Řízení rizik bezpečnosti informací dle ISO/IEC 27005

G+
linkedin

Řízení rizik bezpečnosti informací dle ISO/IEC 27005 

Řízení rizik bezpečnosti informací umožńuje organizacím zajistit, že znají a rozumějí rizikům bezpečnosti informací, kterým čelí. Prioritizace rizik, výběr možnosti ošetření rizik a realizace odpovídajích opatření umožňují organizacím účinně a efektivně předcházet bezpečnostním incidentům. 

Řízení bezpečnosti informací si klade za cíl efektivní správu citlivých informací organizace. Řízení bezpečnosti informací přináší rovnováhu mezi rizika a opatření, která jsou definována v politikách a postupech informační a kybernetické bezpečnosti.

Přínosy řízení rizik bezpečnosti informací podle ISO/IEC 27005

  • Hlavní přínosy řízení rizik bezpečnosti informací jsou:
  • Identifikace klíčových rizik
  • Prevence bezpečnostních incidentů
  • Soulad s požadavky
  • Snížení nákladů na opatření bezpečnosti informací

Metodiky pro analýzu rizik 

Společnost KRUCEK obvykle používá metodiky identifikaci a posouzení aktiv a rizik bezpečnosti informací, které odpovídají požadavkům ISO/IEC 27001 a ISO/IEC 27005.

OCTAVE Allegro

Octave Allegro optimalizuje proces posuzování rizik bezpečnosti informací a umožňuje získat výsledky při rozumném zapojení zdrojů. OCTAVE Allegro poskytuje návod, pracovní listy a příklady. Pro metodu OCTAVE jsou také dostupná školení.

Metodika pro malé a střední společnosti

In-house vytvořená metodika pro identifikaci aktiv, posouzení rizik a ošetření rizik bezpečnosti infromací v souladu s požadavky rodiny ISO/IEC 27000 určená pro potřeby malých až středních organizací. 

Předmět našich profesionálních služeb

Společnost KRUCEK poskytuje níže uvedené služby v rámci komplexních řešení nebo jednotlivě dle potřeb a kontextu klienta. 

Program řízení rizik

Tvorba politiky řízení rizik a cílů řízení rizik. Stanovení a popis odpovědností za řízení rizik. Implementace procesů řízení rizik. Plánování aktivit řízení rizik v dlouhodobém a krátkodobém horizontu. Určení požadavků na zdroje.

Kontext organizace

Porozumění internímu i externímu kontextu organizace a jejím klíčovým procesům a činnostem. Identifikace zúčastněných stran. Určení cílů. Výběr přístupu a metodiky pro řízení rizik. Definování kritérií pro posouzení rizik. Stanovení rozsahu a hranic ISRM.

Posouzení rizik bezpečnosti informací

Identifikace aktiv, hrozeb, stávajících opatření, zranitelností, a dopadů. Posouzení dopadů a pravděpodobností, určení úrovně rizik. Hodnocení úrovně rizik ve vztahu k hodnotícím kritériím a prioritizace rizik.

Ošetření rizik bezpečnosti informací a akceptace zbytkových rizik

Výběr možností pro ošetření rizik. Vytvoření plánu pro ošetření rizik. Určení úrovně zbytkových rizik. Podpora při schvalování plánu ošetření rizik a schválení zbytkových rizik.

Komunikace, školení a zvyšování povědomí

Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.

Kvalita služeb

V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality služeb dle ISO 9001 i ISO 20700 a projektového řízení dle ISO 21500.

Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů managementu definovaná normou ISO 19011 a příslušnými oborovými normami.

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*