Hlavní navigace

Přezkoumání systému řízení v kontextu ochrany informací a certifikace dle ISO 27001

28. 1. 2013
Doba čtení: 5 minut

Sdílet

ABSTRAKT

- Obsah přezkoumání musí / může / má pro účely organizace

- Pravidelný rytmus a přesně uvědomělá odpovědnost

- Systémový manažerský pohled na hodnocení a zadávání nových cílů, projektů a aktivit

- Vyjasnění si, co je prevence a co je náprava, co kdy a jak se eviduje, kolik nás stojí?

- Konkrétní zaměření, konkrétní údaje a jejich hodnocení včetně vývojových ukazatelů

- Přesná definice výstupu, včetně definovaných aktivit, dokumentace a ukládání záznamů

- Obnovitelnost

Požadavky a povinné prvky přezkoumání systému informační bezpečnosti ISMS dle ISO 27001

 • Pohled standardního systému IMS (integrovaného systému řízení)

 • Kritické oblasti přístupu a posuzování přezkoumání vedením vrcholovými představiteli organizací a firem

  • Vstupy, hodnocení a předcházející období
  • Výstupy, zaměření a budoucí období
  • Doporučení ke zvýšení efektivity hodnocení, využitelnosti a komplexnosti nástroje vrcholového vedení

Přezkoumání vedením ISMS článek č.7 normy ISO 27001:2005

7.1. Všeobecně

Vedení organizace musí provádět přezkoumání ISMS organizace v plánovaných intervalech ( alespoň jednou za rok), aby zajistilo jeho permanentní přiměřenost, adekvátnost a účinnost.

Toto přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS, včetně bezpečnostní politiky a cílů bezpečnosti.

Výsledky přezkoumání musí být jasně zdokumentovány a musí být o nich udržovány záznamy


7.1. Všeobecně – závěry z nichž vyplývají klíčován témata a problematické oblasti

- Čas

- Vedení organizace

- Zlepšování, tedy trendy a vyhodnocování

- Změny

- Dokumentace a vedení záznamů (v souladu s 4.3.3 Řízení záznamů)

- Musí

 

Jaké jsou povinné prvky přezkoumání systému ISMS dle ISO 27001

7.2. Vstup pro přezkoumání

Vstupy pro přezkoumání vedením musí zahrnovat informace o:

- Výsledcích auditů a přezkoumáních ISMS

 • interní, externí, roky, systémové trendy, závěry a hodnocení, nebezpečí, neshody, prevence, ….

- Zpětné vazbě od zainteresovaných stran

 • dodavatelé, vlastníci, zaměstnanci, zákazníci, ….

- Technikách, produktech nebo postupech, které by mohly být použity v organizaci ke zlepšení výkonu a účinnosti ISMS

 • možnosti rozvoje, zlepšování, vyhodnocení hrozeb a akceptovaných rizik, nápravné opatření, prevence, ….

- Stavu preventivních opatření a opatření k nápravě

 • Kde jsou, jak identifikovat, záznamy, protokoly, cíle, opatření, projekty, ….

- Zranitelnostech nebo hrozbách, jimž nebyla v rámci předchozích přezkoumání rizik věnována náležitá pozornost

 • ….

Povinné prvky přezkoumání systému ISMS dle ISO 27001

7.3. Výstup z přezkoumání

Výstup z přezkoumání prováděného vedením organizace musí zahrnovat rozhodnutí a činnosti vztahující se k:

- Zvyšování účinnosti ISMS

 • cíle, závěry, projekty, aktivity, ….

- Aktualizaci hodnocení rizik a plánu zvládání rizik

 • Aktualizace, akceptace, priority, řešení, investice,….

- Nezbytným změnám postupů v bezpečnosti informací, v reakci na vnitřní nebo vnější události, které by mohly mít vliv na ISMS

 • procesy a činnosti organizace, bezpečnostní požadavky, klienty a smlouvy, rizika a jejich akceptovatelnosti,….

- Potřebě zdrojů

 • Lidé, technika, technologie, finance, komunikace, ….

- Zlepšování postupů měření účinnosti opatření

 • ….


Jaký je pohled standardního IMS (integrovaného systému řízení) – vstupy (kvalita -Q, životní prostředí -E, BOZP -S)

Kapitola 5.6. ISO 9001

Kapitola 4.6. ISO 14001 a OHSAS 18001

Hodnocení managementem organizace, přiměřené, plánované, pravidelné, realizované, zdokumentované, záznamy

 • Q/E/S – výsledky auditů =
 • Q – zpětná vazba od zákazníků ~
 • Q – výkony procesů a konformita produktu ~
 • Q/E/S – Status preventivních a nápravných opatření =
 • Q/E/S – výsledky a opatření z předcházejících přezkoumání =
 • Q/E/S – změny, které mohou mít vliv na IMS a doporučení ke zlepšování =
 • E/S – výsledky posouzení a plnění právních požadavků =
 • E/S – informace a vstupy od zainteresovaných stran =
 • E – vztah, výkony, hodnocení z pohledu životního prostředí #
 • S – vztah, výkony, hodnocení z pohledu bezp.práce #
 • E/S – dosažení cílových hodnot a programů #
 • S – hodnocení rizik, hrozeb a zúčastněných stran =


Kajé jsou tedy kritické oblasti přístupu:

Vstupy:

 • Čas (kdy, …)
 • Pravidelnost (jak často…..)
 • Systémové hodnocení (např. interní audity, neshody, …)
 • Konkrétnost (údaje, čísla, přesnost,….)
 • Rozsah (musí…., může….)
 • Účast (vrcholový management, ….)
 • Historie (trendy v oblastech – např. incidenty, úrazy, finanční ukazatelé, fluktuace, …)

Výstupy:

 • Konkrétní
 • Časově ohraničený (termín)
 • Měřitelný

 

Závěrečné doporučení ke zvýšení efektivity:

 • Obsah přezkoumání musí / může / má pro účely organizace
 • Pravidelný rytmus a přesně uvědomělá odpovědnost
 • Systémový manažerský pohled na hodnocení a zadávání nových cílů, projektů a aktivit
 • Vyjasnění si, co je prevence a co je náprava, co kdy a jak se eviduje, kolik nás stojí?
 • Konkrétní zaměření, konkrétní údaje a jejich hodnocení včetně vývojových ukazatelů
 • Přesná definice výstupu, včetně definovaných aktivit, dokumentace a ukládání záznamů
 • Obnovitelnost

[1] Ing. Petr Kopecký, Leadauditor, Trainer, Regionsmanager CZ&SK, Qualityaustria GmbH & CIS GmbH

Technická univerzita v Košiciach – doktorand katedra IMS, fakulta Hutnická

Autor článku