Řízení informační bezpečnosti
Informační bezpečnost nejen dle ISO/IEC 27 001
ISMS
Dokumentovaný systém ISMS (Information Security Management System), neboli systém řízení bezpečnosti informací je systém, který chrání zvolená informační aktiva pomocí analýzy možných rizik a následným zavedením opatření, která jsou průběžně kontrolována. Zní to možná složitě, ale tento systém je vhodný pro všechny organizace, které jakýmkoliv způsobem pracují s informačními systémy nebo informacemi obecně. Tedy pro všechny. To znamená, že ISMS lze použít jak pro firmu o pár zaměstnancích, tak i pro nadnárodní společnost. Velké společnosti tento systém v dnešní době již běžně zavedený mají, naopak ty malé na bezpečnosti informací často nekladou dostatečný důraz a bezpečnost začínají řešit až v okamžiku, kdy dojde k jejímu narušení. Přitom informace jsou často to nejcennější aktivum společnosti.
Co když nechci certifikát
K dokončení procesu implementace ISMS ve společnosti formou certifikace existuje celá řada důvodů – prestiž, požadavky partnerů nebo firemní politika. Certifikace však není nikterak povinná. Pro řadu společností je důležitá podstata ISMS – uvědomění, že disponují aktivy určité hodnoty a dbají o jejich bezpečnost. A stvrzení této skutečnosti certifikátem nevyžadují. V řadě případů se tak dokonce systém řízení informační bezpečnosti může stát přirozenějším a v organizaci je lépe a rychleji přijímán. Jsme připraveni spolupracovat s vámi na jakémkoliv projektu, ať už je jeho cílem získání certifikace dle ISO/IEC 27 001 nebo „jen“ implementace základních pravidel a postupů informační bezpečnosti.
Zavedení systému ISMS dle ISO/IEC 27 001 s následnou certifikací
Pokud se rozhodnete pro zavedení systému řízení bezpečnosti informací s cílem získat certifikaci dle ISO/IEC 27 001, jsme připraveni vám pomoci ve všech fázích implementace i certifikace. Úvodním krokem je krátká vstupní srovnávací analýza, na základě které určíme aktuální připravenost organizace a odhadneme náročnost celého projektu ve vašem konkrétním případě.
První fáze procesu pak spočívá ve zmapování procesů organizace. Tento krok je nezbytný pro to, abychom mohli společně určit, v kterých částech organizace bude systém ISMS implementován a certifikován. Výstup z této části je navíc univerzálně použitelný pro další řízení organizace. Velice často totiž odhalí slabá místa řízení, na které se pak vedení organizace – bez ohledu na systém ISMS – může zaměřit.
V druhém kroku jsou zmapována informační aktiva organizace. Na základě znalosti procesů a aktiv lze poté vypracovat analýzu rizik. Ta pak slouží jako vstup pro návrh opatření k jejich minimalizaci.
Pomůžeme vám s vypracováním veškeré dokumentace – ať té povinné, jež je vyžadována pro úspěšnou certifikaci, tak té nepovinné, která vám pomůže v praktickém životě organizace zásady ISMS uplatňovat. Samozřejmostí je i zajištění školení zaměstnanců, pokud se to ukáže jako potřebné.
V poslední fázi vám budeme nápomocni při přípravě na samotnou certifikaci i během ní. Po úspěšném získání certifikátu dle ISO/IEC 27 001 jsme připraveni pomoci vám se splněním požadavků neustálého zlepšování, řízení neshod a implementace nápravných opatření.
Interní auditor ISMS a manažer ISMS
Tyto pozice jsou pro certifikovaný systém řízení informační bezpečnosti dle ISO/IEC 27 001 klíčové a povinné. Naši experti disponují odpovídající kvalifikací a neustále se v oboru vzdělávají. Rádi vám nabídneme jejich dovednosti a zkušenosti pro outsourcing těchto klíčových rolí.
Provádění předepsaného interního auditu externím auditorem přináší organizaci řadu výhod. Nejdůležitější z nich je získání objektivního pohledu na stav systému ISMS v organizaci. To je důležité pro správné a včasné přijímání nápravných opatření ke zjištěným neshodám a k udržení podmínky neustálého zlepšování do necertifikačního auditu. V druhé řadě pak dochází k úspoře nákladů, neboť jen v největších organizacích se vyplatí obsazovat pozici auditora ISMS kmenovým pracovníkem a zajišťovat jeho kontinuální vzdělávání v problematice ISMS.
