Norma ISO/IEC 27006-1:2024 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí – Požadavky na orgány provádějící audit a certifikaci systémů managementu informační bezpečnosti – Část 1: Obecně – představuje klíčový nástroj pro zajištění důvěryhodnosti certifikace systémů managementu informační bezpečnosti (ISMS) podle ISO/IEC 27001. Stanovuje specifické požadavky na certifikační orgány provádějící audity a certifikaci ISMS a doplňuje obecný rámec normy ISO/IEC 17021-1 o požadavky reflektující zvláštnosti informační bezpečnosti, kybernetické bezpečnosti a ochrany soukromí.
Informační bezpečnost se v posledních dvou desetiletích vyvinula z převážně technické disciplíny v komplexní manažerskou oblast s přímým dopadem na strategické řízení organizací. Digitalizace podnikových procesů, masivní využívání cloudových služeb, práce na dálku a stále sofistikovanější kybernetické hrozby zásadním způsobem mění rizikový profil organizací bez ohledu na jejich velikost či sektor působení. Informační aktiva dnes představují klíčový zdroj hodnoty, ale zároveň i významný zdroj rizik, jejichž selhání může mít závažné finanční, právní i reputační důsledky.
V reakci na tento vývoj se systémové řízení informační bezpečnosti stalo standardní součástí řízení organizací. Mezinárodně uznávaným rámcem v této oblasti je norma ISO/IEC 27001, která definuje požadavky na systém managementu informační bezpečnosti (ISMS) založený na přístupu řízení rizik a principu neustálého zlepšování. Certifikace podle ISO/IEC 27001 je dnes široce využívána jako nástroj prokazování důvěryhodnosti organizace vůči zákazníkům, obchodním partnerům, regulatorním orgánům i veřejnosti.
Samotná existence certifikátu však automaticky nezaručuje odpovídající úroveň ochrany informací. Hodnota certifikace je přímo závislá na kvalitě certifikačního procesu, zejména na odbornosti auditorů, objektivitě auditních zjištění a nestrannosti rozhodnutí o udělení certifikátu. V praxi se proto stále častěji objevují otázky týkající se rozdílné úrovně auditů, nekonzistentního přístupu certifikačních orgánů nebo možných střetů zájmů. Tyto faktory mohou vést k erozi důvěry v certifikační mechanismus jako celek.
Právě zde vstupuje do hry norma ISO/IEC 27006-1:2024, která stanovuje specifické požadavky na certifikační orgány provádějící audity a certifikaci ISMS. Norma doplňuje obecný rámec normy ISO/IEC 17021-1 o požadavky reflektující specifika informační bezpečnosti, kybernetické bezpečnosti a ochrany soukromí. Jejím cílem je zajistit, aby certifikace ISMS byla prováděna konzistentním, odborně podloženým a mezinárodně srovnatelným způsobem bez ohledu na to, který certifikační orgán certifikát vydává.
Postavení normy ISO/IEC 27006-1 v systému mezinárodních norem
Norma ISO/IEC 27006-1:2024 je součástí rodiny norem ISO/IEC 27000 zaměřených na informační bezpečnost. Byla vydána organizacemi ISO a IEC a má status mezinárodní normy.
Zatímco norma ISO/IEC 27001 stanovuje požadavky na samotný ISMS, norma ISO/IEC 17021-1 definuje obecné požadavky na orgány certifikující systémy managementu. ISO/IEC 27006-1 tyto obecné požadavky rozšiřuje a přizpůsobuje specifickému kontextu auditů informační bezpečnosti, kde je kladen důraz na technickou odbornost, řízení rizik a ochranu důvěrnosti informací.
Účel a význam normy ISO/IEC 27006
Při zavádění ISMS se organizace zpravidla soustředí na návrh bezpečnostních opatření, řízení rizik a interní audity. Méně pozornosti je věnováno otázce, kdo a jak ověřuje, že certifikace proběhla objektivně a odborně. ISO/IEC 27006 tuto mezeru vyplňuje.
Hlavním účelem normy je zajistit, aby certifikační orgány:
- disponovaly kompetentními a kvalifikovanými auditory ISMS,
- prováděly audity konzistentním a rizikově orientovaným způsobem,
- zachovávaly nestrannost a nezávislost rozhodování,
- vydávaly certifikáty, které jsou mezinárodně srovnatelné a důvěryhodné.
Norma tak chrání integritu celého certifikačního procesu a posiluje důvěru v certifikaci ISO/IEC 27001 na globální úrovni.
Hlavní požadavky normy ISO/IEC 27006-1:2024
ISO/IEC 27006-1 stanovuje detailní požadavky na fungování certifikačních orgánů v několika klíčových oblastech.
Kompetence auditorů
Norma klade důraz na odbornou způsobilost auditorů ISMS. Auditoři musí mít znalosti nejen norem ISO/IEC 27001 a ISO/IEC 27002, ale také technických aspektů informačních systémů, řízení rizik, kybernetických hrozeb a právních požadavků v oblasti ochrany informací. Nově je kladen větší důraz na prokazatelnou kompetenci v konkrétním kontextu auditu, nikoli pouze na formální délku praxe.
Nestrannost a řízení střetu zájmů
Jedním z hlavních cílů normy je prevence střetu zájmů. Certifikační orgány musí mít zavedené mechanismy, které zajišťují objektivitu auditů a nezávislost rozhodnutí o certifikaci. To zahrnuje oddělení konzultačních a certifikačních činností, transparentní rozhodovací procesy a řízení stížností a odvolání.
Plánování a rozsah auditů
ISO/IEC 27006-1 vyžaduje, aby certifikační orgány plánovaly audity na základě rizik, velikosti organizace, složitosti ISMS a rozsahu certifikace. Délka auditu musí být stanovena konzistentním a zdokumentovaným způsobem, přičemž norma umožňuje zohlednit faktory jako opakující se role zaměstnanců nebo využívání externích dodavatelů.
Využití vzdálených auditních metod (remote audit)
Nová verze normy reflektuje rozšíření práce na dálku a umožňuje využití vzdálených auditních technik. Certifikační orgány však musí jasně zdokumentovat, které části auditu byly provedeny vzdáleně, jak byla zajištěna důvěryhodnost důkazů a jaká opatření byla přijata k ochraně důvěrnosti informací.
Revize normy ISO/IEC 27006:2015 → ISO/IEC 27006-1:2024
Norma ISO/IEC 27006-1:2024 nahrazuje ISO/IEC 27006:2015 a její dodatek Amd 1:2020. Je označována jako „omezená revize“, což znamená, že základní struktura a principy zůstávají zachovány. Přesto norma přináší řadu významných aktualizací:
- sladění s normou ISO/IEC 27001:2022,
- rozšíření možností vzdálených a hybridních auditů,
- úpravy požadavků na kompetence auditorů,
- zvýšení transparentnosti certifikačního procesu.
Přechodné období a role akreditačních orgánů
Přechod na novou verzi normy je řízen prostřednictvím dokumentu vydaného organizací International Accreditation Forum (IAF MD 29:2024). Certifikační orgány musí v definovaném časovém rámci přizpůsobit své procesy nové normě a prokázat shodu vůči akreditačním orgánům.
Certifikační orgán eucert s.r.o. bude aktualizovat své postupy certifikace tak, aby požadavky této normy splnil do konce přechodového období, které bylo stanoveno do 31. března 2026.
Organizace, které mají certifikován systém managementu informační bezpečnosti podle normy ČSN EN ISO/IEC 27001 nemusí provádět v souvislosti s touto normou žádnou úpravu svého systému managementu a tato aktualizace postupu certifikace se jich nijak nedotkne. Mohou však zaznamenat změny v organizaci auditů, zejména v oblasti vzdálených auditních technik, délky auditů a struktury auditních zpráv.
Normativní a praktické implikace ISO/IEC 27006-1:2024
Norma ISO/IEC 27006-1:2024 představuje důležitý stabilizační prvek v globálním ekosystému certifikace systémů managementu informační bezpečnosti. V prostředí, kde se certifikace ISO/IEC 27001 stala běžným požadavkem trhu, regulatorních orgánů i zákazníků, je zajištění kvality a důvěryhodnosti certifikačního procesu zásadní. Bez jednotných a jasně definovaných pravidel pro činnost certifikačních orgánů by certifikát postupně ztrácel svou vypovídací hodnotu.
Přestože je ISO/IEC 27006-1:2024 označována jako „omezená revize“, její význam nelze podceňovat. Norma reflektuje aktuální realitu fungování organizací, zejména rozšíření práce na dálku a využívání digitálních nástrojů při auditech, a současně posiluje důraz na skutečnou odbornou kompetenci auditorů namísto formálních kritérií. Tím přispívá k vyšší kvalitě auditních zjištění a spravedlivějšímu posuzování úrovně ISMS v různých typech organizací.
Zásadním přínosem normy je také posílení nestrannosti certifikačního procesu. Požadavky na řízení střetů zájmů, transparentní rozhodování a efektivní mechanismy řešení stížností a odvolání zvyšují důvěru všech zainteresovaných stran v objektivitu certifikace. Norma tím chrání nejen certifikované organizace, ale i samotné certifikační orgány a akreditační systém jako celek.
Z pohledu certifikačních orgánů představuje přechod na ISO/IEC 27006-1:2024 nutnost systematického přehodnocení kompetenčních rámců, auditních metodik a interních procesů. Tento proces sice vyžaduje investice do školení a úprav postupů, dlouhodobě však přispívá ke zvýšení profesionální úrovně certifikačních služeb. Certifikované organizace naopak profitují z vyšší konzistence auditů, větší transparentnosti certifikačního procesu a vyšší mezinárodní uznatelnosti vydaných certifikátů.
ISO/IEC 27006-1:2024 nepředstavuje revoluci, ale důležitou evoluci v oblasti certifikace ISMS. Posiluje vazbu mezi požadavky normy ISO/IEC 27001, činností certifikačních orgánů a dohledem akreditačních autorit, čímž přispívá k dlouhodobé udržitelnosti a důvěryhodnosti celého systému. V kontextu rostoucí závislosti společnosti na informačních technologiích a datech lze tuto normu vnímat jako jeden z klíčových nástrojů pro budování důvěry v bezpečnost digitálního prostředí.