CO JE ISO 27001
Systém řízení bezpečnosti informací ISO/IEC 27001 poskytuje rámec pro systémy řízení bezpečnosti informací (ISMS), který umožňuje zachování důvěrnosti, integrity a dostupnosti informací, jakož i dodržování právních předpisů.
Poslední revize normy ISO 27001 proběhla v roce 2013, tedy 9 let od vydání aktualizace, která nese označení ISO/IEC 27001:2013. Na cestě je nová verze ISO/IEC 27001:2022. A v tomto případě nepůjde o kosmetický upgrade.
Implementace ISO 27001 je ideální odpovědí na požadavky zákazníků a zákonů, jako je GDPR a potenciální bezpečnostní hrozby včetně:: kybernetických zločinů, porušení osobních údajů, vandalismu, terorismu, požáru, poškození, zneužití, krádeži, virových útokům a dalším
Certifikace ISO 27001 je zásadní pro ochranu vašich aktiv, a to jak informačních, aplikačních, tak i fyzických.
Získání certifikátu ISO je možné pro všechny společnosti, bez ohledu na počet zaměstnanců, velikosti obratu, množství dodavatelů a další parametry
Nové požadavky
ISO/IEC 27001:2022
Norma obsahuje 94 kontrol ve 4 oblastech
-
Kapitola 5 - Organizační (pokud nespadají do žádné jiné oblasti) - 37 kontrol
-
Kapitola 6 - Lidé (pokud se týkají jednotlivých lidí) - 8 kontrol
-
Kapitola 7 - Fyzické (pokud se týkají fyzických objektů) - 14 kontrol
-
Kapitola 8 - Technologické (pokud se týkají technologií) - 34 kontrol
Příklady požadavků staré normy ISO/IEC 27001:2013
Norma ISO 27001:2013 obsahuje ISO/IEC 27002:2013 obsahuje 114 kontrol ve 14 oblastech
-
Model aktiv a Hodnocení rizik jednotlivých aktiv
-
Plán kontinuity a plán ošetření rizik
-
Bezpečnostní politiky - práce na dálku, zálohování, fyzická bezpečnost, ochrana mobilních zařízení, přidělování přístupů a tvorba hesel
-
Stanovení Cílů a programů v oblasti bezpečnosti informací
-
Záznamy o činnostech zpracování osobních údajů
-
Řízení incidentů apod.
Pro každou kontrolu je stanoveno 5 atributů:
Jak kategorizovat - preventivní, detektivní (vyšetřovací), nápravné
Vlastnosti bezpečnosti informací - důvěrnost, integrita, dostupnost
Koncepty kybernetické bezpečnosti - identifikace, ochrana, detekce, reakce, obnova
Provozní schopnosti - řízení, správa aktiv, ochrana informací, bezpečnost lidských zdrojů, fyzická bezpečnost, bezpečnost systémů a sítí, bezpečnost aplikací, bezpečná konfigurace, správa identit a přístupu, správa hrozeb a zranitelností, kontinuita, bezpečnost dodavatelských vztahů, shoda s požadavky zákonů a smluv, řízení událostí v oblasti bezpečnosti informací, zajištění bezpečnosti informací
Oblasti bezpečnosti - řízení a ekosystém, ochrana, obrana, odolnost
Důležité termíny pro přechod na novou normu
Pro tuto normu bylo stanoveno tříleté přechodové období do 31. 10. 2025. Pro novelu ISO/IEC 27001 je tedy přechodové období následující:
Již certifikované organizace:
Od 01. 11. 2025 se všechny audity budou provádět pouze podle nové normy, certifikáty dle ISO/IEC 27001:2013 již po tomto datu nebudou platné, k tomuto datu musí v rámci plánovaných auditů dojít k přechodu na novou verzi normy ISO/IEC 27001:2022. Pro všechny certifikované organizace jsme povinni přidat k auditnímu času minimálně 0,5 auditního dne na prověření aplikace změn ISO/IEC 27001:2022
Nově certifikované organizace:
Od 01. 01. 2024 se všechny certifikační audity budou provádět pouze podle nové normy
CO VÁM PŘINESE ISO 27001
Důvěra zákazníků, záruka bezpečné ochrany jejich
i Vašich dat
Dodejte svým partnerům důkaz o ochraně veškerých aktiv informačních, aplikačních ai fyzických, a to nejen svých, ale právě i jejich. Zapracujte na prevenci možných hrozeb a rizik.
Podpořte důvěru mezi Vámi a Vašimi obchodními partnery. Dejte jim záruku, kterou od Vás očekávají.
Zlepšete management rizik
Zajistěte bezpečnost informací pro využívání cloudových služeb
Buďte připraveni na zajištění kontinuity podnikání.
