David Roun
← Zpět na Insights
ISO / ISMS

Co je GAP analýza ISO 27001 a proč je prvním krokem před certifikací

GAP analýza pomáhá identifikovat rozdíl mezi současným stavem organizace a požadavky normy ISO/IEC 27001. Proč bývá prvním krokem před certifikací?

Mnoho organizací začne řešit ISO/IEC 27001 ve chvíli, kdy se objeví konkrétní důvod.

Někdy certifikaci požaduje významný zákazník. Jindy se firma připravuje na audit, řeší požadavky skupiny, pracuje na zvýšení důvěryhodnosti nebo se začíná zabývat dopady směrnice NIS2.

Bez ohledu na konkrétní motivaci se poměrně rychle objeví stejná otázka:

Kde vlastně začít?

Jednou z nejčastějších chyb bývá snaha začít rovnou vytvářet dokumentaci, pořizovat nové nástroje nebo zavádět jednotlivá bezpečnostní opatření bez jasné představy o aktuálním stavu organizace.

Právě proto bývá GAP analýza považována za první smysluplný krok celé přípravy na ISO 27001.

Co je GAP analýza

Pojem „GAP“ označuje rozdíl mezi dvěma stavy:

  • současným stavem organizace,
  • požadavky normy ISO/IEC 27001.

Cílem GAP analýzy není organizaci hodnotit nebo auditovat.

Jejím úkolem je zjistit, jak daleko je firma od stavu, který norma požaduje, a identifikovat oblasti, které bude potřeba doplnit, upravit nebo formalizovat.

Jinými slovy:

Co už dnes funguje a co bude potřeba udělat, abychom byli připraveni na certifikaci?

Výstupem není certifikát ani auditní zpráva.

Výstupem je realistický obraz současného stavu a plán dalších kroků.

Proč je GAP analýza důležitá

Většina organizací už dnes určitou úroveň informační bezpečnosti má.

Používají řízení přístupů, zálohování, antivirovou ochranu, školení zaměstnanců nebo interní pravidla.

Problém často nespočívá v tom, že by bezpečnost neexistovala.

Problém spočívá v tom, že:

  • není systematicky řízena,
  • není dostatečně zdokumentována,
  • chybí důkazy o jejím fungování,
  • není navázána na požadavky normy.

Bez GAP analýzy firma často investuje čas do oblastí, které nejsou prioritní, zatímco přehlíží skutečné nedostatky.

Výsledkem bývají zbytečné náklady, prodlužování projektu a komplikace při certifikačním auditu.

Kdy firmy nejčastěji začínají řešit GAP analýzu

Přestože se jednotlivé organizace liší velikostí i oborem, důvody pro zahájení přípravy na ISO 27001 bývají často podobné.

Nejčastěji se s GAP analýzou setkáváme ve chvíli, kdy:

  • významný zákazník požaduje certifikaci ISO/IEC 27001,
  • organizace se připravuje na certifikaci poprvé,
  • firma řeší souvislosti s NIS2 nebo dalšími regulatorními požadavky,
  • společnost se účastní výběrových řízení, kde je informační bezpečnost jedním z hodnoticích kritérií,
  • management potřebuje získat realistický přehled o rozsahu celého projektu.

Právě v těchto situacích bývá GAP analýza nejrychlejší cestou k pochopení aktuálního stavu organizace a určení dalších kroků.

Co GAP analýza obvykle zahrnuje

Rozsah GAP analýzy se může lišit podle velikosti organizace a cíle projektu.

Ve většině případů se však posuzují následující oblasti.

Rozsah systému (Scope)

Jedním z prvních kroků je definice rozsahu systému řízení bezpečnosti informací.

Je potřeba určit:

  • které části organizace budou zahrnuty,
  • které procesy spadají do ISMS,
  • jaké služby, produkty a lokality budou součástí certifikace.

Právě nejasně definovaný scope bývá jedním z nejčastějších problémů na začátku projektu.

Procesy a odpovědnosti

Norma vyžaduje, aby organizace měla definované procesy a odpovědnosti související s informační bezpečností.

Posuzuje se například:

  • vlastnictví procesů,
  • řízení změn,
  • řízení incidentů,
  • role managementu,
  • odpovědnosti zaměstnanců.

Aktiva

Součástí analýzy bývá přehled aktiv.

Nejde pouze o IT infrastrukturu.

Mezi aktiva patří například:

  • informace,
  • informační systémy,
  • hardware,
  • software,
  • dokumentace,
  • dodavatelé,
  • klíčové služby.

Řízení rizik

Řízení rizik představuje jeden ze základních pilířů ISO 27001.

Posuzuje se zejména:

  • existence metodiky,
  • způsob identifikace rizik,
  • hodnocení rizik,
  • rozhodování o jejich ošetření,
  • evidence výsledků.

Právě zde bývá nalezeno velké množství mezer.

Dokumentace ISMS

Norma nevyžaduje stovky dokumentů.

Vyžaduje však, aby organizace dokázala prokázat fungování systému řízení bezpečnosti informací.

