ISMS: proč zvolit normu ISO/IEC 27001

it, kyber
Ilustrační foto. Zdroj: Pixabay

Uvažujete o zavedení nových bezpečnostních protokolů ve Vaší firmě? Podívejte se, jaké výhody přináší norma ISO/IEC 27001.

Skoro 80 % vedoucích pracovníků v oblasti IT nemá důvěru ve své vlastní bezpečnostní systémy. V roce 2020 provedlo zhodnocení slabých míst svojí informační bezpečnosti jenom 57 % firem. S ohledem na to, jak přísná bezpečnostní opatření platí ve světovém byznysu, jsou tato data opravdu alarmující. Pokud se vaše společnost uchází o bližší spolupráci s některou z velkých nadnárodních korporací, v první řadě musí mít v pořádku svoje systémy informační bezpečnosti. Jak taková nařízení do chodu firmy implementovat? Zvládnete to sami? A kterými bezpečnostními protokoly se řídit?

Druhy norem

Existuje celá řada norem, která upravuje způsob kontroly kybernetické bezpečnosti v soukromém sektoru. V České republice je to například:

Minimální bezpečnostní standard (nařízení NÚKIB)

+             klade důraz na technická opatření

+             dostupný zdarma ke stažení na webu NÚKIB

–              nelze jej certifikovat

–              mimo Českou republiku není uznávaný

SOC 2

+             rozsah prověřovaných kritérií je volitelný

+             zprávy od auditora jsou nastavitelné – jednorázově/pravidelně

+             v USA trendem – vhodný pro americké klienty

+             audit je možné provést vzdáleným připojením

–              pouze v anglickém jazyce

–              auditor musí být v AICPA (asociace účetních), v ČR působí jen málo auditorů

–              v Evropě je uznávanější norma ISO/IEC 27001

Normy NIST

+             dostupné zdarma na webu

+             velmi komplexní a návodné, mohou dobře sloužit pro tvorbu metodik činností

–              pouze v anglickém jazyce

–              bez mezinárodní certifikace nebo potvrzení

Norma ISO/IEC 27001

+             v Evropě považována za vysoký standard – punc kvality

+             mezinárodně uznávaná

+             verifikovatelná

+             dostupná v češtině (přes třetí stranu)

–              placená

–              vyšší nároky na vaše systémy

Implementace

Když si zvolíte soubor nařízení, který vám vyhovuje, je ještě třeba ho do chodu vaší firmy implementovat. Implementace těchto opatření není jednoduchý proces, má několik fází, vše se mnohokrát kontroluje a na závěr musí vaše firma projít auditem třetí strany, aby mohla získat certifikát. Jednotlivé fáze celého procesu jsou:

  • stanovení rozsahu ISMS
  • stanovení politiky ISMS
  • analýza a hodnocení rizik
  • plánování zavedení opatření
  • interní audit
  • oprava zjištěných neshod
  • přezkoumání vedením společnosti
  • certifikační audit

Mějte na paměti, že celý proces probíhá cyklicky. To, že jednou certifikát máte, ještě neznamená, že se můžete o bezpečnostní systémy přestat starat. Celý proces (kromě stanovení politiky, rozsahu a certifikačního auditu) se každoročně opakuje.

Závěr

Všechny systémy mají svá pro a proti, ale pro evropské firmy na vyšší úrovni se všeobecně doporučuje norma ISO/IEC 27001. Je celosvětově uznávaná, pokud ji zavedete správně, není sebemenší problém získat na ni certifikát. Nedoporučuje se pouštět se do zavádění těchto nařízení na vlastní pěst. Na českém trhu se pohybuje spousta firem, které mají s implementací bezpečnostních norem bohaté zkušenosti a za rozumnou cenu vám rády pomůžou.

profipf