„Víte, že…“
Většina nejúčinnějších opatření ke zvýšení bezpečnosti informací je procesního charakteru a nevyžaduje nákup nákladných softwarových řešení?
Poskytujeme poradenství
ve všech fázích implementace
Stanovení rozsahu a politky
V prvních krocích je nutné stanovit oblast organizace, na kterou se bude ISMS vztahovat, lze vybrat jen ty nejpotřebnější oblasti a tak se vyhnout částem organizace, kde to není nezbytné. Následnuje stanovení politiky, která je povinným dokumentem a zahrnuje cíle, strategii a různé druhy požadavků v oblasti ISMS.
Vstupní analýza a analýza rizik
Z úvodní vstupní analýzy lze vyvodit aktuální stav informační bezpečnosti v organizaci, a tak i sestavit návrh opatření k dosažení potřebných cílů k implementaci ISMS. Analýza rizik je potřebnou součástí k návrhům opatření, díky kterým lze následně rizika minimalizovat.
Návrh postupů a jejich implementace
Dalším z nezbytných kroků implementace je vypracování povinných dokumentů jako jsou normy, manuály, směrnice, nebo prohlášení o aplikovatelnosti. Tyto dokumenty slouží pro zavedení normy do praxe a jsou doprovázeny dalšími důležitými úkony, jako je například školení zaměstnanců.
Monitorování a zlepšování
Dle normy je nezbytné monitorovat výkonnost bezpečnosti informací a efektivnost celého systému. Důležitým bodem je i normativní požadavek o neustálém zlepšování, dle kterého organizace musí reagovat na neshody systému a přijmout nová nápravná opatření, aby systém byl neustále efektivní.
Zákon o kybernetické bezpečnosti
Zákon č. 181/2017 Sb., o kybernetické bezpečnosti, v platném znění, si klade za cíl zlepšení spolupráce mezi soukromým a veřejným sektorem v oblasti kybernetické bezpečnosti. Jeho prováděcí předpisy vymezují celou řadu subjektů, kterým tento zákon ukládá povinnosti, které se ve velké míře shodují s požadavky normy ISO/IEC 27 001, ze které tento předpis vychází.
Subjektům dotčeným Zákonem o kybernetické bezpečnosti jsme připraveni poskytnout součinnost a podporu při zavádění potřebných opatření, vytváření související dokumentace a obsazení zákonem požadovaných rolí v systému kybernetické bezpečnosti.
Zejména outsourcing role Auditora kybernetické bezpečnosti přináší organizaci výhodu v úspoře nákladů, kdy tuto roli nemusí obsazovat kmenovým zaměstnancem, současně organizace získá nezávislý vhled do svého systému řízení kybernetické bezpečnosti.
Případová studie
Klient: Dodavatel v energetice
Problém: Rychlý růst společnosti značně navýšil hodnotu informačních aktiv a přerostl možnosti interní IT správy
Naše řešení:
Bývalý klient, pro kterého jsme v minulosti řešili bezpečnou likvidaci dat, se na nás obrátil s žádostí o konzultaci v oblasti bezpečnosti informačních systémů. Už po úvodní schůzce bylo jasné, že rychlý růst kdysi rodinné firmy v klíčového hráče na trhu nebyl následován odpovídajícími změnami ve způsobu řízení IT obecně, bezpečnost informací pak nebyla řešena vůbec.
V první fázi jsme pro klienta provedli vstupní analýzu, aby vedení společnosti získalo lepší představu o aktuálním stavu v organizaci. Následně byl navržen a odsouhlasen rozsah projektu a doba implementace v horizontu 10 měsíců. Vzhledem k tomu, že klient nesměřuje k certifikaci dle ISO/IEC 27 001, je tato doba dostatečná.
Projekt byl zahájen zmapováním procesů organizace a jejích aktiv. Následné provedení analýzy rizik bylo zakončeno návrhem opatření, která na zjištěná rizika reagovala. Ačkoliv se nejednalo o přípravu k certifikaci, byla po dohodě s klientem zpracována základní dokumentace k ISMS a návazné prováděcí dokumenty.
V organizaci po ukončení projektu provádíme pravidelné roční audity systému ISMS a zajišťujeme rovněž průběžné školení klíčových pracovníků.
Marián Svetlík
Vedoucí konzultant
Potřebujete konzultaci v oblasti řízení bezpečnosti informací?
+420 776 740 482