ČSN ISO/IEC 27031

Během let se informační a komunikační technologie (ICT) staly nedílnou součástí mnoha činností, které jsou prvky kritických infrastruktur ve všech organizačních odvětvích, ať už veřejných, soukromých nebo dobrovol-ných. Rozšíření Internetu a dalších elektronických síťových služeb a dnešní schopnosti systémů a aplikací také znamenalo, že organizace se stále více spoléhají na spolehlivé, zajištěné a bezpečné infrastruktury ICT. Mezitím byla rozpoznána potřeba řízení kontinuity činnosti organizace (BCM), včetně připravenosti na incidenty, plánování obnovy po havárii a reakce na mimořádné události a jejich řízení, a podporována specifickými oblastmi vědomostí, odborných znalostí a norem vyvinutých a uveřejněných v nedávných letech, včetně mezinárodní normy zabývající se BCM vyvinuté ISO/TC 223. Selhání služeb ICT, včetně výskytu bezpečnostních problémů jako jsou průniky do systémů a nakažení ma-lwarem, ovlivní kontinuitu provozní činnosti organizace. Proto řízení ICT a související kontinuity a jiných bez-pečnostních aspektů tvoří klíčovou část požadavků kontinuity činnosti organizace. Navíc ve většině případů jsou kritické funkce činnosti organizace, které vyžadují kontinuitu činnosti organizace, obvykle závislé na ICT. Tato závislost znamená, že narušení ICT mohou představovat strategická rizika pro pověst organizace a její schopnosti fungovat. Připravenost ICT je pro mnoho organizací základní součástí při implementaci řízení kontinuity činnosti orga-nizace a řízení bezpečnosti informací. Jako součást implementace a provozu systému řízení bezpečnosti in-formací (ISMS) specifikovaného v ISO/IEC 27001 a systému řízení kontinuity činnosti organizace (BCMS) je rozhodující vyvíjet a implementovat plán připravenosti služeb ICT, aby pomohl zajistit kontinuitu činnosti or-ganizace. Výsledkem je, že efektivní BCM je často závislé na efektivní připravenosti ICT k zajištění toho, že cíle orga-nizace mohou být i v době narušení nadále splněny. To je zvláště důležité, protože následky narušení ICT často způsobují další komplikace tím, že jsou neviditelné a/nebo je obtížné je detekovat. Aby organizace dosáhla připravenosti ICT pro kontinuitu činnosti organizace (IRBC), potřebuje zavést sys-tematický postup pro prevenci, předpovídání a řízení narušení a incidentů ICT, které mají potenciál narušit služby ICT. Toho může být nejlépe dosaženo uplatněním cyklických kroků Plánovat-Provádět-Kontrolovat-Jednat (PDCA) jako součásti systému řízení v ICT IRBC. Tímto způsobem IRBC podporuje BCM zajištěním, že služby ICT jsou stejně odolné jako vhodné a mohou být obnoveny na předem určené úrovně v časových lhůtách požadovaných a schválených organizací. Pokud organizace používá ISO/IEC 27001 k ustavení ISMS a/nebo používá relevantní normy k ustavení BCMS, ustavování IRBC by mělo pokud možno vzít v úvahu existující nebo zamýšlené procesy související s těmito normami. Tato vazba může podporovat ustavování IRBC a také umožňuje organizaci vyhnout se jakýmkoli zdvojeným procesům. Obrázek 1 shrnuje interakce IRBC a BCSM. Při plánování a implementaci IRBC může organizace odkazovat k ISO/IEC 24762:2008 v jejím plánování a poskytování služeb obnovy po havárii ICT bez ohledu na to, zda jsou tyto služby organizaci poskytovány subdodavatelsky nebo interně.