Jak dlouho trvá příprava na ISO 27001?
Jak dlouho trvá příprava na ISO 27001 a co nejvíce ovlivňuje délku projektu? Praktický pohled na jednotlivé fáze přípravy.
Mnoho organizací při rozhodování o ISO/IEC 27001 řeší stejnou otázku:
Jak dlouho bude příprava trvat?
Je to logické. Zavedení systému řízení bezpečnosti informací představuje projekt, který zasahuje do fungování organizace, procesů, dokumentace i odpovědností.
Přesto na tuto otázku neexistuje univerzální odpověď.
Stejně jako neexistují dvě stejné organizace, neexistují ani dva stejně dlouhé projekty přípravy na ISO 27001.
Délku přípravy ovlivňuje řada faktorů a rozdíl mezi jednotlivými organizacemi může být výrazný.
Délku přípravy neurčuje jen velikost firmy.Rozhoduje hlavně výchozí stav, rozsah a schopnost organizace projekt řídit.
Neexistuje jedna správná odpověď
Někdy se management snaží najít jednoduchou odpověď:
Kolik měsíců si na to máme vyhradit?
Realita bývá složitější.
Příprava na ISO 27001 může u některých organizací trvat několik měsíců. U jiných se projekt rozloží do delšího období.
Nejde přitom pouze o velikost firmy.
Malá organizace bez procesního řízení může mít před sebou více práce než větší společnost, která již řadu bezpečnostních principů používá.
Podobně existuje rozdíl mezi technologickou firmou, která pracuje s bezpečností dlouhodobě, a organizací, která se tématu informační bezpečnosti začíná věnovat systematicky poprvé.
Důležitější než počet zaměstnanců bývá často úroveň připravenosti organizace.
Jak dlouho příprava obvykle trvá
Přestože každý projekt je individuální, určité orientační scénáře existují.
Organizace, které mají zavedené procesy, jasné odpovědnosti a určitou úroveň řízení bezpečnosti, se často pohybují v řádu několika měsíců.
Naopak společnosti, které budují systém řízení bezpečnosti informací od začátku, obvykle potřebují více času.
V praxi není výjimkou období mezi šesti až dvanácti měsíci.
U rozsáhlejších organizací, složitých skupin společností nebo prostředí s vyšší regulatorní náročností může být projekt ještě delší.
Tyto časové rámce však nelze chápat jako slib nebo garanci.
Jsou pouze orientačním vodítkem.
Skutečná délka projektu závisí především na výchozím stavu organizace.
Právě proto bývá jedním z prvních kroků realizace GAP analýzy ISO 27001, která pomáhá zjistit, jak daleko je organizace od požadavků normy a jak rozsáhlý projekt ji čeká.
Typické scénáře z praxe
Přestože každá organizace má jiné výchozí podmínky, určité scénáře se opakují.
Menší organizace
Jasně definovaný rozsah, jednodušší struktura a aktivní zapojení managementu obvykle znamenají nižší organizační náročnost projektu.
Středně velká organizace
Vyšší počet procesů, odpovědných osob a systémů přináší větší nároky na koordinaci a řízení projektu.
Rozsáhlejší organizace nebo skupina společností
Více lokalit, složitější procesní struktura a širší rozsah ISMS obvykle vyžadují detailnější plánování a koordinaci jednotlivých aktivit.
Co má největší vliv na délku přípravy
Rozsah systému (Scope)
Jedním z nejvýznamnějších faktorů je rozsah systému řízení bezpečnosti informací.
Jinou náročnost bude mít projekt zaměřený na jednu konkrétní službu nebo část organizace a jinou projekt zahrnující celou společnost, více lokalit nebo širší skupinu procesů.
Nejasně definovaný scope navíc bývá častým důvodem pozdějších komplikací.
Pokud se rozsah během projektu opakovaně mění, prodlužuje se obvykle i celý harmonogram.
Současná úroveň řízení bezpečnosti
Organizace často disponují řadou bezpečnostních opatření ještě před zahájením projektu.
Používají vícefaktorové ověřování, zálohují data, mají nastavené přístupové role nebo provádějí školení zaměstnanců.
Otázkou však není pouze existence těchto opatření.
Důležité je také:
- zda jsou řízena,
- zda mají definované vlastníky,
- zda existují odpovídající záznamy,
- zda jsou součástí jednotného systému řízení.
Čím vyšší je výchozí úroveň řízení bezpečnosti, tím kratší bývá následná příprava.
Existující dokumentace
Dalším významným faktorem je stav dokumentace.
Některé organizace disponují kvalitní interní dokumentací, procesními pravidly a evidencí klíčových činností.
Jiné začínají prakticky od začátku.
Příprava dokumentace sama o sobě nemusí být nejnáročnější částí projektu.
Často však zabírá více času, než management původně očekává.
Zapojení managementu
Projekty ISO 27001 nebývají čistě IT projektem.
Vyžadují rozhodnutí vedení, definování odpovědností a schvalování jednotlivých kroků.
