Řízení informační bezpečnosti

 

 

Informační bezpečnost nejen dle ISO/IEC 27 001

Jsme si vědomi hodnoty informací a chceme pomoci s účinným řízením jejich bezpečnosti.

Potřebujeme pomoct s implementací systému řízení bezpečnosti informací dle ISO/IEC 27 001 a s přípravou na certifikaci dle této normy.

Nemáme vhodného pracovníka pro roli interního auditora dle ISO/IEC 27 001 nebo se nám nevyplatí na tuto činnost někoho zaměstnat.

ISMS

Dokumentovaný systém ISMS (Information Security Management System), neboli systém řízení bezpečnosti informací je systém, který chrání zvolená informační aktiva pomocí analýzy možných rizik a následným zavedením opatření, která jsou průběžně kontrolována. Zní to možná složitě, ale tento systém je vhodný pro všechny organizace, které jakýmkoliv způsobem pracují s informačními systémy nebo informacemi obecně. Tedy pro všechny. To znamená, že ISMS lze použít jak pro firmu o pár zaměstnancích, tak i pro nadnárodní společnost. Velké společnosti tento systém v dnešní době již běžně zavedený mají, naopak ty malé na bezpečnosti informací často nekladou dostatečný důraz a bezpečnost začínají řešit až v okamžiku, kdy dojde k jejímu narušení. Přitom informace jsou často to nejcennější aktivum společnosti.

Co když nechci certifikát

K dokončení procesu implementace ISMS ve společnosti formou certifikace existuje celá řada důvodů – prestiž, požadavky partnerů nebo firemní politika. Certifikace však není nikterak povinná. Pro řadu společností je důležitá podstata ISMS – uvědomění, že disponují aktivy určité hodnoty a dbají o jejich bezpečnost. A stvrzení této skutečnosti certifikátem nevyžadují. V řadě případů se tak dokonce systém řízení informační bezpečnosti může stát přirozenějším a v organizaci je lépe a rychleji přijímán. Jsme připraveni spolupracovat s vámi na jakémkoliv projektu, ať už je jeho cílem získání certifikace dle ISO/IEC 27 001 nebo „jen“ implementace základních pravidel a postupů informační bezpečnosti.

Zavedení systému ISMS dle ISO/IEC 27 001 s následnou certifikací

Pokud se rozhodnete pro zavedení systému řízení bezpečnosti informací s cílem získat certifikaci dle ISO/IEC 27 001, jsme připraveni vám pomoci ve všech fázích implementace i certifikace. Úvodním krokem je krátká vstupní srovnávací analýza, na základě které určíme aktuální připravenost organizace a odhadneme náročnost celého projektu ve vašem konkrétním případě.

První fáze procesu pak spočívá ve zmapování procesů organizace. Tento krok je nezbytný pro to, abychom mohli společně určit, v kterých částech organizace bude systém ISMS implementován a certifikován. Výstup z této části je navíc univerzálně použitelný pro další řízení organizace. Velice často totiž odhalí slabá místa řízení, na které se pak vedení organizace – bez ohledu na systém ISMS – může zaměřit.

V druhém kroku jsou zmapována informační aktiva organizace. Na základě znalosti procesů a aktiv lze poté vypracovat analýzu rizik. Ta pak slouží jako vstup pro návrh opatření k jejich minimalizaci.

Pomůžeme vám s vypracováním veškeré dokumentace – ať té povinné, jež je vyžadována pro úspěšnou certifikaci, tak té nepovinné, která vám pomůže v praktickém životě organizace zásady ISMS uplatňovat. Samozřejmostí je i zajištění školení zaměstnanců, pokud se to ukáže jako potřebné.

V poslední fázi vám budeme nápomocni při přípravě na samotnou certifikaci i během ní. Po úspěšném získání certifikátu dle ISO/IEC 27 001 jsme připraveni pomoci vám se splněním požadavků neustálého zlepšování, řízení neshod a implementace nápravných opatření.


Interní auditor ISMS a manažer ISMS

Tyto pozice jsou pro certifikovaný systém řízení informační bezpečnosti dle ISO/IEC 27 001 klíčové a povinné. Naši experti disponují odpovídající kvalifikací a neustále se v oboru vzdělávají. Rádi vám nabídneme jejich dovednosti a zkušenosti pro outsourcing těchto klíčových rolí.

Provádění předepsaného interního auditu externím auditorem přináší organizaci řadu výhod. Nejdůležitější z nich je získání objektivního pohledu na stav systému ISMS v organizaci. To je důležité pro správné a včasné přijímání nápravných opatření ke zjištěným neshodám a k udržení podmínky neustálého zlepšování do necertifikačního auditu. V druhé řadě pak dochází k úspoře nákladů, neboť jen v největších organizacích se vyplatí obsazovat pozici auditora ISMS kmenovým pracovníkem a zajišťovat jeho kontinuální vzdělávání v problematice ISMS.

