Zabezpečení informací pomocí systému
Prokazatelné zabezpečení dat a informací
Bezpečnost informací jako součást firemní kultury
Účinné zavedení procesu řízení rizik
Neustálé zlepšování úrovně zabezpečení
Co je to ISO 27001?
Informace nás obklopují všude a jsou součástí každého procesu. Někdy mohou být nepodstatné, ale až příliš často jsou kritické a důvěrné. Aby bylo možné toto pro organizaci důležité rozlišení provést, je nutné informace klasifikovat. Na této klasifikaci jsou totiž založena ochranná opatření systému řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001.
Systém ISMS vytváří rámec pro ochranu provozních údajů a jejich důvěrnosti. Celosvětově uznávaná norma zároveň zajišťuje dostupnost informačních systémů zapojených do podnikových procesů. V této souvislosti vysílá certifikace ISO 27001 na trh silný signál: totiž nezávislé externí hodnocení a potvrzení účinnosti vašeho ISMS.
Druhé vydání normy ISO/IEC 27001 pochází z roku 2013. Nyní byla tato mezinárodně uznávaná norma pro ISMS aktualizována a 25. října 2022 znovu vydána ve svém třetím vydání jako ISO/IEC 27001:2022. Revize je nevyhnutelným důsledkem poté, co byla norma ISO/IEC 27002, jakožto prováděcí pokyn upravující přílohu A normy ISO 27001, komplexně revidována a zveřejněna v únoru 2022.
Přechodné období pro stávající certifikáty ISO 27001 je tři roky od posledního dne měsíce zveřejnění nové normy ISO/IEC 27001:2022, což znamená, že všechny certifikáty podle normy ISO/IEC 27001:2013 musí být převedeny na verzi ISO 27001 z roku 2022 do 31. října 2025, O novinkách aktualizace normy ISO 27001 se můžete dočíst v našem článku "Nová norma ISO/IEC 27001:2022 - klíčové změny".
Pro koho je certifikace podle ISO 27001 vhodná?
Například v Německu musí společnosti, které patří do odvětví kritické infrastruktury (KRITIS) a překročí určitou hranici, doložit, jak zajišťují bezpečnost svých informací. Mezi odvětví KRITIS patří energetika, vodárenství, zdravotnictví, finance a pojišťovnictví, potravinářství, doprava a doprava, informační technologie a telekomunikace. Odpovídající důkaz o implementaci lze poskytnout prostřednictvím bezpečnostních auditů, testů nebo certifikací. Za tímto účelem lze jako základ auditu použít buď uznávané normy, jako je ISO 27001, nebo alternativně oborové bezpečnostní normy uznávané německým Spolkovým úřadem pro bezpečnost informací (BSI).
Čím je norma ISO 27001 užitečná pro mou společnost?
V praxi je zvláště cenná příloha A normy ISO 27001, která se má používat v souvislosti s oddílem 6.1.3 na základě analýz rizik specifických pro danou společnost. Kontrolní mechanismy bezpečnosti informací uvedené v příloze A jsou přímo odvozeny z opatření uvedených v platné normě ISO 27002, oddílech 5 až 8, a jsou s nimi sladěny.
Dříve příloha A normy ISO/IEC 27001:2013 obsahovala celkem 114 kontrolních opatření k řešení rizik bezpečnosti informací, rozdělených do 14 oddílů a 35 kontrolních cílů. V nové normě ISO/IEC 27001:2022-10 příloha A nyní obsahuje 93 kontrolních opatření týkajících se příslušných bezpečnostních aspektů, které jsou přiřazeny ke 4 tematickým oblastem.
Bylo prokázáno, že důsledné sladění firemních procesů s normou ISO 27001 vede k řadě výhod:
- neustálé zlepšování úrovně zabezpečení
- Snížení stávajících rizik
- Dodržování požadavků na shodu
- Větší informovanost zaměstnanců
- Větší spokojenost zákazníků
Interní audity a přezkoumání vedením za účasti nejvyššího vedení jsou interními pákami, jak toho dosáhnout.
Dalšími pozitivními aspekty je, že zainteresované strany, jako jsou dozorové orgány, pojišťovny, banky, partnerské společnosti, si vybudují vyšší úroveň důvěry ve vaši společnost. Certifikovaný systém řízení totiž signalizuje, že se vaše organizace zabývá riziky strukturovaným způsobem a hlásí se k neustálému zlepšování (CIP), čímž se stává odolnější vůči nežádoucím vlivům.
Mezinárodní normu ISO/IEC 27001 lze také zavést, provozovat a certifikovat nezávisle na jiných systémech řízení, jako je ISO 9001 (řízení kvality) nebo ISO 14001 (environmentální řízení).
