Co je standard ISO 27001?

ISO 27001 je mezinárodní standard pro systémy managementu stanovující požadavky pro systémy managementu bezpečnosti informací (Information Security Management System, ISMS). Standard poskytuje rámec osvědčených postupů identifikace, analýzy a zavedení kontrolních prostředků za účelem řízení a snížení rizik – a tím snížení pravděpodobnosti narušení bezpečnosti informací. Jakákoliv organizace – bez ohledu na velikost a odvětví – může využít požadavky a kontrolní prvky v rámci standardu ISO 27001 k zavedení efektivního systému managementu bezpečnosti informací, který lze nezávisle certifikovat. Akreditovaná certifikace dle ISO 27001 vydaná uznávaným a nezávislým certifikačním orgánem demonstruje úsilí v oblasti zabezpečení informací a poskytuje objektivní pohled na komplexnost a efektivitu vašeho systému managementu bezpečnosti informací. To pomáhá plnit smluvní povinnosti a v mnoha případech slouží jako obchodní licence.

Jaké výhody přináší standard ISO 27001 a proč je tolik důležitý?

Ochraňte své údaje a pověst Certifikace dle ISO 27001 ukazuje váš systematický přístup k zabezpečení informací založený na hodnocení rizik, který praktikuje osvědčené postupy: Identifikace rizik bezpečnosti informací a kybernetického prostoru Analýza rizik podle dopadu a pravděpodobnosti Vyhodnocení rizik a prioritizace jejich řešení podle faktorů vycházejících z vašeho podnikání Volba možností řešení rizik Demonstrujte vaši shodu se zákony, předpisy a smluvními požadavky K získání certifikace dle ISO 27001 budete muset splnit požadavky platných předpisů, jako například obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) nebo HIPAA. To má pozitivní vliv na řízení rizik a vedení podniku a pomáhá demonstrovat shodu a plnění smluvních požadavků. Konkurenční výhoda Certifikace od společnosti LRQA poskytuje klientům a zainteresovaným stranám důvěru, že bezpečnostní rizika – která se mohou týkat informačních technologií, lidí, fyzického prostředí či kontinuity podnikání – jsou řádně řešena za účelem ochrany jejich informací. Certifikace dle ISO 27001 zřetelně deklaruje vaše schopnosti a ukazuje, že váš provoz je v souladu s mezinárodně uznávanými osvědčenými postupy – a pomáhá vám tak získávat nové obchodní příležitosti.

Jak fungují audity ISO 27001?

Audity dle ISO 27001 používají stejný přístup jako jiné systémy managementu podle Přílohy SL. Můžete začít školením a rozdílovou analýzou, ale formální proces zahrnuje audit návrhu systému managementu bezpečnosti informací (1. fáze) a audit jeho provozu (2. fáze). Výstupy těchto auditů z technického hlediska zkontroluje nezávislá kvalifikovaná osoba ze společnosti LRQA, aby byla zajištěna konzistence a soulad s našimi požadavky na osvědčené postupy stanovené akreditačními orgány. Po schválení vám vydáme certifikát ISO 27001 a začne vám tříletý cyklus kontrolních auditů vedoucí k obnovovacímu auditu, který zahájí další tři roky. Kontrolní audity umožňují společnosti LRQA i vaší organizaci spravovat změny a zajistit tak relevanci auditů podle aktuálních oborových potřeb.

Jak dlouho trvá certifikace podle standardu ISO 27001?

Certifikace po schválení platí po dobu tří let, přičemž je podrobena kontrolnímu programu ověřujícímu efektivní použití systému.

Co je součástí obvyklého rozsahu systému managementu bezpečnosti informací a prohlášení o aplikovatelnosti?

