Řízení rizik bezpečnosti informací dle ISO/IEC 27005

G+
linkedin

Řízení rizik bezpečnosti informací dle ISO/IEC 27005 

Řízení rizik bezpečnosti informací umožňuje organizacím zajistit, že znají a rozumějí rizikům bezpečnosti informací, kterým čelí. Prioritizace rizik, výběr možnosti ošetření rizik a realizace odpovídajících opatření umožňují organizacím účinně a efektivně předcházet bezpečnostním incidentům. 

Řízení bezpečnosti informací si klade za cíl efektivní správu citlivých informací organizace. Řízení bezpečnosti informací přináší rovnováhu mezi rizika a opatření, která jsou definována v politikách a postupech informační a kybernetické bezpečnosti.

Přínosy řízení rizik bezpečnosti informací podle ISO/IEC 27005

  • Hlavní přínosy řízení rizik bezpečnosti informací jsou:
  • Identifikace klíčových rizik
  • Prevence bezpečnostních incidentů
  • Soulad s požadavky
  • Snížení nákladů na opatření bezpečnosti informací

Metodiky pro analýzu rizik

Společnost KRUCEK používá metodiky posuzování rizik bezpečnosti informací, které odpovídají požadavkům ISO/IEC 27001, ISO/IEC 27701 a ISO/IEC 27005.

OCTAVE Allegro

Octave Allegro optimalizuje proces posuzování rizik bezpečnosti informací a umožňuje získat výsledky při rozumném zapojení zdrojů. OCTAVE Allegro poskytuje návod, pracovní listy a příklady. Pro metodu OCTAVE jsou také dostupná školení.

Metodika pro malé a střední organizace

In-house vytvořená metodika pro identifikaci aktiv, posouzení rizik a ošetření rizik bezpečnosti informací v souladu s požadavky rodiny ISO/IEC 27000 určená pro potřeby malých až středních organizací. 

Předmět našich profesionálních služeb

Společnost KRUCEK poskytuje níže uvedené služby v rámci komplexních řešení nebo jednotlivě dle potřeb a kontextu klienta. 

Program řízení rizik

Tvorba politiky řízení rizik a cílů řízení rizik. Stanovení a popis odpovědností za řízení rizik. Implementace procesů řízení rizik. Plánování aktivit řízení rizik v dlouhodobém a krátkodobém horizontu. Určení požadavků na zdroje.

Kontext organizace

Porozumění internímu i externímu kontextu organizace a jejím klíčovým procesům a činnostem. Identifikace zúčastněných stran. Určení cílů. Výběr přístupu a metodiky pro řízení rizik. Definování kritérií pro posouzení rizik. Stanovení rozsahu a hranic ISRM.

Posouzení rizik bezpečnosti informací

Identifikace aktiv, hrozeb, stávajících opatření, zranitelností, a dopadů. Posouzení dopadů a pravděpodobností. Určení úrovně rizik. Hodnocení úrovně rizik ve vztahu k hodnotícím kritériím a prioritizace rizik.

Ošetření rizik bezpečnosti informací a akceptace zbytkových rizik

Výběr možností pro ošetření rizik. Vytvoření plánu pro ošetření rizik. Určení úrovně zbytkových rizik. Podpora při schvalování plánu ošetření rizik a schválení zbytkových rizik.

Komunikace, školení a zvyšování povědomí

Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.

Kvalita služeb

V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality služeb dle ISO 9001 a ISO 20700, bezpečnosti informací dle ISO/IEC 27001 a projektového řízení dle ISO 21500.

Kompetence našich konzultantů:

  • Certified ISO/IEC 27001 Lead Implementer *
  • Certified ISO/IEC 27701 Lead Implementer *
  • Certified ISO/IEC 27002 Lead Manager
  • Certified ISO/IEC 27005 Lead Risk Manager *
  • Certified ISO/IEC 27032 Lead Cybersecurity Manager

Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů řízení definovaná normami ISO 19011 a ISO/IEC 27006.

Kompetence našich auditorů:

  • Certified ISO/IEC 27001 Lead Auditor *

* POZNÁMKA: Certifikace akreditovaná dle ISO/IEC 17024 nebo relevantní certifikace ISACA. 

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*