1) Jak správně a přesně vyčíslit přínosy auditů a zavádění norem ISO?

Přestože jsou přínosy zásadního charakteru, je velmi obtížné je finančně vyjádřit, pohybujeme se v rovině odhadů. Hlavní přínos je zvýšení bezpečnosti, především díky tomu, že žádné významné riziko nebude opomenuto, a že bezpečnost je soustavě udržována. Výsledkem by tedy mělo být, že nedojde k bezpečnostnímu incidentu, kterému se dalo předejít, a firma nebude nést jeho náklady, nebo pokud k němu dojde, jeho dopady budou omezené.

Dalším přínosem je možná úspora neefektivně vynaložených nákladů na bezpečnostní opatření. A stanovit, kolik ušetříme tím, že se nějaká pravděpodobná událost nestane, nebo tím, že v budoucnu budeme lépe hospodařit s dostupnými zdroji, je velmi obtížné. I když existují metody, které se snaží odhadnout ztráty z potenciálních bezpečnostních incidentů, kterým bude zabráněno bezpečnostními opatřeními (ROSI), je velmi obtížné je použít na celý program informační bezpečnosti. Další možností je orientovat se podle statistik o nákladech na zvládání následků bezpečnostních incidentů.

I pro společnosti, kterým certifikace podle ČSN ISO/IEC 27001 pomůže při získávání zakázek, je přínos obtížné předem vyčíslit. Jak určit, kolik zákazníků předepíše v nejbližších letech certifikaci jako podmínku pro dodavatele nebo u kolika zakázek pomůže certifikát přesvědčit zákazníka o kvalitě nabízených služeb? Je ale možné alespoň určit, kolika výběrových řízení kvůli chybějící certifikaci se dosud společnost nemohla zúčastnit, nebo je možné zpětně, po nějaké době od získání certifikace, některé přínosy vyčíslit.

2) S jak velkou pracovní i časovou náročností je nutné při zavádění ISO norem počítat?

Pokud zahrneme i zavedení bezpečnostních opatření, budou se pracnost i trvání velmi výrazně lišit případ od případu. Závisí nejen na velikosti společnosti, stavu bezpečnosti a různorodosti IT, ale i na charakteru organizace, metodách řízení, případné existenci jiného systému řízení (ISO 9000 apod.) a dalších faktorech.

3) Jak obtížné je nasadit ISO normy do prostředí, která s nimi zatím nemají zkušenosti?

Případná zkušenost se zavedením a provozováním jiného systému řízení založeného na cyklu PDCA („plánuj, udělej, zkontroluj, jednej“) podle norem ISO (jakosti, životního prostředí) pochopitelně zavedení ČSN ISO/IEC 27001 usnadňuje. Přijetí základní koncepce, kterou všechny tyto systémy sdílí, určité úsilí vyžaduje. Větší překážkou než absence těchto zkušeností je ale podle mého názoru například špatný stav bezpečnosti obecně, chabé vynucování pravidel a navržených opatření nebo očekávání, že vypracování dokumentace bez dalšího úsilí okamžitě zlepší bezpečnost informací a její řízení.

4) Jak výrazný posun v kvalitě bezpečnosti představuje certifikace dle ČSN ISO/IEC 27001? Pro koho je vhodná?

Certifikace je pochopitelně vhodná především tam, kde záleží na prokázání úsilí o zajištění bezpečnosti informací navenek, tedy například u společností poskytujících outsourcing nebo jinak zpracovávajících data, která patří jejich zákazníkům. Může ale představovat i určitou interní motivaci, viditelný cíl, který pomůže při spolupráci napříč společností nebo tomu, aby po zavedení byl systém řízení bezpečnosti provozován s potřebným úsilím a zdroji.

5) Lze smysluplný audit provést i s interními zdroji, nebo je za každých okolností vhodné kvůli „provozní slepotě“ využívat externích služeb?

Interní audit obvykle bude méně nákladný než externí, a tedy bude moci mít širší záběr. Znalost prostředí přitom přináší nejen zmíněnou nevýhodu, ale i výhody. Může například pomoci při posuzování důsledků určitého postupu nebo řešení. A případnou „provozní slepotu“ lze kompenzovat vědomým úsilím auditora přemýšlet o věcech, které vypadají jako běžné.

 Na druhou stranu, externí auditor opravdu není zvyklý na to, že ve firmě je něco už dlouho považováno za „prostě normální“. Může poskytnout jiný pohled a další posouzení bezpečnostního opatření nebo určité situace. Proto je skutečně nejlepší obvykle používaná, a pro certifikaci vyžadovaná, kombinace interního auditu doplněného pravidelnými externími audity, které mj. ověřují i postupy interního auditu.

Jiným důvodem pro preferenci externího auditu může ale být například problém s personálním zajištěním interního auditu. Zejména menší společnosti nemusí disponovat odborníkem se znalostní auditních postupů a relativně širokým záběrem v bezpečnosti, který se současně neúčastní řízení a provozu bezpečnosti. Pak je řešením externí odborník, který v podstatě vykonává funkci interního auditu.