Man and a woman with a laptop in a server room

Certifikace ISO 27001

Váš dotaz


Zabezpečení informací pomocí systému

Téma "Bezpečnost informací" je pro společnosti v průběhu digitální transformace stále naléhavější. Bez dostatečných bezpečnostních opatření hrozí ztráta a krádež dat hackery, výpadky podnikání v důsledku útoků přes web nebo zneužití dat. Jednou z možností strukturovaného přístupu je systém řízení bezpečnosti informací (ISMS) podle normy ISO 27001.

Prokazatelné zabezpečení dat a informací

Bezpečnost informací jako součást firemní kultury

Účinné zavedení procesu řízení rizik

Neustálé zlepšování úrovně zabezpečení

Business10.png

Co je to ISO 27001?

ISO/IEC 27001 je přední mezinárodní norma pro zavádění uceleného systému řízení bezpečnosti informací. Zaměřuje se na identifikaci, hodnocení a řízení rizik pro procesy nakládání s informacemi. Bezpečnost důvěrných informací je zdůrazněna jako významný strategický prvek.

Informace nás obklopují všude a jsou součástí každého procesu. Někdy mohou být nepodstatné, ale až příliš často jsou kritické a důvěrné. Aby bylo možné toto pro organizaci důležité rozlišení provést, je nutné informace klasifikovat. Na této klasifikaci jsou totiž založena ochranná opatření systému řízení bezpečnosti informací (ISMS) podle normy ISO/IEC 27001.

Systém ISMS vytváří rámec pro ochranu provozních údajů a jejich důvěrnosti. Celosvětově uznávaná norma zároveň zajišťuje dostupnost informačních systémů zapojených do podnikových procesů. V této souvislosti vysílá certifikace ISO 27001 na trh silný signál: totiž nezávislé externí hodnocení a potvrzení účinnosti vašeho ISMS.

Druhé vydání normy ISO/IEC 27001 pochází z roku 2013. Nyní byla tato mezinárodně uznávaná norma pro ISMS aktualizována a 25. října 2022 znovu vydána ve svém třetím vydání jako ISO/IEC 27001:2022. Revize je nevyhnutelným důsledkem poté, co byla norma ISO/IEC 27002, jakožto prováděcí pokyn upravující přílohu A normy ISO 27001, komplexně revidována a zveřejněna v únoru 2022.

Přechodné období pro stávající certifikáty ISO 27001 je tři roky od posledního dne měsíce zveřejnění nové normy ISO/IEC 27001:2022, což znamená, že všechny certifikáty podle normy ISO/IEC 27001:2013 musí být převedeny na verzi ISO 27001 z roku 2022 do 31. října 2025, O novinkách aktualizace normy ISO 27001 se můžete dočíst v našem článku "Nová norma ISO/IEC 27001:2022 - klíčové změny".

Zobrazit více
Zobrazit méně
SEO19.png

Pro koho je certifikace podle ISO 27001 vhodná?

Norma ISMS ISO 27001 platí celosvětově. Poskytuje společnostem všech velikostí a odvětví rámec pro plánování, zavádění a monitorování bezpečnosti informací. Požadavky jsou aplikovatelné a vztahují se na soukromé i veřejné společnosti a také na neziskové organizace.

Například v Německu musí společnosti, které patří do odvětví kritické infrastruktury (KRITIS) a překročí určitou hranici, doložit, jak zajišťují bezpečnost svých informací. Mezi odvětví KRITIS patří energetika, vodárenství, zdravotnictví, finance a pojišťovnictví, potravinářství, doprava a doprava, informační technologie a telekomunikace. Odpovídající důkaz o implementaci lze poskytnout prostřednictvím bezpečnostních auditů, testů nebo certifikací. Za tímto účelem lze jako základ auditu použít buď uznávané normy, jako je ISO 27001, nebo alternativně oborové bezpečnostní normy uznávané německým Spolkovým úřadem pro bezpečnost informací (BSI).

Zobrazit více
Zobrazit méně
Business11.png

Čím je norma ISO 27001 užitečná pro mou společnost?

Zavedení systému ISMS podle normy ISO/IEC 27001 je pro vaši společnost strategickým rozhodnutím. Splnění záměrně obecných požadavků normy musí odrážet konkrétní situaci společnosti. Zavedení ve vaší firmě závisí na potřebách a cílech, bezpečnostních požadavcích a organizačních procesech, stejně jako na velikosti a struktuře firmy.

V praxi je zvláště cenná příloha A normy ISO 27001, která se má používat v souvislosti s oddílem 6.1.3 na základě analýz rizik specifických pro danou společnost. Kontrolní mechanismy bezpečnosti informací uvedené v příloze A jsou přímo odvozeny z opatření uvedených v platné normě ISO 27002, oddílech 5 až 8, a jsou s nimi sladěny.