Obvyklé prohlášení rozsahu certifikátu systému managementu bezpečnosti informací zahrnuje aktivity související s poskytováním výrobků a služeb. Nemusí zahrnovat interní aktivity nebo procesy systému managementu bezpečnosti informací. Cílem je ujistit čtenáře, že informace poskytnuté při přijetí výrobku či služby jsou chráněny. Prohlášení o aplikovatelnosti odkazuje na seznam zvolených kontrolních prostředků. Neuvádí podrobnosti o těchto kontrolních prostředcích, nýbrž sledovatelný odkaz na kontrolní prohlášení použité jako základ pro poslední audit dle ISO 27001. Někdy mají organizace veřejnou verzi určenou ke sdílení, která jednoduše uvádí kontrolní prostředky zvolené z Přílohy A standardu ISO 27001, to však není povinný požadavek.

Na kolik vyjde získat certifikaci dle ISO 27001?

Náklady se odvíjí od počtu auditních dnů, který pak závisí na počtu zaměstnanců v rámci systému managementu bezpečnosti informací. Počet auditních dnů je uveden v akreditované normě, ISO 27006, a je všem k dispozici k nahlédnutí. Zapojení akreditovaného certifikačního orgánu, jako je společnost LRQA, zajišťuje, že vám bude navrženo trvání auditu podle osvědčených postupů v odvětví srovnatelné s trváním, jaké by navrhly všechny ostatní akreditované certifikační orgány. Jako příklad, organizace se 100 ekvivalenty plné doby (FTE) může očekávat trvání prvotního auditu (1. fáze + 2. fáze) v délce mezi 8 a 12 dny, v závislosti na sektoru, ve kterém působí, složitosti jejich pracovního prostředí, zda provádí vývoj softwaru nebo zda potřebují zakomponovat zabezpečení do produktu. Následující kontrolní program zabere přibližně 3 až 4 dny za rok a obnovení 6 až 8 dnů.

Již máme certifikaci dle ISO 9001. Mohu ji integrovat se standardem ISO 27001?

Ano – jelikož oba standardy ISO 9001 a ISO 27001 jsou založeny na obecném modelu osvědčených postupů pro systémy managementu – Příloha SL – základní procesy řízení lze optimalizovat pro splnění požadavků obou standardů. Navržením systému tak, aby splňoval požadavky obou standardů, vlastně zvýšíte efektivitu řízení podniku. Například podnikové cíle, jako je růst, často vyžadují vývoj nových výrobků, kde je bezpečnost uvažována jako kvalitativní standard v souladu s očekáváním trhu. Integrace může také minimalizovat zdvojování, což může vést ke zkrácení doby auditu a nabídnout tak ekonomičtější způsob.

Jak vypadá obvyklý certifikační proces dle ISO 27001?

Cesta, kterou vaše organizace zvolí za účelem dosažení certifikace dle ISO 27001, často závisí mimo jiné na úrovni vyspělosti vašeho podniku ve vztahu k bezpečnosti informací a širšímu řízení rizik. Většina podniků, kteří ke standardu ISO 27001 přistupují poprvé, obvykle volí následující postup. Urychlit zavedení standardu ISO 27001: Naše nabídka školicích kurzů v oblasti ISO 27001 vám pomůže získat znalosti standardu a jeho požadavků – poskytujíc poznatky a dovednosti nezbytné k optimalizaci vašeho systému managementu. Posouzení připravenosti: Naše služby předběžného posouzení mohou mít formu rozdílové analýzy nebo předběžného posouzení. Jeden z našich zkušených auditorů posoudí připravenost vašeho systému a vyznačí oblasti, které mohou vyžadovat další pozornost, než pokročíte k formálnímu auditu dle ISO 27001. 1. fáze auditu – kontrola dokumentů a plánování: Auditor zkontroluje návrh a dokumentaci systému a vyhodnotí, zda splňuje požadavky normy a navržený rozsah auditu. Následuje rozhovor s klíčovými členy týmu. 1. fáze auditu se většinou provádí vzdáleně. 2. fáze auditu – hodnocení zavedení Během 2. fáze auditor vyhodnotí zavedení a efektivitu systému managementu bezpečnosti informací v souladu s požadavky standardu ISO 27001. Nejsou-li odhaleny zásadní nedostatky, bude doporučeno schválení a vy obdržíte certifikaci. 2. fázi auditu lze provést vzdáleně nebo na místě. Prezentace vaší certifikace dle ISO 27001: Certification ukazuje vaše úsilí při používání mezinárodně uznávaných osvědčených postupů a neustálém zdokonalování continual improvement – a pomáhá vám tak získávat nové obchodní příležitosti a plnit požadavky zákazníků. Roční kontrolní audit: Vaše certifikace dle ISO 27001 probíhá v tříletých cyklech. Každý rok provádíme kontrolní audity, abychom zajistili pokračující efektivitu vašeho systému managementu, jeho správné provádění a neustálé zlepšování. Obnova certifikátu: Tři měsíce před uplynutím platnosti certifikátu provedeme obnovovací audit aktivit vaší organizace, který zajistí jejich pokračující plnění požadavků standardu ISO 27001.

