Jak řídit shodu s ISO 27001?

Datum poslední aktualizace: 06. 07. 2026

Co je ISO 27001?

ISO 27001 je mezinárodně platný standard, který definuje požadavky na systém managementu bezpečnosti informací.

  • norma definuje požadavky na řízení bezpečnosti informaci ve firmě
  • požaduje, jak zacházet s informacemi, daty, informačními technologiemi, jak mít nastavené procesy, směrnice a procesy
  • nastavuje a vynucuje takové principy řízení, aby byla minimalizována rizika ztráty, zneužití nebo úniku data a informací 

Co znamená mít shodu s ISO 27001?

Mít dokumentaci systému řízení informační bezpečnosti (ISMS)

  • Politika informační bezpečnosti: Oficiální prohlášení vedení o tom, jaké má firma cíle v oblasti informační bezpečnosti.
  • Cíle informační bezpečnosti: Měřitelné úkoly pro daný rok (např. snížit počet bezpečnostních incidentů o 10 % nebo zajistit dostupnost klíčových systémů na 99,9 %).

Mít popsané a zdokumentované procesy, role a odpovědnosti

Evidovat a odstraňovat neshody 

Znát rizika a řídit je (předcházet bezpečnostním incidentům)

  • Popis rizik: mít popsaná rizika informační bezpečnosti ve firmě v registru rizik 
  • Řízení rizik: mít zavedený systém analýzy a ošetření rizik informační bezpečnosti, ke každému riziku mít popsaný způsob, jak riziko ošetřit (např. snížit, přenést, přijmout)

Mít principy informační bezpečnosti součástí procesů

Vzdělávat lidi v oblasti informační bezpečnosti

Řídit dodavatele

  • Sledování dodavatelských smluv a hodnocení dodavatelů z hlediska informační bezpečnosti
  • Sledování dodržování bezpečnostních požadavků v rámci dodávek a služeb

Sledovat důkazy a kontrolovat stav

  • Metriky a KPI: Způsob, jakým firma měří účinnost a úspěšnost svých procesů informační bezpečnosti.
  • Zpětná vazba: Pravidelné zjišťování spokojenosti zákazníků s bezpečností služeb a systémů, monitoring incidentů.
  • Záznamy o informační bezpečnosti: Protokoly, revizní zprávy, logy a zápisy dokazující, že bezpečnostní postupy byly dodrženy.
  • Pravidelná kontrola, údržba a audit zabezpečení IT systémů a majetku. 

Sledovat chyby, odstraňovat jejich příčiny a trvale se zlepšovat 

  • Interní audity ISMS: Pravidelná vlastní kontrola, zda firma dodržuje požadavky ISMS a efektivně řídí informační bezpečnost.
  • Přezkoumání ISMS vedením: Pravidelné hodnocení celého systému řízení informační bezpečnosti ze strany top managementu

Mít ISO 27001 v excelu nebo používat software pro ISO 27001

Software pro ISO 27001 pomáhá vaší firmě snížit rizika spojená s informační bezpečností, chránit citlivá data a zajistit shodu s legislativními požadavky (např. GDPR), a zároveň budovat důvěru u zákazníků a partnerů.

  • Snížit náklady způsobené bezpečnostními incidenty, úniky dat a pokutami za nedodržení předpisů
  • Vybudovat bezpečný a důvěryhodný dodavatelský řetězec z hlediska informační bezpečnosti
  • Posílit firemní značku a reputaci v oblasti ochrany dat
  • Zvýšit loajalitu a důvěru zákazníků díky prokazatelné ochraně jejich dat
  • Efektivnější a rychlejší implementace a údržba systému řízení informační bezpečnosti (ISMS)
  • Online přístup a transparentnost pro auditory

Jaké dokumenty ISO 27001 vyžaduje?

Povinná dokumentace ISO 27001 (Základ auditu)

  • Dokument Rozsah systému řízení bezpečnosti informací (ISMS)
  • Dokument Politika bezpečnosti informací
  • Dokument Cíle bezpečnosti informací

Směrnice a pracovní postupy: dokumentace procesů ISMS

Zaměstnanci, jejich kompetence a povědomí o bezpečnosti informací

  • Plány nástupu a ukončení pracovního poměru (s ohledem na bezpečnost informací)
  • Plány školení a zvyšování povědomí zaměstnanců o bezpečnosti informací
  • Popisy pracovních pozic a pracovních náplní (včetně bezpečnostních povinností)

Řízení dodavatelů a externích stran (s ohledem na bezpečnost informací)

  • Směrnice k hodnocení a řízení dodavatelů (z pohledu bezpečnosti informací)

Zákazníci (a jejich informační aktiva)

  • Směrnice k ochraně informací zákazníků a vyřizování incidentů/stížností souvisejících s bezpečností informací

Řízení rizik bezpečnosti informací 

  • Přehled a popis rizik: mít popsaná rizika bezpečnosti informací v registru / katalogu rizik ISMS 

Nápravná a preventivní opatření bezpečnosti informací

  • Registr opatření - přehled všech opatření souvisejících s bezpečností informací (včetně nápravných a preventivních) ve firmě

Ověřování systému řízení bezpečnosti informací (ISMS) dle ISO 27001

  • Směrnice k internímu auditu ISMS