Co je ISO 27001?
ISO 27001 je mezinárodně platný standard, který definuje požadavky na systém managementu bezpečnosti informací.
- norma definuje požadavky na řízení bezpečnosti informaci ve firmě
- požaduje, jak zacházet s informacemi, daty, informačními technologiemi, jak mít nastavené procesy, směrnice a procesy
- nastavuje a vynucuje takové principy řízení, aby byla minimalizována rizika ztráty, zneužití nebo úniku data a informací
Co znamená mít shodu s ISO 27001?
Mít dokumentaci systému řízení informační bezpečnosti (ISMS)
- Politika informační bezpečnosti: Oficiální prohlášení vedení o tom, jaké má firma cíle v oblasti informační bezpečnosti.
- Cíle informační bezpečnosti: Měřitelné úkoly pro daný rok (např. snížit počet bezpečnostních incidentů o 10 % nebo zajistit dostupnost klíčových systémů na 99,9 %).
Mít popsané a zdokumentované procesy, role a odpovědnosti
- Řízená dokumentace: Bezpečnostní politiky, směrnice a postupy, které jsou aktuální a přístupné zaměstnancům.
- Popis procesů: Jasně definované vstupy, kroky a výstupy bezpečnostních procesů v ISMS.
- Technická dokumentace: vlastnictví a vedení dokumentace k IT systémům a technologiím včetně jejich bezpečnostních konfigurací, které firma využívá
- Organizační struktura a role v ISMS: Přesné určení, kdo zodpovídá za informační bezpečnost a jaké má pravomoci.
Evidovat a odstraňovat neshody
- Řízení neshod: Evidovat a řídit bezpečnostní incidenty a neshody, hlásit závady
- Nápravná opatření: Hledání příčin bezpečnostních incidentů a neshod, aby se už neopakovaly.
Znát rizika a řídit je (předcházet bezpečnostním incidentům)
- Popis rizik: mít popsaná rizika informační bezpečnosti ve firmě v registru rizik
- Řízení rizik: mít zavedený systém analýzy a ošetření rizik informační bezpečnosti, ke každému riziku mít popsaný způsob, jak riziko ošetřit (např. snížit, přenést, přijmout)
Mít principy informační bezpečnosti součástí procesů
- Zajišťuje bezpečné nakládání s majetkem (SW, HW, data) po celou dobu jeho životního cyklu a připomínání termínů
Vzdělávat lidi v oblasti informační bezpečnosti
- Bezpečnostní školení zaměstnanců během nástupu a adaptace
- Seznamování lidí s bezpečnostními politikami, postupy a nejlepšími praktikami
- Průběžné bezpečnostní vzdělávání
- Komunikace bezpečnostních požadavků a zodpovědností v rámci týmů
Řídit dodavatele
- Sledování dodavatelských smluv a hodnocení dodavatelů z hlediska informační bezpečnosti
- Sledování dodržování bezpečnostních požadavků v rámci dodávek a služeb
Sledovat důkazy a kontrolovat stav
- Metriky a KPI: Způsob, jakým firma měří účinnost a úspěšnost svých procesů informační bezpečnosti.
- Zpětná vazba: Pravidelné zjišťování spokojenosti zákazníků s bezpečností služeb a systémů, monitoring incidentů.
- Záznamy o informační bezpečnosti: Protokoly, revizní zprávy, logy a zápisy dokazující, že bezpečnostní postupy byly dodrženy.
- Pravidelná kontrola, údržba a audit zabezpečení IT systémů a majetku.
Sledovat chyby, odstraňovat jejich příčiny a trvale se zlepšovat
- Interní audity ISMS: Pravidelná vlastní kontrola, zda firma dodržuje požadavky ISMS a efektivně řídí informační bezpečnost.
- Přezkoumání ISMS vedením: Pravidelné hodnocení celého systému řízení informační bezpečnosti ze strany top managementu
Mít ISO 27001 v excelu nebo používat software pro ISO 27001
Software pro ISO 27001 pomáhá vaší firmě snížit rizika spojená s informační bezpečností, chránit citlivá data a zajistit shodu s legislativními požadavky (např. GDPR), a zároveň budovat důvěru u zákazníků a partnerů.
- Snížit náklady způsobené bezpečnostními incidenty, úniky dat a pokutami za nedodržení předpisů
- Vybudovat bezpečný a důvěryhodný dodavatelský řetězec z hlediska informační bezpečnosti
- Posílit firemní značku a reputaci v oblasti ochrany dat
- Zvýšit loajalitu a důvěru zákazníků díky prokazatelné ochraně jejich dat
- Efektivnější a rychlejší implementace a údržba systému řízení informační bezpečnosti (ISMS)
- Online přístup a transparentnost pro auditory
Jaké dokumenty ISO 27001 vyžaduje?
Povinná dokumentace ISO 27001 (Základ auditu)
- Dokument Rozsah systému řízení bezpečnosti informací (ISMS)
- Dokument Politika bezpečnosti informací
- Dokument Cíle bezpečnosti informací
Směrnice a pracovní postupy: dokumentace procesů ISMS
- Směrnice a postupy (řízená dokumentace): které jsou aktuální, přístupné zaměstnancům a které obsahují popis procesů řízení bezpečnosti informací, tedy definované vstupy, kroky, odpovědnosti a výstupy
- Technická dokumentace: vedení technické dokumentace k systémům a technologiím, které firma využívá pro zajištění bezpečnosti informací
- Popsaná organizační struktura a pracovní pozice: Přesné určení rolí a odpovědností v oblasti bezpečnosti informací.
Zaměstnanci, jejich kompetence a povědomí o bezpečnosti informací
- Plány nástupu a ukončení pracovního poměru (s ohledem na bezpečnost informací)
- Plány školení a zvyšování povědomí zaměstnanců o bezpečnosti informací
- Popisy pracovních pozic a pracovních náplní (včetně bezpečnostních povinností)
Řízení dodavatelů a externích stran (s ohledem na bezpečnost informací)
- Směrnice k hodnocení a řízení dodavatelů (z pohledu bezpečnosti informací)
Zákazníci (a jejich informační aktiva)
- Směrnice k ochraně informací zákazníků a vyřizování incidentů/stížností souvisejících s bezpečností informací
Řízení rizik bezpečnosti informací
- Přehled a popis rizik: mít popsaná rizika bezpečnosti informací v registru / katalogu rizik ISMS
Nápravná a preventivní opatření bezpečnosti informací
- Registr opatření - přehled všech opatření souvisejících s bezpečností informací (včetně nápravných a preventivních) ve firmě
Ověřování systému řízení bezpečnosti informací (ISMS) dle ISO 27001
- Směrnice k internímu auditu ISMS