Česká společnost pro jakost, z. s. se dlouhodobě věnuje v rámci svých aktivit certifikacím osob. Jednou z nich je pak ta určená pro manažery a auditory bezpečnosti informací. Původní schéma z roku 2005 prošlo letos rozsáhlou revizí. V nové podobě je platné od června na území celé Evropy. Nová podoba schématu je dílem odborníků České společnosti pro jakost, kteří se problematice bezpečnosti informací dlouhodobě věnují.
Držitel personální certifikace je osoba, která prokázala specifické znalosti a dovednosti v určitém oboru. Tito lidé bývají často zdrojem námětů či realizace inovací a projektů zlepšování. Zákazník by to měl pociťovat tím, že získává výrobky, či jsou mu poskytovány služby s vyšší přidanou hodnotou. „Zdá se to sice jako banalita, ale i takový e-shop, pokud chce svou práci dělat dobře, by měl mít po ruce jednak manažera kvality, který optimálně nastaví veškeré procesy tak, aby bylo vyhověno zákazníkům, legislativě a zároveň aby procesy byly efektivní. A dále manažera bezpečnosti informací, aby pomohl ošetřit bezpečnostní rizika provozování příslušného e-shopu,“ uvádí Ing. Petr Koten, výkonný ředitel ČSJ, příklad toho, že certifikace přináší zákazníkovi jistotu, že věci jsou dělány správně tak, aby byl spokojen.
Na poli bezpečnosti informací jde pak zejména o to, aby informace byly důvěrné (tj. přístupné pouze oprávněným osobám), dostupné (v požadovaný čas) a aby byla zachována integrita (správnost a důvěryhodnost dat). IT systémy jsou s naším životem provázané v mnoha oblastech, co by od nich ale jejich uživatel měl chtít v oblasti bezpečnosti informací? „Vezměme si třeba vysokoškolského studenta. Očekává, že bude jedinou oprávněnou osobou, která má přístup ke svému školnímu účtu, že tento účet bude dostupný 24 hodin denně a že data v něm budou bezchybně zpracovávána a udržována. Ale také, že bude zajištěna ochrana osobních údajů. A podobně je to například se e-členstvím podnikatele v nějakém klubu, nebo v systémech určených zaměstnancům. Vždy je třeba opět zajistit oprávněný přístup pod kvalitním heslem, konzistentnost informací či zajištění řádného nakládání s jeho osobními údaji,“ rozvádí Petr Koten. Právě pro to byly vyvinuty certifikace oblast bezpečnosti informací, které také zavádějí do této problematiky určité jednotné standardy.
Evropská organizace pro kvalitu (EOQ) na svém červnovém zasedání valného shromáždění a útvaru pro certifikaci osob schválila aktualizované schéma pro oblast vzdělávání a personální certifikace Information Security Management System Manager and Auditor – COS & CS 27000 (M-BI a A-BI). Nyní toto aktualizované schéma platí v celé Evropě, ale seznámeni s ním byli například i odborníci z Izraele, Turecka nebo Kazachstánu, tedy těch zemí, které jsou součástí Evropské organizace pro kvalitu.
Schéma pro ISMS vytvořili a nově zaktualizovali odborníci z České společnosti pro jakost. „Certifikace manažerů a auditorů bezpečnosti informací reaguje na nové požadavky kladené praxí na tyto osoby. V době vzniku této certifikace v roce 2005 ještě nemohly být zcela zohledněny. Jedná se zejména o specifické aspekty kybernetické bezpečnosti a ochranu osobních údajů, tedy témata dnes široce diskutovaná, která přináší řadu nových problémů a výzev,“ uvádí Ing. Romana Hofmanová, ředitelka úseku certifikace osob ČSJ.
Aktualizace byla provedena na základě aktuálního vývoje moderních technologií i celkového směřování ve společnosti. Bylo reagováno na stále více se rozvíjející oblast IT a tím i narůstající požadavky na bezpečnost informací. „Nově se kybernetická bezpečnost promítá i do takových oborů jako je např. automobilový průmysl, kde velké automobilky vytváří požadavky na provádění auditů kybernetické bezpečnosti na komponentech i hotových výrobcích,“ dodává Romana Hofmanová. ČSJ, která je licenčním partnerem nejsilnějšího a největšího německého svazu v automobilovém průmyslu Qualitäts Management Center im Verband der Automobilindustrie VDA QMC, se již na nástup těchto procesů aktivně chystá.
Problematika bezpečnosti informací je součástí mnoha zákonů, např. toho o ochraně osobních údajů, o obchodních korporacích, o ochraně utajovaných informací, o některých službách informační společnosti, o informačních systémech veřejné správy, autorského zákona nebo zákona o telekomunikačních službách. „Akreditované personální certifikáty manažer a auditor bezpečnosti informací byly dokonce zahrnuty do doporučených požadavků pro Manažery a Auditory kybernetické bezpečnosti v příloze č. 6 k vyhlášce č. 82/2018 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů,“ komentuje Romana Hofmanová.
Mimo jíž stávajících požadavků na držitele certifikátů manažerů a auditorů bezpečnosti informací, zahrnujících znalost a schopnost aplikace norem řady ISO 27000, byla do nového schématu významněji zahrnuta znalost kybernetické bezpečnosti, GDPR, autorský zákon, Směrnice Evropského parlamentu a Rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU (tzv. směrnice NIS) a další.
Zároveň se schématem EOQ bylo aktualizováno i národní schéma pro Manažery bezpečnosti informací (M-BI) a Auditory bezpečnosti informací (A-BI), akreditované Českým institutem pro akreditaci o.p.s. Do národního schématu byly dále zahrnuty požadavky na znalosti Základní listiny práv a svobod, zákona o ochraně osobních údajů, zákona o obchodních korporacích, zákona o ochraně utajovaných informací, zákona o informačních systémech veřejné správy nebo zákona o telekomunikačních službách.
Vzhledem ke komplexnosti tohoto schématu byly personální certifikáty M-BI a A-BI zahrnuty do doporučených požadavků pro Manažery a Auditory kybernetické bezpečnosti v příloze č. 6 k vyhlášce č. 82/2018 Sb., o kybernetické bezpečnosti, ve znění pozdějších předpisů.
Česká společnost pro jakost jako jediná v České republice nabízí jak národní, tak i evropské certifikáty z oblasti bezpečnosti informací, respektive kybernetické bezpečnosti. Tím je její postavení je v tomto smyslu mimořádné.
Zdroj: vitaPR
Praha, 17. července 2020