Systémy řízení bezpečnosti informací dle ISO 27001

G+
linkedin

O řízení bezpečnosti informací

Organizace všech typů a velikostí pracují s informacemi v mnoha podobách. V propojeném světě jsou informace a dané procesy, systémy, sítě i pracovníci aktivy, která jsou pro podnikání a činnost organizací cenná. Proto je potřeba tyto informace chránit proti měnícím se rizikům

Bezpečnost informací je dosažena sadou technických a organizačních opatření. Tato opatření je třeba stanovit, implementovat, monitorovat, přezkoumávat a zlepšovat. K tomu slouží systém řízení bezpečnosti informací (ISMS).

Systém řízení bezpečnosti informací (ISMS) definovaný normou ISO/IEC 27001 zachovává důvěrnost, integritu a dostupnost informací aplikováním procesu řízení rizik a dává zainteresovaným stranám jistotu, že rizika jsou řízena v souladu s normou.

Shoda s požadavky ISO/IEC 27001 může být ověřena certifikačním auditem

Přínosy implementace ISO 27001 podle průzkumu The British Standards Institution:

75 % snížení podnikatelských rizik | 80 % zvýšení důvěryhodnosti podniku | 71 % pomoc při zabezpečení podniku | 55 % zajišťování schody s předpisy | 53 % zvýšení konkurenceschopnosti | 50 % snížení pravděpodobnosti chyb

Přínosy systému řízení bezpečnosti informací podle ISO 27001

S ohledem na rostoucí četnost a propracovanost kybernetických útoků, objem cenných informací nebo na složitost dodavatelských řetězců, organizace potřebují důvěryhodný systém. Zavedením ISMS demonstruje organizace a její vedení závazek k zabezpečení informací na vybraných úrovních organizace a deklaruje svou důvěryhodnost.

Hlavní přínosy systému řízení bezpečnosti informací jsou:

Soulad s požadavky

Získání statusu přednostního dodavatele z důvodu zajištění shody s legislativou, předpisy nebo smluvními požadavky.

Zlepšení bezpečnosti informací

Identifikování rizik a zavedení opatření bezpečnosti informací k řízení těchto rizik.

Dobrá správa a snížení nákladů

Flexibilita opatření, která se přizpůsobí specifickým oblastem vašich aktivit.

Marketing

Zvýšení důvěry vašich zákazníků i akcionářů v zabezpečení jejich údajů.

Předmět našich odborných služeb

Naši certifikovaní konzultanti vás mohou provést celým cyklem implementace a podpoří provozování vašeho ISMS. Další možností je volba strukturovaného přístupu, kdy dle potřeby zvolíte konkrétní služby, které potřebujete.

Rozdílová (GAP) analýza a ustavení ISMS projektu

Srovnání současné výkonnosti systému řízení bezpečnosti informací s požadavky normy ISO/IEC 27001. Identifikace potřeb pro zlepšení bezpečnosti informací. Základ pro vypracování plánu ISMS projektu. Vytvoření a prezentace obchodního případu. Ustavení projektového týmu ISMS. Stanovení zdrojů potřebných pro implementaci ISMS. Předložení plánu projektu ISMS. Získání souhlasu vedení.

Definování rozsahu ISMS a politika bezpečnosti informací

Definování organizačních hranic. Definování hranic informačního systému. Definování fyzických hranic. Navržení rozsahu ISMS a prohlášení o rozsahu. Tvorba politiky bezpečnosti informací. Tvorba specifických bezpečnostních politik. Schválení vedením. Zveřejnění a šíření politik. Kontrola, hodnocení a přezkoumání.

Definování organizační struktury bezpečnosti informací

Definování organizační struktury pro řízení bezpečnosti informací. Jmenování manažera ISMS. Definování rolí a povinností zúčastněných stran. Definování rolí a povinností klíčových výborů.

Procesy řízení rizik a prohlášení o aplikovatelnosti

Výběr metodiky posuzování rizik. Identifikace aktiv a rizik. Analýza rizik. Hodnocení rizik. Ošetření rizik. Akceptace zbytkových rizik. Přezkoumání a výběr aplikovatelných cílů opatření a opatření bezpečnosti informací. Odůvodnění vybraných opatření. Odůvodnění vyloučených opatření. Vypracování prohlášení o aplikovatelnosti. Schválení vedením.

Návrh bezpečnostních opatření a vypracování specifických politik a postupů, implementace bezpečnostních opatření

Návrh procesů a opatření bezpečnosti informací. Popis procesů a opatření bezpečnosti informací. Vypracování specifických politik. Psaní postupů. Definice záznamů týkajících se procesů a bezpečnostních opatření. Výběr a implementace opatření bezpečnosti informací.

Řízení incidentů a kontinuity

Implementace způsobů detekce a odezvy na incidenty, vhodná školení, nácvik a testování, komunikace o incidentech, řízení a učení ze zkušeností.

Komunikace, školení a zvyšování povědomí

Stanovení cílů komunikace. Určení zainteresovaných stran. Plánování komunikačních aktivit. Komunikování. Hodnocení komunikace. Definování potřeb školení. Navrhování a plánování školení. Poskytování školení. Hodnocení výsledků školení.

Měření, monitorování a hodnocení ISMS

Určení cílů měření. Předmět monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků.

Interní audit

Vytvoření programu interního auditu. Jmenování odpovědné osoby. Zajištění nezávislosti, objektivity a nestrannosti. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody.

Ošetření problémů a neshod

Definování procesu řešení problémů a neshod. Definování postupu nápravných opatření. Definování postupu preventivních opatření. Vypracování návrhů akčních plánů.

Chraňme náš společný kyberprostor

Aby byla kybernetická bezpečnost efektivní, musí zúčastněné strany hrát v kybernetickém prostoru aktivní roli nad rámec ochrany svých vlastních aktiv. 

Napište nám:

Napište nám zprávu ...
1
*
 
2
*
 
3
*
*
*