Certifikace ISO 27001

Informace nás obklopují všude a jsou součástí každého procesu. Někdy mohou být nepodstatné, ale až příliš často jsou kritické a důvěrné. Aby bylo možné toto pro organizaci důležité rozlišení provést, je nutné informace klasifikovat. Na této klasifikaci jsou totiž založena ochranná opatření systému řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001.

Systém ISMS vytváří rámec pro ochranu provozních údajů a jejich důvěrnosti. Celosvětově uznávaná norma zároveň zajišťuje dostupnost informačních systémů zapojených do podnikových procesů. V této souvislosti vysílá certifikace ISO 27001 na trh silný signál: totiž nezávislé externí hodnocení a potvrzení účinnosti vašeho ISMS.

S normou EN ISO/IEC 27001:2017-06 byla zveřejněna verze koordinovaná Evropským výborem pro normalizaci (CEN). Spojuje v sobě dvě opravy (corrigenda) Cor 1:2014 a Cor 2:2015. Změny spojené s opravou zahrnují pouze vylepšený popis souvisejících požadavků, ale žádné nové, dodatečné požadavky. Certifikáty podle verze ISO/IEC 27001:2013 si tak zachovávají svou platnost.

Například v Německu musí společnosti, které patří do odvětví kritické infrastruktury (KRITIS) a překročí určitou hranici, doložit, jak zajišťují bezpečnost svých informací. Mezi odvětví KRITIS patří energetika, vodárenství, zdravotnictví, finance a pojišťovnictví, potravinářství, doprava a doprava, informační technologie a telekomunikace. Odpovídající důkaz o implementaci lze poskytnout prostřednictvím bezpečnostních auditů, testů nebo certifikací. Za tímto účelem lze jako základ auditu použít buď uznávané normy, jako je ISO 27001, nebo alternativně oborové bezpečnostní normy uznávané německým Spolkovým úřadem pro bezpečnost informací (BSI).

Pro praxi je zvláště cenná implementace opatření uvedených v příloze A normy. Kromě části zaměřené na požadavky systému řízení (kapitoly 4 až 10) obsahuje norma ISO rozsáhlý seznam 35 cílů opatření (kontrol) se 114 konkrétními opatřeními pro nejrůznější bezpečnostní aspekty ve 14 kapitolách v příloze A. Opatření musí být zavedena v rámci systému řízení. Tato opatření musí být zavedena jako součást systému řízení, pokud jsou pro vaši společnost relevantní.

Bylo prokázáno, že důsledné sladění firemních procesů s normou ISO 27001 vede k řadě výhod:

• neustálé zlepšování úrovně zabezpečení
• Snížení stávajících rizik
• Dodržování požadavků na shodu
• Větší informovanost zaměstnanců
• Větší spokojenost zákazníků

Interní audity a přezkoumání vedením za účasti nejvyššího vedení jsou interními pákami, jak toho dosáhnout.

Dalšími pozitivními aspekty je, že zainteresované strany, jako jsou dozorové orgány, pojišťovny, banky, partnerské společnosti, si vybudují vyšší úroveň důvěry ve vaši společnost. Certifikovaný systém řízení totiž signalizuje, že se vaše organizace zabývá riziky strukturovaným způsobem a hlásí se k neustálému zlepšování (CIP), čímž se stává odolnější vůči nežádoucím vlivům.

Mezinárodní normu ISO/IEC 27001 lze také zavést, provozovat a certifikovat nezávisle na jiných systémech řízení, jako je ISO 9001 (řízení kvality) nebo ISO 14001 (environmentální řízení).

Norma ISO/IEC 27006 navíc definuje přísné požadavky, které musí certifikační orgány splňovat, aby mohly certifikovat ISMS podle normy ISO 27001.

Patří mezi ně:

• Důkaz o specifickém úsilí při auditu
• Požadavky na kvalifikaci auditorů.

Společnost DQS je akreditována národním německým akreditačním orgánem DakkS (Deutsche Akkreditierungsstelle GmbH), a proto je oprávněna provádět audity a certifikace podle normy ISO 27001.

Bez ohledu na odvětví, ve kterém vaše společnost působí, se můžete spolehnout na osobitou odbornost auditorů DQS. Mají dlouholeté zkušenosti s posuzováním systémů řízení bezpečnosti informací v různých odvětvích.

Náklady na certifikaci podle ISO 27001 se stanovují mimo jiné podle následujících čtyř kritérií:

1. Složitost vašeho systému řízení bezpečnosti informací.

Zohledňují se kritické hodnoty (například patenty, osobní údaje, zařízení, procesy) vaší společnosti. Náklady na certifikaci vycházejí především z požadavků na bezpečnost informací a z míry ovlivnění důvěrnosti, integrity a dostupnosti (VIV) informací.

2. Hlavní činnost vaší společnosti v rámci systému ISMS

V tomto bodě hrají důležitou roli při určování potřebného úsilí při auditu zejména rizika spojená s vašimi obchodními procesy. V úvahu se berou právní požadavky i komplexní individuální požadavky zákazníků.

3. Hlavní technologie a komponenty používané ve vašem systému ISMS

Během auditu se zkoumají technologie i jednotlivé komponenty vašeho ISMS. Patří mezi ně IT platformy, servery, databáze, aplikace i síťové segmenty. Základní pravidlo zde zní: Čím vyšší je podíl standardních systémů a čím nižší je složitost vašeho IT, tím nižší je náročnost. Od toho se odvíjejí i náklady na certifikaci ISO 27001.

4 Podíl vlastního vývoje ve vašem systému ISMS

Pokud nemáte žádný interní vývoj a používáte převážně standardizované softwarové platformy, je náročnost posouzení nižší. Pokud se váš systém ISMS vyznačuje intenzivním využíváním vlastního vývoje softwaru a pokud je tento software používán pro centrální oblasti podnikání, bude náročnost certifikace vyšší.

Abychom vám mohli poskytnout přehled nákladů na certifikaci ISMS, potřebujeme předem přesné informace o vašem obchodním modelu a oblasti použití. Tak vám můžeme poskytnout nabídku šitou na míru.