ISO certifikace. Někdo ji vnímá jako nutné zlo, někdo jako administrativní opruz, někdo jako konkurenční výhodu. A pak jsou tací, kteří v ní vidí skutečný smysl. A dokážou ho vysvětlit i managementu. Přesně to bylo tématem tohoto webináře: jak se na certifikaci ISO 27001 prakticky připravit, na co si dát pozor a jak v tom celém vidět přínos.
Hostem byl Tomáš Pokorný ze společnosti e-ISO, auditor, lektor a člověk, který s ISO pracuje řadu let. Níže pod videem najdete podrobné shrnutí celého webináře.
Rodina ISO norem: základ pro orientaci
ISO normy pro systémy managementu vznikly na konci 80. a začátku 90. let minulého století. Původně vycházely z automobilových norem pro řízení dodavatelských řetězců. Jejich matkou je ISO 9001 — norma pro řízení kvality — a její struktura byla postupně přejata do celé rodiny norem.
Základní harmonizované normy, se kterými se v praxi setkáte:
- ISO 9000 — systém řízení kvality
- ISO 14 000 — řízení environmentu
- ISO 27 000 — řízení informační bezpečnosti
- ISO 45 000 — BOZP (bezpečnost a ochrana zdraví při práci)
- ISO 50 001 — energetický management
Obsah a principy jsou pro celou rodinu stejné. Co se liší, je vždy specifická příloha každé normy. U ISO 27 000 je to příloha A, která popisuje konkrétní požadavky na váš systém a definuje, kde musíte dokládat důkazy o zavedení jednotlivých prvků a činností.
Dnes se zaměříme na ISO 27 001 verze 2022 — aktuálně platnou certifikační normu pro řízení bezpečnosti informací (ISMS).
Typy auditů a jak je rozlišit
Základní rozdělení auditů je terminologicky popsáno v normě ISO 19011. Tato norma vás jako certifikovanou firmu primárně nezajímá, je určena pro auditorské organizace. Ale pozor: v květnu 2026 vyšla nová verze ISO 19011:2026, která přináší podstatné novinky. Legitimizuje auditování na dálku, přidává požadavky na auditování pomocí umělé inteligence, upravuje kvalifikační požadavky na auditory a řeší používání vzdálených přístupů a cloudových řešení. Jde o měsíc starou novinku. A nemá žádnou přechodovou dobu. Nové interní audity by měly být prováděny v souladu s touto normou okamžitě.
Tři typy auditů
1. Interní audity (první strana) Prověrky, které si děláte sami — vlastními vyškolenými pracovníky nebo externím subjektem, který je pro vás provádí jako třetí strana. Jakmile získáte certifikát, vstupujete do „kolečka, ze kterého se nezbavíte“: pravidelné interní prověřování se stává povinnou součástí systému.
2. Zákaznické audity (druhá strana) Prověrky prováděné pracovníky vašeho zákazníka, který si chce ověřit stav vašich procesů a to, co navenek deklarujete. V automotivu a výrobě zcela běžná věc. V IT je Tomáš Pokorný příliš nevidí, ale existují.
3. Certifikační audity (třetí strana) Audity prováděné nezávislou certifikační organizací. Certifikační orgán prověří váš systém a po úspěšném auditu vydá certifikát platný tři roky. Každý rok pak certifikační firma přijíždí na dohledový audit (dozorový audit), při němž se prověří přibližně třetina systému, tak aby za tříleté období proběhlo celkové prověření všech činností a procesů. Po třech letech přichází recertifikační audit.
Kombinovaný a společný audit
Kombinovaný audit (nebo integrovaný kombinovaný audit) — prověřují se najednou dva a více systémů u jednoho auditovaného. Přijde více auditorů, každý prochází příslušnou část systému a tým zpracuje společnou zprávu. Pokud máte ISO 9001 i ISO 27 001, nejčastěji se právě takto auditují dohromady.
