Jak zvládnout ISO 27001?

Druhým milníkem na naší „ISO“ cestě byla certifikace na ISO 27001 – Management bezpečnosti informací (ISMS). Vedly nás k tomu mimo jiné i zkušenosti z poslední doby, kdy bylo nutno jak při výběrových řízeních, tak u projektů se stávajícími klienty pracně a mravenčí prací dokládat, že jejich přísné bezpečnostní podmínky skutečně splňujeme. iso V interních diskuzích i rozhovorech s našimi klienty byl náš záměr přijat velmi pozitivně. I vedení a obchod vcelku bez problémů přijalo fakt, že v současnosti už vlastnictví certifikace na bezpečnost není konkurenční výhodou, ale že její absence se stává podstatnou konkurenční nevýhodou. Hned zpočátku jsme se rozhodli, že na rozdíl od ITSM nemáme ambici zvládnout nasazení ISMS výhradně vlastními silami. Vyhlásili jsme proto výběrové řízení na poradenskou firmu, která nás provede celým procesem získání certifikace, a následně vybrali dodavatele. Hlavním ukazatelem byla zkušenost, dojem z osobního setkání a samozřejmě, jak jinak, i nabídnutá cena. S vítěznou firmou jsme hned nalezli společnou řeč. Nejprve byl určen čtyřčlenný tým osob za naši stranu, který bude na projektu společně s dodavatelem pracovat. Všichni jmenovaní již měli bohaté zkušenosti z nasazení ITSM, to se velmi hodilo. Po jmenované prvotní analýze byl stanoven dodavatelem přesný časový plán, který nám dával na celý proces zhruba čtyři měsíce. S cílem do konce roku završit naše úsilí externím auditem nezávislého auditora a získáním certifikace na ISO 27001. Důležitým a nezbytným krokem bylo jmenování interního Manažera bezpečnosti – osobu zodpovědnou za dodržování normy a koordinující všechny související procesy. Následně proběhly cca každých čtrnáct dní společné schůzky, kde jsme revidovali výsledky činností každého ze zúčastněných, byly položeny a zodpovězeny všechny aktuální dotazy a stanoveny úkoly do příští porady. Byly určeny dotčené procesy, stanovena relevantní aktiva naši společnosti a jejich rizika a hlavně možná omezení vzniku a dopadu těchto rizik. Stávající dokumentace doznaly patřičných úprav, vzniklo spousta dokumentace nové. Posuzovali jsme vlivy možných úniků dat nebo přírodních katastrof na aktiva naší firmy a vymýšleli se cesty, jak těmto vlivům čelit. Připravili jsme systém monitoringu a evidence jak fyzických přístupů k hardware, tak i možnosti dostat se k datům vzdáleným připojením. Bylo nutno zrevidovat systém stávající, který byl více než nevyhovující, a to zejména ve svém způsobu evidence. Vzniká bible ISMS, Statement Of  Applicability (SOA), která popisuje implementaci celé normy. Velkou revizí prošly i nám už (z ITSM) známé dokumenty BCPDRP – právě s ohledem na eliminaci rizik. Bylo nutno akceptovat větší nároky normy oproti minulosti, co se týče správy a údržby systémů. Zde je důležitým aspektem vazba na Zákon o kybernetické bezpečnosti (předpis č. 181/2014 Sb.), se kterým je norma v souladu. Byly vytvořeny stručné manuály pro zaměstnance v rámci seznámení s normou a proběhlo jejich interní proškolení. A spousta dalších nutných činností .. A konečně bylo „hotovo“. Dle původního plánu proběhl nejprve audit interní, kdy jsme si s dodavatelem ověřili, že jsme plně připraveni na audit „ostrý“. Ten proběhl následně a současně s dozorovým auditem pro ISMS. Vše dopadlo k naší spokojenosti a od loňského podzimu jsme držiteli certifikace od EZÚ Praha pro ISO 27001:2013. Certifikát je platný po dobu tří let a jeho platnost podléhá každoročnímu dozorovému auditu. iso certifikace A plány pro budoucnost? Zatím jen ty zcela logické – udržení úrovně bezpečnosti přesně v intencích norem, kontinuální aktualizace dokumentací, evidence a kontrola evidence požadovaných plánovaných činností, zdokonalování interních informačních systémů, vylepšení formy školení (např. za pomoci aparátu MOODLE), ale hlavně nepřetržitá práce se zaměstnanci. Protože bez jejich akceptace a pochopení normy a jejího smyslu, má jakýkoliv předpis či nařízení jen formální charakter. A to může být nejen kontraproduktivní, ale i potencionálně velmi nebezpečné.