Jaká byla zkušenost s průběhem certifikace Bizztreatu dle standardů ISO/IEC 27001🛡️? | Mňamka #489

V předchozím článku jsme popisovali definici i smysl a účel certifikace ISO 27001. Samotný proces certifikace, i když má v zásadě dané kroky, je v každé organizaci trochu jiný - především v závislosti na velikosti organizace a související komplexitě (vnitřní hierarchie, interní procesy). Pojďme se tedy podívat jak tento proces probíhal a jaká je vlastní zkušenost Bizztreat.

Analýza a příprava. První a nesmírně důležitý krok, v rámci něhož jsme si především na začátku vybrali externího partnera, který nám pomohl porozumět specifickým požadavkům iso normy a s nímž jsme také následně celý proces přípravy na certifikaci absolvovali. Toto rozhodnutí se ukázalo jako stěžejní pro maximální efektivitu celého procesu. Neztratili jsme se v množství nutných kroků i administrativy a mohli jsme mířit rovnou k cíli cesty.

V této fázi jsme jsi také uvnitř celý projekt naplánovali, definovali kdo-za co je a bude v projektu odpovědný i jaký je realistický časový plán. V našem případě vyžadoval projekt v různých fázích intenzivnější zapojení přibližně 2-3 lidí, z toho 1 člověka po celou dobu projektu. Ambicí pak bylo přípravu i realizaci certifikace dokončit během 1,5 měsíce - a toto předsevzetí se podvedlo dodržet.

V neposlední řadě tento krok obnášel také detailní zmapování a pochopení výchozího stavu věcí (dokumentace, procesy či vnitřní mechanismy), jichž se tato norma týká. Právě v této věci se ukázala spolupráce s věci znalým externím partnerem jako klíčová. Netápali jsme ve tmě, bylo jasné na co se zaměřit.

Revize a donastavení systému ISMS (řízení bezpečnosti informací). Vzhledem faktu, že podstata normy ISO 27001 je ve správně a úplně nastaveném a vedeném dokumentovaném systému, je tento krok vlastně tím nejdůležitějším. A pro BizzTreat to nebylo jiné.
Detailně popisovat co přesně systém řízení bezpečnosti informací je, jak vypadá a co vše obnáší, je rozsahem mimo možnosti tohoto článku (s dovolením tak odkáži např. na wikipedii). V každém případě pro nás nebyl novinkou proces samotný (ten už jsme - byť ne pod tímto názvem a ne tak formálně) měli před certifikací. To co se ukázalo jako nejnáročnější, byla ta příprava poměrně značného množství formálních dokumentů, které tento proces fakticky rámují - dokumentují.

Pro ilustraci: Dokumentace systému znamenalo v našem případě vydání 12 tzv. systémových směrnic (v zásadě interních předpisů, které systém v kontextu BizzTreat jasně popisují a specifikují), a také zavedení 29 tzv. systémových záznamů (jakýchsi “provozních dokumentů”). Nejsou to malá čísla a v rámci projektu byl tento krok jednoznačně tím časově nejnáročnějším. 

Interní resp. kontrolní audit. Dá se považovat za zkoušku nanečisto. V okamžiku kdy jsme byli přesvědčeni o tom, že máme vše v souladu s očekáváním normy a že nám to také prakticky funguje, domluvili jsme se s naším partnerem na jakémsi otestování, finální kontrole jak dokumentace systému a tak souvisejících interních procesech. Tento audit nanečisto nám pomohl vychytat poslední mouchy a finálně nás připravil na ostrou zkoušku. Externí audit a certifikaci samotnou.

Externí audit a certifikace. Den D, v našem případě poslední pátek měsíce dubna. Renomovaná certifikační agentura detailně ověřila a prověřila úplnost a správnost našeho systému, i s ním souvisejících dokumentů. V rámci auditu jsme odpovídali na položené otázky a svá slova zároveň prakticky dokládali. Uplynulé týdny příprav se k naší radosti zúročili a audit proběhl úspěšně. Díky tomu jsme v následujících byli úspěšně certifikování na soulad s normou ISO 27001.

Na závěr si dovolím poznamenat, že certifikace není pro Bizztreat (stejně jako pro jakoukoli jinou rozumnou společnost) koncem tohoto příběhu, ale naopak jeho začátkem. Formalizace procesu řízení bezpečnosti informací byl náročný proces, ale velmi užitečný pomocník pro dlouhodobou udržitelnost celého systému, do jehož nastavení, s cílem dlouhodobě a pečlivě chránit jak naše informační aktiva, tak zejména data našich klientů, jsme věnovali tolik úsilí.