ISO/IEC 27001: co to je a jak ho získat
Uvažujete o certifikaci ISO/IEC 27001, ale nevíte přesně, co obnáší a jak ji získat? Jde o nejznámější standard kybernetické bezpečnosti na světě, který otevírá dveře k větším zakázkám. Přečtěte si, co norma znamená, jak funguje a jak se k certifikaci dostat.
Stručné shrnutí
ISO/IEC 27001 je mezinárodní norma pro systém řízení bezpečnosti informací. Pomáhá firmám chránit data podle osvědčených pravidel a stojí na principu řízení rizik. Certifikaci firmy získávají po úspěšném auditu a využívají ji jako doklad své důvěryhodnosti. Norma se v mnohém překrývá s požadavky nového zákona, ale povinnosti podle NIS2 sama o sobě nenahrazuje.
Co je ISO/IEC 27001
ISO/IEC 27001 je pojem, se kterým se firma dříve nebo později setká, jakmile začne systematicky řešit bezpečnost informací. Patří mezi klíčové certifikace a standardy kybernetické bezpečnosti, o kterých by měla mít přehled každá firma.
Definice normy ISO/IEC 27001
ISO/IEC 27001 je mezinárodní norma, která stanovuje požadavky na systém řízení bezpečnosti informací. Zkráceně se tento systém označuje jako ISMS, z anglického Information Security Management System.
Norma popisuje, jak má firma systematicky chránit své informace, ať už jde o data zákazníků, interní dokumentaci nebo know-how. Nejde o jednorázové opatření, ale o ucelený a trvalý přístup k bezpečnosti, který norma přesně definuje.
K čemu ISO/IEC 27001 slouží
Hlavním účelem normy je zajistit, aby firma chránila informace systematicky a prokazatelně. Namísto nahodilých opatření zavádí jasný rámec, podle kterého bezpečnost řídí.
Norma pomáhá zajistit tři základní vlastnosti informací, tedy jejich důvěrnost, integritu a dostupnost. Díky tomu firma ví, že se k datům dostanou jen oprávnění lidé, že data nejsou neoprávněně měněna a že jsou k dispozici, když je potřeba.
Co norma obsahuje a jak funguje
ISO/IEC 27001 není jen seznam pravidel. Je to funkční systém, který se stará o to, aby byla bezpečnost řízena průběžně a reagovala na skutečná rizika firmy.
Systém řízení bezpečnosti informací (ISMS)
Jádrem normy je systém řízení bezpečnosti informací. Jde o soubor pravidel, procesů a odpovědností, které společně zajišťují ochranu informací napříč celou firmou.
ISMS zahrnuje politiky, postupy i konkrétní opatření. Důležité je, že se týká nejen technologií, ale i lidí a procesů. Bezpečnost tak přestává být záležitostí jednoho oddělení a stává se součástí fungování celé organizace.
V tom se norma podobá požadavkům na základní prvky kybernetické bezpečnosti, které by měla zvládat každá firma.
Princip řízení rizik
ISO/IEC 27001 stojí na principu řízení rizik. To znamená, že firma nejprve identifikuje hrozby a zranitelnosti, posoudí jejich pravděpodobnost a dopad a teprve na základě toho zavádí odpovídající opatření.
Tento přístup je efektivní, protože firma neinvestuje do zbytečných opatření, ale soustředí se na to, co skutečně chrání její klíčová aktiva. Řízení rizik je zároveň průběžný proces, který se pravidelně opakuje a aktualizuje.
Proč o certifikaci firmy usilují
Získat certifikaci ISO/IEC 27001 není povinnost, přesto o ni firmy aktivně usilují. Důvody jsou praktické a často mají přímý dopad na obchod.
Hlavní přínosy pro firmu
Certifikace přináší firmě několik konkrétních výhod:
- Vyšší důvěryhodnost u zákazníků a obchodních partnerů.
- Konkurenční výhodu ve výběrových řízeních.
- Lepší ochranu dat díky systematickému přístupu.
- Jasně nastavené procesy a odpovědnosti.
- Snazší splnění dalších bezpečnostních požadavků.
Tyto přínosy dělají z certifikace nástroj, který firmě pomáhá nejen chránit data, ale i růst.
Kdy se certifikace vyplatí
Certifikace se vyplatí zejména tehdy, když ji firma potřebuje z obchodních důvodů. Typicky jde o situace, kdy ji vyžadují velcí zákazníci, kdy je podmínkou účasti ve výběrovém řízení nebo kdy se firma chce odlišit od konkurence.