Společný audit — provádějí ho dvě nebo více certifikačních organizací u jednoho auditovaného. Tomáš Pokorný se s tím za roky praxe setkal pouze jednou. Vy nemusíte mít všechny certifikace u jedné firmy. ISO 9001 může být u jednoho certifikačního orgánu, ISO 27 001 u jiného. Je to naprosto běžné. Pokud jsou takto rozděleny, ISO 9001 bývá auditována nejprve (je systémově obsáhlejší) a ISO 27 001 třeba o dva měsíce později.
Kdo je u certifikačního auditu přítomen?
Auditní tým zahrnuje auditory, technické experty a auditory ve výcviku. Může být přítomen i dohledový orgán nad certifikační společností.
Pro koho je ISO 27 001 vhodná a proč ji zavádět
Systém je napsán tak, jako všechny ostatní ISO normy pro systémy řízení kvality. Je vhodný pro malé i velké firmy, pro podnikající i nepodnikající právnické osoby (úřady, banky, spolky atp.).
Zásadní pravidlo: Systém musí vždy odpovídat velikosti a funkčnosti vaší organizace. Tomáš Pokorný varuje před přístupem, kdy konzultanti vezmou šablonu, řeknou „opište si to a změňte záhlaví“ a tvrdí, že systém je postavený. Tak to nefunguje. Ani v ISO 27 001, ani v žádné jiné normě z celé rodiny.
Rozdíl mezi ZoKB/NIS2 a ISO 27 001
Zákon o kybernetické bezpečnosti (ZoKB) a NIS2 jsou vynucené povinnosti — stát vás k nim zavazuje. Máte pověřenou osobu kybernetické bezpečnosti, jste zaregistrovaní u NÚKIB, ale to vůbec neznamená, že jste připraveni k certifikaci ISMS dle ISO 27 001.
ISO 27 001 je naprosto dobrovolná věc, kterou dokazujete zákazníkům, trhu a svému okolí, že máte zavedený funkční systém řízení splňující mezinárodní požadavky. Je to proaktivní signál důvěryhodnosti, ne papír pro papír.
Hlavní změny verze 2022 oproti starší verzi
Přechod z verze 2018 na 2022 již mají za sebou všichni, kdo měli starší certifikát. Nejdůležitější změna se týkala uspořádání přílohy A — původní struktura byla promíchaná, ve verzi 2022 je pevná a přehledná. Celkem je v příloze A 93 kontrol rozdělených do čtyř kategorií:
| Oblast | Počet kontrol |
|---|---|
| Organizační kontroly | 37 |
| Personální kontroly | 8 |
| Fyzické kontroly | 14 |
| Technologické kontroly | 34 |
Z tohoto přehledu plyne zásadní závěr: ISMS není jen IT záležitost. Technologické kontroly tvoří zhruba třetinu celého systému. Manažeři, kteří říkají „hodíme to na šéfa IT a máme klid“, si neuvědomují, že organizační část, s 37 kontrolami, je nejrozsáhlejší a zároveň nejnáročnější. Ona vám teprve stanovuje podmínky k tomu, abyste vůbec mohli uvažovat o certifikaci.
Co přibylo v příloze A verze 2022
Z organizačních kontrol přibyly například:
- způsoby podávání informací o hrozbách
- bezpečnost informací při cloudových službách
- připravenost systému na kontinuitu provozu
Z fyzických kontrol:
- monitorování fyzické bezpečnosti (kamerové systémy, přístupové systémy do serveroven i kanceláří)
Z technologických kontrol:
- řízení konfigurace
- mazání a maskování informací
- prevence úniku dat (DLP)
- sledování činností uživatelů
- filtrování webových stránek
- bezpečné kódování
Pro každou z těchto kontrol musíte mít v prohlášení o aplikovatelnosti uvedeno, zda se vás týká nebo netýká. Pokud jste nemocnice, maskování dat je pro vás zásadnější než bezpečné kódování (protože nekódujete). Pokud jste IT firma, máte to naopak. Pokud kontrola pro vaši firmu není relevantní, napíšete to do prohlášení o aplikovatelnosti a kontrolu vyloučíte. Hotovo.
Kapitoly normy ISO 27 001 krok za krokem
Struktura normy sleduje cyklus: kontext organizace → vedení → plánování → podpora → provozování → hodnocení výkonnosti → zlepšování.