Kdo může provádět certifikaci podle normy ISO 27001?
Norma ISO/IEC 27006 navíc definuje přísné požadavky, které musí certifikační orgány splňovat, aby mohly certifikovat ISMS podle normy ISO 27001.
Patří mezi ně:
- Důkaz o specifickém úsilí při auditu
- Požadavky na kvalifikaci auditorů.
Společnost DQS je akreditována národním německým akreditačním orgánem DakkS (Deutsche Akkreditierungsstelle GmbH), a proto je oprávněna provádět audity a certifikace podle normy ISO 27001.
Bez ohledu na odvětví, ve kterém vaše společnost působí, se můžete spolehnout na osobitou odbornost auditorů DQS. Mají dlouholeté zkušenosti s posuzováním systémů řízení bezpečnosti informací v různých odvětvích.
Jak probíhá certifikace podle normy ISO 27001?
Po zavedení všech požadavků normy ISO 27001 můžete nechat svůj systém řízení certifikovat. V DQS projdete několikastupňovým certifikačním procesem. Pokud je ve společnosti již zaveden certifikovaný systém řízení, může být proces zkrácen.
V prvním kroku s námi proberete svou společnost a cíle certifikace ISO 27001. Na základě toho obdržíte podrobnou nabídku přizpůsobenou individuálním potřebám vaší společnosti.
Schůzka k plánování projektu může být užitečná u rozsáhlejších projektů, například pro lepší koordinaci harmonogramů a provádění auditů s více pobočkami nebo divizemi. Předaudit vám nabízí příležitost předem identifikovat silné stránky a potenciál ke zlepšení vašeho systému řízení. Obě služby jsou volitelné.
Certifikační audit začíná systémovou analýzou a hodnocením vašeho ISMS (1. etapa auditu). Zde auditor zjišťuje, zda je váš systém řízení dostatečně vyvinutý a připravený k certifikaci. V dalším kroku (2. etapa auditu systému) váš auditor posuzuje účinnost všech procesů řízení na pracovišti s použitím normy ISO 27001. Výsledek auditu je prezentován na závěrečném setkání. V případě potřeby jsou dohodnuty akční plány.
Po certifikačním auditu jsou výsledky vyhodnoceny nezávislou certifikační komisí DQS. Pokud jsou splněny všechny požadavky normy, obdržíte certifikát ISO 27001.
Po úspěšné certifikaci jsou klíčové součásti vašeho systému ISMS nejméně jednou ročně znovu auditovány na místě, aby bylo zajištěno neustálé zlepšování.
Platnost certifikátu ISO 27001 je maximálně tři roky. Recertifikace se provádí v dostatečném předstihu před vypršením platnosti, aby se zajistilo trvalé dodržování požadavků platné normy. Po splnění požadavků je vydán nový certifikát.
Kolik stojí certifikace ISO 27001?
Náklady na certifikaci podle ISO 27001 se stanovují mimo jiné podle následujících čtyř kritérií:
1. Složitost vašeho systému řízení bezpečnosti informací.
Zohledňují se kritické hodnoty (například patenty, osobní údaje, zařízení, procesy) vaší společnosti. Náklady na certifikaci vycházejí především z požadavků na bezpečnost informací a z míry ovlivnění důvěrnosti, integrity a dostupnosti (VIV) informací.
2. Hlavní činnost vaší společnosti v rámci systému ISMS
V tomto bodě hrají důležitou roli při určování potřebného úsilí při auditu zejména rizika spojená s vašimi obchodními procesy. V úvahu se berou právní požadavky i komplexní individuální požadavky zákazníků.
3. Hlavní technologie a komponenty používané ve vašem systému ISMS
Během auditu se zkoumají technologie i jednotlivé komponenty vašeho ISMS. Patří mezi ně IT platformy, servery, databáze, aplikace i síťové segmenty. Základní pravidlo zde zní: Čím vyšší je podíl standardních systémů a čím nižší je složitost vašeho IT, tím nižší je náročnost. Od toho se odvíjejí i náklady na certifikaci ISO 27001.
4 Podíl vlastního vývoje ve vašem systému ISMS
Pokud nemáte žádný interní vývoj a používáte převážně standardizované softwarové platformy, je náročnost posouzení nižší. Pokud se váš systém ISMS vyznačuje intenzivním využíváním vlastního vývoje softwaru a pokud je tento software používán pro centrální oblasti podnikání, bude náročnost certifikace vyšší.
Abychom vám mohli poskytnout přehled nákladů na certifikaci ISMS, potřebujeme předem přesné informace o vašem obchodním modelu a oblasti použití. Tak vám můžeme poskytnout nabídku šitou na míru.