Smysl dává i pro firmy, které pracují s citlivými daty a chtějí mít jistotu, že je chrání podle nejlepších standardů. Naopak pro firmu bez těchto potřeb nemusí být certifikace nezbytná, i když samotný systém řízení bezpečnosti je přínosem vždy.
Jak získat ISO/IEC 27001
Cesta k certifikaci má jasné kroky. Vyžaduje čas a přípravu, ale při systematickém přístupu je zvládnutelná.
Příprava a zavedení normy
Prvním krokem je zavedení systému řízení bezpečnosti informací podle požadavků normy. Firma zmapuje svá aktiva, provede analýzu rizik a nastaví potřebné politiky, procesy a opatření.
Součástí přípravy je také zpracování dokumentace a zaškolení zaměstnanců. Tato fáze je nejnáročnější, protože firma musí systém nejen navrhnout, ale i skutečně zavést do praxe a nechat ho nějakou dobu fungovat.
Certifikační audit a jeho průběh
Po zavedení systému následuje certifikační audit, který provádí nezávislá certifikační autorita. Audit obvykle probíhá ve dvou fázích, kdy se nejprve kontroluje dokumentace a poté se ověřuje, že systém reálně funguje.
Pokud firma auditem projde, získává certifikát, který má omezenou platnost a je potřeba jej pravidelně obnovovat. Během platnosti probíhají také dozorové audity, které ověřují, že firma systém dále udržuje.
| Fáze | Co obnáší |
|---|---|
| Příprava | Zavedení ISMS, analýza rizik, dokumentace |
| Audit 1. fáze | Kontrola dokumentace a připravenosti |
| Audit 2. fáze | Ověření funkčnosti systému v praxi |
| Certifikát | Vydání s omezenou platností |
| Dozor | Pravidelné dozorové audity |
Jak ISO/IEC 27001 souvisí se ZoKB
Pro firmy v Česku je klíčová otázka, jak norma souvisí s novým zákonem o kybernetické bezpečnosti. Právě zde vzniká řada nedorozumění.
Vztah normy k zákonu o kybernetické bezpečnosti
Zákon 264/2025 Sb. a vyhláška 410/2025 Sb. z osvědčených standardů vycházejí a v mnoha bodech se s ISO/IEC 27001 překrývají. Firma, která má normu zavedenou, má proto k plnění zákona výrazně blíž, protože už má nastavené řízení rizik i dokumentaci.
To ale neznamená úplnou shodu. Zákon má vlastní specifické požadavky, včetně povinností v nižším režimu a konkrétní dokumentace, které se od normy liší.
Nahrazuje certifikace povinnosti podle NIS2?
Odpověď je jednoznačná. Certifikace ISO/IEC 27001 sama o sobě povinnosti podle zákona nenahrazuje. I firma s touto certifikací se musí zaregistrovat u NÚKIBu a připravit dokumentaci podle vyhlášky.
Certifikace ovšem přípravu výrazně usnadní, protože řada procesů je již nastavena. Pokud si nejste jistí, zda se vás zákon týká, pomůže vám ověřit to samoidentifikací NIS2.
Následně je potřeba připravit dokumentaci, s čímž pomáhá Compligen, online průvodce, který firmu provede tvorbou dokumentace ke všem opatřením podle vyhlášky. Stačí odpovídat na srozumitelné otázky o vaší firmě a o zbytek se postará průvodce.
Závěr
ISO/IEC 27001 je mezinárodní norma pro systém řízení bezpečnosti informací, která firmám pomáhá chránit data systematicky a podle osvědčených pravidel. Získává se zavedením systému a úspěšným absolvováním certifikačního auditu u nezávislé autority. Certifikace přináší vyšší důvěryhodnost a konkurenční výhodu, ale povinnosti podle nového zákona o kybernetické bezpečnosti sama o sobě nenahrazuje. Firma s certifikací to má při plnění zákona jednodušší, přesto se musí zaregistrovat a připravit dokumentaci podle vyhlášky. S tou jí pomůže Compligen.
Přečtěte si také
- Certifikace a standardy kybernetické bezpečnosti: kompletní přehled pro firmyJaký je rozdíl mezi certifikací a standardem kybernetické bezpečnosti? Zjistěte, zda ISO 27001 nahrazuje povinnosti podle ZoKB a NIS2 a jak správně postupovat.
- Základní prvky kybernetické bezpečnosti, které musíte mít zvládnutéZjistěte, které základní prvky kybernetické bezpečnosti musí mít vaše firma zvládnuté. Od hesel a zálohování po školení a řízení rizik podle NIS2.
- Co je to NIS2?Slýcháte zkratku NIS2 stále častěji? Přečtěte si, co NIS2 je, na koho dopadá a co konkrétně musí vaše firma splnit.