Certifikát ISO 27001 – certifikát informačnej bezpečnosti

ISO/IEC 27001 je medzinárodnou normou pre riadenie bezpečnosti informácií. Je zameraná na zabezpečenie ochrany informácií v organizácii, a to pomocou vytvorenia a udržiavania riadeného prostredia bezpečnosti informácií.

Norme ISO/IEC 27001 sa často ľudovo hovorí „norma ISO 27001“ a certifikátu podľa tejto normy – ISO/IEC 27001 – len jednoducho „certifikát ISO 27001“. Norma ISO/IEC sa v poslednom období medzi používateľmi tak popularizovala, že v praxi sa často medzi manažérmi kvality zovšeobecňuje používanie len krátkeho zjednodušeného názvu normy ISO 27001.

Norma ISO/IEC 27001 definuje požiadavky na riadenie bezpečnosti informácií, ako je napríklad riadenie rizík, riadenie incidentov a dodržiavanie zákonov a regulácií.

Cieľom je zabezpečiť, aby boli informácie v organizácii chránené pred rizikami, ako je napríklad strata, zlé použitie, poškodenie alebo zneužitie.

Požiadavky normy ISO/IEC 27001 sú všeobecne aplikovateľné vo všetkých organizáciách bez ohľadu na ich typ, veľkosť alebo predmet činnosti. Systém je vhodné zaviesť najmä vo firmách, ktoré spravujú citlivé dáta, ako banky, zdravotnícke organizácie, poisťovne, poskytovatelia IT služieb, softwarové firmy alebo veľké priemyselné podniky.

Norma ISO/ IEC 27001 je rovnako ako všetky ISO štandardy medzinárodne platným štandardom. To znamená, že firma, ktorá obdrží certifikát v jednej krajine, nemusí preukazovať znovu splnenie požiadaviek v inej krajine.

Norma ISO/IEC 27001

Pre zavedenie systému manažérstva informačnej bezpečnosti boli vytvorené medzinárodné normy (štandardy) radu ISO/IEC 27000, ktoré špecifikujú požiadavky na riadenie informačnej bezpečnosti pre všetky typy a veľkosti organizácií. Normy predstavujú akúsi príručku pre podniky, ktoré sa snažia zaviesť systém informačnej bezpečnosti. V rámci noriem sú dopodrobna popísané kroky, ktoré musia byť počas implementácie dodržané.

Vo svete je budovanie a certifikácia systémov informačnej bezpečnosti podľa ISO/IEC 27001 bežným pojmom, zatiaľ čo na Slovensku sa tento proces ešte len rozbieha. Niektoré firmy majú vcelku dobre zvládnutú infraštruktúru informačnej bezpečnosti, avšak založenú zväčša na subjektivite prístupov, úloh a zodpovedností.

Ekvivalentom k medzinárodnej normy ISO/IEC 27001: 2013 vrátane Cor. 1: 2014 a Cor. 2: 2015 Information technology. Security techniques. Information security management systems. Requirements je slovenská norma STN EN ISO/IEC 27001 Informačné technológie. Bezpečnostné metódy. Systémy riadenia informačnej bezpečnosti. Požiadavky (ISO/IEC 27001: 2013 vrátane Cor. 1: 2014 a Cor. 2: 2015) (Norma je identická s STN ISO/IEC 27001 zo septembra 2014). Táto norma bola revidovaná v roku 2022, slovenský ekvivalent ešte nie je k dispozícii.

ISO/IEC 27002 je zbierka najlepších bezpečnostných praktík a môže byť využitá ako kontrolný zoznam všetkého správneho, čo je nutné pre bezpečnosť informácií v organizácii uskutočniť. 14 hlavných oddielov tejto normy definuje 35 cieľov (kontrolných) opatrení pre ochranu informačných aktív proti narušeniu ich dôvernosti, dostupnosti a integrity. V podstate tieto ciele opatrení zahŕňajú funkčné požiadavky pre architektúru bezpečnosti informácií organizácie (viď obrázok).

Ciele opatrení poskytujú kvalitný základ pre definíciu sady „axiómou“ pre bezpečnostnú politiku. Nie všetky sú aplikovateľné v každej organizácii a môžu sa objaviť požiadavky na ich preformulovanie či prispôsobenie podľa aktuálnych potrieb organizácie.

Informačná bezpečnosť je viac ako informačne technológie. Systém manažérstva informačnej bezpečnosti umožni organizácii primerane zaobchádzať so svojimi informáciami a chrániť ich pred neželateľným unikom. Treba si však uvedomiť, že informačná bezpečnosť nie je manažérsky proces vytvárajúci okamžitý finančný zisk, ale v súčasnosti je nevyhnutným nástrojom pre bezproblémový chod procesov, ktoré sa na vytváraní zisku priamo podieľajú. Týmto ziskom sa nemyslí len materiálny prospech pre spoločnosť ale aj nehmotný.

Systém manažérstva informačnej bezpečnosti podľa ISO 27001 je určený k ochrane informácií, čiže k zvládnutiu rizík, ktoré tieto informácie môžu eventuálne ohrozovať. Dôležitou súčasťou normy ISO 27001 je popis pre vybudovanie prevádzky systému riadenia bezpečnosti informácií.

Aké sú prínosy certifikácie ISO 27001? Certifikátu informačnej bezpečnosti?

 • Zavedenie a nárast využívania nových technológií zvýši vplyv na bezpečnosť a poskytovanie služieb pre všetky organizácie bez ohľadu na typ alebo veľkosť.
 • Prostredníctvom systematického prístupu zabezpečuje kontinuitu podnikania a minimalizuje straty z podnikateľskej činnosti, môže byť rozhodujúca pre definovanie hodnôt.
 • Zlepšuje porozumenie obchodných aspektov, dáva Vám istotu, že investície do bezpečnosti informácií boli nasmerované efektívne.
 • Nezávisle potvrdzuje, že vaše organizačné riziká sú náležite označené prostredníctvom posudzovania obchodných rizík.
 • Pravidelné hodnotenie procesov Vám pomôže zvýšiť efektívnosť podnikania, zlepšuje poistenie zodpovednosti a neustále sleduje Váš výkon.
 • Najviac zo všetkého Vám prináša dôveryhodnosť, motivuje vedenie a tiež môžete podporiť pocit bezpečia smerom k Vašim zákazníkom.

Ako získať certifikát ISO 27001? Ako prebieha certifikácia systému informačnej bezpečnosti podľa ISO/IEC 27001?

V prvej etape je potrebné systém informačnej bezpečnosti podľa ISO/IEC 27001 vybudovať, čo predstavuje vypracovanie dokumentácie a zavedenie systému do praxe. Práve táto etapa je z hľadiska dlhodobého fungovania systému mimoriadne dôležitá a preto sa obvykle realizuje v spolupráci s externými konzultantmi.  V druhej etape nezávislý certifikačný orgán v rámci previerky overí plnenie požiadaviek normy ISO/IEC 27001 a rozhodne o udelení certifikátu ISO/IEC 27001. Certifikačný orgán nevykonáva poradenstvo. Certifikačný orgán musí byť nezávislý.

certifikat ISO 27001

Certifikát ISO 27001 je platný tri roky a po tomto období sa musí obnoviť (tzv. recertifikácia), pričom sa opäť preveruje plnenie požiadaviek normy ISO/IEC 27001. Počas trojročného obdobia navštevuje certifikačný orgán spoločnosť obvykle v ročných intervaloch ( v zmysle zmluvy – jedná sa o tzv. certifikačný a 2 dozorné audity) a v rámci previerok opäť overuje funkčnosť systému.

Ako na certifikáciu systému informačnej bezpečnosti podľa normy ISO 27001 v 7 bodoch:

 1. Prijať rozhodnutie o certifikácii: systému informačnej bezpečnosti Organizácia sa musí rozhodnúť pre certifikáciu podľa požiadaviek normy ISO/IEC 27001 a stanoví svoje ciele a požiadavky na certifikáciu.
 2. Analyzovať súčasný stav: Organizácia vykoná GAP analýzu – analýzu svojho súčasného stavu riadenia bezpečnosti informácií vs požiadavky ISO/IEC 27001
 3. Implementovať požiadavky normy ISO/IEC 27001: Organizácia implementuje požiadavky ISO 27001, vrátane vytvorenia politík a štandardov, zavedenie procesov a pracovných postupov a vybudovanie infraštruktúry pre riadenie bezpečnosti informácií.
 4. Interný audit: Organizácia vykoná interný audit, aby overila, že implementácia požiadaviek je správna a efektívna.
 5. Certifikačný audit: Nezávislý certifikačný orgán vykoná certifikačný audit, kde overí, či organizácia spĺňa požiadavky ISO/IEC 27001.
 6. Záverečné rozhodnutie: Certifikačný orgán vydá záverečné rozhodnutie o certifikácii a pridelí certifikát ISO/IEC 27001, ak je organizácia schopná splniť požiadavky normy ISO/IEC 27001
 7. Neustále zlepšovanie a udržiavanie systému informačnej bezpečnosti: Po obdržaní certifikátu ISO/IEC 27001 je nutné vykonávať pravidelnú „údržbu“ systému, aby sa zabezpečilo, že požiadavky ISO 27001 sú stále splnené.

V prípade akýchkoľvek otázok týkajúcich sa systému informačnej bezpečnosti podľa ISO/IEC 27001 nám prosím píšte na mail alebo nás kontaktujte telefonicky.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *