Osvědčený systém řízení pro ochranu údajů a informační bezpečnost

Certifikace systému řízení ochrany údajů dle ISO/IEC 27701 ISO/IEC 27701 je tady!
Pandemie otevřela dveře novým příležitostem bezpečné digitalizaci splňující veškeré právní požadavky. Digitalizaci, která nám otevírá nové trhy, zpřístupňuje zákaznické segmenty a díky níž můžeme nabízet nové produkty i služby. S rostoucím propojováním, virtualizací (např. Smart Work), digitalizací výroby (Průmysl 4.0), digitálními produkty a službami (např. Smart Home či Smart Car), jakož i sběrem informací se také zvyšují požadavky na ochranu dat a jejich zabezpečení. Informační bezpečnost a ochrana údajů jsou nezbytné pro eticky správné, digitalizované a trvale udržitelné hospodářství. Spolu s prohlubujícím se online propojováním však rostou i bezpečnostní rizika. Očekává se, že počítačová kriminalita napáchá do konce roku 2020 větší škody než obchod s drogami, a to neskutečných 5,5 bilionu EUR.
Certifikace ISO / IEC 27701, systém řízení ochrany dat a bezpečnosti informací, je nyní k dispozici všem organizacím, jež chtějí mít jistotu, že jsou jejich data a informace v bezpečí.
Faktor úspěchu – informační bezpečnost a ochrana údajů
Moderní technologie spolu s daty nabízejí mnoho příležitostí. Musí ale fungovat spolehlivě a být účinně chráněny. Právě ochrana dat a bezpečnost informací jsou faktory úspěchu řádného řízení společnosti. Nicméně, oproti roku 2018 vzrostly bezpečnostní incidenty v online a cloudových službách v roce 2019 o 91,5%, špionážní a sabotážní útoky se dokonce ztrojnásobily a evropským regulačním orgánům bylo hlášeno o 66% více úniku údajů, za což byly uděleny pokuty ve výši více než 410 milionů EUR. V průběhu lockdownu došlo k nárůstu porušení dat, sofistikovaných phishingových e-mailů, nechtěnému šifrování, komplexních kybernetických útoků atd. Kybernetické útoky mohou zasáhnout organizace ve všech oborech bez ohledu na jejich velikost, základní služby (jako jsou nemocnice, telekomunikace, zdravotní pojišťovny a mnoho dalších) nevyjímaje. Je vaše organizace dobře připravena a dostatečně chráněna?
Kvalita služeb, ochrana know-how i údajů dotčených osob a dodržování smluvních a zákonných povinností podstatně ovlivňují důvěru zákazníků a celkovou image organizace. Potřeba příslušné certifikace byla s ohledem na nedávný vývoj stále patrnější. Takže všechny organizace zajisté potěší, že je konečně k dispozici certifikace ISO / IEC 27701 systému řízení ochrany dat a bezpečnosti informací.
ISO/IEC 27701 – systém managementu ochrany údajů s přidanou hodnotou
Obecné nařízení EU o ochraně osobních údajů 2016/679 (GDPR) požaduje, aby byla za účelem ochrany osobních údajů a dodržování ustanovení (včetně práv dotčených osob) prokazatelně, účinně a udržitelně prováděna příslušná technická a organizační opatření založená na hodnocení rizik podle aktuálního stavu techniky.
Norma ISO/IEC 27701 je strukturována v souladu s jednotnými požadavky na systémy řízení a nabízí optimální podporu pro udržitelnou a efektivní integraci ochrany dat do již zavedeného systému managementu. Nová ISO/IEC 277701 rozšiřuje ISO/IEC 27001 pro systém řízení bezpečnosti informací tak, aby byly v systému zahrnuty další bezpečnostní opatření (kontroly) a veškeré právní požadavky. Přestože se jedná o mezinárodně uznávanou normu, zohledňuje tato všechny požadavky nařízení EU 2016/679.
Ochrana údajů a informační bezpečnost: dvě duše v jednom těle
Zatímco ochrana údajů se týká čistě ochrany osobních údajů, informační bezpečnost zohledňuje všechny relevantní hodnoty organizace. Přičemž ochranu firemních hodnot představují i vhodná opatření např. při videokonferencích či online setkáních, při nichž dochází ke kamerovému záznamu osob. ISO/IEC 27701 podporuje nezbytnou integraci bezpečnosti informací a ochrany dat. Takže společně nabízejí organizaci skutečně přidanou hodnotu.
Ochrana dat a její integrace
Účinně implementovaný systém řízení podporuje ochranu údajů zejména prostřednictvím systémového a strategického přístupu. Optimální integrace bezpečnosti informací a ochrany dat do všech procesů a rozhodnutí navíc posiluje dlouhodobě udržitelnou implementaci.