Co je standard ISO 27002:2022 a jaký je jeho dopad?

Vydání standardu ISO 27002:2022 obsahuje aktualizaci seznamu kontrolních prostředků uvedeného v ISO 27001 z roku 2013. Revidované kontrolní prostředky odráží vývoj hrozeb i osvědčených postupů a širší záběr standardu ISO 27002 pomáhá zajistit efektivitu a široký aplikační rozsah opatření k řízení rizik. Organizace mohou využít obsáhlý seznam kontrolních prostředků v boji proti zjištěným rizikům nebo k odhalení potenciálních slabých míst – což jim pomůže zůstat o krok napřed před složitým a stále se vyvíjejícím prostředí hrozeb, kterým podniky v dnešní době čelí.

Vyvíjí se nová verze standardu ISO 27001?

V říjnu 2022 se očekává zveřejnění nové verze standardu ISO 27001. Bude obsahovat nové kontrolní prostředky nastíněné ve standardu ISO 27002:2022 a organizace tak budou muset revidovat své hodnocení rizik a stanovit, zda je třeba zavést nová řešení rizik.

ISO 27001 certifikace

Získejte certifikaci a školení od odborníků společnosti LRQA

Vyžádat nabídku Školení v oblasti ISO 27001

Každé organizaci – bez ohledu na její velikost a odvětví – poskytne standard ISO/IEC 27001 silný základ pro komplexní strategii zabezpečení informací a kybernetického prostoru. Standard představuje rámec osvědčených postupů systému managementu bezpečnosti informací, který omezí rizika a ochrání nejdůležitější podniková data prostřednictvím identifikace, analýzy a výkonných prvků. Akreditovaná certifikace dle ISO 27001 prokazuje, že používáte procesy a postupy, které chrání informace ve vaší organizaci – a tím i informace vašich zákazníků – proti neustále složitějšímu prostředí hrozeb. Podívejte se na Časté dotazy o standardu a našich nabídkách.

Naše služby v oblasti ISO/IEC 27001

Naše certifikační a školicí služby můžeme poskytovat na místě, vzdáleně nebo smíšeným způsobem – který vám nabízí flexibilitu a model služeb vyhovující vašim potřebám.

Školení

Získejte znalosti standardu ISO 27001 s využitím řady kurzů navržených pro různé úrovně odbornosti – poskytované různými výukovými způsoby.

Rozdílová analýza (GAP)

Volitelná služba, při které vám jeden z našich zkušených auditorů pomůže identifikovat kritické, rizikové či slabé oblasti vašeho systému před započetím formálního auditu dle ISO 27001.

Akreditovaná certifikace

Nezávislý dvoufázový proces, který zřetelně deklaruje vaše schopnosti – a pomáhá vám tak získávat nové obchodní příležitosti a upevňovat důvěru zainteresovaných stran.

Integrované audity

Máte-li zavedeno více systémů managementu, můžete těžit z integrovaného auditního a kontrolního programu, který je účinnější a ekonomičtější.

