Informační a kybernetická bezpečnost

Informační bezpečnost a kybernetická bezpečnost spolu úzce souvisejí, i když mají různé cíle. Informační bezpečnost řeší důvěrnost, integritu a dostupnost informací a dostupnost, spolehlivost a důvěryhodnost ICT služeb. Kybernetická bezpečnost je vztažena k celému kyberprostoru a primárně zabývá ochranou životů, zdraví a majetku lidí i organizací, celé společnosti a národů.

Systém managementu informační bezpečnosti dle ISO/IEC 27001

Informační a kybernetickou bezpečnost lze zajistit s využitím systému managementu informační bezpečnosti (ISMS) na bázi normy ISO/IEC 27001. Norma ISO/IEC 27001 definuje požadavky na organizace, které chtějí vytvořit, zavést, udržovat a neustále zlepšovat systém managementu informační bezpečnosti (ISMS). Vytváří prostředí, které odolává riziku ztráty, poškození nebo jiného ohrožení informací a systémů. Slouží jako vodítko pro neustálé přezkoumávání úrovně zabezpečení informací a systémů, což přispívá ke zvýšení spolehlivosti i hodnoty služeb organizace.

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB) nabyl účinnosti 1. ledna 2015. Stanovuje práva a povinnosti osob a orgánů veřejné moci v oblasti kybernetické bezpečnosti, sjednocuje pravidla a postupy při kyber-bezpečnostních incidentech, přispívá ke zlepšení jejich detekce a zvýšení ochrany před jejich uskutečněním. Zákon doprovázejí prováděcí právní předpisy, zejména vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti a likvidace dat (VoKB).

Nařízení o digitální provozní odolnosti (DORA)

Nařízení DORA bylo přijato Evropským parlamentem a Radou Evropské unie dne 14. prosince 2022, nařízením (EU) 2022/2554, a jeho cílem je harmonizovat a zefektivnit předpisy týkající se řízení rizik v oblasti ICT a zajistit konzistentnost a soudržnost v celé EU. Vyžaduje, aby subjekty ve finančním sektoru zajistily, že budou schopny odolávat všem typům incidentů, rizik a hrozeb souvisejících s IKT, reagovat na ně a zotavit se z nich.

Trusted Information Security Assessment Exchange (TISAX®)

TISAX® je založen na normě ISO/IEC 27001, jedná se o hodnotící a výměnný program pro posuzování informační bezpečnosti společností v automobilovém průmyslu. Cílem je zajištění a optimalizace výměny informací týkajících se informační bezpečnosti mezi výrobci a jejich dodavateli v automobilovém průmyslu. Klade důraz na bezpečné zpracování informací od obchodních partnerů, ochrany prototypů a ochrany dat v souladu s obecným nařízením o ochraně osobních údajů.

Přínosy ISMS pro organizaci

  • Zvýšení důvěryhodnosti a konkurenceschopnosti organizace
  • Zvýšení odolnosti organizace a snížení výskytu i následků incidentů 
  • Efektivní správa organizace a vyšší rentabilita investic 
  • Ochrana kritických informačních aktiv a snížení podnikatelských rizik
  • Soulad s požadavky zákonných, regulačních, smluvních a jiných společenských potřeb a očekávání

Předmět našich odborných služeb

1 | Analýza stávajícího systému a plánování ISMS projektu

Analýza kontextu organizace a rozdílová analýza současného stavuZpracování plánu projektu ISMS 

2 | Vytvoření a zavedení ISMS

Identifikace a popis hranic a rozsahu ISMSDefinování organizační struktury, rolí a odpovědností osob a příslušných výborůNávrh politiky informační bezpečnostiNastavení a dokumentace procesů ISMS 

3 | Management rizik informační bezpečnosti a management opatření 

Výběr a dokumentace metodiky pro management rizikIdentifikace, analýza a hodnocení rizikVýběr možností a kontrolních opatření pro ošetření rizikZpracování prohlášení o aplikovatelnosti (SoA)Management plánů pro ošetření rizik

4 | Dokumentace tematicky specifických politik a postupů

Návrh struktury a management ISMS dokumentaceNávrh a dokumentace tematicky specifických politik a postupůPodpora při zavádění některých opatřeníNávrh a realizace aktivit školení a osvěty

5 | Bezpečnostní testy a management zranitelností

Bezpečnostní testy webových aplikacíBezpečnostní testy infrastrukturyTesty praktikami sociálního inženýrstvíManagement zranitelností

6 | Interní audit, audit dodavatelů a podpora při certifikačním auditu

Návrh a dokumentace statutu interního auditu ISMSNávrh programu auditu ISMS a plánování činností audituRealizace interního auditu a auditu dodavatelůPodpora následných činností a opatření po audituPříprava na certifikační audit a podpora při certifikačním auditu

Využití pokročilých GRC aplikací

Náročnost realizace procesů ISMS roste s velikostí organizace i s vyspělostí ISMS a bezpečnostních opatření. Komplexním organizacím s komplexními systémy managementu doporučujeme využít pokročilé modulární nástroje.

Více informací naleznete v sekci Aplikace.

Kvalita našich služeb

V průběhu poskytování konzultačních služeb jsou uplatňovány standardy kvality konzultačních služeb dle ISO 20700, informační bezpečnosti dle ISO/IEC 27001 a projektového řízení dle ISO 21502.

Kompetence našich konzultantů:

  • Certified ISO/IEC 27001 Lead Implementer *
  • Certified ISO/IEC 27002 Lead Manager
  • Certified ISO/IEC 27005 Lead Risk Manager *

Při provádění interního auditu (audit první stranou) nebo externího auditu třetí strany (audit druhou stranou) je uplatňována nejlepší praxe auditování systémů řízení definovaná normou ISO 19011,  ISO/IEC 27007, ISO/IEC TS 27008 a dalšími relevantními normami.

Kompetence našich auditorů:

  • Certified ISO/IEC 27001 Lead Auditor *

* POZNÁMKA: Certifikace akreditovaná dle ISO/IEC 17024 nebo relevantní certifikace ISACA.

Máte zájem?


    Prohlášení o ochraně soukromí