Systémy řízení bezpečnosti informací dle ISO/IEC 27001

G+
linkedin

Účel zavedení systému řízení bezpečnosti informací dle ISO/IEC 27001

Řízení bezpečnosti informací si klade za cíl efektivní správu citlivých informací organizace. Řízení bezpečnosti informací přináší rovnováhu mezi rizika a opatření, která jsou definována v politikách a postupech informační a kybernetické bezpečnosti.

Přínosy systému řízení bezpečnosti informací podle ISO/IEC 27001

  • Snížení podnikatelských rizik
  • Zvýšení důvěryhodnosti organizace
  • Podpora zabezpečení organizace
  • Zajištění shody s předpisy
  • Zvýšení konkurenceschopnosti
  • Snížení pravděpodobnosti chyb

Předmět našich profesionálních služeb

Společnost KRUCEK poskytuje níže uvedené služby v rámci komplexních řešení nebo jednotlivě dle potřeb a kontextu klienta. 

Rozdílová (GAP) analýza a ustavení ISMS projektu

Srovnání současné výkonnosti systému řízení bezpečnosti informací s požadavky normy ISO/IEC 27001, identifikace aplikovaných opatření bezpečnosti informací. Identifikace potřeb pro zlepšení. Zpracování plánu projektu ISMS. Získání souhlasu vedení. Získání souhlasu vedení.

Rozsah ISMS

Definování organizačních hranic, hranic informačního systému a fyzických hranic. Navržení rozsahu ISMS a prohlášení o rozsahu.

Dokumentace ISMS a politika bezpečnosti informací

Stanovení procesů ISMS. Definování struktury a životního cyklu řídící dokumentace ISMS. Tvorba politiky bezpečnosti informací a specifických politik. Podpora při schvalování vedením, zveřejnění a šíření politik.

Organizační struktura bezpečnosti informací

Určení organizační struktury pro řízení bezpečnosti informací. Definování rolí a povinností odpovědných osob a zúčastněných stran. Definování rolí a povinností klíčových výborů.

Procesy řízení rizik a prohlášení o aplikovatelnosti (SoA)

Popis kontextu, výběr metodiky posuzování rizik a kritérií řízení rizik. Identifikace, analýza a hodnocení rizik. Ošetření rizik. Prohlášení o aplikovatelnosti. Plán ošetření rizik a akceptace zbytkových rizik.

Dokumentace specifických politik, postupů a opatření

Návrh a dokumentace specifických politik, procesů a opatření bezpečnosti informací. Specifikace záznamů. Podpora při implementaci vybraných opatření.

Komunikace, školení a zvyšování povědomí

Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.

Měření, monitorování a hodnocení ISMS

Určení cílů a předmětu monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků.

Interní audit a podpora při certifikačním auditu

Vytvoření programu interního auditu. Zajištění nezávislosti, objektivity a nestrannosti interního auditu. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody. Příprava na audit. Podpora ve fázi 1 a 2 auditu.

Ošetření problémů a neshod

Definování procesu řešení problémů a neshod. Definování postupu nápravných opatření. Definování postupu preventivních opatření. Vypracování návrhů akčních plánů.

Kvalita služeb

V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality služeb dle ISO 9001 i ISO 20700 a projektového řízení dle ISO 21500.

Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů managementu definovaná normou ISO 19011 a příslušnými oborovými normami.

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*