Pokud management rozhoduje rychle a projekt aktivně podporuje, bývá příprava výrazně efektivnější.
Naopak odkládání rozhodnutí nebo nejasné vlastnictví projektu patří mezi časté důvody zdržení.
Dostupnost interních kapacit
ISO 27001 se ve většině organizací neřeší izolovaně.
Klíčoví lidé mají své běžné pracovní povinnosti a projektu se věnují vedle každodenní agendy.
Pokud nejsou vyčleněny potřebné kapacity, může se i relativně jednoduchý projekt výrazně protáhnout.
Nejčastěji nejde o technické překážky.
Jde o nedostatek času lidí, kteří musí poskytovat podklady, schvalovat dokumentaci nebo realizovat potřebné změny.
Požadavky zákazníků a regulatorní termíny
Některé organizace mají pevně stanovený termín.
Může jít například o požadavek zákazníka, účast ve výběrovém řízení nebo interní plán související s regulatorními požadavky.
Takové situace často urychlují rozhodování i realizaci projektu.
Současně však zvyšují nároky na plánování a koordinaci jednotlivých aktivit.
Jak vypadá typický průběh projektu
Přestože se jednotlivé projekty liší, základní struktura bývá podobná.
1. GAP analýza
Prvním krokem bývá posouzení aktuálního stavu organizace.
Cílem není audit, ale identifikace rozdílů mezi současným stavem a požadavky normy.
2. Akční plán
Na základě výsledků GAP analýzy vzniká plán aktivit.
Organizace získá přehled o prioritách, odpovědnostech a doporučeném postupu.
3. Implementace opatření
Následuje samotná realizace.
Může zahrnovat úpravy procesů, doplnění dokumentace, řízení rizik nebo další organizační a technická opatření.
Právě tato fáze bývá časově nejnáročnější.
4. Interní audit
Před certifikačním auditem organizace obvykle ověřuje připravenost systému prostřednictvím interního auditu.
Cílem je identifikovat případné nedostatky ještě před externím posouzením.
5. Certifikační audit
Posledním krokem je certifikační audit prováděný certifikační autoritou.
V této fázi by již organizace měla disponovat funkčním systémem řízení bezpečnosti informací a odpovídajícími důkazy o jeho fungování.
Souvisí s tématem
Prvním krokem většiny projektů bývá GAP analýza, která pomáhá určit rozsah přípravy a identifikovat priority.
Co je GAP analýza ISO 27001 a proč je prvním krokem před certifikací →Nejčastější důvody zpoždění
Přestože technická stránka bývá často v centru pozornosti, skutečné důvody zpoždění bývají jiné.
Nejasně definovaný scope
Pokud není na začátku jasné, co přesně má být součástí systému, projekt se často rozšiřuje během realizace.
Nedostatek času klíčových lidí
ISO nebývá jedinou prioritou organizace.
Projekt se proto přirozeně přizpůsobuje provozním potřebám firmy.
Odkládání rozhodnutí
Některé aktivity lze připravit poměrně rychle.
Schvalování vedením však může celý proces výrazně zpomalit.
Podcenění dokumentace
Řada organizací předpokládá, že dokumentace bude představovat menší část projektu.
Praxe bývá často jiná.
Nedostatečné řízení projektu
Bez jasného vlastníka, harmonogramu a pravidelného sledování úkolů se projekt velmi snadno dostává do skluzu.
Jak přípravu urychlit
Existuje několik kroků, které mohou organizaci pomoci zkrátit dobu přípravy.
Prvním je získání realistického obrazu o výchozím stavu.
Právě proto dává smysl začít GAP analýzou.
Dále bývá přínosné:
- určit vlastníka projektu,
- definovat realistický scope,
- zajistit podporu managementu,
- pravidelně sledovat plnění úkolů,
- vyhradit potřebné interní kapacity.
Nejde o zrychlení za každou cenu.
Cílem je odstranit zbytečné překážky a vytvořit předvídatelný průběh projektu.
Závěr
Nejdůležitější otázkou není:
Jak rychle získáme certifikaci?
Důležitější otázkou je:
Budeme mít po dokončení projektu funkční systém řízení bezpečnosti informací?
Cílem není získat certifikaci co nejrychleji.
Cílem je vytvořit systém, který bude dlouhodobě fungovat, podporovat řízení bezpečnosti a obstojí při auditu i v běžném provozu organizace.
Organizace, které se soustředí pouze na termín certifikace, často přehlížejí skutečný smysl celého projektu.
Naopak firmy, které se zaměří na vytvoření funkčního ISMS, bývají na audit připraveny přirozeněji a s menším množstvím komplikací.
Tento článek je součástí oblasti ISO 27001.
ISO 27001, ISMS a auditní připravenost pomáhají firmám lépe řídit informační bezpečnost, rizika a požadavky odběratelů.
Více o ISO 27001Nejste si jistí aktuální připraveností?
Vyzkoušejte orientační diagnostiku ISO 27001.
Spustit diagnostiku