Kapitola 4: Kontext organizace
Porozumění kontextu
Norma vám explicitně nepřikazuje mít kontext zdokumentovaný. Z pohledu auditora je to ale výrazně lepší volba. Pokud při auditu nemáte kontext napsaný a auditor se na něj ptá, strávíte nad tím zbytečně čtvrt hodiny mluvením a důkazy budou netransparentní.
Pokud máte zavedený systém ISO 9001 nebo ISO 14 000, kontext z něj vesele převezměte a doplňte o specifika ISMS. Co do kontextu patří:
Externí faktory: dostupnost kompetentních osob, ceny technologií, legislativní požadavky (ZoKB, NIS2, GDPR…)
Interní faktory: stáří technologií, fluktuace zaměstnanců, uspořádání infrastruktury apod.
Zainteresované strany a klimatická změna
Zainteresované strany u ISMS jsou poněkud jiné než u ISO 9001 — jsou mezi nimi i orgány státní správy jako NÚKIB.
Důležitá aktualita: v roce 2024 přibyl ke všem harmonizovaným normám (včetně ISO 27 001) požadavek na vyjádření se k rizikům klimatické změny — jestli vaše zainteresované strany se z hlediska klimatické změny nějak podílejí nebo nepodílejí na vašich činnostech. Je to cíleno hlavně na velká datová centra a velké IT firmy s rozsáhlou infrastrukturou.
Rozsah systému
Nemusíte mít ISMS zavedený v celé organizaci. Pokud máte více poboček, zavedete ho třeba jen v pobočce ABC. Na certifikátu pak bude přesně popsáno, jaký je rozsah systému.
Ale pozor: v analýze rizik musíte posoudit i ohrožení plynoucí z těch části organizace, které v systému zahrnuty nejsou, protože fyzicky existují a mohou být zdrojem rizika.
Rozsah ISMS je dokumentovaná informace, kterou musíte mít písemně zachycenou v příručce integrovaného systému (která sama o sobě povinná není) nebo v jiném dokumentu.
Kapitola 5: Vedení
Závazek vrcholového managementu
Bez viditelného závazku vedení nelze systém zavést ani certifikovat. Role vrcholového managementu musí být napsána nejen na papíru, ale prokázána i při samotném auditu. V praxi se vedení do auditování zapojuje aktivně, protože to samo považuje za důležitou součást fungování organizace.
Politika bezpečnosti informací
Politika bezpečnosti informací je vrcholový dokument, psaný obecně. Tomáš Pokorný s humorem podotýká, že dnes už všichni politiky generují pomocí AI agentů a začínají proto vypadat pomalu stejně. Klíčová otázka ale není jak politika vypadá, ale:
- Jak jsou na ni navázány konkrétní, měřitelné cíle?
- Jak jsou tyto cíle dokladovány, měřeny a prezentovány při auditu?
Politika bezpečnosti informací bývá navázána na GDPR politiku, v organizacích s ISO 9001 na politiku QMS. Musí být dokumentovanou informací.
Role, odpovědnosti a pravomoci
V organizaci musí být jmenován manažer kybernetické bezpečnosti (v terminologii systému). Pro jednotlivé činnosti v rámci implementace musí být definováni vlastníci aktiv a vlastníci procesů. Měl by existovat Risk Committee — rada nebo výbor bezpečnosti — který se pravidelně schází, vrací se k výsledkům interních auditů a stará se o udržování a rozvoj systému.
Jak toto prokazujete u auditu? Zápisy ze zasedání rady kybernetické bezpečnosti jsou přesně ten typ důkazu, který auditor hledá. MoyaKybeon pro to přímo obsahuje modul Výboru kybernetické bezpečnosti — a Tomáš Pokorný ho označuje za výborný nástroj pro prokazování této části při certifikaci.
Není povinné jmenovat formálního „představitele vedení“ (jako to bývá u starších systémů). Důležité je, aby celé vedení tuto věc převzalo za své. Pokud ale jmenovaného zástupce máte, audit probíhá jednodušeji a komunikace lépe.