Posuzují se například:

  • politiky,
  • směrnice,
  • metodiky,
  • evidence schválení,
  • záznamy o činnostech.

Bezpečnostní opatření

Součástí analýzy bývá také přezkoumání technických a organizačních opatření.

Například:

  • řízení přístupů,
  • zálohování,
  • správa zařízení,
  • školení zaměstnanců,
  • práce s dodavateli,
  • ochrana dat,
  • reakce na bezpečnostní incidenty.

Důkazy a záznamy

Mnoho organizací určité procesy vykonává správně, ale nedokáže je doložit.

Proto se ověřuje také existence důkazů.

Například:

  • záznamy o školení,
  • evidence kontrol,
  • výsledky auditů,
  • zápisy z přezkoumání vedením,
  • záznamy o řízení rizik.

Jak GAP analýza probíhá v praxi

Přestože se konkrétní postup může lišit, většina projektů má podobný průběh.

1. Úvodní workshop

Prvním krokem bývá setkání s managementem a klíčovými pracovníky.

Cílem je pochopit:

  • organizaci,
  • její služby,
  • zákazníky,
  • regulatorní požadavky,
  • očekávání od projektu.

2. Posouzení současného stavu

Následuje přezkoumání existujících procesů, dokumentace a bezpečnostních opatření.

Často probíhají rozhovory s jednotlivými odpovědnými osobami.

3. Identifikace mezer

Po porovnání současného stavu s požadavky normy vzniká seznam oblastí, které je potřeba doplnit nebo upravit.

Ne všechny zjištěné nedostatky mají stejnou důležitost.

Proto následuje další krok.

4. Prioritizace

Některé oblasti představují kritické požadavky.

Jiné lze řešit později.

Prioritizace pomáhá soustředit energii na témata s největším dopadem.

5. Akční plán

Výsledkem bývá konkrétní plán.

Ten obvykle obsahuje:

  • seznam úkolů,
  • odpovědnosti,
  • priority,
  • doporučené pořadí realizace.

Právě tento dokument často slouží jako roadmapa celého projektu přípravy na ISO 27001.

Souvisí s tématem

Podrobnější informace o průběhu GAP analýzy, typických výstupech a situacích, kdy dává smysl ji realizovat, najdete na samostatné stránce.

GAP analýza ISO 27001 →

Nejčastější zjištění při GAP analýze

Přestože je každá organizace jiná, některá zjištění se opakují velmi často.

Nejasně definovaný scope

Firma chce certifikovat „celou společnost“, ale není jasné, které procesy a lokality mají být skutečně součástí systému.

Chybějící řízení rizik

Rizika jsou vnímána intuitivně, ale neexistuje formální proces jejich identifikace a vyhodnocení.

Neformální procesy

Řada činností funguje pouze díky zkušenostem konkrétních lidí.

Pokud klíčový člověk odejde, proces přestává být řízený.

Nedostatečná evidence

Bezpečnostní opatření existují, ale nejsou doložena záznamy.

Při auditu pak organizace obtížně prokazuje jejich fungování.

Chybějící dokumentace ISMS

Organizace má řadu bezpečnostních aktivit, ale neexistuje jednotný systém řízení bezpečnosti informací.

Proč neřešit ISO „naslepo“

Příprava na ISO 27001 bývá časově i organizačně náročný projekt.

Pokud organizace nezná svůj výchozí stav, velmi snadno investuje energii do oblastí, které nejsou prioritní.

GAP analýza pomáhá:

  • lépe plánovat projekt,
  • správně určit priority,
  • snížit riziko zbytečných nákladů,
  • efektivněji využít interní kapacity,
  • připravit organizaci na certifikační audit.

Ve výsledku často šetří více času a nákladů, než sama stojí.

Závěr

GAP analýza není audit.

Nehodnotí organizaci stylem „splňuje“ nebo „nesplňuje“.

Jejím cílem je získat realistický pohled na aktuální stav organizace a identifikovat rozdíl mezi současným nastavením a požadavky normy ISO/IEC 27001.

Právě proto bývá považována za jeden z nejdůležitějších kroků celé přípravy na certifikaci.

Pokud řešíte přípravu na ISO/IEC 27001 a chcete získat nezávislý pohled na aktuální stav organizace, bývá GAP analýza nejrozumnějším prvním krokem.

Pomáhá pochopit, kde se organizace nachází, jaké oblasti již fungují a na co bude potřeba zaměřit pozornost před samotnou certifikací.

Ve většině organizací představuje GAP analýza základ, na kterém následně stojí celá příprava na ISO 27001.

ISO 27001

Tento článek je součástí oblasti ISO 27001.

ISO 27001, ISMS a auditní připravenost pomáhají firmám lépe řídit informační bezpečnost, rizika a požadavky odběratelů.

Více o ISO 27001
ISO 27001

Nejste si jistí aktuální připraveností?

Vyzkoušejte orientační diagnostiku ISO 27001.

Spustit diagnostiku