Osvědčený systém řízení pro ochranu údajů a informační bezpečnost

thumb

Certifikace systému řízení ochrany údajů dle ISO/IEC 27701 ISO/IEC 27701 je tady!

Pandemie otevřela dveře novým příležitostem bezpečné digitalizaci splňující veškeré právní požadavky. Digitalizaci, která nám otevírá nové trhy, zpřístupňuje zákaznické segmenty a díky níž můžeme nabízet nové produkty i služby. S rostoucím propojováním, virtualizací (např. Smart Work), digitalizací výroby (Průmysl 4.0), digitálními produkty a službami (např. Smart Home či Smart Car), jakož i sběrem informací se také zvyšují požadavky na ochranu dat a jejich zabezpečení. Informační bezpečnost a ochrana údajů jsou nezbytné pro eticky správné, digitalizované a trvale udržitelné hospodářství. Spolu s prohlubujícím se online propojováním však rostou i bezpečnostní rizika. Očekává se, že počítačová kriminalita napáchá do konce roku 2020 větší škody než obchod s drogami, a to neskutečných 5,5 bilionu EUR.

Certifikace ISO / IEC 27701, systém řízení ochrany dat a bezpečnosti informací, je nyní k dispozici všem organizacím, jež chtějí mít jistotu, že jsou jejich data a informace v bezpečí.

 

Faktor úspěchu – informační bezpečnost a ochrana údajů

Moderní technologie spolu s daty nabízejí mnoho příležitostí. Musí ale fungovat spolehlivě a být účinně chráněny. Právě ochrana dat a bezpečnost informací jsou faktory úspěchu řádného řízení společnosti. Nicméně, oproti roku 2018 vzrostly bezpečnostní incidenty v online a cloudových službách v roce 2019 o 91,5%, špionážní a sabotážní útoky se dokonce ztrojnásobily a evropským regulačním orgánům bylo hlášeno o 66% více úniku údajů, za což byly uděleny pokuty ve výši více než 410 milionů EUR. V průběhu lockdownu došlo k nárůstu porušení dat, sofistikovaných phishingových e-mailů, nechtěnému šifrování, komplexních kybernetických útoků atd. Kybernetické útoky mohou zasáhnout organizace ve všech oborech bez ohledu na jejich velikost, základní služby (jako jsou nemocnice, telekomunikace, zdravotní pojišťovny a mnoho dalších) nevyjímaje. Je vaše organizace dobře připravena a dostatečně chráněna?

Kvalita služeb, ochrana know-how i údajů dotčených osob a dodržování smluvních a zákonných povinností podstatně ovlivňují důvěru zákazníků a celkovou image organizace. Potřeba příslušné certifikace byla s ohledem na nedávný vývoj stále patrnější. Takže všechny organizace zajisté potěší, že je konečně k dispozici certifikace ISO / IEC 27701 systému řízení ochrany dat a bezpečnosti informací.

 

ISO/IEC 27701 – systém managementu ochrany údajů s přidanou hodnotou

Obecné nařízení EU o ochraně osobních údajů 2016/679 (GDPR) požaduje, aby byla za účelem ochrany osobních údajů a dodržování ustanovení (včetně práv dotčených osob) prokazatelně, účinně a udržitelně prováděna příslušná technická a organizační opatření založená na hodnocení rizik podle aktuálního stavu techniky.

Norma ISO/IEC 27701 je strukturována v souladu s jednotnými požadavky na systémy řízení a nabízí optimální podporu pro udržitelnou a efektivní integraci ochrany dat do již zavedeného systému managementu. Nová ISO/IEC 277701 rozšiřuje ISO/IEC 27001 pro systém řízení bezpečnosti informací tak, aby byly v systému zahrnuty další bezpečnostní opatření (kontroly) a veškeré právní požadavky. Přestože se jedná o mezinárodně uznávanou normu, zohledňuje tato všechny požadavky nařízení EU 2016/679.

 

Ochrana údajů a informační bezpečnost: dvě duše v jednom těle

Zatímco ochrana údajů se týká čistě ochrany osobních údajů, informační bezpečnost zohledňuje všechny relevantní hodnoty organizace. Přičemž ochranu firemních hodnot představují i vhodná opatření např. při videokonferencích či online setkáních, při nichž dochází ke kamerovému záznamu osob. ISO/IEC 27701 podporuje nezbytnou integraci bezpečnosti informací a ochrany dat. Takže společně nabízejí organizaci skutečně přidanou hodnotu.

 

Ochrana dat a její integrace

Účinně implementovaný systém řízení podporuje ochranu údajů zejména prostřednictvím systémového a strategického přístupu. Optimální integrace bezpečnosti informací a ochrany dat do všech procesů a rozhodnutí navíc posiluje dlouhodobě udržitelnou implementaci.