Kapitola 6: Plánování
Analýza rizik a informační aktiva
Srdce celého ISMS. Musíte definovat a analyzovat svá informační aktiva. Pro malou organizaci o pár lidech postačí Excelová tabulka. Pro větší organizace, které chtějí systém udržovat konzistentně a v provázanosti, je Excel limitující.
MoyaKybeon vznikl přesně tak, aby pokryl požadavky ZoKB i ISO 27 001 zároveň. To je jeho jádro. Provede vás celým procesem: jak definovat aktiva, jaká jsou typová aktiva, jaká jsou primární aktiva, jak systém udržovat konzistentní z hlediska důvěrnosti, integrity a dostupnosti dat. Výstupy jsou přehledné a máte dokumentovanou informaci o procesu posuzování rizik a máte to velmi usnadněné.
Tomáš Pokorný k tomu dodal: „Jakmile si tam ty vazby proklikají, tak je ten systém poměrně robustný.“ A bez specializovaného nástroje vám nezůstane nic jiného, než to udržovat v Excelu. Pro menší organizace to není problém, ale jakmile máte aktiv víc a chcete mít provázanost, nástroj je k nezaplacení.
Cíle bezpečnosti informací
Cíle musí mít konkrétní hodnoty — musí být monitorovatelné, vyhodnocované a přiřazené odpovědným osobám. Auditor musí vidět, jestli jste je splnili, a pokud ne, z jakého důvodu. Cíle jsou dokumentovanou informací a musí být součástí pravidelného přezkumu jednou za rok.
Plánování změn (nová kapitola verze 2022)
Všechny změny v systému ISMS musí být prováděny plánovaným a řízeným způsobem. Zavádíte nový systém? Přecházíte na jiný? Měníte datové centrum? Musí o tom být záznam prokazující, že to bylo provedeno řízeně. Ne jako banální akce bez dokumentace.
Kapitola 7: Podpora
Zdroje
Zdroje v kontextu ISMS nejsou jen aktiva, jsou to i finanční prostředky na jejich udržování a obnovu.
Auditor se ptá: máte plán školení na příští rok? Kdo se bude školit? Kolik to bude stát? Máte na to rozpočet? Nedostatek prostředků pro adekvátní školení je konkrétní příklad věci, kterou auditor jako problém identifikuje.
Kompetence — pozor na externisty
V IT je tato oblast specifická. Spousta firem má lidi, kteří nejsou zaměstnanci, ale pracují na základě DPP, DPČ nebo jsou najaté „na projekt“. Systém se vztahuje i na ně. Co se audituje:
- Jsou jejich smlouvy v pořádku?
- Jsou zahrnuty do systému (jsou „zahrnuti“ do ISMS)?
- Jsou seznámeni s tím, že firma je certifikovaná?
- Pokud používají vlastní hardware pro zakázky klienta, jak je tento hardware zabezpečen? Jak se vrací? Jak byl pořízen?
Obzvláště problematická situace: firma má jednoho externího správce IT, který zabezpečuje celou infrastrukturu. Kontrakt s ním je klíčový dokument — musí v sobě odrážet, že firma je certifikovaná a správce se podle toho chová.
V ISMS nelze správu IT vyjmout ze systému v okamžiku, kdy vám tato osoba zabezpečuje celý chod. Nelze to udělat analogicky jako ve výrobě, kde skladové hospodářství outsourcujete a vyjmete ho ze systému.
Dokumentovaná informace o kompetencích zahrnuje záznamy o vzdělání, školení, dovednostech a zkušenostech — diplomy, osvědčení, výsledky testů s datem a dobou platnosti.
Povědomí zaměstnanců
Všichni zaměstnanci musí být prokazatelně seznámeni s tím, že existuje systém ISMS, že jsou jeho součástí a že se podle něj chovají. Ať už jde o pravidlo čistého stolu, zacházení s informačními aktivy nebo jakékoliv jiné bezpečnostní pravidlo, organizace musí být schopna prokázat, že konkrétní zaměstnanec se s tím seznámil. Může jít o:
- odkliknutí v informačním systému
- podpis papírového seznámení
- absolvování e-learningu s testem
Povědomí by mělo být součástí opakovaného školení. Jednou za rok je standard.