- • Integrace v kontextu, politice a vedení:
Díky integraci bezpečnosti informací a ochrany dat do politiky, cílů a strategií organizace se bezpečnost informací i ochrana stávají pro organizaci přidanou hodnotou. Bezpečná a řádná digitalizace otevírá organizaci nové trhy a zákaznické segmenty, zvyšuje efektivitu a snižuje náklady. Tímto způsobem získává ochrana dat strategickou roli: z pouhých nákladů nutných pro splnění zákonných povinností se stává klíč k budování úspěchu a dlouhodobé důvěry zákazníků.
Informační bezpečnost a ochrana dat se stávají nedílnou součástí podnikové kultury především prostřednictvím přístupu vedení ve všech rozhodnutích.
- • Integrace v procesech (plánování a provoz):
Prvně jsou hodnoty organizace (např. informace o produktu / receptury, údaje z výzkumu, důvěrná / citlivá data) shromážděny pomocí použitých technologií a za podpory bezpečnostních opatření (rozšířený soupis zpracování). Následně jsou z těchto sesbíraných údajů pomocí ISO 31000 (řízení rizik) identifikována možná rizika, definována případná optimalizace a nastaveny havarijní plány pro možné incidenty. Bezpečnostní opatření (kontroly) poskytují systému cennou podporu. Stávající havarijní plány systémů řízení (např. životní prostředí, hygiena) a zejména systém řízení kontinuity podnikání (ISO 22301, Business Continuity Management System) nabízejí mnoho synergií. Jsou-li nezbytná opatření integrována do osvědčených pracovních procesů, je jejich implementace efektivní a účinná. Díky využití synergií dochází k úspoře nákladů a snížení možných rizik. Zabezpečení informací a ochrana údajů jsou zohledňovány v rané fázi každé digitalizace, dále u zavádění inovací a zadávání veřejných zakázek. Mají vaši dodavatelé také účinný, ověřitelný a dlouhodobě udržitelný systém a úroveň ochrany údajů?
- • Integrace v podpoře (management zdrojů):
Systematická správa dokumentů podporuje dohledatelnost a prokazatelnost řádné péče. Vhodné zdroje, jasně definované odpovědnosti a nejmodernější odborné znalosti podporují bezpečnost informací a ochranu dat. Avšak nejčastější příčinou bezpečnostních incidentů je selhání lidského faktoru. Proto je nezbytné neustálé upozorňování, stejně jako dostatečné znalosti a kompetence zaměstnanců a partnerů na všech úrovních celého hodnotového řetězce. Školení a osobní certifikace usnadňují prokazování dovedností a znalostí.
- • Integrace do trvalého rozvoje (hodnocení a zlepšování):
I obecné Nařízení o ochraně údajů vyžaduje pravidelné kontroly a hodnocení účinnosti přijatých opatření (čl. 32 odst. 1 písm. d)). Integrace bezpečnosti informací a ochrany údajů do systému hodnocení (monitorování, zprávy o stavu, audity atd.) a trvalé zlepšování systému řízení posiluje jeho efektivní a dlouhodobě udržitelné nastavení.
Grafik: © Dr.techn. Margareth Stoll
Využití synergií, úspora nákladů, podpora efektivity a účinnosti
ISO/IEC 27701 podporuje integraci bezpečnosti informací a ochrany dat do systému řízení po celém světě. Využijte synergie, ušetřete náklady a zvyšte účinnost a efektivitu organizace!
- • posilte prokazatelné provádění předpisů o ochraně údajů a dalších bezpečnostních požadavků,
- • chraňte know-how organizace,
- • podpořte spolehlivé výkony, firemní úspěch a dobrou pověst organizace.
- • Certifikace podle ISO/IEC 27701 vychází z ISO/IEC 27001. Usnadňuje prokazování adekvátní úrovně zabezpečení a ochrany dat na celém světě, snižuje počet auditů a usnadňuje komunikaci ohledně úrovně ochrany údajů vůči dalším subjektům.
Chcete se dozvědět víc? Napište nám nebo pošlete poptávku.
Autor
Dr.techn. Margareth Stoll má dlouholeté zkušenosti s digitalizací, informační a kybernetickou bezpečností, ochranou údajů, integrovanými systémy řízení atd. Je povolanou auditorkou mj. po oblast informační bezpečnosti dle ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27018, NIS-G, Business Continuity ISO 22301, management IT služeb ISO 20000-1, management kvality ISO 9001 a autorkou řady odborných publikací.