K čemu je ISO 27001?
ISO 27001 je mezinárodní standard, který popisuje, jak organizace mohou řešit informační bezpečnost. Norma specifikuje řízení rizik, jaká bezpečnostní opatření jsou požadována a jak organizace prokazuje shodu s předpisy. Pokud firma obdrží certifikaci ISO 27001, je to signál pro ni i pro ostatní spolupracující subjekty (zákazníci, dodavatelé, státní orgány), že používá dobré praktiky pro informační bezpečnost.
Musím mít ISO 27001, když chci vyhovět požadavkům NIS2?
Ne nutně. Certifikace ISO 27001 ale znamená, že firma má zaveden funkční systém řízení, a vyhovět požadavkům NIS2 již bude daleko snazší, než začínat od nuly. Mezi ISO 27001 a požadavky NIS2 (které konkretizuje ZoKB) je silný překryv, např. v oblastech řízení rizik, reakcí na incidenty a trvalého zlepšování.
Jaký je rozdíl mezi ISO 27001 a požadavky NIS2?
Základní rozdíly jsou tyto:
ISO 27001 je dobrovolná certifikace. Firma se sama rozhoduje, zda se chce požadavky normy řídit, a pokud splní podmínky, obdrží certifikát. NIS2 je evropská směrnice, která v ČR je implementována pomocí nového Zákona o kybernetické bezpečnosti. Ten je pro organizace, jež jsou v zákoně (resp. jeho příloze) určeny, závazný.
ISO 27001 je vhodné pro všechny organizace, zatímco NIS2 řeší kritické sektory, jako je například energetika, doprava nebo zdravotnictví.
NIS2 vyžaduje hlášení kyberincidentů příslušnému orgánu stanovenému státem, zatímco v požadavcích ISO 27001 tato povinnost není.
Proč bychom měli chtít certifikaci ISO 27001, když nespadáme pod ZoKB?
Jestliže firma funguje v souladu s ISO 27001, znamená to, že má sama v oblasti informační bezpečnosti pořádek a potvrdil to nezávislý certifikační orgán. Tento fakt může být rozhodující nejen při získávání zakázek, ale i při jednání s organizacemi, jako banky, pojišťovny atd. Opatření jako stanovení rolí, určení zastupitelností, sestavení havarijního a zálohovacího plánu atd. mohou významně posílit stabilitu firmy například při personálních změnách nebo dalším rozvoji.
Neznamená přechod na řízení podle ISO 27001, že se všechny běžné činnosti neskutečně zkomplikují?
Nemusí tomu tak být. ISO 27001 (a ostatně i další standardy, jako řízení kvality podle ISO 9001 nebo management životního prostředí podle ISO 14001) v podstatě vyžadují tři věci:
- napiš si, jak to chceš dělat (a bylo to v souladu s požadavky normy)
- dělej to tak
- měj záznam o tom, žes to tak dělal.
ISO normy vyžadují zpracování i formálních položek, jako je vyhlášení politik, registr zainteresovaných stran či prohlášení o aplikovatelnosti, tedy dokumentů, které nejsou součástí běžné denní praxe. Pokud ale klíčové směrnice spoluvytvářejí lidé, kteří skutečně příslušné činnosti vykonávají, ve spolupráci s interním auditorem se obvykle dojde ke shodě tak, aby směrnice vyhovovala požadavkům normy a zároveň nebránila efektivní práci. První činností, kterou auditor udělá, je tedy revize aktuálních směrnic a identifikace míst, která je třeba doplnit.
Co se po zavedení systému řízení informační bezpečnosti podle ISO 27001 změní v chodu firmy?
Záleží na tom, jak tato oblast vypadala před zavedením. Nemusí se změnit kromě několika formulářů prakticky nic. Může ovšem dojít i ke kompletnímu rozvrácení stávajících praktik, které představovaly časovanou bombu, jejíž výbuch by mohl mít na firmu fatální dopady.
Potřebuji k zavedení ISO 27001 externího konzultanta?
Ne nutně. Možná ale bude výhodnější využít spolupráci člověka, který již řadu firem certifikací provedl a má zkušenosti i odjinud, než školit vlastní lidi, kteří pak ale nebudou mít tolik času na práci, kterou umí nejlépe. Navíc pohled zvenčí pomůže odhalit chyby, které jsou v každodenní praxi již neviditelné. Auditor „kope za tým“ a rozhodně nemá v úmyslu firmě komplikovat život.
Jak dlouho certifikace trvá a kolik stojí?
Záleží na velikosti organizace a především na tom, jak vypadá její aktuální řízení procesů, směrnice atd. Od prvních schůzek k externímu auditu může uplynout 7 – 12 měsíců. Cenu dovedení k externímu auditu lze stanovit až po úvodní analýze, obvykle se pohybuje v řádech statisíců korun. Interní auditor může doporučit auditorskou firmu - certifikační orgán, poslední slovo má ale zákazník.