Zabezpečení informací pomocí systému

Téma "Bezpečnost informací" je pro společnosti v průběhu digitální transformace stále naléhavější. Bez dostatečných bezpečnostních opatření hrozí ztráta a krádež dat hackery, výpadky podnikání v důsledku útoků přes web nebo zneužití dat. Jednou z možností strukturovaného přístupu je systém řízení bezpečnosti informací (ISMS) podle normy ISO 27001.

Prokazatelné zabezpečení dat a informací

Bezpečnost jako součást firemní kultury

Účinné zavedení procesu řízení rizik

Neustálé zlepšování úrovně zabezpečení

Business10.png
Loading...

Co je to ISO 27001?

ISO/IEC 27001 je přední mezinárodní norma pro zavádění uceleného systému řízení bezpečnosti informací. Zaměřuje se na identifikaci, hodnocení a řízení rizik pro procesy nakládání s informacemi. Bezpečnost důvěrných informací je zdůrazněna jako významný strategický prvek.

Informace nás obklopují všude a jsou součástí každého procesu. Někdy mohou být nepodstatné, ale až příliš často jsou kritické a důvěrné. Aby bylo možné toto pro organizaci důležité rozlišení provést, je nutné informace klasifikovat. Na této klasifikaci jsou totiž založena ochranná opatření systému řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001.

Systém ISMS vytváří rámec pro ochranu provozních údajů a jejich důvěrnosti. Celosvětově uznávaná norma zároveň zajišťuje dostupnost informačních systémů zapojených do podnikových procesů. V této souvislosti vysílá certifikace ISO 27001 na trh silný signál: totiž nezávislé externí hodnocení a potvrzení účinnosti vašeho ISMS.

S normou EN ISO/IEC 27001:2017-06 byla zveřejněna verze koordinovaná Evropským výborem pro normalizaci (CEN). Spojuje v sobě dvě opravy (corrigenda) Cor 1:2014 a Cor 2:2015. Změny spojené s opravou zahrnují pouze vylepšený popis souvisejících požadavků, ale žádné nové, dodatečné požadavky. Certifikáty podle verze ISO/IEC 27001:2013 si tak zachovávají svou platnost.

Zobrazit více
Zobrazit méně
SEO19.png
Loading...

Pro koho je certifikace podle ISO 27001 vhodná?

Norma ISMS ISO 27001 platí celosvětově. Poskytuje společnostem všech velikostí a odvětví rámec pro plánování, zavádění a monitorování bezpečnosti informací. Požadavky jsou aplikovatelné a vztahují se na soukromé i veřejné společnosti a také na neziskové organizace.

Například v Německu musí společnosti, které patří do odvětví kritické infrastruktury (KRITIS) a překročí určitou hranici, doložit, jak zajišťují bezpečnost svých informací. Mezi odvětví KRITIS patří energetika, vodárenství, zdravotnictví, finance a pojišťovnictví, potravinářství, doprava a doprava, informační technologie a telekomunikace. Odpovídající důkaz o implementaci lze poskytnout prostřednictvím bezpečnostních auditů, testů nebo certifikací. Za tímto účelem lze jako základ auditu použít buď uznávané normy, jako je ISO 27001, nebo alternativně oborové bezpečnostní normy uznávané německým Spolkovým úřadem pro bezpečnost informací (BSI).

Zobrazit více
Zobrazit méně
Business11.png
Loading...

Čím je norma ISO 27001 užitečná pro mou společnost?

Zavedení systému ISMS podle normy ISO/IEC 27001 je pro vaši společnost strategickým rozhodnutím. Splnění záměrně obecných požadavků normy musí odrážet konkrétní situaci společnosti. Zavedení ve firmě závisí na potřebách a cílech, bezpečnostních požadavcích a organizačních procesech, stejně jako na velikosti a struktuře firmy.

