení, provoz, monitorování, přezkoumání, udržování a zlepšování dokumentovaného systému managementu bezpečnosti informací v kontextu celkových řízení činností organizace. Návrh a zavedení systému v organizaci je podmíněno potřebami a cíli činností (business), požadavky na bezpečnost, dále pak používanými procesy a velikostí a strukturou organizace. Systém stanovuje konkrétní požadavky na zavedení bezpečnostních opatření s možností úpravy podle potřeb jednotlivých organizací nebo jejich částí. Systém managementu bezpečnosti informací je navržen tak, aby zajistil odpovídající a přiměřená bezpečnostní opatření chránící informační aktiva a poskytl odpovídající jistotu zainteresovaným stranám. Požadavky jsou obecně použitelné a jsou aplikovatelné ve všech organizacích bez ohledu na jejich typ, velikost a povahu činností.

Systém managementu bezpečnosti informací je aplikovatelný na jakýkoliv druh informací vedených na libovolném nosiči dat. Systém umožňuje v souladu s požadavky organizace a příslušných právních předpisů:

• definovat politiku, cíle a hranice systému;
• identifikovat informační aktiva a přístup k nim;
• identifikovat hrozby pro tato aktiva;
• specifikovat a zavést management rizik bezpečnosti informací;
• předcházet ztrátě, poškození nebo krádeži aktiv;
• zajistit fyzickou bezpečnost a bezpečnost prostředí;
• zavést postupy pro rychlou detekci a reakci na bezpečnostní incidenty;
• zavést bezpečnostní opatření;
• zavést programy školení a informovanosti zaměstnanců;
• monitorovat a přezkoumávat účinnost zavedeného systému;

Kriteriální dokument systému - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky

Podpůrný výkladový dokument pro společné využití - ČSN ISO/IEC 17799:2006 Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací