DCIT

Audit shody s požadavky norem ISO/IEC 27000

Série ISO/IEC 27K obsahuje již desítky norem, které upravují oblast informační bezpečnosti. Jedná se o rady, doporučení, sady opatření pro různé oblasti řízení IT a auditu informačních systémů v různých sektorech ekonomiky. Analýza shody se dá realizovat oproti libovolné normě, která obsahuje seznam požadavků, nicméně nejčastěji se hovoří o ISO/IEC 27001, protože jen tato norma se využívá při certifikaci řízení bezpečnosti informačního systému.

Cíle analýzy

Analýza shody (gap analýza) zjistí aktuální stav souladu s požadavky vybrané normy. V případě normy ČSN ISO/IEC 27001 provádíme rozdílovou analýzu s požadavky normy nebo přímo před-certifikační audit.

Průběh analýzy

Analýza se podobá auditu a typicky probíhá v následujících krocích:

  1. Studium předané relevantní dokumentace,
  2. interview a workshopy s vybranými zaměstnanci,
  3. vytvoření draftu zprávy,
  4. připomínkování draftu zprávy,
  5. vytvoření konečné verze zprávy.

Naše analýza je služba, která vám dodá výsledky „na klíč“, nicméně bez součinnosti zákazníka by to nebylo možné. Spolupráce probíhá především formou interview a workshopů, nicméně pokud je to efektivní nebo jediná možnost, je možné použít i dotazníkové šetření.

Analýza reflektuje požadavky normy. V případě ČSN ISO/IEC 27001 se jedná o cca 14 stran požadavků a 11 stran v příloze A, která vypisuje opatření (rozepsané jsou v ISO/IEC 27002), které je nutné projít a posoudit.

Výstupy

Závěrečnou zprávu tvoří rozsáhlá tabulka, která obsahuje vyjádření ke všem požadavkům normy. Přehledně je označeno, zda je požadavek splněn, plněn jen částečně nebo neplněn. Ke každému nálezu je uvedeno doporučení, které vychází nejen z konkrétních požadavků legislativy, ale i zkušeností konzultantů DCIT.

Přínosy

Hlavním přínosem je zjištění souladu požadavků dané normy s reálným stavem řízení informační bezpečnosti. Praktických přínosů je však více:

  • přehled o stavu a prioritách pro dosažení souladu,
  • doporučení a opatření k nápravě,
  • podklad pro řízení nákladů a rozpočtů na compliance,
  • ochrana produktů a služeb,
  • podklady pro manažerská rozhodnutí při řízení rizik i IT.

Po dokončení analýzy lze navázat dalšími našimi službami, jako jsou analýza rizik, tvorba bezpečnostní dokumentace, nastavení řídících procesů, outsourcing bezpečnostních rolí nebo realizace řady technických služeb.

Máte otázky?

Pokud Vás zajímá více detailů, prosím kontaktujte nás.

Dotaz e-mailem