Zabezpečení informací pomocí systému
Prokazatelné zabezpečení dat a informací
Bezpečnost jako součást firemní kultury
Účinné zavedení procesu řízení rizik
Neustálé zlepšování úrovně zabezpečení

Co je to ISO 27001?
Informace nás obklopují všude a jsou součástí každého procesu. Někdy mohou být nepodstatné, ale až příliš často jsou kritické a důvěrné. Aby bylo možné toto pro organizaci důležité rozlišení provést, je nutné informace klasifikovat. Na této klasifikaci jsou totiž založena ochranná opatření systému řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001.
Systém ISMS vytváří rámec pro ochranu provozních údajů a jejich důvěrnosti. Celosvětově uznávaná norma zároveň zajišťuje dostupnost informačních systémů zapojených do podnikových procesů. V této souvislosti vysílá certifikace ISO 27001 na trh silný signál: totiž nezávislé externí hodnocení a potvrzení účinnosti vašeho ISMS.
S normou EN ISO/IEC 27001:2017-06 byla zveřejněna verze koordinovaná Evropským výborem pro normalizaci (CEN). Spojuje v sobě dvě opravy (corrigenda) Cor 1:2014 a Cor 2:2015. Změny spojené s opravou zahrnují pouze vylepšený popis souvisejících požadavků, ale žádné nové, dodatečné požadavky. Certifikáty podle verze ISO/IEC 27001:2013 si tak zachovávají svou platnost.

Pro koho je certifikace podle ISO 27001 vhodná?
Například v Německu musí společnosti, které patří do odvětví kritické infrastruktury (KRITIS) a překročí určitou hranici, doložit, jak zajišťují bezpečnost svých informací. Mezi odvětví KRITIS patří energetika, vodárenství, zdravotnictví, finance a pojišťovnictví, potravinářství, doprava a doprava, informační technologie a telekomunikace. Odpovídající důkaz o implementaci lze poskytnout prostřednictvím bezpečnostních auditů, testů nebo certifikací. Za tímto účelem lze jako základ auditu použít buď uznávané normy, jako je ISO 27001, nebo alternativně oborové bezpečnostní normy uznávané německým Spolkovým úřadem pro bezpečnost informací (BSI).

Čím je norma ISO 27001 užitečná pro mou společnost?
Pro praxi je zvláště cenná implementace opatření uvedených v příloze A normy. Kromě části zaměřené na požadavky systému řízení (kapitoly 4 až 10) obsahuje norma ISO rozsáhlý seznam 35 cílů opatření (kontrol) se 114 konkrétními opatřeními pro nejrůznější bezpečnostní aspekty ve 14 kapitolách v příloze A. Opatření musí být zavedena v rámci systému řízení. Tato opatření musí být zavedena jako součást systému řízení, pokud jsou pro vaši společnost relevantní.
Bylo prokázáno, že důsledné sladění firemních procesů s normou ISO 27001 vede k řadě výhod:
- neustálé zlepšování úrovně zabezpečení
- Snížení stávajících rizik
- Dodržování požadavků na shodu
- Větší informovanost zaměstnanců
- Větší spokojenost zákazníků
Interní audity a přezkoumání vedením za účasti nejvyššího vedení jsou interními pákami, jak toho dosáhnout.
Dalšími pozitivními aspekty je, že zainteresované strany, jako jsou dozorové orgány, pojišťovny, banky, partnerské společnosti, si vybudují vyšší úroveň důvěry ve vaši společnost. Certifikovaný systém řízení totiž signalizuje, že se vaše organizace zabývá riziky strukturovaným způsobem a hlásí se k neustálému zlepšování (CIP), čímž se stává odolnější vůči nežádoucím vlivům.
Mezinárodní normu ISO/IEC 27001 lze také zavést, provozovat a certifikovat nezávisle na jiných systémech řízení, jako je ISO 9001 (řízení kvality) nebo ISO 14001 (environmentální řízení).

Kdo může provádět certifikaci podle normy ISO 27001?
Norma ISO/IEC 27006 navíc definuje přísné požadavky, které musí certifikační orgány splňovat, aby mohly certifikovat ISMS podle normy ISO 27001.
Patří mezi ně:
- Důkaz o specifickém úsilí při auditu
- Požadavky na kvalifikaci auditorů.
Společnost DQS je akreditována národním německým akreditačním orgánem DakkS (Deutsche Akkreditierungsstelle GmbH), a proto je oprávněna provádět audity a certifikace podle normy ISO 27001.
Bez ohledu na odvětví, ve kterém vaše společnost působí, se můžete spolehnout na osobitou odbornost auditorů DQS. Mají dlouholeté zkušenosti s posuzováním systémů řízení bezpečnosti informací v různých odvětvích.

Jak probíhá certifikace podle normy ISO 27001?
Po zavedení všech požadavků normy ISO 27001 můžete nechat svůj systém řízení certifikovat. V DQS projdete několikastupňovým certifikačním procesem. Pokud je ve společnosti již zaveden certifikovaný systém řízení, může být proces zkrácen.
V prvním kroku s námi proberete svou společnost a cíle certifikace ISO 27001. Na základě toho obdržíte podrobnou nabídku přizpůsobenou individuálním potřebám vaší společnosti.
Schůzka k plánování projektu může být užitečná u rozsáhlejších projektů, například pro lepší koordinaci harmonogramů a provádění auditů s více pobočkami nebo divizemi. Předaudit vám nabízí příležitost předem identifikovat silné stránky a potenciál ke zlepšení vašeho systému řízení. Obě služby jsou volitelné.
Certifikační audit začíná systémovou analýzou a hodnocením vašeho ISMS (1. etapa auditu). Zde auditor zjišťuje, zda je váš systém řízení dostatečně vyvinutý a připravený k certifikaci. V dalším kroku (2. etapa auditu systému) váš auditor posuzuje účinnost všech procesů řízení na pracovišti s použitím normy ISO 27001. Výsledek auditu je prezentován na závěrečném setkání. V případě potřeby jsou dohodnuty akční plány.
Po certifikačním auditu jsou výsledky vyhodnoceny nezávislou certifikační komisí DQS. Pokud jsou splněny všechny požadavky normy, obdržíte certifikát ISO 27001.
Po úspěšné certifikaci jsou klíčové součásti vašeho systému ISMS nejméně jednou ročně znovu auditovány na místě, aby bylo zajištěno neustálé zlepšování.
Platnost certifikátu ISO 27001 je maximálně tři roky. Recertifikace se provádí v dostatečném předstihu před vypršením platnosti, aby se zajistilo trvalé dodržování požadavků platné normy. Po splnění požadavků je vydán nový certifikát.

Kolik stojí certifikace ISO 27001?
Náklady na certifikaci podle ISO 27001 se stanovují mimo jiné podle následujících čtyř kritérií:
1. Složitost vašeho systému řízení bezpečnosti informací.
Zohledňují se kritické hodnoty (například patenty, osobní údaje, zařízení, procesy) vaší společnosti. Náklady na certifikaci vycházejí především z požadavků na bezpečnost informací a z míry ovlivnění důvěrnosti, integrity a dostupnosti (VIV) informací.
2. Hlavní činnost vaší společnosti v rámci systému ISMS
V tomto bodě hrají důležitou roli při určování potřebného úsilí při auditu zejména rizika spojená s vašimi obchodními procesy. V úvahu se berou právní požadavky i komplexní individuální požadavky zákazníků.
3. Hlavní technologie a komponenty používané ve vašem systému ISMS
Během auditu se zkoumají technologie i jednotlivé komponenty vašeho ISMS. Patří mezi ně IT platformy, servery, databáze, aplikace i síťové segmenty. Základní pravidlo zde zní: Čím vyšší je podíl standardních systémů a čím nižší je složitost vašeho IT, tím nižší je náročnost. Od toho se odvíjejí i náklady na certifikaci ISO 27001.
4 Podíl vlastního vývoje ve vašem systému ISMS
Pokud nemáte žádný interní vývoj a používáte převážně standardizované softwarové platformy, je náročnost posouzení nižší. Pokud se váš systém ISMS vyznačuje intenzivním využíváním vlastního vývoje softwaru a pokud je tento software používán pro centrální oblasti podnikání, bude náročnost certifikace vyšší.
Abychom vám mohli poskytnout přehled nákladů na certifikaci ISMS, potřebujeme předem přesné informace o vašem obchodním modelu a oblasti použití. Tak vám můžeme poskytnout nabídku šitou na míru.
