Cílem kurzu Manažer systému bezpečnosti informací je seznámit účastníky se základy systémů bezpečnosti informací (ISMS – Information Security Management System) podle aktuální verze ISO/IEC 27001 a s metodami a technikami, které se v ISMS využívají. ISMS je oblast, kterou české firmy i organizace veřejného sektoru tak trochu (někdy i hodně, jak se bohužel ukazuje) podceňují. O důležitosti ISMS, o manažerech bezpečnosti informací a o stejnojmenném kurzu jsme hovořili s lektorem Ondřejem Salákem.

ISMS, tedy informační bezpečnost, se stává nezbytnou součástí fungování firem i organizací veřejného sektoru, a tedy každého informačního systému. O nutnosti zabezpečení se přesvědčujeme dnes a denně. Jak důležité je mít v organizaci manažera bezpečnosti informací?

Stejně jako u ostatních systémů řízení, je i u systému řízení bezpečnosti informací velmi důležitý pozitivní postoj a angažovanost vedení. Manažer bezpečnosti informací je pak „prodlouženou rukou“ vedení a představuje řídicí a komunikační uzel mezi ním a zaměstnanci. Oblast bezpečnosti informací je v našich českých končinách specifická tím, že v organizacích ještě stále často zůstává v zákrytu provozního IT a v rámci rozpočtování a rozvoje se jí nedostává takové pozornosti, jaké by mělo. Důvodů je více, mezi hlavní podle mě patří to, že většina opatření z této oblasti má preventivní charakter (chráníme se před útoky, které možná, když budeme mít velké štěstí, nikdy, ani nenastanou) a také fakt, že zvyšování bezpečnosti se v drtivé většině případů děje na úkor uživatelského komfortu, takže tyto změny bývají často nepopulární. Mezi hlavní přínosy manažera bezpečnosti informací pro organizaci bych tedy vyzdvihl zejména zvyšování bezpečnostního povědomí a celkovou „evangelizaci“ systému řízení bezpečnosti informací. Kromě toho se samozřejmě aktivně zapojuje do většiny procesů v rámci provozu systému a jeho monitorování a zlepšování.

Co by manažer bezpečnosti informací měl znát?

Mezi základní znalosti jistě patří chápání filozofie systémů řízení a principu neustálého zlepšování. Dále musí manažer znát konkrétní normativní nebo legislativní dokument a jeho požadavky na systém. Kromě těchto znalostí, které jsou obecné pro všechny systémy řízení, pak jde zejména o znalosti z oblastí řízení informačních rizik, řízení kontinuity činností a základní přehled v oblasti provozu IT s důrazem na bezpečnost.

Kurz manažer bezpečnosti informací připraví odborný základ pro pracovníky, kteří se zabývají kybernetickou bezpečností, a stejně tak základ pro personální certifikaci Manažera kybernetické bezpečnosti podle Přílohy č. 6 vyhlášky č. 82/2018 o kybernetické bezpečnosti, ve znění pozdějších předpisů. A obsah tohoto kurzu?

Obsah kurzu reflektuje výše zmíněné požadavky na znalosti manažera bezpečnosti informací. Popisuje obecně systém řízení bezpečnosti informací, jeho historický vývoj a podoby. Konkrétní přístup k řízení bezpečnosti informací demonstruje na řadě norem ISO 27000 a jejích požadavcích a opatřeních.
Část kurzu je také věnována oblastem specifickým pro naši legislativu (zákon a vyhlášku o kybernetické bezpečnosti), mezi které patří zejména používání konkrétních bezpečnostních nástrojů. V případě požadavku účastníků se lze také více zaměřit na oborovou bezpečnost – například standard TISAX, definující systém řízení bezpečnosti informací pro automobilový průmysl.

Komu je především určen?

Manažerům firem, které se připravují na implementaci systému informační bezpečnosti podle aktuální verze normy ISO/IEC 27001. Dále pak pracovníkům poradenských firem, kteří se chtějí s tímto systémem seznámit. Je vhodný také jako odborný základ pro pracovníky, kteří budou vykonávat role definované vyhláškou o kybernetické bezpečnosti, tedy Manažer kybernetické bezpečnosti, Architekt kybernetické bezpečnosti a Auditor kybernetické bezpečnosti.

připravil David Kubla