Komunikace
Komunikační procesy v rámci ISMS jsou klíčové. Kdo je odpovědný za co v případě bezpečnostního incidentu? Kam se hlásí? Jaké jsou aktivity?
Odpovědnosti za interní a externí komunikaci musí být stanoveny písemně jako dokumentovaná informace. Kdo komu co má zavolat a v jakém okamžiku. Pro firmu o 10 lidech se všichni znají a mají se v telefonu. Pro firmu o 300 lidech je to podstatně komplikovanější — a auditor to ví.
Součástí komunikace je i business continuity — zajištění kontinuity byznysu. Jak je to popsané? Co se stane, když shoří budova? Na základě analýzy rizik musíte být schopni říct, za jak dlouho obnovíte své klíčové činnosti.
Kapitola 8: Provozování
Posuzování a ošetřování rizik
Záznamy o periodickém přezkumu platnosti registru rizik. Pokud máte MoyaKybeon, toto velmi snadno prokážete. V případě plánovaných významných změn v organizaci se provádí jednorázová analýza rizik spojená s příslušnou změnou. Opět: vše v jednom systému šetří práci a zajišťuje konzistenci.
Řízení změn
Změny v procesech, které mají vliv na ISMS, musí být řízené akce — ne akce provedené bez záznamu.
Kapitola 9: Hodnocení výkonnosti
Monitorování a měření
Co monitorovat a měřit se výrazně liší podle toho, kdo jste. IT firma monitoruje jiné věci než autoservis, který má ISMS zavedený proto, že to po něm vyžaduje například výrobce aut. Věci, které běží automaticky na IT infrastruktuře (kapacitní vytížení serverů, správa přístupových práv), ty v roce 2026 bývají automatizované. Jde jen o to prokázat, že k nim má přístup oprávněná osoba.
Interní audity
Pokud při certifikačním auditu neprokážete, že interní audity provádíte, je to automaticky neshoda. Interní auditoři musí být školeni dle normy ISO 19011. Výstupy musí být zdokumentovány: plán interních auditů a zápisy z jejich provedení.
Přezkoumání systému vedením
Vedení se musí jednou ročně vrátit k systému a konstatovat, jestli vše běží jak má nebo ne a jaká jsou přijata opatření. Výstupem je dokumentovaná informace — zápis z přezkumu managementu.
Kapitola 10: Zlepšování
Organizace musí neustále zlepšovat vhodnost, přiměřenost a efektivnost systému. Klíčové slovo je přiměřenost. Systém musí být ušitý na míru organizace. Tomáš Pokorný varuje před extrémem, kdy je zbytečně popsáno úplně vše a systém sám o sobě brzdí efektivnost práce. Nelze vzít systém z lékárny a nasadit ho do letecké firmy bez úpravy.
Dokumentované informace: co musíte mít
Dokumentované informace jsou věci, které musíte auditorovi předložit nebo mu je promítnout. Tomáš Pokorný je rozdělil do dvou kategorií:
Povinné (explicitně vyžadované normou)
- Politika bezpečnosti informací
- Rozsah ISMS
- Informace o procesu posuzování rizik a ošetřování rizik — kapitoly 6.1.2 a 6.1.3 MoyaKybeon zajistí
- Cíle bezpečnosti informací
- Záznamy o kompetencích zaměstnanců (školení, vzdělání)
- Důkazy o řízení změn — MoyaKybeon
- Výsledky posuzování rizik a jejich ošetření — MoyaKybeon
- Výsledky monitoringu a měření výkonnosti — částečně MoyaKybeon, částečně provozní systémy
- Protokoly o provedení interních auditů — MoyaKybeon
- Zápis z přezkumu systému vedením
- Záznamy o neshodách a nápravných opatřeních
Nepovinnné, ale předpokládané (auditor po nich sáhne)
- Plány realizace cílů bezpečnosti
- Spisový a skartační řád
- Politiky a popisy rolí
- Výstupní/předávací listy při ukončení nebo změně pracovního vztahu
- Záznamy o likvidaci datových médií (kdo, kdy, jak hardware nebo média zlikvidoval)
Příloha A v detailu: na co se auditor ptá
V příloze A je 93 oblastí, u nichž musíte říct, jestli se vás týkají. Pokud ano, musíte předložit důkaz. Nejčastěji požadované:
Záznamy o školení — bez nich se neobejdete. Úvodní i opakované, typicky roční.
Pravidla pro přípustné použití informačních aktiv — jak se chováte s vybavením a informacemi? To by mělo být popsáno v bezpečnostní politice.
Politika řízení přístupů — musí existovat.
Provozní postupy v IT a logy — deníky administrátorů, záznamy událostí. Většina systémů to dnes dělá automaticky. Auditor se zeptá, kde logy jsou — admin ukáže.
Dohody o mlčenlivosti a utajení — zvláště důležité, pokud pracujete s externími dodavateli a kontraktory.
Princip budování bezpečnostních systémů — obecný princip postupu při rozšiřování nebo změnách systému.
Přístup dodavatelů k vašim systémům — vaši dodavatelé musí znát vaše bezpečnostní požadavky a souhlasit s nimi.
Záznamy o řešení bezpečnostních incidentů — jak incident vznikl, kdo ho řešil, jak dlouho, co bylo výstupem.
Procesy pro zajištění kontinuity — popsaný postup obnovy.
Relevantní předpisové požadavky — obecný požadavek platný pro všechny systémy.
Vymazávání informací a cloudové služby
Tato oblast je podle Tomáše Pokorného poměrně problematická. Pokud používáte cloudové služby, informace jsou tam. A jak moc auditora přesvědčíte, že jsou opravdu smazané? Tato otázka nemá jednoduchý konec.
Maskování dat — příklad z praxe
Maskování dat je typická otázka pro organizace pracující s citlivými informacemi — nemocnice s pacientskými daty, firmy zpracovávající osobní údaje. Zajímavý případ: firma vyvíjející software pro parkovací systémy (ty kamery na autech, co dávají pokuty) musela řešit, nakolik je SPZ osobní údaj. Vyžádala si několik vyjádření. Nakonec dospěla k závěru, že registrační značka sama o sobě osobním údajem není, ale bojovala s tím poměrně intenzivně.
Jak certifikační audit probíhá prakticky
Certifikační orgán zašle předem plán auditu, který se odsouhlasí. Počet auditorů závisí na velikosti organizace. Může přijít jeden, ale třeba i čtyři, kteří se rozdělí a procházejí s příslušnými odpovědnými lidmi jednotlivé části systému od kontextu až po technologické kontroly.
Dokumenty, které auditor zpracuje
- Plán auditu — zasílá se předem a odsouhlasí.
- Audit report — shrnuje stav systému, konstatuje, zda jste splnili požadavky, a uvádí případné systémové neshody.
- Compliance document na ISO 27 001 — ke každé kapitole normy: splnil / nesplnil / zlepšuje se.
- Compliance document na přílohu A — ke všem 93 kontrolám, navázaný na vaše prohlášení o aplikovatelnosti: auditor prověřil / neprověřil / prověří příště + jaké důkazy existují.
Q&A: otázky z publika
Jak moc mi MoyaKybeon pomáhá u auditu?
Pohled vývojáře a praxe (zákazník, který prošel dvěma dozorcovými audity)
Postup u auditu s MoyaKybeon vypadá takto: nejprve se prochází formální dokumenty — ty jsou uloženy přímo v aplikaci. Pak se prochází katalogy — ty jsou taky přímo v aplikaci. Jde o kombinaci dokládání informací, které jsou v dokumentech, a dat, která jsou přímo uložena jako záznamy v systému. Je to provázané, konzistentní, přehledné. Auditor je „příjemně naladěn“ — nepotřebujete ho zásobit cukrem, aby se vyznal v hromadě Excelů.