Pro praxi je zvláště cenná implementace opatření uvedených v příloze A normy. Kromě části zaměřené na požadavky systému řízení (kapitoly 4 až 10) obsahuje norma ISO rozsáhlý seznam 35 cílů opatření (kontrol) se 114 konkrétními opatřeními pro nejrůznější bezpečnostní aspekty ve 14 kapitolách v příloze A. Opatření musí být zavedena v rámci systému řízení. Tato opatření musí být zavedena jako součást systému řízení, pokud jsou pro vaši společnost relevantní.

Bylo prokázáno, že důsledné sladění firemních procesů s normou ISO 27001 vede k řadě výhod:

  • neustálé zlepšování úrovně zabezpečení
  • Snížení stávajících rizik
  • Dodržování požadavků na shodu
  • Větší informovanost zaměstnanců
  • Větší spokojenost zákazníků

Interní audity a přezkoumání vedením za účasti nejvyššího vedení jsou interními pákami, jak toho dosáhnout.

Dalšími pozitivními aspekty je, že zainteresované strany, jako jsou dozorové orgány, pojišťovny, banky, partnerské společnosti, si vybudují vyšší úroveň důvěry ve vaši společnost. Certifikovaný systém řízení totiž signalizuje, že se vaše organizace zabývá riziky strukturovaným způsobem a hlásí se k neustálému zlepšování (CIP), čímž se stává odolnější vůči nežádoucím vlivům.

Mezinárodní normu ISO/IEC 27001 lze také zavést, provozovat a certifikovat nezávisle na jiných systémech řízení, jako je ISO 9001 (řízení kvality) nebo ISO 14001 (environmentální řízení).

Zobrazit více
Zobrazit méně
Business36.png
Loading...

Kdo může provádět certifikaci podle normy ISO 27001?

Pro certifikaci systému řízení bezpečnosti informací musí být příslušný certifikační orgán sám akreditován podle norem ISO/IEC 17021 a ISO/IEC 27006. Norma ISO/IEC 17021 upravuje témata související s posuzováním shody, konkrétně požadavky na kontrolní orgány, které provádějí audit a certifikaci systémů řízení.

Norma ISO/IEC 27006 navíc definuje přísné požadavky, které musí certifikační orgány splňovat, aby mohly certifikovat ISMS podle normy ISO 27001.

Patří mezi ně:

  • Důkaz o specifickém úsilí při auditu
  • Požadavky na kvalifikaci auditorů.

Společnost DQS je akreditována národním německým akreditačním orgánem DakkS (Deutsche Akkreditierungsstelle GmbH), a proto je oprávněna provádět audity a certifikace podle normy ISO 27001.

Bez ohledu na odvětví, ve kterém vaše společnost působí, se můžete spolehnout na osobitou odbornost auditorů DQS. Mají dlouholeté zkušenosti s posuzováním systémů řízení bezpečnosti informací v různých odvětvích.

Zobrazit více
Zobrazit méně
Business28.png
Loading...

Jak probíhá certifikace podle normy ISO 27001?

Po zavedení všech požadavků normy ISO 27001 můžete nechat svůj systém řízení certifikovat. V DQS projdete několikastupňovým certifikačním procesem. Pokud je ve společnosti již zaveden certifikovaný systém řízení, může být proces zkrácen.

V prvním kroku s námi proberete svou společnost a cíle certifikace ISO 27001. Na základě toho obdržíte podrobnou nabídku přizpůsobenou individuálním potřebám vaší společnosti.

Schůzka k plánování projektu může být užitečná u rozsáhlejších projektů, například pro lepší koordinaci harmonogramů a provádění auditů s více pobočkami nebo divizemi. Předaudit vám nabízí příležitost předem identifikovat silné stránky a potenciál ke zlepšení vašeho systému řízení. Obě služby jsou volitelné.

