Volat poradce: +420 737 279 917
logo_vlastnicesta
VOLAT PORADCE: +420 737 279 917
Search
Close this search box.

Prohlášení o použitelnosti (SoA) dle ISO 27001 Příloha A

Připravujete systém managementu bezpečnosti informací pro certifikaci dle ISO 27001? Nejen, že musíte připravit analýzu rizik bezpečnosti informací, opatření pro jejich ošetření, ale také musíte vypracovat povinný dokument z přílohy A normy ISO 27001 Prohlášení o použitelnosti nebo v překladu normy Cíle opatření a jednotlivá opatření. Stáhněte si 6-ti stránkový vzor a nepřepisujte normu.
original_SoA_Prohlaseni_o_pouzitelnosti_ISMS_bezpecnost_informaci

Bezpečnost informací více a více nabývá na vážnosti pro každou firmu. Hackerských útoků rok od roku přibývá a je nezbytné chránit firemní know how, informace, ale také celou infrastrukturu, která vám pomáhá sdílet právě tato data a informace. Prozíravé firmy již mají zavedeny a nebo připravují certifikaci managementu bezpečnosti informací dle mezinárodní normy ISO 27001

Pokud jste se ještě nad ochranou informací nezamysleli, zkuste si představit, že se nemůžete dostat ke všem firemním informacím, že nevíte, zda vaše výrobní stroje mají správná data. Co budete dělat? Jak to ochromí vaší firmu? Asi hodně, pokud ji to rovnou nepoloží. 

Více se dočtete v naší sekci Kybernetická bezpečnost

Cíle a opatření systému ISMS

Mezinárodní norma ISO 27001 je skvělý, jasně strukturovaný návod, jak si vytvořit účinný systém řízení bezpečnosti informací (ISMS). Má v sobě zapracované zkušenosti specialistů na IT a bezpečnost. Nejen, že se dovíte, co vše je v rámci systému důležité, ale také si budete muset identifikovat všechna rizika celé organizace. Tedy kde všude může dojít k poškození, ztrátě, záměně, krádeži dat a informací a to nejen chybou informačních systémů nebo hackerským útokem, ale také fyzickým zásahem. Zpracujete si analýzu rizik bezpečnosti informací. Tady se dostáváme ke stěžejnímu dokumentu Prohlášení o použitelnosti (SoA). Každá analýza má nejen vyhodnocení, ale hlavně musí obsahovat konkrétní opatření, která zavedete s ohledem na míru rizika nebo již máte zavedená ve svém systému managementu. 

Snadno zjistíte, že opatření bude velké množství. Některá: 

  • zavedete ihned a nabudou účinnosti okamžitě – nemusíte je již sledovat 
  • zavedete ihned, ale účinnost poznáte až za měsíce nebo až v momentu, kdy nastane bezpečnostní incident
  • můžete zavést později 
  • nemůžete zavést, dokud nenastane určitá podmínka 

Rozhodně si nepřejete, aby se důležitá opatření ztratila v každodenní operativě, když budete věnovat spoustu času analýze rizik. K tomu právě slouží SoA – nic neztratit a všechna opatření řádně uvést do praxe. Kromě toho jen během roku projdete řadou změn a bude třeba cíle a opatření ISMS aktualizovat. SoA má smysl ve své přehlednosti a komplexnosti. Jinak se vám opatření roztříští do celého systému ISMS. 

SoA hlavní dokument systému bezpečnosti informací 

Povinným dokumentem pro dosažení certifikace ISO 27001 je mít zpracovanou přílohu A této normy. V angličtině se dokument nazývá Statement of Applicability, zkráceně SoA. V překladu jde o Prohlášení o použitelnosti. Dokument napovídá, které všechny politiky a oblasti v rámci systému bezpečnosti informací byste měli řešit, aspoň v tom nezbytném základu. K jednotlivým politikám doplňuje realizovaná opatření. Má celkem 13 hlavních kapitol číslovaných od 5 do 18. Najdete zde například tyto politiky: 

  • politiky vedení firmy
  • mobilní zařízení
  • práce na dálku
  • bezpečnost lidských zdrojů – pracovní vztahy (změna, ukončení)
  • řízení aktiv
  • klasifikace informací
  • manipulace s médii
  • řízení přístupů
  • odpovědnost uživatelů
  • kryptografická opatření
  • fyzická bezpečnost prostředí
  • zařízení
  • bezpečnost provozu
  • ochrana proti malware
  • zálohování
  • monitorování logů
  • správa software
  • správa sítě
  • přenos informací
  • akvizice
  • vývoj a údržba systémů
  • proces vývoje a podpory
  • dodavatelské vztahy
  • řízení incidentů
  • kontinuita bezpečnosti informací
  • soulad s právními a legislativními požadavky
  • apod.

Vlastně v jednom dokumentu popisujete opatření, která jste vybrali k řešení bezpečnostních rizik. Vysvětlujete, proč jste opatření vybrali a nebo proč nemáte některá opatření ve firmě aplikována.

Stáhněte si šablonu SoA | Statement of Applicability a neztrácejte čas přepisováním přílohy A

Příloha A normy ISO 27001 je velmi rozsáhlá. Nemá smysl ztrácet čas přepisování povinných kapitol, které musíte předložit certifikačnímu auditorovi. Ušetřete si čas a stáhněte si šablonu, která obsahuje českou i anglickou verzi přílohy A Cíle opatření a jednotlivá opatření. To co musíte v šabloně vyplnit je: 

  • Které politiky bezpečnosti máte aplikované 
  • Popis jak a proč jste se je aplikovali
  • Doplnění konkrétních odkazů na aplikovaná opatření  

Připravil/a

#bezpečnost informací #certifikace ISO 27001 #SoA

Sdílejte

Mohlo by Vás zajímat