Komplexní přístup k zabezpečení informací a kybernetického prostoru

Naše hluboké technické znalosti a odborné zkušenosti, podpořené širokým portfoliem v oblasti kybernetické bezpečnosti, nám umožňují spolupracovat s vaším podnikem a pomoci vám identifikovat konkrétní hrozby, kterým čelíte, a nalézt řešení na jejich zmírnění. Můžeme certifikovat váš systém, určit slabá místa a pomoci předcházet útokům a incidentům, které by mohly narušit integritu vaší značky a mít dopad na vaše finance a provoz.

Služby v oblasti zabezpečení informací a kybernetického prostoru od společnosti LRQA - 360 view.png

Proč s námi spolupracovat?

Místní i globální odbornost

Jsme všude, kde jste vy. S pomocí více než 300 vysoce kvalifikovaných auditorů a 250 specializovaných odborníků na kybernetickou bezpečnost po celém světě můžeme nabídnout služby v místě s globálně konzistentním zaměřením na kvalitu. Naši lidé jsou technickými odborníky s rozsáhlými znalostmi rizik, problémů, standardů, předpisů a rámců v oblasti bezpečnosti informací a kybernetického prostoru.

Flexibilní realizace

Ve většině případů dokážeme všechny naše školicí a certifikační služby v oblasti ISO 27001 poskytovat na místě nebo vzdáleně s použitím bezpečných a zabezpečených technologií. Pokud se rozhodnete pro způsob vzdáleného poskytování, získáte stejně kvalitní služby a navíc další výhody jako flexibilitu, rychlou realizaci či přístup ke globálním odborníkům.

Historie prvních

Jako první jsme získali akreditaci UKAS k poskytování certifikačních služeb pro celou řadu standardů a po celém světě. Neustále se snažíme pomáhat při vývoji nejrůznějších standardů a rámců napříč odvětvími.

Více než jen plnění požadavků

Společně s naší oceňovanou dceřinou společností Nettitude poskytující služby v oblasti kybernetické bezpečnosti vám můžeme pomoci zůstat o krok napřed před sofistikovanými kybernetickými hrozbami s pomocí pokročilých služeb, které poskytují frontovou ochranu a reakci na všechny hrozby a zranitelná místa.

Časté dotazy

Co je standard ISO 27001?

ISO 27001 je mezinárodní standard pro systémy managementu stanovující požadavky pro systémy managementu bezpečnosti informací (Information Security Management System, ISMS). Standard poskytuje rámec osvědčených postupů identifikace, analýzy a zavedení kontrolních prostředků za účelem řízení a snížení rizik – a tím snížení pravděpodobnosti narušení bezpečnosti informací.
Jakákoliv organizace – bez ohledu na velikost a odvětví – může využít požadavky a kontrolní prvky v rámci standardu ISO 27001 k zavedení efektivního systému managementu bezpečnosti informací, který lze nezávisle certifikovat.

Akreditovaná certifikace dle ISO 27001 vydaná uznávaným a nezávislým certifikačním orgánem demonstruje úsilí v oblasti zabezpečení informací a poskytuje objektivní pohled na komplexnost a efektivitu vašeho systému managementu bezpečnosti informací. To pomáhá plnit smluvní povinnosti a v mnoha případech slouží jako obchodní licence.
Jaké výhody přináší standard ISO 27001 a proč je tolik důležitý?
Ochraňte své údaje a pověst

Certifikace dle ISO 27001 ukazuje váš systematický přístup k zabezpečení informací založený na hodnocení rizik, který praktikuje osvědčené postupy:
- Identifikace rizik bezpečnosti informací a kybernetického prostoru
- Analýza rizik podle dopadu a pravděpodobnosti
- Vyhodnocení rizik a prioritizace jejich řešení podle faktorů vycházejících z vašeho podnikání
- Volba možností řešení rizik
Demonstrujte vaši shodu se zákony, předpisy a smluvními požadavky

K získání certifikace dle ISO 27001 budete muset splnit požadavky platných předpisů, jako například obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) nebo HIPAA. To má pozitivní vliv na řízení rizik a vedení podniku a pomáhá demonstrovat shodu a plnění smluvních požadavků.

