Na redakční otázky odpovídá Mgr. Hana Vystavělová, Senior IT Security Consultant, AEC, spol. s r.o.

1) Jak správně a přesně vyčíslit přínosy auditů a zavádění norem ISO?

Mezinárodní organizace ISO vydává ročně řádově stovky norem z různých oblastí – vědeckých, technologických i ekonomických. Zaměřit se tedy na správné a přesné vyčíslení přínosů zavádění ISO norem obecně dalece přesahuje možnosti jednoho interview. Zaměřme se tedy pouze na oblast informační bezpečnosti, a to konkrétně na normu ISO/IEC 27001, podle které jsou v současnosti nejčastěji implementovány systémy řízení informační bezpečnosti (ISMS).

Přesné vyčíslení přínosů zavadění normy je velmi problematické a navíc se může lišit dle typu a zaměření organizace a rozsahu implementace normy. Implementace systému řízení ISMS má zpravidla řadu přínosů – od zajištění ochrany citlivých informací až po zvýšení konkurenceschopnosti společnosti či zvýšení kreditu společnosti v očích zákazníka. Z dalších přínosů jmenujme například účinnější a efektivnější zvládání bezpečnostních incidentů – vyčíslit finanční dopad nastalého bezpečnostního incidentu (např. výpadek proudu, porucha HW, počítačový virus) není až tak problematické. Realizované průzkumy (konkrétné např. Průzkum stavu informační bezpečnosti ČR za rok 2009) ukazují, že průměrný přímý finanční dopad nejzávažnějších bezpečnostních incidentů je řádově více než sto tisíc. Jak ale vyčíslit skutečnost, že implementovaný systém ISMS významně zmírnil dopad či dokonce zabránil výskytu právě takovéhoto incidentu?
Dalším obtížně vyčíslitelným přínosem je optimalizace investic do bezpečnosti. Pomocí analýzy rizik, která je nezbytnou součástí implementace systému ISMS jsou identifikována a hodnocena aktiva společnosti a rizika, jimž jsou vystavena. Na základě těchto hodnocení jsou pak vybírána protiopatření, jejichž cena (investice do bezpečnosti) by neměla převyšovat hodnotu aktiv a možný dopad, kterému jsou aktiva vystavena v případě realizace rizika.

2) S jak velkou pracovní i časovou náročností je nutné při zavádění ISO norem počítat?

Pokud se opět zaměříme pouze na normu ISO/IEC 27001, tak časová náročnost je odvislá od způsobu implementace – při zavádění ISMS externí konzultantskou firmou je pracovní i časová náročnost minimalizována na spolupráci s konzultantskou společností (poskytování informací, interview pro zjištění aktuálního stavu, odsouhlasení výstupů apod.). Zavádění interními silami je přirozeně časově náročnější. Ve srovnání s implementací externí firmou je možné očekávat až o 80% větší nárůst pracnosti interního týmu. To vše ovšem za předpokladu, že interní tým má dostatečnou kvalifikaci pro samostatnou implementaci. V praxi jsou samozřejmě možné i kombinované varianty, které přesně odpovídají možnostem a požadavkům dané společnosti (jednotlivé etapy zavádění – pracnosti – jsou rozděleny mezi interní a externí tým řešitelů). Obecně lze říci, že projekt zavedení ISMS ve středně velké organizaci si vyžádá řádově několik měsíců až rok. Dokončením projektu ale práce rozhodně nekončí – ISMS je nutné neustále zlepšovat, zajišťovat fungování procesů, účinnou kontrolu atd.

3) Jak obtížné je nasadit ISO normy do prostředí, která s nimi zatím nemají zkušenosti?

Zkušenosti s ISO normami představuji výhodu při implementaci ISMS, nejsou však podmínkou. V úvodních fázích zavádění systémů totiž zpravidla probíhá seznámení s normou, a to minimálně na úrovni vedení společnosti. Obtížnost implementace závisí tedy spíše na procesech ve společnosti, firemní kultuře, ochotě a schopnosti k realizaci změn a zejména na podpoře vedení společnosti k implementaci normy.
Výhodou při nasazování nových systémů řízení dle ISO norem (systémy řízení jakosti – dle ISO 9001, systémy řízení informační bezpečnosti – ISO/IEC 27001, enviromentálního managementu – ISO 14001 apod.) je případ, kdy společnost již nějaký systém řízení má implementovaný. Většina systémů řízení je totiž harmonizována a obsahuje řadu společných prvků, které je možné využít při zavádění dalšího systému.

4) Jak výrazný posun v kvalitě bezpečnosti představuje certifikace dle CSN ISO/IEC 27001? Pro koho je vhodná?

Pro společnost, která dlouhodobě buduje informační bezpečnost na základě doporučení mezinárodních norem řady ISO/IEC 27000 nepředstavuje samotný proces certifikace výrazný posun v kvalitě bezpečnosti. Naopak ve společnosti, která řešila ICT bezpečnost pouze okrajově a jen při výskytu problémů/bezpečnostních incidentů může implementace a případná certifikace dle ČSN ISO/IEC 27001 významně zvýšit úroveň bezpečnosti.

5) Lze smysluplný audit provést i s interními zdroji, nebo je za každých okolností kvůli „provozní slepotě“ využívat externích služeb?

Interní audit ve smyslu řídících norem ISO není nutné provádět externími silami. Je-li interní auditorský tým dostatečně kvalifikovaný a zkušený, mají interní audity provedené tímto týmem stejnou váhu jako audity externí. Vždy však musí platit pravidlo, že tým interního auditu je pokud možno nezávislý a platí pravidlo, že auditor nekontroluje „neaudituje“ vlastní práci.
Pokud se jedná o specializované audity a kontroly bývá zpravidla výhodnější využít externích služeb nejen kvůli provozní slepotě, ale také kvůli potřebné zkušenosti a odbornosti externích specialistů.

Audity a ISO