Vysoce ceněným zbožím naší doby se staly informace, a to bez ohledu na legálnost, nebo spíše nelegálnost, způsobu jejich získání. Informace se staly strategickým zbožím všech podnikatelských a správních procesů. Rychlost, s níž jsou organizace schopny využít nových informací k vytváření nových procesů, produktů a služeb, je základní podmínkou úspěchu. Informace jsou nejcennější devizou každé organizace, tedy i úřadů, a proto se stává nezbytností je co nejlépe zabezpečit v celém rozsahu jejich struktury. Nerozhoduje, zda se jedná o informace v elektronické nebo papírové podobě, umístěné v informačních systémech nebo mimo ně.

V právě doznívajícím programovacím období Strukturálních fondů Evropské unie je věnována velká pozornost tématu zavádění moderních metod řízení původně aplikovaných v soukromém sektoru do sektoru veřejného. Dnes můžeme říci, že projekty zabývající se touto tematikou jsou úspěšné a přinášejí již první viditelné výsledky. Obecně bude na tzv. Smart Government neboli chytré vládnutí kladen důraz i v programovacím období 2007--2013. Jednou z oblastí může být právě tzv. Risk management, v překladu řízení rizik, v oblasti kvality a ochrany dat a informací ve veřejné správě. Bezpečnost informací a jejich kvalitní ochrana, nebyla snad nikdy tak důležitá pro veřejný sektor jako v dnešní době, která je charakteristická na jedné straně rostoucími nároky na místní a regionální samosprávné orgány a na straně druhé neustále se měnícími a vyvíjejícími se požadavky globalizovaného světa.

Na rozdíl od soukromého podniku, kde již část organizací systém zabývající se bezpečností dat zaveden má, jde v agendě veřejné správy o záležitost relativně zcela novou. Vzhledem k tomu, že místní autority jsou dnes hodnoceny hlavně na základě reálných výkonů v reálném konkurenčním světě, dobré plánování přestává být dostačující aktivitou. Do spektra strategických aktivit by měla dnes patřit také dobrá strategie řízení rizik, která by měla tvořit jakési východisko všech procesů na místní úrovni. V agendě místních správ by tudíž tato problematika měla být součástí celkové strategie řízení při riziku. Nedostatečná opatření v rámci ICT (informačních a komunikačních technologií) a bezpečnosti informací vůbec, může mít pro municipalitu vážné dopady a proto je odhad a řízení rizik tak důležitý

Informace je nutno brát jako majetek, představující nejcennější devizu každé organizace, a je nutné, aby se o ně také v tomto duchu začaly patřičně starat i české úřady. Cílem je, jednoduše řečeno, chránit data a informace od velkého množství hrozeb, jako je například lidské selhání, krádeže, vandalismus, defraudace, živelná pohroma, ale i terorismus. Takové události mohou vést k závažnému poškození nebo ztrátě informačních zdrojů, mohou vést ke korupci nebo ztrátě datové integrity, utajení atd.

Na řadu otázek z této oblasti odpovídá odborník na problematiku managementu bezpečnosti informací Jiří Franěk, spolupracovník společnosti Versa Systems, která se implementací těchto norem zabývá a je sama držitelem příslušného certifikátu…

Co tedy znamená pojem informační bezpečnost?

• Je to cílená ochrana informací, informačních systémů společnosti, bezpečnost komunikace, fyzická a personální bezpečnost včetně ochrany objektů.
• Je to ochrana proti různým zdrojům nebezpečí, minimalizace rizik a komplex administrativních, logických, technických a fyzických opatření pro prevenci, detekci a opravu nesprávného použití informací a informačních aktiv.
• Bezpečnost citlivých informací v organizaci se vztahuje na informace elektronické i papírové a ošetřuje tyto informace v celém průběhu jejich koloběhu uvnitř i vně společnosti. Systém rovněž upravuje zásady pro poskytování informací verbálních.

Co je ISMS (Information security management systém)?

Jde o soubor opatření a požadavků k zajištění ochrany a bezpečnosti všech důležitých aktiv společnosti, tj. informací, know-how, majetku a osob, který se implementuje podle uznávaného mezinárodního standardu. (např.ISO/IEC 27001:2005) Lze ho považovat za komplexní řešení ochrany informací, osob a majetku při jejich oběhu, zpracovávání a využívání s ohledem na jejich dostupnost, úplnost a utajení.

Jaké jsou přínosy ISMS pro orgány státní a veřejné správy?

• účinná obrana proti lidskému selhání, selhání zařízení, krádežím, vandalismu, defraudaci, sobotážím, živelným pohromám, terorismu atd.
• plnění požadavků EU a legislativy ČR týkající se ochrany informací, např. zákon na ochranu osobních údajů, zákon o utajovaných skutečnostech apod.
• důkaz klientům -- občanům i spolupracujícím partnerům, že jsem pro ně důvěryhodný partner a jejich citlivé informace jsou odpovídajícím způsobem chráněny,
• k určitým informacím, údajům a datům mají přístup pouze autorizované osoby,
• zpracování detailní definice rizik napadení, poškození a zneužití informací a vytvoření souboru pravidel pro efektivní řízení a omezování případných hrozeb,
• zabránění vzniku škod při bezpečnostních incidentech včetně dopadu škod vlivem jejich medializace,
• zamezení úniku informací ze společnosti včetně know-how a informací o klientech (občanech, obchodních partnerech, ...),
• vypracování analýzy logické, objektové a technické bezpečnosti,
• vypracování analýzy, tvorby, implementace a testování havarijních plánů ,
• výcvik pracovníků v ovládání zabezpečování a zlepšování ISMS,
• osobní odpovědnost konkrétní osoby (zaměstnance) za důvěrné informace na svých pracovištích,
• mnoho dalšího dle konkrétní situace v určitém správním orgánu.

Co je tedy ISO/IEC 27001:2005?

Jde o normu, která je mezinárodně uznávaným standardem ochrany informací a která definuje jak vytvořit, udržovat a neustále zlepšovat bezpečnost informací v organizaci. Norma upravuje konkrétní postupy zajištění informační bezpečnosti, které jsou rozděleny do 10 hlavních kategorií, které po aplikaci zaručují nejen efektivní a bezpečné řízení veškerých informací uvnitř organizace, ale striktně definují práci a postupy s informacemi třetích stran při plném respektování zákonných norem příslušného státu.