Konkurenční výhoda

Certifikace od společnosti LRQA poskytuje klientům a zainteresovaným stranám důvěru, že bezpečnostní rizika – která se mohou týkat informačních technologií, lidí, fyzického prostředí či kontinuity podnikání – jsou řádně řešena za účelem ochrany jejich informací.

Certifikace dle ISO 27001 zřetelně deklaruje vaše schopnosti a ukazuje, že váš provoz je v souladu s mezinárodně uznávanými osvědčenými postupy – a pomáhá vám tak získávat nové obchodní příležitosti.
Jak fungují audity ISO 27001?

Audity dle ISO 27001 používají stejný přístup jako jiné systémy managementu podle Přílohy SL. Můžete začít školením a rozdílovou analýzou, ale formální proces zahrnuje audit návrhu systému managementu bezpečnosti informací (1. fáze) a audit jeho provozu (2. fáze). Výstupy těchto auditů z technického hlediska zkontroluje nezávislá kvalifikovaná osoba ze společnosti LRQA, aby byla zajištěna konzistence a soulad s našimi požadavky na osvědčené postupy stanovené akreditačními orgány.

Po schválení vám vydáme certifikát ISO 27001 a začne vám tříletý cyklus kontrolních auditů vedoucí k obnovovacímu auditu, který zahájí další tři roky. Kontrolní audity umožňují společnosti LRQA i vaší organizaci spravovat změny a zajistit tak relevanci auditů podle aktuálních oborových potřeb.
Jak dlouho trvá certifikace podle standardu ISO 27001?

Certifikace po schválení platí po dobu tří let, přičemž je podrobena kontrolnímu programu ověřujícímu efektivní použití systému.
Co je součástí obvyklého rozsahu systému managementu bezpečnosti informací a prohlášení o aplikovatelnosti?

Obvyklé prohlášení rozsahu certifikátu systému managementu bezpečnosti informací zahrnuje aktivity související s poskytováním výrobků a služeb. Nemusí zahrnovat interní aktivity nebo procesy systému managementu bezpečnosti informací. Cílem je ujistit čtenáře, že informace poskytnuté při přijetí výrobku či služby jsou chráněny.

Prohlášení o aplikovatelnosti odkazuje na seznam zvolených kontrolních prostředků. Neuvádí podrobnosti o těchto kontrolních prostředcích, nýbrž sledovatelný odkaz na kontrolní prohlášení použité jako základ pro poslední audit dle ISO 27001. Někdy mají organizace veřejnou verzi určenou ke sdílení, která jednoduše uvádí kontrolní prostředky zvolené z Přílohy A standardu ISO 27001, to však není povinný požadavek.
Na kolik vyjde získat certifikaci dle ISO 27001?

Náklady se odvíjí od počtu auditních dnů, který pak závisí na počtu zaměstnanců v rámci systému managementu bezpečnosti informací. Počet auditních dnů je uveden v akreditované normě, ISO 27006, a je všem k dispozici k nahlédnutí. Zapojení akreditovaného certifikačního orgánu, jako je společnost LRQA, zajišťuje, že vám bude navrženo trvání auditu podle osvědčených postupů v odvětví srovnatelné s trváním, jaké by navrhly všechny ostatní akreditované certifikační orgány.

Jako příklad, organizace se 100 ekvivalenty plné doby (FTE) může očekávat trvání prvotního auditu (1. fáze + 2. fáze) v délce mezi 8 a 12 dny, v závislosti na sektoru, ve kterém působí, složitosti jejich pracovního prostředí, zda provádí vývoj softwaru nebo zda potřebují zakomponovat zabezpečení do produktu. Následující kontrolní program zabere přibližně 3 až 4 dny za rok a obnovení 6 až 8 dnů.
Již máme certifikaci dle ISO 9001. Mohu ji integrovat se standardem ISO 27001?