„Víte, že…“

Většina nejúčinnějších opatření ke zvýšení bezpečnosti informací je procesního charakteru a nevyžaduje nákup nákladných softwarových řešení?

Poskytujeme poradenství

ve všech fázích implementace

 

Stanovení rozsahu a politky

V prvních krocích je nutné stanovit oblast organizace, na kterou se bude ISMS vztahovat, lze vybrat jen ty nejpotřebnější oblasti a tak se vyhnout částem organizace, kde to není nezbytné. Následnuje stanovení politiky, která je povinným dokumentem a zahrnuje cíle, strategii a různé druhy požadavků v oblasti ISMS. 

Vstupní analýza a analýza rizik

Z úvodní vstupní analýzy lze vyvodit aktuální stav informační bezpečnosti v organizaci, a tak i sestavit návrh opatření k dosažení potřebných cílů k implementaci ISMS. Analýza rizik je potřebnou součástí k návrhům opatření, díky kterým lze následně rizika minimalizovat. 

Návrh postupů a jejich implementace

Dalším z nezbytných kroků implementace je vypracování povinných dokumentů jako jsou normy, manuály, směrnice, nebo prohlášení o aplikovatelnosti. Tyto dokumenty slouží pro zavedení normy do praxe a jsou doprovázeny dalšími důležitými úkony, jako je například školení zaměstnanců. 

Monitorování a zlepšování

Dle normy je nezbytné monitorovat výkonnost bezpečnosti informací a efektivnost celého systému. Důležitým bodem je i normativní požadavek o neustálém zlepšování, dle kterého organizace musí reagovat na neshody systému a přijmout nová nápravná opatření, aby systém byl neustále efektivní. 

Zákon o kybernetické bezpečnosti

Zákon č. 181/2017 Sb., o kybernetické bezpečnosti, v platném znění, si klade za cíl zlepšení spolupráce mezi soukromým a veřejným sektorem v oblasti kybernetické bezpečnosti. Jeho prováděcí předpisy vymezují celou řadu subjektů, kterým tento zákon ukládá povinnosti, které se ve velké míře shodují s požadavky normy ISO/IEC 27 001, ze které tento předpis vychází.

Subjektům dotčeným Zákonem o kybernetické bezpečnosti jsme připraveni poskytnout součinnost a podporu při zavádění potřebných opatření, vytváření související dokumentace a obsazení zákonem požadovaných rolí v systému kybernetické bezpečnosti.

Zejména outsourcing role Auditora kybernetické bezpečnosti přináší organizaci výhodu v úspoře nákladů, kdy tuto roli nemusí obsazovat kmenovým zaměstnancem, současně organizace získá nezávislý vhled do svého systému řízení kybernetické bezpečnosti.

Případová studie

Klient: Dodavatel v energetice

Problém: Rychlý růst společnosti značně navýšil hodnotu informačních aktiv a přerostl možnosti interní IT správy

Naše řešení:

Bývalý klient, pro kterého jsme v minulosti řešili bezpečnou likvidaci dat, se na nás obrátil s žádostí o konzultaci v oblasti bezpečnosti informačních systémů. Už po úvodní schůzce bylo jasné, že rychlý růst kdysi rodinné firmy v klíčového hráče na trhu nebyl následován odpovídajícími změnami ve způsobu řízení IT obecně, bezpečnost informací pak nebyla řešena vůbec.

V první fázi jsme pro klienta provedli vstupní analýzu, aby vedení společnosti získalo lepší představu o aktuálním stavu v organizaci. Následně byl navržen a odsouhlasen rozsah projektu a doba implementace v horizontu 10 měsíců. Vzhledem k tomu, že klient nesměřuje k certifikaci dle ISO/IEC 27 001, je tato doba dostatečná.

Projekt byl zahájen zmapováním procesů organizace a jejích aktiv. Následné provedení analýzy rizik bylo zakončeno návrhem opatření, která na zjištěná rizika reagovala. Ačkoliv se nejednalo o přípravu k certifikaci, byla po dohodě s klientem zpracována základní dokumentace k ISMS a návazné prováděcí dokumenty.

V organizaci po ukončení projektu provádíme pravidelné roční audity systému ISMS a zajišťujeme rovněž průběžné školení klíčových pracovníků.

Marián Svetlík

Vedoucí konzultant

Potřebujete konzultaci v oblasti řízení bezpečnosti informací?

+420 776 740 482