V menších organizáciách je správne nastavenie smerovania a kontroly bezpečnosti informácií a ochrany súkromia pomerne jednoduché, najmä ak rozsah ISMS pokrýva celú organizáciu. U väčších, geograficky rozptýlených alebo komplexnejších organizácií je situácia zložitejšia. V týchto prípadoch je obvyklé, že ISMS pokrýva iba časť entity (organizácie alebo skupiny organizácií) či v rámci jednej entity existuje viac ISMS alebo jedno ISMS pokrýva viac entít. Vyvstáva zásadný potreba správneho nastavenia zodpovednosti za správu (governance) a riadenie (management) bezpečnosti informácií.
Správa a řízení bezpečnosti informací
Správa (governance) bezpečnosti informací je prostředek, kterým správní orgán entity provádí obecné směrování a kontrolu činností, které mají vliv na bezpečnost informací. Správní orgán realizuje své governance cíle tím, že vyhodnocuje požadavky (externí požadavky i požadavky managementu), entitu směřuje a monitoruje její činnosti.
Řízení bezpečnosti informací usiluje o dosažení cílů entity, které plynou z požadavků vyjádřených ve strategiích a politikách správního orgánu. Pro správné fungování je tedy nutná spolupráce správního orgánu a managementu.
Norma ISO/IEC 27001 specifikuje požadavky na ustavení, implementaci, udržování a neustálé zlepšování systému řízení informační bezpečnosti v kontextu organizace. Přestože ISO/IEC 27001 nepoužívá termín správa (governance), specifikuje řadu požadavků, které jsou správními činnostmi. Například:
- článek 4 vyžaduje, aby organizace identifikovala příslušné zainteresované strany a definovala hranice a rozsah ISMS;
- článek 5 určuje, že vrcholové vedení musí stanovit politiku a cíle bezpečnosti informací, integrovat bezpečnost do procesů organizace, poskytnout dostatečné zdroje, směrovat a podporovat osoby k přispívání efektivnosti ISMS atd.;
- článek 6 vyžaduje, aby organizace určila rizika a příležitosti související s kontextem a cíli organizace, posoudila o ošetřila rizika bezpečnosti informací a stanovila cíle bezpečnosti informací relevantní jednotlivým funkcím a úrovním řízení;
- článek 7 ukládá organizaci povinnost určit a zajistit potřebné zdroje, zajistit odpovídají kompetence osob a odpovídají komunikaci bezpečnosti informací;
- článek 8 ukládá nutnost plánovat, implementovat a řídit procesy a opatření potřebné ke splnění požadavků bezpečnosti informací, včetně externě zajišťovaných činností;
- článek 9 se soustředí na hodnocení výkonnosti ISMS prostřednictvím monitorování a měření, interního auditu a pravidelného přezkoumání ISMS;
- článek 10 pak řeší povinnost identifikovat neshody a zajistit jejich ošetření, stejně jako potřebu identifikovat a realizovat příležitosti pro neustálý rozvoj ISMS.
Cíle správy entity a správy bezpečnosti informací
Norma ISO/IEC 27014 definuje cíle správy entity a správy bezpečnosti informací. Tyto cíle zahrnují:
- ustavení integrované a komplexní bezpečnosti informací v celé entitě;
- dodržování předpisů a přijímání rozhodování založených na specifických rizicích;
- zohlednění požadavků na bezpečnost informací v rámci akvizičních činností;
- zajištění shody s požadavky interních i externích zainteresovaných stran;
- podpora pozitivní kultury bezpečnosti informací;
- zajištění, aby výkonnost bezpečnosti informací splňovala současné i budoucí požadavky entity.
Požadavky správního orgánu na ISMS
S ohledem na podnikatelské cíle a cíle bezpečnosti informací entity by správní orgán měl vyžadovat zavedení jednoho nebo více ISMS. Cíle jednotlivých ISMS mohou být stejné jako cíle mateřské entity nebo různé. To závisí na velikosti, komplexnosti či geografické struktuře celé entity. Pokud jsou cíle různé, neměly by být protichůdné.
Správní orgán by měl vyžadovat, aby byl každý ISMS v souladu se strategiemi, vrcholnými politikami a procesy entity. Obvykle je také vhodné v celé entitě aplikovat jednotný přístup k managementu rizik bezpečnosti informací.
Správní orgán by měl:
- schválit vytvoření každého ISMS;
- definovat rozsah pro každé ISMS;
- směrovat každý ISMS včetně stanovení cílů, požadavků, určení rolí a poskytnutí zdrojů;
- rozhodovat o přijatelných úrovních zbytkového rizika nebo o ošetření rizik;
- podporovat komunikaci příslušných informací zúčastněným stranám a všem osobám v rozsahu systému řízení.
Scénáře
Norma ISO/IEC 27014 podrobně popisuje tři možné scénáře uspořádání ISMS v rámci entity či entit:
- organizace ISMS je celá entita;
- organizace ISMS je součástí větší entity;
- organizace ISMS zahrnuje části několika entit.
Typ A: ISMS pokrývá celou entitu
Jedná se o nejjednodušší případ, kdy sladění cílů organizace v oblasti bezpečnosti informací s celkovými cíli entity bude jednoduché. Důvodem je, že za obě skupiny cílů odpovídá jeden orgán, tj. správní orgán entity je i vrcholovým vedením organizace ISMS.
Pokud je ale jediná role odpovědná za správu i řízení bezpečnosti informací, je třeba zajistit, aby odpovědnosti za stanovení politiky a za její realizaci byly od sebe navzájem přiměřeně odděleny. To může být u velmi malých organizací obtížnější.
Typ B: ISMS je součástí větší entity
V některých případech je jedno nebo více ISMS součástí větší entity. Činnosti správy se vztahují na celou entitu a správní orgán tak spravuje více ISMS. Cíle bezpečnosti informací jednotlivých ISMS mohou být v závislosti na vztahu mezi organizacemi ISMS a nadřazené entity v souladu s podnikatelskými cíli organizace ISMS nebo s podnikatelskými cíli nadřazené entity.
Vztah a personální obsazení správního orgánu a vrcholového vedení každé organizace ISMS se může měnit – mohou být stejné, mít společné jen některé osoby nebo nemít společné žádné osoby.
Typ C: ISMS zahrnuje části několika entit
Mohou existovat případy, kdy je organizace ISMS spravována a kontrolována vrcholovým vedením, ale ISMS pokrývá více entit. K tomu dochází, kdy větší entita řídí skupinu entit nebo pokud jeden ISMS sdílí více správních orgánů. V obou případech je důležité, aby cíle bezpečnosti informací organizace ISMS byly sladěny se společnými podnikatelskými cíli, které entity pojí.