Certifikační audit začíná systémovou analýzou a hodnocením vašeho ISMS (1. etapa auditu). Zde auditor zjišťuje, zda je váš systém řízení dostatečně vyvinutý a připravený k certifikaci. V dalším kroku (2. etapa auditu systému) váš auditor posuzuje účinnost všech procesů řízení na pracovišti s použitím normy ISO 27001. Výsledek auditu je prezentován na závěrečném setkání. V případě potřeby jsou dohodnuty akční plány.

Po certifikačním auditu jsou výsledky vyhodnoceny nezávislou certifikační komisí DQS. Pokud jsou splněny všechny požadavky normy, obdržíte certifikát ISO 27001.

Po úspěšné certifikaci jsou klíčové součásti vašeho systému ISMS nejméně jednou ročně znovu auditovány na místě, aby bylo zajištěno neustálé zlepšování.

Platnost certifikátu ISO 27001 je maximálně tři roky. Recertifikace se provádí v dostatečném předstihu před vypršením platnosti, aby se zajistilo trvalé dodržování požadavků platné normy. Po splnění požadavků je vydán nový certifikát.

Banking13.png
Loading...

Kolik stojí certifikace ISO 27001?

Čtyři kritéria hodnocení

Přestože audit ISO 27001 má být proveden podle strukturovaných specifikací, náklady závisí na různých faktorech, například na složitosti vaší organizace. Proto nemůže existovat žádná univerzální nabídka pro danou společnost.

Náklady na certifikaci podle ISO 27001 se stanovují mimo jiné podle následujících čtyř kritérií:

1. Složitost vašeho systému řízení bezpečnosti informací.

Zohledňují se kritické hodnoty (například patenty, osobní údaje, zařízení, procesy) vaší společnosti. Náklady na certifikaci vycházejí především z požadavků na bezpečnost informací a z míry ovlivnění důvěrnosti, integrity a dostupnosti (VIV) informací.

2. Hlavní činnost vaší společnosti v rámci systému ISMS

V tomto bodě hrají důležitou roli při určování potřebného úsilí při auditu zejména rizika spojená s vašimi obchodními procesy. V úvahu se berou právní požadavky i komplexní individuální požadavky zákazníků.

3. Hlavní technologie a komponenty používané ve vašem systému ISMS

Během auditu se zkoumají technologie i jednotlivé komponenty vašeho ISMS. Patří mezi ně IT platformy, servery, databáze, aplikace i síťové segmenty. Základní pravidlo zde zní: Čím vyšší je podíl standardních systémů a čím nižší je složitost vašeho IT, tím nižší je náročnost. Od toho se odvíjejí i náklady na certifikaci ISO 27001.

4 Podíl vlastního vývoje ve vašem systému ISMS

Pokud nemáte žádný interní vývoj a používáte převážně standardizované softwarové platformy, je náročnost posouzení nižší. Pokud se váš systém ISMS vyznačuje intenzivním využíváním vlastního vývoje softwaru a pokud je tento software používán pro centrální oblasti podnikání, bude náročnost certifikace vyšší.

Abychom vám mohli poskytnout přehled nákladů na certifikaci ISMS, potřebujeme předem přesné informace o vašem obchodním modelu a oblasti použití. Tak vám můžeme poskytnout nabídku šitou na míru.

Zobrazit více
Zobrazit méně
Business2.png
Loading...

Co od nás můžete očekávat

  • Více než 35 let zkušeností s certifikací systémů řízení a procesů
  • Zkušení auditoři a odborníci z oboru s rozsáhlými technickými znalostmi
  • Vhled do vaší společnosti s přidanou hodnotou
  • Certifikáty s mezinárodním uznáním
  • Odborné znalosti a akreditace pro všechny relevantní normy
  • Osobní a bezproblémová podpora našich specialistů - na regionální, národní i mezinárodní úrovni
  • Individuální nabídky s flexibilními smluvními podmínkami a bez skrytých nákladů
Loading...

Vyžádejte si cenovou nabídku

Váš místní kontakt

Rádi vám poskytneme individuální nabídku na certifikaci vašeho systému ISMS podle normy ISO 27001.