ISO/IEC 27001 je mezinárodní norma vydaná společně Mezinárodní organizací pro normalizaci (ISO) a Mezinárodní elektrotechnickou komisí (IEC). Tento standard definuje požadavky na zavedení, udržování a neustálé zlepšování systému řízení informační bezpečnosti (ISMS – Information Security Management System) ve firmách a organizacích všech velikostí.
Cíl normy ISO/IEC 27001
Hlavním cílem ISO/IEC 27001 je chránit důvěrnost, integritu a dostupnost informací pomocí systematického přístupu ke zvládání rizik souvisejících s informacemi. To zahrnuje procesy, lidi, technologie i fyzické zabezpečení.
Zavedení ISMS podle tohoto standardu pomáhá organizacím:
Identifikovat a vyhodnocovat rizika pro informace
Zavádět adekvátní kontrolní mechanismy pro snížení těchto rizik
Zajistit dodržování legislativy (např. GDPR)
Posílit důvěru zákazníků, partnerů a regulačních orgánů
Struktura ISO/IEC 27001
Norma využívá tzv. Annex SL strukturu (společnou pro všechny nové ISO normy), která zajišťuje jednotnost mezi různými typy systémů řízení (např. ISO 9001, ISO 14001 atd.). Klíčové části zahrnují:
Kontext organizace
Vedení a odpovědnost managementu
Plánování a řízení rizik
Podpora (zdroje, kompetence, povědomí)
Provozní opatření
Hodnocení výkonnosti
Zlepšování (nápravná opatření a audit)
Příloha A normy pak obsahuje 93 bezpečnostních opatření (controls) rozdělených do 4 tématických kategorií podle verze z roku 2022.
Klíčové pojmy a oblasti
ISMS (Information Security Management System)
Integrovaný rámec politik, postupů a nástrojů pro řízení bezpečnosti informací.Risk-based přístup
Norma klade důraz na identifikaci, analýzu a řízení rizik jako základ celého systému.Politiky a směrnice bezpečnosti informací
Základní dokumenty, které určují přístup organizace k ochraně informací.Interní audity a zlepšování
Pravidelné přezkumy systému a jeho výkonnosti slouží ke zlepšení a zachování souladu.Certifikace
Organizace si může nechat ISMS certifikovat nezávislou certifikační autoritou, což potvrzuje shodu se standardem.
Výhody implementace ISO/IEC 27001
Zvýšení důvěryhodnosti
Certifikace působí jako důkaz o seriózním přístupu k ochraně informací a osobních údajů.Soulad s legislativou
Pomáhá splnit požadavky jako GDPR, zákon o kybernetické bezpečnosti apod.Lepší zvládání rizik
Organizace dokáže rychleji reagovat na incidenty a předcházet ztrátám dat.Konkurenční výhoda
Pro mnoho firem, zejména v B2B sektoru, je certifikace podmínkou pro spolupráci.Systémový přístup k bezpečnosti
Zavedení ISMS vede k jasně definovaným rolím, odpovědnostem a procesům.
Praktický příklad
Například společnost zabývající se cloudovým úložištěm (např. hosting dat zákazníků) se rozhodne zavést ISO/IEC 27001. Nejprve provede analýzu rizik (např. možnost úniku dat kvůli špatně nastavenému přístupu). Následně vytvoří bezpečnostní politiky, zavede dvoufaktorové ověření, logování přístupů a školení zaměstnanců. Po implementaci si nechá ISMS certifikovat. Tím získá konkurenční výhodu a zároveň minimalizuje riziko sankcí např. podle GDPR.
Verze standardu
ISO/IEC 27001:2005 – první verze
ISO/IEC 27001:2013 – významná revize (rozšíření o kontext, leadership, zlepšování)
ISO/IEC 27001:2022 – nejnovější verze, která sjednocuje jazyk s ostatními ISO normami a mění strukturu přílohy A
Podrobný rozpis aktuálních kontrol je možné nalézt například na stránkách ISO.org nebo u certifikačních autorit.
Závěr
ISO/IEC 27001 je dnes jeden z nejvýznamnějších a nejrozšířenějších standardů pro řízení informační bezpečnosti. Jeho přijetí pomáhá organizacím čelit kybernetickým rizikům, chránit důvěrné informace a zároveň plnit požadavky legislativy. I když jeho implementace není jednoduchá, pro organizace, které pracují s citlivými daty, je často nezbytností.
