ISO/IEC 27001 · GAP analýza

GAP analýza ISO 27001

První krok před přípravou na certifikaci.

Získejte přehled o tom, kde se vaše organizace nachází, co již splňuje a jaké kroky budou potřeba pro úspěšnou přípravu na ISO/IEC 27001.

Diagnostika připravenosti na ISO 27001 →

ISO/IEC 27001:2022 ISMS Audit readiness Akční plán

Proč GAP analýza

Proč začít GAP analýzou

Mnoho organizací začíná přípravu na ISO 27001 vytvářením dokumentace nebo nákupem šablon. Ve skutečnosti bývá nejdůležitějším krokem pochopení současného stavu.

GAP analýza pomůže oddělit to, co již ve firmě funguje, od oblastí, které je potřeba doplnit, zpřesnit nebo doložit.

co již organizace splňuje,

které oblasti vyžadují doplnění,

jaké důkazy bude potřeba připravit,

kde se nachází největší rizika a mezery.

Pro koho

Komu GAP analýza dává smysl

Největší přínos má tam, kde firma potřebuje rychle a věcně pochopit rozsah přípravy před certifikací nebo před požadavkem zákazníka.

Technologické firmySoftware, SaaS, IT služby, implementační společnosti.

Výrobní společnostiDodavatelé větších organizací, exportní firmy a společnosti připravující se na nové požadavky zákazníků.

Organizace řešící ISO 27001 poprvéPotřebují získat reálný obrázek o rozsahu projektu a potřebných krocích.

Postup

Jak GAP analýza probíhá

Strukturovaně, věcně a s cílem vytvořit přehledný obraz současného stavu. Bez zbytečného tlaku na implementaci dříve, než je jasné, co je potřeba řešit.

Úvodní workshop

Pochopení organizace, procesů a očekávání.

Posouzení současného stavu

Projití požadavků normy a relevantních oblastí fungování organizace.

Identifikace mezer

Vyhodnocení oblastí, které je potřeba zavést nebo upravit.

Akční plán

Doporučení priorit a dalšího postupu.

Praxe

Co během GAP analýzy nejčastěji zjišťujeme

Mnoho organizací má zavedenou řadu bezpečnostních opatření.

Nejčastěji však nenarážíme na nedostatek aktivit, ale na nejasnosti v jejich řízení, dokumentaci nebo prokazatelnosti vůči požadavkům ISO/IEC 27001.

Nejasně definovaný rozsah ISMS

Není jednoznačně určeno, které části organizace mají být součástí systému řízení bezpečnosti informací a jaké informace mají být chráněny.

Chybějící řízení rizik

Rizika existují a jsou známá, ale nejsou systematicky identifikována, vyhodnocována a řízena způsobem požadovaným normou.

Nedostatečné důkazy

Bezpečnostní opatření fungují, ale organizace nemá k dispozici odpovídající záznamy, dokumentaci nebo důkazy pro audit.

Rozdíl mezi dokumentací a realitou

Procesy v organizaci fungují jinak, než jak jsou popsány v interní dokumentaci. To bývá častým zdrojem neshod při certifikaci.

Insights

Chcete si nejdříve udělat obrázek o tom, co GAP analýza znamená?

Přečtěte si odborný článek, který vysvětluje princip GAP analýzy, její význam a nejčastější zjištění při přípravě na ISO/IEC 27001.

Co je GAP analýza ISO 27001 a proč je prvním krokem před certifikací →

FAQ

Časté dotazy

Krátké odpovědi na otázky, které se objevují před začátkem přípravy na ISO/IEC 27001.

Jak dlouho GAP analýza trvá?

Záleží na velikosti organizace a rozsahu systému. Součástí úvodní konzultace je i odhad časové náročnosti.

Musíme mít zavedený ISMS?

Ne. GAP analýza často slouží právě jako první krok před jeho zavedením.

Je GAP analýza povinná?

Ne. V praxi však bývá nejefektivnějším způsobem, jak získat přehled o rozsahu přípravy.

Je vhodná i pro menší firmy?

Ano. Zejména pokud organizace řeší požadavky zákazníků, výběrová řízení nebo plánuje certifikaci.

Řešíte přípravu na ISO/IEC 27001?

GAP analýza bývá nejrozumnějším prvním krokem před samotnou implementací.