 

  • • Integrace v kontextu, politice a vedení:

Díky integraci bezpečnosti informací a ochrany dat do politiky, cílů a strategií organizace se bezpečnost informací i ochrana stávají pro organizaci přidanou hodnotou. Bezpečná a řádná digitalizace otevírá organizaci nové trhy a zákaznické segmenty, zvyšuje efektivitu a snižuje náklady. Tímto způsobem získává ochrana dat strategickou roli: z pouhých nákladů nutných pro splnění zákonných povinností se stává klíč k budování úspěchu a dlouhodobé důvěry zákazníků.

Informační bezpečnost a ochrana dat se stávají nedílnou součástí podnikové kultury především prostřednictvím přístupu vedení ve všech rozhodnutích.

 

  • • Integrace v procesech (plánování a provoz):

Prvně jsou hodnoty organizace (např. informace o produktu / receptury, údaje z výzkumu, důvěrná / citlivá data) shromážděny pomocí použitých technologií a za podpory bezpečnostních opatření (rozšířený soupis zpracování). Následně jsou z těchto sesbíraných údajů pomocí ISO 31000 (řízení rizik) identifikována možná rizika, definována případná optimalizace a nastaveny havarijní plány pro možné incidenty. Bezpečnostní opatření (kontroly) poskytují systému cennou podporu. Stávající havarijní plány systémů řízení (např. životní prostředí, hygiena) a zejména systém řízení kontinuity podnikání (ISO 22301, Business Continuity Management System) nabízejí mnoho synergií. Jsou-li nezbytná opatření integrována do osvědčených pracovních procesů, je jejich implementace efektivní a účinná. Díky využití synergií dochází k úspoře nákladů a snížení možných rizik. Zabezpečení informací a ochrana údajů jsou zohledňovány v rané fázi každé digitalizace, dále u zavádění inovací a zadávání veřejných zakázek. Mají vaši dodavatelé také účinný, ověřitelný a dlouhodobě udržitelný systém a úroveň ochrany údajů?

 

  • • Integrace v podpoře (management zdrojů):

Systematická správa dokumentů podporuje dohledatelnost a prokazatelnost řádné péče. Vhodné zdroje, jasně definované odpovědnosti a nejmodernější odborné znalosti podporují bezpečnost informací a ochranu dat. Avšak nejčastější příčinou bezpečnostních incidentů je selhání lidského faktoru. Proto je nezbytné neustálé upozorňování, stejně jako dostatečné znalosti a kompetence zaměstnanců a partnerů na všech úrovních celého hodnotového řetězce. Školení a osobní certifikace usnadňují prokazování dovedností a znalostí.

 

  • • Integrace do trvalého rozvoje (hodnocení a zlepšování):

I obecné Nařízení o ochraně údajů vyžaduje pravidelné kontroly a hodnocení účinnosti přijatých opatření (čl. 32 odst. 1 písm. d)). Integrace bezpečnosti informací a ochrany údajů do systému hodnocení (monitorování, zprávy o stavu, audity atd.) a trvalé zlepšování systému řízení posiluje jeho efektivní a dlouhodobě udržitelné nastavení.

Grafik: © Dr.techn. Margareth Stoll

 

Využití synergií, úspora nákladů, podpora efektivity a účinnosti

ISO/IEC 27701 podporuje integraci bezpečnosti informací a ochrany dat do systému řízení po celém světě. Využijte synergie, ušetřete náklady a zvyšte účinnost a efektivitu organizace!

  •  posilte prokazatelné provádění předpisů o ochraně údajů a dalších bezpečnostních požadavků,
  •  chraňte know-how organizace,
  •  podpořte spolehlivé výkony, firemní úspěch a dobrou pověst organizace.
  •  Certifikace podle ISO/IEC 27701 vychází z ISO/IEC 27001. Usnadňuje prokazování adekvátní úrovně zabezpečení a ochrany dat na celém světě, snižuje počet auditů a usnadňuje komunikaci ohledně úrovně ochrany údajů vůči dalším subjektům.

 

Chcete se dozvědět víc? Napište nám nebo pošlete poptávku.

 

Autor

Dr.techn. Margareth Stoll má dlouholeté zkušenosti s digitalizací, informační a kybernetickou bezpečností, ochranou údajů, integrovanými systémy řízení atd. Je povolanou auditorkou mj. po oblast informační bezpečnosti dle ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27018, NIS-G, Business Continuity ISO 22301, management IT služeb ISO 20000-1, management kvality ISO 9001 a autorkou řady odborných publikací.