ISO/IEC 27001
ISO/IEC 27001 (systém řízení informační bezpečnosti)
Mezinárodní standard pro systém řízení informační bezpečnosti (ISMS) — certifikace, která prokazuje zralost firmy v IT bezpečnosti.
Co je ISO/IEC 27001?
ISO/IEC 27001 je mezinárodní standard Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní elektrotechnické komise (IEC), který definuje požadavky na Information Security Management System (ISMS) — systém řízení informační bezpečnosti. Aktuální verze ISO/IEC 27001:2022 obsahuje v Annex A 93 bezpečnostních kontrol rozdělených do 4 témat (organizační, personální, fyzické, technologické).
Certifikace podle ISO 27001 je dobrovolná, ale v B2B se stává de facto povinnou — většina enterprise zákazníků ji vyžaduje při výběru SaaS dodavatele. Proces certifikace se skládá z:
- Gap analýza vůči požadavkům normy
- Implementace ISMS — politiky, procedury, kontroly
- Interní audit
- Certifikační audit akreditovanou autoritou (v ČR např. CIS, Bureau Veritas, TÜV SÜD)
- Re-certifikace každé 3 roky, dozorový audit každý rok
Klíčové oblasti Annex A 2022:
- A.5 Organizační kontroly — politiky, role, dodavatelé
- A.6 Personální kontroly — prověřování, disciplína
- A.7 Fyzické kontroly — přístup do budov, datacenter
- A.8 Technologické kontroly — kryptografie, logování, přístupy
Kdy se používá
ISO 27001 je relevantní pro:
- SaaS poskytovatele — zákazníci ji vyžadují
- Finanční instituce a fintech
- Veřejnou správu — povinná při některých projektech
- Zdravotnictví a kritickou infrastrukturu
Viz stránku Bezpečnost.
Související pojmy
- GDPR — ISO 27001 výrazně pomáhá s GDPR compliance. Viz /cs/slovnik/gdpr.
- RBAC — technická kontrola z Annex A. Viz /cs/slovnik/rbac.
- SSO — častá technologická kontrola. Viz /cs/slovnik/sso.
V Modulario
Modulario implementuje ISO 27001 kontroly ve svých cloudových operacích — šifrování dat v klidu a při přenosu, RBAC, audit logování, incident response proces. Detaily o certifikacích a subprocesorech najdete na /bezpecnost.
Modulario jako SaaS vendor dodává zákazníkům SOC 2 a ISO 27001 reporting, aby usnadnil compliance audity. Zákazníci dostávají sub-procesor list, penetrační testy a dokumentaci bezpečnostních incidentů — vše je k dispozici v zákaznickém portálu.
V ČR existují i další relevantní certifikace — ISO/IEC 27701 (rozšíření o ochranu osobních údajů), ISO 9001 (kvalita) a TISAX (automotive). Moderní SaaS firmy často kumulují více certifikátů, aby obstály při enterprise a veřejném B2B prodeji.
Související pojmy
GDPR
Nařízení EU o ochraně osobních údajů platné od 25. 5. 2018 — definuje práva subjektů údajů a povinnosti správců.
AI Act
První komplexní nařízení EU upravující vývoj, nasazení a používání umělé inteligence — rizikový přístup se čtyřmi úrovněmi.
RBAC
Autorizační model, ve kterém se oprávnění přiřazují přes role, ne jednotlivým uživatelům — jednodušší správa a auditovatelnost.
SSO
Autentizační mechanismus, který umožňuje uživateli přihlásit se jednou a získat přístup k více aplikacím bez opakovaného zadávání hesla.
ReBAC
Autorizační model založený na vztazích mezi objekty — přístup se odvozuje od toho, v jakých týmech a projektech uživatel je.
Implementujete ISO/IEC 27001 ve své firmě?
Modulario pokrývá většinu B2B procesů modulárně — nasaďte jen to, co teď potřebujete, a postupně rozrůstejte. Domluvte si bezplatnou konzultaci.
Domluvit konzultaci