Dříve příloha A normy ISO/IEC 27001:2013 obsahovala celkem 114 kontrolních opatření k řešení rizik bezpečnosti informací, rozdělených do 14 oddílů a 35 kontrolních cílů. V nové normě ISO/IEC 27001:2022-10 příloha A nyní obsahuje 93 kontrolních opatření týkajících se příslušných bezpečnostních aspektů, které jsou přiřazeny ke 4 tematickým oblastem.

Bylo prokázáno, že důsledné sladění firemních procesů s normou ISO 27001 vede k řadě výhod:

  • neustálé zlepšování úrovně zabezpečení
  • Snížení stávajících rizik
  • Dodržování požadavků na shodu
  • Větší informovanost zaměstnanců
  • Větší spokojenost zákazníků

Interní audity a přezkoumání vedením za účasti nejvyššího vedení jsou interními pákami, jak toho dosáhnout.

Dalšími pozitivními aspekty je, že zainteresované strany, jako jsou dozorové orgány, pojišťovny, banky, partnerské společnosti, si vybudují vyšší úroveň důvěry ve vaši společnost. Certifikovaný systém řízení totiž signalizuje, že se vaše organizace zabývá riziky strukturovaným způsobem a hlásí se k neustálému zlepšování (CIP), čímž se stává odolnější vůči nežádoucím vlivům.

Mezinárodní normu ISO/IEC 27001 lze také zavést, provozovat a certifikovat nezávisle na jiných systémech řízení, jako je ISO 9001 (řízení kvality) nebo ISO 14001 (environmentální řízení).

 

Zobrazit více
Zobrazit méně
Business36.png

Kdo může provádět certifikaci podle normy ISO 27001?

Pro certifikaci systému řízení bezpečnosti informací musí být příslušný certifikační orgán sám akreditován podle norem ISO/IEC 17021 a ISO/IEC 27006. Norma ISO/IEC 17021 upravuje témata související s posuzováním shody, konkrétně požadavky na kontrolní orgány, které provádějí audit a certifikaci systémů řízení.

Norma ISO/IEC 27006 navíc definuje přísné požadavky, které musí certifikační orgány splňovat, aby mohly certifikovat ISMS podle normy ISO 27001.

Patří mezi ně:

  • Důkaz o specifickém úsilí při auditu
  • Požadavky na kvalifikaci auditorů.

Společnost DQS je akreditována národním německým akreditačním orgánem DakkS (Deutsche Akkreditierungsstelle GmbH), a proto je oprávněna provádět audity a certifikace podle normy ISO 27001.

Bez ohledu na odvětví, ve kterém vaše společnost působí, se můžete spolehnout na osobitou odbornost auditorů DQS. Mají dlouholeté zkušenosti s posuzováním systémů řízení bezpečnosti informací v různých odvětvích.

Zobrazit více
Zobrazit méně
Business26.png

BCM a bezpečnost informací: neporazitelný tým

Integrace řízení kontinuity podnikání (BCM) a řízení bezpečnosti informací představuje základ pro zvýšení odolnosti a bezpečnosti ve firmách - zejména ve světě, který se vyznačuje stále složitějšími hrozbami. Díky certifikaci ISO 27001 (systém řízení bezpečnosti informací) a ISO 22301 (systém řízení kontinuity provozu) splňují organizace zvýšené požadavky na dostupnost svých kritických podnikových procesů a citlivých informací. 

Integrovaný přístup nabízí rozhodující výhody:

Přístup založený na všech rizicích: Zatímco ISO 27001 se zaměřuje na ochranu informací a dat před ztrátou, krádeží nebo manipulací, ISO 22301 zajišťuje, že společnosti mohou pokračovat v činnosti a rychle se vrátit k normálnímu provozu i v případě jiných hrozeb (přerušení dodavatelského řetězce, výpadky proudu, extrémní povětrnostní události).

Účinná prevence hrozeb: Úzká vazba mezi oběma systémy řízení umožňuje organizacím řešit rizika jak preventivně, tak reaktivně - od kybernetických útoků po přírodní katastrofy je zaveden účinný systém řízení mimořádných událostí a krizových situací.

Synergické efekty: Souběžná implementace obou norem snižuje úsilí potřebné pro integraci a certifikaci. Lze harmonizovat procesy, optimalizovat rozhraní a vyhnout se duplicitní práci. Jednotlivé prvky normy ISO 22301 jsou již vyžadovány v normě ISO 27001.

Certifikací společnosti nejen prokazují svou schopnost komplexně odvrátit nebezpečí, ale také posilují důvěru zákazníků, partnerů a zúčastněných stran v případě kybernetického útoku nebo jiného bezpečnostního incidentu. BCM a bezpečnost informací jsou více než jen součet svých částí - tvoří nepřekonatelný tým, který zajistí budoucnost vaší společnosti. 

