Nezbytné ISO 27001
Nároky, přínosy, faktory úspěchu
Zavedení systému řízení bezpečnosti informací (ISMS) podle normy ISO 27001 je klíčovým úkolem pro všechny společnosti, které chtějí bezpečnost svých informací dlouhodobě posílit .Tento proces je nicméně spojen s určitými výzvami - počínaje časem na přípravu a náročností dokumentace a konče náklady na implementaci. Podrobný průzkum, který provedla naše společnost CIS GmbH mezi převážně rakouskými společnostmi poskytuje cenné poznatky přímo z praxe a ukazuje, jak se s těmito problémy společnosti v Rakousku vypořádávají.
Certifikace ISO 27001 umožňuje společnostem nejen splnit zákonné a regulační požadavky, ale také napomáhá požadavkům na dodavatele a dobře je připravuje na směrnici NIS 2. Před zavedením je třeba stanovit strategii, kterou je třeba sledovat, a cíl certifikace ISO 27001. Společnosti dotazované ve zprávě o stavu v roce 2024 uvedly jako nejdůležitější priority pro příštích 12 měsíců bezpečnost dodavatelů, řízení kontinuity provozu a řízení rizik.
Doba přípravy: Jak dlouho trvá získání certifikace?
- 12 % dokončilo přípravy za méně než šest měsíců
- 60 % společností se na certifikaci ISO 27001 připravovala šest až dvanáct měsíců
- U 21 % trvala příprava déle než rok
- 7 % respondentů uvedlo, že jim doba přípravy zabrala více než dva roky
Tato čísla ilustrují, že vytvoření systému ISMS může trvat různě dlouho v závislosti na velikosti organizace, dostupných zdrojích a stávající bezpečnostní struktuře.
Externí poradenství: podpora s přidanou hodnotou?
Ne všechny společnosti se spoléhaly na externí poradenství:
- 37 % implementovalo ISO 27001 výhradně interně
- 35 % získalo cílenou podporu pro jednotlivá témata
- 28 % se spoléhalo na komplexní externí poradenství
Z údajů vyplývá, že mnoho společností je schopno zapojit interní odborné znalosti, zatímco jiné se cíleně spoléhají na externí podporu, aby proces zefektivnily.
Náklady na implementaci - náročnost versus přínos ISO 27001
Hodnocení nákladů na implementaci z pohledu firem, které certifikací prošly:
- 47 % respondentů považuje náklady za oprávněné, protože vedou k minimalizaci rizik a přidané hodnotě
- 46 % uvádí, že náklady jsou v rovnováze s dosaženými přínosy
- 7 % respondentů se domnívá, že jejich náklady byly vyšší než dosažené přínosy
Výsledky ukazují, že mnoho firem i organizací nejenže uznává dlouhodobou přidanou hodnotu implementace ISO 27001, ale také ji vysoce oceňuje díky zvýšené bezpečnosti a ochraně před možnými škodami.
Největší výzvy při zavádění ISO 27001
Společnosti, které se průzkumu zúčastnily, ohodnotily i náročnost certifikace:
- 88 % respondentů uvedlo jako hlavní výzvu množství potřebného času
- 86 % respondentů za klíčový problém označilo náročnost dokumentace
- 51 % respondentů poukazovalo na složitost integrace do stávajících procesů
Další výzvy, jako je odmítavý postoj zaměstnanců, nedostatek odborných znalostí nebo technické požadavky, byly zmiňovány jen v menší míře.
Zavedení řízení bezpečnosti informací podle normy ISO 27001 vyžaduje čas, zdroje a jasnou strategii. Výše zmiňovaný průzkum ukazuje, že navzdory výzvám - zejména pokud jde o časovou náročnost a dokumentaci - společnosti považují investici za smysluplnou. Společnosti, které se na tuto cestu ještě nevydaly, se mohou poučit ze zkušeností ostatních a podle toho naplánovat svou strategii implementace. Celá a podrobná zpráva CIS GmbH 2024 o stavu a přínosu certifikace ISO 27001 je volně ke stažení zde
V případě, že budete mít k tomuto tématu další dotazy, kontaktujte nás prosím zde.