Ano – jelikož oba standardy ISO 9001 a ISO 27001 jsou založeny na obecném modelu osvědčených postupů pro systémy managementu – Příloha SL – základní procesy řízení lze optimalizovat pro splnění požadavků obou standardů. Navržením systému tak, aby splňoval požadavky obou standardů, vlastně zvýšíte efektivitu řízení podniku. Například podnikové cíle, jako je růst, často vyžadují vývoj nových výrobků, kde je bezpečnost uvažována jako kvalitativní standard v souladu s očekáváním trhu. Integrace může také minimalizovat zdvojování, což může vést ke zkrácení doby auditu a nabídnout tak ekonomičtější způsob.
Jak vypadá obvyklý certifikační proces dle ISO 27001?
Cesta, kterou vaše organizace zvolí za účelem dosažení certifikace dle ISO 27001, často závisí mimo jiné na úrovni vyspělosti vašeho podniku ve vztahu k bezpečnosti informací a širšímu řízení rizik. Většina podniků, kteří ke standardu ISO 27001 přistupují poprvé, obvykle volí následující postup.
1. Urychlit zavedení standardu ISO 27001: Naše nabídka školicích kurzů v oblasti ISO 27001 vám pomůže získat znalosti standardu a jeho požadavků – poskytujíc poznatky a dovednosti nezbytné k optimalizaci vašeho systému managementu.
2. Posouzení připravenosti: Naše služby předběžného posouzení mohou mít formu rozdílové analýzy nebo předběžného posouzení. Jeden z našich zkušených auditorů posoudí připravenost vašeho systému a vyznačí oblasti, které mohou vyžadovat další pozornost, než pokročíte k formálnímu auditu dle ISO 27001.
3. 1. fáze auditu – kontrola dokumentů a plánování: Auditor zkontroluje návrh a dokumentaci systému a vyhodnotí, zda splňuje požadavky normy a navržený rozsah auditu. Následuje rozhovor s klíčovými členy týmu. 1. fáze auditu se většinou provádí vzdáleně.
4. 2. fáze auditu – hodnocení zavedení Během 2. fáze auditor vyhodnotí zavedení a efektivitu systému managementu bezpečnosti informací v souladu s požadavky standardu ISO 27001. Nejsou-li odhaleny zásadní nedostatky, bude doporučeno schválení a vy obdržíte certifikaci. 2. fázi auditu lze provést vzdáleně nebo na místě.
5. Prezentace vaší certifikace dle ISO 27001: Certification ukazuje vaše úsilí při používání mezinárodně uznávaných osvědčených postupů a neustálém zdokonalování continual improvement – a pomáhá vám tak získávat nové obchodní příležitosti a plnit požadavky zákazníků.
6. Roční kontrolní audit: Vaše certifikace dle ISO 27001 probíhá v tříletých cyklech. Každý rok provádíme kontrolní audity, abychom zajistili pokračující efektivitu vašeho systému managementu, jeho správné provádění a neustálé zlepšování.
7. Obnova certifikátu: Tři měsíce před uplynutím platnosti certifikátu provedeme obnovovací audit aktivit vaší organizace, který zajistí jejich pokračující plnění požadavků standardu ISO 27001.
Co je standard ISO 27002:2022 a jaký je jeho dopad?

Vydání standardu ISO 27002:2022 obsahuje aktualizaci seznamu kontrolních prostředků uvedeného v ISO 27001 z roku 2013. Revidované kontrolní prostředky odráží vývoj hrozeb i osvědčených postupů a širší záběr standardu ISO 27002 pomáhá zajistit efektivitu a široký aplikační rozsah opatření k řízení rizik. Organizace mohou využít obsáhlý seznam kontrolních prostředků v boji proti zjištěným rizikům nebo k odhalení potenciálních slabých míst – což jim pomůže zůstat o krok napřed před složitým a stále se vyvíjejícím prostředí hrozeb, kterým podniky v dnešní době čelí.
Vyvíjí se nová verze standardu ISO 27001?

V říjnu 2022 se očekává zveřejnění nové verze standardu ISO 27001. Bude obsahovat nové kontrolní prostředky nastíněné ve standardu ISO 27002:2022 a organizace tak budou muset revidovat své hodnocení rizik a stanovit, zda je třeba zavést nová řešení rizik.