Zobrazit více
Zobrazit méně
Business28.png

Jak probíhá certifikace podle normy ISO 27001?

Po zavedení všech požadavků normy ISO 27001 můžete nechat svůj systém řízení certifikovat. V DQS projdete několikastupňovým certifikačním procesem. Pokud je ve společnosti již zaveden certifikovaný systém řízení, může být proces zkrácen.

V prvním kroku s námi proberete svou společnost a cíle certifikace ISO 27001. Na základě toho obdržíte podrobnou nabídku přizpůsobenou individuálním potřebám vaší společnosti.

Certifikační audit začíná systémovou analýzou a hodnocením vašeho ISMS (1. etapa auditu). Zde auditor zjišťuje, zda je váš systém řízení dostatečně vyvinutý a připravený k certifikaci. V dalším kroku (2. etapa auditu systému) váš auditor posuzuje účinnost všech procesů řízení na pracovišti s použitím normy ISO 27001. Výsledek auditu je prezentován na závěrečném setkání. V případě potřeby jsou dohodnuty akční plány.

Po certifikačním auditu jsou výsledky vyhodnoceny nezávislou certifikační komisí DQS. Pokud jsou splněny všechny požadavky normy, obdržíte certifikát ISO 27001.

Po úspěšné certifikaci jsou klíčové součásti vašeho systému ISMS nejméně jednou ročně znovu auditovány na místě, aby bylo zajištěno neustálé zlepšování.

Platnost certifikátu ISO 27001 je maximálně tři roky. Recertifikace se provádí v dostatečném předstihu před vypršením platnosti, aby se zajistilo trvalé dodržování požadavků platné normy. Po splnění požadavků je vydán nový certifikát.

Banking13.png

Kolik stojí certifikace ISO 27001?

Čtyři kritéria hodnocení

Přestože audit ISO 27001 má být proveden podle strukturovaných specifikací, náklady závisí na různých faktorech, například na složitosti vaší organizace. Proto nemůže existovat žádná univerzální nabídka pro danou společnost.

Náklady na certifikaci podle ISO 27001 se stanovují mimo jiné podle následujících čtyř kritérií:

1. Složitost vašeho systému řízení bezpečnosti informací.

Zohledňují se kritické hodnoty (například patenty, osobní údaje, zařízení, procesy) vaší společnosti. Náklady na certifikaci vycházejí především z požadavků na bezpečnost informací a z míry ovlivnění důvěrnosti, integrity a dostupnosti (VIV) informací.

2. Hlavní činnost vaší společnosti v rámci systému ISMS

V tomto bodě hrají důležitou roli při určování potřebného úsilí při auditu zejména rizika spojená s vašimi obchodními procesy. V úvahu se berou právní požadavky i komplexní individuální požadavky zákazníků.

3. Hlavní technologie a komponenty používané ve vašem systému ISMS

Během auditu se zkoumají technologie i jednotlivé komponenty vašeho ISMS. Patří mezi ně IT platformy, servery, databáze, aplikace i síťové segmenty. Základní pravidlo zde zní: Čím vyšší je podíl standardních systémů a čím nižší je složitost vašeho IT, tím nižší je náročnost. Od toho se odvíjejí i náklady na certifikaci ISO 27001.

4 Podíl vlastního vývoje ve vašem systému ISMS

Pokud nemáte žádný interní vývoj a používáte převážně standardizované softwarové platformy, je náročnost posouzení nižší. Pokud se váš systém ISMS vyznačuje intenzivním využíváním vlastního vývoje softwaru a pokud je tento software používán pro centrální oblasti podnikání, bude náročnost certifikace vyšší.

Abychom vám mohli poskytnout přehled nákladů na certifikaci ISMS, potřebujeme předem přesné informace o vašem obchodním modelu a oblasti použití. Tak vám můžeme poskytnout nabídku šitou na míru.

Zobrazit více
Zobrazit méně
Business2.png

Co od nás můžete očekávat

  • Více než 35 let zkušeností s certifikací systémů řízení a procesů
  • Zkušení auditoři a odborníci z oboru s rozsáhlými technickými znalostmi
  • Vhled do vaší společnosti s přidanou hodnotou
  • Certifikáty s mezinárodním uznáním
  • Odborné znalosti a akreditace pro všechny relevantní normy
  • Osobní a bezproblémová podpora našich specialistů - na regionální, národní i mezinárodní úrovni
  • Individuální nabídky s flexibilními smluvními podmínkami a bez skrytých nákladů
Director DQS Slovakia

Vyžádejte si cenovou nabídku

Váš místní kontakt

Rádi vám poskytneme individuální nabídku na certifikaci vašeho systému ISMS podle normy ISO 27001.

Ing. Pavol Plevják, ředitel společnosti DQS Slovakia, s.r.o.

Váš dotaz

Jakékoli dotazy?

Jsme tu pro vás.
Kon­tak­tujte nás