Vyhodnotenie výkonnosti systému riadenia informačnej bezpečnosti

Otázka:

Firma je v procese zavádzania systému riadenia informačnej bezpečnosti. V časti venujúcej sa vyhodnoteniu výkonnosti nevie, ako sa má k tejto problematike postaviť. Ako má merať, monitorovať a analyzovať a vyhodnocovať svoj systém riadenia informačnej bezpečnosti? Aké praktické KPI (Key Performance Indicators), teda hlavné ukazovatele výkonnosti, má definovať, aby naplnila požiadavku normy ISO 27001 v kapitole 9 Vyhodnotenie výkonnosti?

Odpoveď:

Hodnotenie výkonností manažérskych systémov je naozaj veľmi dôležitá a relatívne aj (pre naplánovanie a definovanie) zložitá oblasť. Meranie výkonnosti ako takej totiž musí byť reprezentované merateľnými výsledkami, teda údajmi, ktoré nám hovoria o efektívnosti, resp. vhodnosti realizovaných krokov.

Požiadavka na formálne ustanovený a merateľný proces hodnotenia výkonnosti systému riadenia informačnej bezpečnosti je definovaná v norme STN ISO/IEC 27001:2014 (ISMS – Information Security Management System), konkrétne v kapitole 9 Vyhodnotenie výkonnosti.

Pre plnenie tejto požiadavky musí vrcholový manažment organizácie ustanoviť zodpovednosti a právomoci v oblasti informovania o výkonnosti systému riadenia informačnej bezpečnosti. V tomto kontexte je potrebné definovať, čo sa bude monitorovať a merať a aké metódy sa zvolia s prihliadnutím na zabezpečenie platných a uznateľných výsledkov. Zároveň je nutné určiť, kedy a kto bude monitorovanie a meranie vykonávať a kedy a kto tieto výsledky zanalyzuje a vyhodnotí. Všetky získané, analyzované a vyhodnotené výsledky hodnotenia výkonnosti systému riadenia informačnej bezpečnosti sa tiež musia dokumentovať a udržiavať ako dôkaz pre účely auditu.

Autor: DATAsec, Ing. Stanislav Guláš