Pohled auditora (Tomáš Pokorný)
„To nejdůležitější je, že tam je v oblasti analýzy rizik provázanost mezi aktivy, riziky a následovními opatřeními. A veškerá dokumentační podpora pro vlastní chod a provozování systému ISMS je v MoyaKybeon udělaná perfektně.“
Co MoyaKybeon nepokryje sám — to jsou systémové věci, které musíte doplnit vy: kontext organizace, vedení a role, politika bezpečnosti, cíle. Ale vlastní maso systému — analýza rizik, aktiva, opatření, záznamy výboru kybernetické bezpečnosti — to vše je v systému.
„Když přijde auditor, sednete si s ním do zasedačky, otevřete MoyaKybeon a vše od definice aktiv a jejich změn za minulý rok až po nápravná opatření a zasedání rady kybernetické bezpečnosti máte na dva kliky. Nemusíte klikat v deseti systémech a lovit soubory. Integrita a provázanost informací je obrovská výhoda.“
A nakonec: „Pro mě jako auditora je to strašně usnadňující práce. Když to tam vidím, tak už nemám další otázky.“
Může mít firma různé ISO certifikace u různých certifikačních orgánů a přesto získat certifikát na integrovaný systém managementu?
Není to podmínkou. Každý systém může být certifikovaný u jiného orgánu a je to naprosto běžná praxe.
Musí manažer bezpečnosti informací projít certifikací / školením ISO 27 001?
Norma to explicitně nepřikazuje, ale auditoři to v praxi vyžadují. Tomáš Pokorný: „Já to vyžaduju. Chci osvědčení o tom, že prošel kurzem ISO 27 001. Abychom mluvili stejnou řečí.“ Prokázání kompetence je dokumentovaná informace — diplom nebo osvědčení s datem, délkou platnosti a výsledkem. Manažer pak může dělat interní školení pro ostatní, prezenčně nebo elektronicky přes LMS.
Pokud má organizace více útvarů, vydává se jedno prohlášení o aplikovatelnosti, nebo jedno za každý útvar?
Certifikát se vydává na IČO. Pokud jsou organizace pod různými IČO, mají různé certifikáty. Pokud je pod jedním IČO více útvarů, rozsah systému se definuje v žádosti o certifikaci — může být územní (Praha a Plzeň ano, Ostrava ne) nebo útvarový. Na certifikátu pak stojí přesně, pro jakou lokalitu nebo které organizační složky certifikát platí.
Pokud certifikovaný útvar ukončuje činnost, musí se certifikát odevzdat nebo informovat NÚKIB?
Musíte informovat certifikační společnost (ne NÚKIB — ten do ISO certifikací nevstupuje vůbec). Rozsah systému se změní, podá se nová žádost a v rámci dohledového auditu se certifikát upraví.
Označování informací — stačí ve směrnici uvést, že smlouvy a faktury jsou automaticky považovány za důvěrné, nebo musí být fyzicky označeny?
Auditor to akceptuje, ale bude chtít prokázat, že pracovníci, kteří s těmito dokumenty přicházejí do styku, vědí, že pracují s důvěrným materiálem.
Například: v pracovní smlouvě nebo popisu práce HR manažera bude uvedeno, že zpracovává důvěrné dokumenty v souladu s GDPR a příslušným interním systémem. Tomáš Pokorný nicméně upozornil: pokud máte velkou fluktuaci v HR, auditor má tu zvláštní schopnost — dáte mu 100 dokumentů a on vytáhne ten jeden nepodepsaný. Traffic light protokol nebo systémové řešení proto může být praktičtější než čistě papírový přístup.
Co dál a podzimní program CyberEdu
Prázdninová přestávka konzultačních hodin neznamená, že o nás neuslyšíte. V plánu je recyklace materiálů z loňské Letní školy NIS2 Academy jako e-mailový kurz.
Na podzim se těšte na:
- 4. září — prováděcí nařízení Komise EU 2024/2690 (DORA) — na koho se vztahuje, co přináší, proč o něm vědět
- 25. září — specifika bezpečnostních rolí: jak obsadit roli správně, nejenom pro HR
- 2. října — kybernetická bezpečnost OT a IoT, specifika těchto segmentů a doporučené přístupy
Detaily najdete na stránce s konzultačními hodinami.