Manažer systému bezpečnosti informací - kurz ČSJ
Jak a pro koho je důležitý a co účastníkům a jejich organizacím přinese? Více v rozhovoru s lektorem kurzu Ondřejem Salákem.
ISMS je oblast, kterou české firmy i organizace veřejného sektoru tak trochu (někdy i hodně, jak se bohužel ukazuje) podceňují. O důležitosti ISMS, o manažerech bezpečnosti informací a o stejnojmenném kurzu jsme hovořili s lektorem Ondřejem Salákem.
Cílem kurzu Manažer systému bezpečnosti informací je seznámit účastníky se základy systémů bezpečnosti informací (ISMS – Information Security Management System) podle aktuální verze ISO/IEC 27001 a s metodami a technikami, které se v ISMS využívají.
ISMS, tedy informační bezpečnost, se stává nezbytnou součástí fungování firem i organizací veřejného sektoru, a tedy každého informačního systému. O nutnosti zabezpečení se přesvědčujeme dnes a denně. Jak důležité je mít v organizaci manažera bezpečnosti informací?
Stejně jako u ostatních systémů řízení, je i u systému řízení bezpečnosti informací velmi důležitý pozitivní postoj a angažovanost vedení. Manažer bezpečnosti informací je pak „prodlouženou rukou“ vedení a představuje řídicí a komunikační uzel mezi ním a zaměstnanci.
Oblast bezpečnosti informací je v našich českých končinách specifická tím, že v organizacích ještě stále často zůstává v zákrytu provozního IT a v rámci rozpočtování a rozvoje se jí nedostává takové pozornosti, jaké by mělo. Důvodů je více, mezi hlavní podle mě patří to, že většina opatření z této oblasti má preventivní charakter (chráníme se před útoky, které možná, když budeme mít velké štěstí tak nikdy, ani nenastanou) a také fakt, že zvyšování bezpečnosti se v drtivé většině případů děje na úkor uživatelského komfortu, takže tyto změny bývají často nepopulární.
Mezi hlavní přínosy manažera bezpečnosti informací pro organizaci bych tedy vyzdvihl zejména zvyšování bezpečnostního povědomí a celkovou „evangelizaci“ systému řízení bezpečnosti informací. Kromě toho se samozřejmě aktivně zapojuje do většiny procesů v rámci provozu systému a jeho monitorování a zlepšování.
Co by manažer bezpečnosti informací měl znát?
Mezi základní znalosti jistě patří chápání filozofie systémů řízení a principu neustálého zlepšování. Dále musí manažer znát konkrétní normativní nebo legislativní dokument a jeho požadavky na systém. Kromě těchto znalostí, které jsou obecné pro všechny systémy řízení, se pak jedná zejména o znalosti z oblastí řízení informačních rizik, řízení kontinuity činností a základní přehled v oblasti provozu IT s důrazem na bezpečnost.
Kurz manažer bezpečnosti informací připraví odborný základ pro pracovníky, kteří se zabývají kybernetickou bezpečností, a stejně tak základ pro personální certifikaci Manažera kybernetické bezpečnosti podle Přílohy č. 6 vyhlášky č. 82/2018 o kybernetické bezpečnosti, ve znění pozdějších předpisů. Co je obsahem tohoto kurzu?
Obsah kurzu reflektuje výše zmíněné požadavky na znalosti manažera bezpečnosti informací. Popisuje obecně systém řízení bezpečnosti informací, jeho historický vývoj a podoby. Konkrétní přístup k řízení bezpečnosti informací demonstruje na řadě norem ISO 27000 a jejích požadavcích a opatřeních. Část kurzu je také věnována oblastem specifickým pro naši legislativu (zákon a vyhlášku o kybernetické bezpečnosti), mezi které patří zejména používání konkrétních bezpečnostních nástrojů. V případě požadavku účastníků se lze také více zaměřit na oborovou bezpečnost – například standard TISAX, definující systém řízení bezpečnosti informací pro automobilový průmysl.
Komu je kurz především určen?
Manažerům firem, které se připravují na implementaci systému informační bezpečnosti podle aktuální verze normy ISO/IEC 27001. Dále pak pracovníkům poradenských firem, kteří se chtějí s tímto systémem seznámit. Je vhodný také jako odborný základ pro pracovníky, kteří budou vykonávat role definované vyhláškou o kybernetické bezpečnosti, tedy Manažer kybernetické bezpečnosti, Architekt kybernetické bezpečnosti a Auditor kybernetické bezpečnosti.