Vytvořte si BCP, ošetřena všechna riziky, zajistěte redundanci.
Snížení míry rizika kybernetických útoků, virů, úniku informací, ...
Bezpečně kódujte, monitorujte fyzickou bezpečnost, spravujte konfigurace a ochraňte uživatelská koncová zařízení, maskujte data, filtrujte weby.
Řiďte incidenty, snižte možnosti výpadků, zajistěte prevenci ztráty.
Schopnost získat více obchodů
Zadávací specifikace výběrových řízení často vyžadují certifikaci jako podmínku dodávek.
Certifikace otevírá dveře novým příležitostem.
Certifikací ISO 9001 posílíte své pozice jak u stávajících, tak i u nových zákazníků, kteří získají větší důvěru s Vámi spolupracovat a nakupovat u Vás výrobky a služby.
Ochraňte osobní údaje
všech subjektů údajů, buďte v souladu s GDPR
Ochrana identity, ochrana zneužití osobních údajů s dopadem na všechny subjekty osobních údajů jsou prioritou.
Zajistěte prevenci úniku dat, data maskujte a šifrujte, stanovte si principy mazání informací.
Pilíř pro požadavky NIS2, GDPR, eIDAS
Pochopíte, jak zákonné a regulační požadavky ovlivňují Vaši organizaci a Vaše zákazníky v oblasti ochrany informací,
Udržte si náskok díky platné certifikace nejpopulárnějšího standardu = ISO 27001, který se stal pilířem pro NIS2, GDPR, eIDAS a další nařízení.
Získání certifikátu
Nezávislé ověření (certifikační audit) dle globálně uznávaného standardu je to, co potřebujete. Dejte do rukou svým obchodním partnerům důkaz a záruku o ochraně informačních, aplikačních i fyzických dat svých i jejich. Zajímejte se jako jedni z prvních v české republice o nový standard 😊.
Garance získání certifikátu
Garantujeme 100% úspěšnost získaní certifikátu
Zavazujeme se, že když neprojdete napoprvé certifikačním auditem vrátíme Vám zpět 100% financí, které jste nám zaplatili nebo Vás znovu zdarma připravíme k úspěšné certifikaci.
A k tomu se zavazujeme přímo ve smlouvě.
KROKY K ZÍSKÁNÍ ISO 27001
1. Zavedení ISO 27001
-
na základě Vaší poptávky obdržíte naši nabídku: cena od 26 800,- Kč bez DPH (příklad mini firma)
-
termín zavedení záleží na Vašich požadavcích (od 21 dnů po několik měsíců)
-
dostanete osobního odborného konzultanta, který Vám vše vysvětlí a na základě získaných informací Vám připraví na míru dokumentaci k Vaší korektuře nebo doplnění, spolu realizujete veškerá potřebná opatření, identifikujete rizika a příležitosti, naplníte legislativní požadavky.
-
konzultant realizuje před-certifikačního interní audit, abyste získali jistotu, že je vše dotaženo a jste připraveni k certifikačnímu auditu
-
konzultant bude přítomen na certifikačním auditu, a bude pohádat obhajovat certifikát, bude součástí Vaší společnosti
2. Certifikace ISO 27001
-
v naší nabídce obdržíte rovnou i cenu certifikačního auditu, dle vašeho výběru certifikační společnosti nebo necháme zpracovat dvě až tři konkurenční nabídky pro Váš výběr.
-
termín certifikace bude dle Vašich požadavků, certifikační audit probíhá ve dvou fázích (1. a 2. stupeň) u malých společností v rámci jednoho dne a provádí ho nezávislý certifikační auditor
-
výsledkem auditu bude Zpráva z certifikačního auditu 1. a 2: stupně, na základě které proběhne přezkoumání práce certifikačního auditora
-
akreditovaný certifikační orgán vystaví Certifikát ISO 27001 s platností na 3 roky, každý rok probíhají tzv. Dozorové audity a po třech letech audit Re-certifikační, při němž dochází opět k vystavení nového certifikátu na další tři roky
3. Udržování ISO 27001
-
v mezidobí mezi jednotlivými audity (certifikačním, 1. dozorovým, 2. dozorovým a re-certifikačním) musí společnost realizovat podle normy ISO 27001 tzv. interní audity, které se řídí normou ISO 19011
-
máte dvě možnosti a to, buď budete s naší prací spokojení a využijte našich služeb i nadále ve formě udržování (provádění interních auditů a dalších služeb s udržováním spojených, jako je naše účast na dozorových auditech, pomoc při zpracování Zprávy z přezkoumání, aktualizace norem a pod.), nebo si můžete interní audity realizovat sami, na základě vyškolených vlastních interních auditů (školení jsme schopni zajistit)