Informační bezpečnost a kybernetická bezpečnost spolu úzce souvisejí, i když mají různé cíle. Informační bezpečnost řeší důvěrnost, integritu a dostupnost informací a dostupnost, spolehlivost a důvěryhodnost ICT služeb. Kybernetická bezpečnost je vztažena k celému kyberprostoru a primárně zabývá ochranou životů, zdraví a majetku lidí i organizací, celé společnosti a národů.
Systém managementu informační bezpečnosti dle ISO/IEC 27001
Informační a kybernetickou bezpečnost lze zajistit s využitím systému managementu informační bezpečnosti (ISMS) na bázi normy ISO/IEC 27001. Norma ISO/IEC 27001 definuje požadavky na organizace, které chtějí vytvořit, zavést, udržovat a neustále zlepšovat systém managementu informační bezpečnosti (ISMS). Vytváří prostředí, které odolává riziku ztráty, poškození nebo jiného ohrožení informací a systémů. Slouží jako vodítko pro neustálé přezkoumávání úrovně zabezpečení informací a systémů, což přispívá ke zvýšení spolehlivosti i hodnoty služeb organizace.
Zákon č. 264/2025 Sb., o kybernetické bezpečnosti
Dne 1. listopadu 2025 nabyl účinnosti nový zákon č. 264/2025 Sb., o kybernetické bezpečnosti, který nahradil zákon č. 181/2014 Sb. Tento nový zákon transponuje evropskou směrnici NIS2 českého právního řádu, rozšiřuje počet regulovaných subjektů a zavádí nové povinnosti pro organizace, včetně požadavků na organizační a technická opatření či zvýšené odpovědnosti vedení. Zavádí režimy vyšších a nižších povinností pro provozovatele regulovaných služeb.
Organizace, na které se zákon vztahuje, musí do 60 dnů od nabytí účinnosti zákona (tedy do 31. prosince 2025) nahlásit svou regulovanou službu Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB) prostřednictvím Portálu NÚKIB.
Prováděcí nařízení Komise (EU) 2024/2690
Prováděcí nařízení Komise (EU) 2024/2690 ze dne 17. října 2024 stanovuje podrobná pravidla pro vybrané subjekty v oblasti kybernetické bezpečnosti, jako jsou provozovatelé DNS, registry domén nejvyšší úrovně, poskytovatelé služeb cloud computingu, služeb datových center, sítí pro doručování obsahu, řízených služeb, řízených bezpečnostních služeb, on-line tržišť, internetových vyhledávačů a služeb platforem sociálních sítí a poskytovatelé služeb vytvářejících důvěru. Toto nařízení vychází ze směrnice NIS2 a upřesňuje technické a metodické požadavky na řízení kybernetických rizik a definici významných incidentů pro tyto specifické digitální služby.
Nařízení o digitální provozní odolnosti (DORA)
Nařízení DORA bylo přijato Evropským parlamentem a Radou Evropské unie dne 14. prosince 2022, nařízením (EU) 2022/2554, a jeho cílem je harmonizovat a zefektivnit předpisy týkající se řízení rizik v oblasti ICT a zajistit konzistentnost a soudržnost v celé EU. Vyžaduje, aby subjekty ve finančním sektoru zajistily, že budou schopny odolávat všem typům incidentů, rizik a hrozeb souvisejících s IKT, reagovat na ně a zotavit se z nich.
Trusted Information Security Assessment Exchange (TISAX®)
TISAX® je založen na normě ISO/IEC 27001, jedná se o hodnotící a výměnný program pro posuzování informační bezpečnosti společností v automobilovém průmyslu. Cílem je zajištění a optimalizace výměny informací týkajících se informační bezpečnosti mezi výrobci a jejich dodavateli v automobilovém průmyslu. Klade důraz na bezpečné zpracování informací od obchodních partnerů, ochrany prototypů a ochrany dat v souladu s obecným nařízením o ochraně osobních údajů.
Přínosy ISMS pro organizaci
- Zvýšení důvěryhodnosti a konkurenceschopnosti organizace
- Zvýšení odolnosti organizace a snížení výskytu i následků incidentů
- Efektivní správa organizace a vyšší rentabilita investic
- Ochrana kritických informačních aktiv a snížení podnikatelských rizik
- Soulad s požadavky zákonných, regulačních, smluvních a jiných společenských potřeb a očekávání
Předmět našich odborných služeb
1 | Analýza stávajícího systému a plánování ISMS projektu
Analýza kontextu organizace a rozdílová analýza současného stavu • Zpracování plánu projektu ISMS
2 | Vytvoření a zavedení ISMS
Identifikace a popis hranic a rozsahu ISMS • Definování organizační struktury, rolí a odpovědností osob a příslušných výborů • Návrh politiky informační bezpečnosti • Nastavení a dokumentace procesů ISMS
3 | Management rizik informační bezpečnosti a management opatření
Výběr a dokumentace metodiky pro management rizik • Identifikace, analýza a hodnocení rizik • Výběr možností a kontrolních opatření pro ošetření rizik • Zpracování prohlášení o aplikovatelnosti (SoA) • Management plánů pro ošetření rizik
4 | Dokumentace tematicky specifických politik a postupů
Návrh struktury a management ISMS dokumentace • Návrh a dokumentace tematicky specifických politik a postupů • Podpora při zavádění některých opatření • Návrh a realizace aktivit školení a osvěty
5 | Bezpečnostní testy a management zranitelností
Bezpečnostní testy webových aplikací • Bezpečnostní testy infrastruktury • Testy praktikami sociálního inženýrství • Management zranitelností
6 | Interní audit, audit dodavatelů a podpora při certifikačním auditu
Návrh a dokumentace statutu interního auditu ISMS • Návrh programu auditu ISMS a plánování činností auditu • Realizace interního auditu a auditu dodavatelů • Podpora následných činností a opatření po auditu • Příprava na certifikační audit a podpora při certifikačním auditu
Využití pokročilých GRC aplikací
Náročnost realizace procesů ISMS roste s velikostí organizace i s vyspělostí ISMS a bezpečnostních opatření. Komplexním organizacím s komplexními systémy managementu doporučujeme využít pokročilé modulární nástroje.
Více informací naleznete v sekci Aplikace.
Kvalita našich služeb
V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality konzultačních služeb dle ISO 20700, informační bezpečnosti dle ISO/IEC 27001 a projektového řízení dle ISO 21502.
Kompetence našich konzultantů:
- Certified ISO/IEC 27001 Lead Implementer *
- Certified ISO/IEC 27002 Lead Manager
- Certified ISO/IEC 27005 Lead Risk Manager *
Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů řízení definovaná normou ISO 19011, ISO/IEC 27007, ISO/IEC TS 27008 a dalšími relevantními normami.
Kompetence našich auditorů:
- Certified ISO/IEC 27001 Lead Auditor *
* POZNÁMKA: Certifikace akreditovaná dle ISO/IEC 17024 nebo relevantní certifikace ISACA.