Co je informační bezpečnost?

Informační bezpečnost (information security, InfoSec) je disciplína zajišťující ochranu informací bez ohledu na jejich formu — digitální i fyzickou. Zahrnuje důvěrnost, integritu a dostupnost dat (CIA triáda) a pokrývá i papírové dokumenty, fyzický přístup a lidský faktor.

Jaký je rozdíl mezi informační a kybernetickou bezpečností?

Kybernetická bezpečnost je podmnožinou informační bezpečnosti — zaměřuje se výhradně na ochranu digitálních systémů, sítí a dat. Informační bezpečnost je širší pojem zahrnující i fyzickou bezpečnost, HR procesy a ochranu nedigitálních informací.

Co je ISMS a proč ho firmy zavádějí?

ISMS (Information Security Management System) je systém řízení informační bezpečnosti dle normy ISO/IEC 27001. Poskytuje strukturovaný přístup k identifikaci, hodnocení a řízení bezpečnostních rizik. Pro firmy s NIS2 povinností je ISMS výhodným základem, který pokrývá velkou část zákonných požadavků.

Informační bezpečnost vs. kybernetická bezpečnost: rozdíly a praxe

Na první pohled jde o akademický spor o terminologii. V praxi ale záleží na tom, zda chápete, čím se informační bezpečnost a kybernetická bezpečnost liší — a kde se překrývají. Protože to přímo ovlivňuje rozsah bezpečnostního programu vaší firmy, volbu standardů a to, co vám ukáže audit nebo kontrola NÚKIB.

Definice: informační bezpečnost

Informační bezpečnost (anglicky information security, zkráceně InfoSec) je disciplína zaměřená na ochranu informací bez ohledu na jejich formu. Zahrnuje:

Digitální data v systémech, databázích a cloudech
Fyzické dokumenty — smlouvy, výkazy, osobní spisy
Znalosti a verbální komunikaci (co zaměstnanec ví a říká)
Fyzický přístup do prostorů, kde jsou informace uloženy

Základem informační bezpečnosti je takzvaná CIA triáda:

Důvěrnost

Confidentiality — informace jsou přístupné jen oprávněným osobám

Integrita

Integrity — informace jsou přesné, úplné a nezmanipulované

Dostupnost

Availability — informace jsou dostupné oprávněným osobám, když je potřebují

Norma ISO/IEC 27001 — mezinárodní standard pro systémy řízení informační bezpečnosti (ISMS) — vychází právě z tohoto širokého pojetí. Pokrývá technické i organizační i fyzické aspekty ochrany informací.

Definice: kybernetická bezpečnost

Kybernetická bezpečnost (cybersecurity) je podmnožinou informační bezpečnosti. Zaměřuje se výhradně na ochranu digitálního prostoru — počítačových systémů, sítí, aplikací, cloudové infrastruktury a dat v digitální podobě.

Kybernetická bezpečnost řeší:

Ochranu před kybernetickými útoky (ransomware, phishing, DDoS, APT)
Bezpečnost sítí a síťové infrastruktury
Bezpečnost aplikací a webových rozhraní
Správu identit a přístupů (IAM, MFA)
Detekci a reakci na incidenty (SOC, SIEM, EDR)
Penetrační testování a správu zranitelností

Klíčové rozdíly v přehledné tabulce

Oblast	Informační bezpečnost	Kybernetická bezpečnost
Rozsah	Digitální i fyzické informace	Pouze digitální systémy a data
Hrozby	Krádež, požár, ztráta dokumentu, únik ústně	Malware, hacking, DDoS, phishing
Klíčový standard	ISO/IEC 27001 (ISMS)	NIS2, NIST CSF, CIS Controls
Fyzická složka	Ano — fyzický přístup, skartace, archivace	Ne (pouze logická bezpečnost)
HR procesy	Onboarding, offboarding, NDA, prověrky	Jen pokud mají dopad na systémy
Typický zákazník	Firmy hledající ISO 27001 certifikaci	Firmy plnící NIS2, GDPR technické požadavky

Jak se to projevuje v praxi?

Představte si finanční ředitelku, která tiskne smlouvy, pracuje s nimi doma a pak je vyhodí do koše. To je problém informační bezpečnosti (fyzická likvidace dokumentů) — ale ne kybernetické bezpečnosti (žádný digitální systém nebyl kompromitován).

Naopak — útočník, který pronikne do e-mailové schránky zaměstnance, je problém kybernetické bezpečnosti. Ale zároveň informační bezpečnosti — protože e-maily jsou informace.

Zkušené firmy proto nemyslí na bezpečnost jako na dvě oddělené disciplíny, ale jako na jeden integrovaný program. Technické opatření (MFA, šifrování, monitoring) doplňují organizační opatření (bezpečnostní politika, školení, onboarding) a fyzická opatření (přístupové karty, kamerové systémy, skartace).

Co vyžaduje NIS2?

Zákon 264/2025 Sb. používá oba pojmy a vyžaduje opatření z obou oblastí. Vyhláška 409/2025 Sb. konkrétně pokrývá:

Technická opatření — MFA, šifrování, patch management, monitoring, backup (kybernetická bezpečnost)
Organizační opatření — bezpečnostní politika, analýza rizik, role a odpovědnosti (informační bezpečnost)
Fyzická opatření — ochrana serveroven, přístupová kontrola, fyzická likvidace médií (informační bezpečnost)
HR opatření — prověrky zaměstnanců, podmínky ukončení pracovního poměru, záznamy o přístupech (informační bezpečnost)

Pokud máte ISO 27001 certifikaci, máte výraznou výhodu — velká část požadavků NIS2 se s ISMS překrývá. Rozdíly a detaily rozebíráme v článku Rozdíl mezi NIS2 a ISO 27001.

Jak začít budovat informační bezpečnost ve firmě?

Doporučený postup pro firmy, které zatím nemají formalizovaný bezpečnostní program:

Inventář informačních aktiv — co máte, kde to je, kdo k tomu má přístup (digitální i fyzické)
Analýza rizik — jaké hrozby hrozí, jaká je pravděpodobnost a dopad
Bezpečnostní politika — pravidla pro práci s informacemi, hesla, přístupy, sdílení
Technická opatření — MFA, šifrování, monitoring, backup, záplaty
Fyzická opatření — přístupové karty, skartace, fyzická bezpečnost serverů
Školení — pravidelné vzdělávání zaměstnanců (povinné dle NIS2)
Průběžný monitoring a přezkoumání — bezpečnost není jednorázový projekt

Pokud jste regulovaný subjekt dle NIS2, doporučujeme začít bezpečnostním auditem. SecureOn provede gap analýzu vašeho stavu vůči zákonu 264/2025 Sb. a připraví konkrétní plán. O NÚKIB a registraci se dočtete v článku Co je NÚKIB a co dělá.

Bezpečnostní audit pro vaši firmu

SecureOn pokryje celý rozsah informační bezpečnosti — od technického pentestování po organizační dokumentaci a školení zaměstnanců. Začněte konzultací zdarma.

Konzultace zdarma →