ISO 27001 a 27701 — audity a implementace
Mezinárodní standard pro řízení informační bezpečnosti a ochrany soukromí. Provedeme vás od GAP analýzy přes implementaci ISMS a PIMS až po předaudit před certifikací.
Pro koho je služba
Tři typické situace, kdy se ozývají klienti.
- 01 Firma, která potřebuje ISO 27001 jako vstupenku do tendrů, korporátních dodavatelských řetězců nebo mezinárodních zakázek.
- 02 Organizace připravující se na NIS2 — ISO 27001 pokrývá většinu požadavků a je nejrychlejší cestou k souladu.
- 03 Společnost zpracovávající velké objemy osobních údajů, která chce 27701 jako důkaz robustního přístupu k GDPR.
Co dostanete
Konkrétní výstupy, nikoliv obecné doporučení.
- GAP analýza vůči požadavkům ISO 27001 / 27701 — strukturovaný report po klauzulích.
- Statement of Applicability (SoA) — výběr a zdůvodnění aplikovatelných kontrol z Annex A.
- Risk Assessment a Risk Treatment Plan — metodika, registr rizik, plán ošetření.
- Sada politik a směrnic přizpůsobená rozsahu (ne 80stránkové šablony, ale použitelné dokumenty).
- Plán interních auditů a metodika přezkumu vedením (management review).
- Předaudit před certifikačním auditem — odhalení posledních slabin.
- Asistence u certifikačního auditu jako podpora vašeho týmu.
Jak postupujeme
Krok za krokem, bez překvapení.
Každý projekt rozdělujeme do jasných fází. Po každé fázi máte konkrétní výstup a rozhodujete se, jestli pokračovat dál.
- 01
Scoping + GAP
Vymezení rozsahu ISMS a porovnání stavu s požadavky standardu.
- 02
Risk Assessment
Identifikace aktiv, hrozeb a zranitelností. Návrh ošetření rizik.
- 03
Implementace ISMS
Dokumentace, procesy, role, technická opatření, školení.
- 04
Předaudit + certifikace
Interní audit, management review, doprovod při externím auditu.
FAQ
Časté otázky
Co je ISO 27001 a ISO 27701?
ISO 27001 je mezinárodní standard pro řízení informační bezpečnosti (ISMS — Information Security Management System). ISO 27701 je jeho rozšíření o ochranu osobních údajů (PIMS — Privacy Information Management System). 27001 řeší celkovou bezpečnost informací, 27701 přidává GDPR-orientovanou vrstvu.
Potřebujeme certifikaci, nebo stačí soulad?
Záleží na motivaci. Pokud je certifikace obchodní požadavek (tendry, korporátní zákazníci, mezinárodní expanze), vyplatí se ji získat — je to externí potvrzení. Pokud jde čistě o řízení rizik a soulad s NIS2/GDPR, lze postavit ISMS podle ISO 27001 bez formální certifikace a získat 80 % přínosu za zlomek nákladů.
Jak dlouho trvá příprava na certifikaci?
U menší firmy bez existující dokumentace 6–9 měsíců. U větší firmy 9–15 měsíců. Klíčové je nepodcenit interní zdroje — auditor potřebuje vidět, že systém žije, ne že dokumenty vznikly měsíc před certifikací.
Co když už máme něco z ISO 27001 hotové?
Začínáme GAP analýzou — zmapujeme, co máte funkční, co je formálně, ale neprovozované, a co chybí úplně. Z toho vznikne adresný plán, který nezačíná od nuly.
Pomáháte i s certifikační autoritou?
Necertifikujeme — to ze zákona musí dělat akreditovaná autorita třetí strany (typicky TÜV, Bureau Veritas, DNV, SGS). Pomůžeme vám ji vybrat, projít předauditem a být u certifikačního auditu jako podpora.
Další krok
Plánujete certifikaci ISO 27001 nebo 27701?
Nejlepší první krok je GAP analýza — víme, co máte hotové, co chybí a kolik bude implementace stát času i peněz.