Řízení bezpečnosti informací dle ISO/IEC 27001

G+
linkedin

Systém řízení bezpečnosti informací dle ISO/IEC 27001

Řízení bezpečnosti informací si klade za cíl efektivní správu citlivých informací organizace. Řízení bezpečnosti informací přináší rovnováhu mezi rizika a opatření, která jsou definována v politikách a postupech informační a kybernetické bezpečnosti.

Přínosy systému řízení bezpečnosti informací podle ISO/IEC 27001

  • Snížení podnikatelských rizik
  • Zvýšení důvěryhodnosti Vaší organizace
  • Podpora zabezpečení Vaší organizace
  • Zajištění shody s předpisy
  • Zvýšení konkurenceschopnosti
  • Snížení pravděpodobnosti chyb

Předmět našich profesionálních služeb

Společnost KRUCEK poskytuje níže uvedené služby v rámci komplexních řešení nebo jednotlivě dle potřeb a kontextu klienta. 

Ustavení ISMS projektu a analýza stávajícího systému

Ustavení ISMS projektu. Analýza kontextu. GAP analýza - srovnání současné výkonnosti systému řízení bezpečnosti informací s požadavky normy ISO/IEC 27001, identifikace aplikovaných opatření bezpečnosti informací. Identifikace potřeb pro zlepšení. Zpracování plánu projektu ISMS.

Rozsah ISMS

Definování organizačních hranic, hranic informačního systému a fyzických hranic. Definování rozsahu ISMS a prohlášení o rozsahu.

Dokumentace ISMS a politika bezpečnosti informací

Stanovení procesů ISMS. Definování struktury a životního cyklu řídící dokumentace ISMS. Tvorba politiky bezpečnosti informací a specifických politik. Podpora při schvalování vedením, zveřejnění a šíření politik.

Organizační struktura bezpečnosti informací

Určení organizační struktury pro řízení bezpečnosti informací. Definování rolí a povinností osob v bezpečnostních rolích a zúčastněných stran. Definování rolí a povinností klíčových výborů.

Procesy řízení rizik a Prohlášení o aplikovatelnosti (SoA)

Popis kontextu, výběr metodiky posuzování rizik a kritérií pro analýzu rizik. Identifikace, analýza a hodnocení rizik. Ošetření rizik. Prohlášení o aplikovatelnosti. Plán ošetření rizik a akceptace zbytkových rizik.

Návrh a dokumentace specifických politik, postupů a opatření

Návrh a dokumentace specifických politik, procesů a opatření bezpečnosti informací. Specifikace záznamů. Podpora při implementaci vybraných opatření.

Komunikace, školení a zvyšování povědomí

Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.

Měření, monitorování a hodnocení ISMS

Určení cílů a předmětu monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků.

Interní audit a podpora při certifikačním auditu

Vytvoření programu interního auditu. Zajištění nezávislosti, objektivity a nestrannosti interního auditu. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody. Příprava na certifikační audit. Podpora ve fázi 1 a 2 auditu.

Ošetření problémů a neshod

Definování procesu řešení problémů a neshod. Definování postupu pro nápravná a preventivní opatření. Vypracování návrhů akčních plánů.

Kvalita služeb

V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality služeb dle ISO 9001 a ISO 20700, bezpečnosti informací dle ISO/IEC 27001 a projektového řízení dle ISO 21500.

Kompetence našich konzultantů:

  • Certified ISO/IEC 27001 Lead Implementer *
  • Certified ISO/IEC 27701 Lead Implementer *
  • Certified ISO/IEC 27002 Lead Manager
  • Certified ISO/IEC 27005 Lead Risk Manager *
  • Certified ISO/IEC 27032 Lead Cybersecurity Manager

Při provádění interního auditu (audit první stranou) nebo externího auditu dodavatele (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů řízení definovaná normami ISO 19011 a ISO/IEC 27006.

Kompetence našich auditorů:

  • Certified ISO/IEC 27001 Lead Auditor *

* POZNÁMKA: Certifikace akreditovaná dle ISO/IEC 17024 nebo relevantní certifikace ISACA. 

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*