Clause 6.1.2
Řízení rizik
Identifikace, hodnocení a plán ošetření bezpečnostních rizik.
Termín: před certifikací
← Všechny předpisy
ISO/ČASPrůběžněISO/IEC 27001:2022
ISO 27001
ISO 27001 je certifikační standard pro systém řízení bezpečnosti informací. Verze 2022 obsahuje 93 kontrol v Annex A a vyžaduje řízení rizik, dokumentaci a průběžné zlepšování.
Kdo to musí splnit
Praktický dopad pro české firmy.
- SaaS a technologické firmy prodávající enterprise zákazníkům.
- Dodavatelé, kteří potřebují doložit informační bezpečnost v tendrech.
- České firmy připravující certifikaci přes Bureau Veritas, Lloyd's Register CZ nebo jiné certifikační orgány.
- Týmy, které chtějí sjednotit bezpečnostní procesy napříč IT, HR a provozem.
Klíčové povinnosti
Co musí být doložitelné.
Clause 6.1.3
Statement of Applicability
Výběr relevantních Annex A kontrol a zdůvodnění výjimek.
Termín: před auditem
Annex A 5.15
Access control
Řízení přístupů, MFA a pravidelné access reviews.
Termín: průběžně
Clause 9.2
Evidence interního auditu
Plán, výsledky a nápravná opatření interního auditu.
Termín: ročně
Pokuty a sankce
Riziko se měří penězi i ztracenými zakázkami.
Typ porušeníMaximální sankceČeský dohled
Neúspěšný certifikační auditztráta certifikacecertifikační orgán
Nedodržení zákaznického požadavkusmluvní sankcezákazník
Nedostatečné důkazyopakovaný auditBureau Veritas / Lloyd's Register CZ
Jak Splnit.eu pomáhá
Převod povinností na kontroly, důkazy a termíny.
SoA a politiky
Generování dokumentů pro Annex A a řízení rizik.
Evidence vault
Automatické důkazy z Microsoft 365, GitHubu a AWS.
Access reviews
Pravidelný přehled účtů, rolí a odchylek.