Audit dle norem ISO / IEC 27000

Úvodní analýza

Standardně je na počátku projektu vstupní analýza, která mapuje prostředí organizace. Její součástí je zejména posouzení infrastrukturních a procesních aspektů ISMS/BCM a analýza dopadů (BIA) zasazená do procesního modelu organizace. Výsledky analýzy spolu s cíli zákazníka pak determinují vlastní projekt a jeho náročnost na zdroje. Hlavní charakteristikou úvodní analýzy je její snadné a rychlé provedení, které klade minimální nároky na zdroje posuzované organizace.

Nezávislý audit bezpečnosti dle norem skupiny ISO 27000

Normy skupiny ISO 27000 a jejich požadavky-doporučení jsou celosvětově uznávaným standardem v oblasti systémového řízení bezpečnosti informací. Prověříme míru shody procesů organizace s těmito normami a doporučíme způsob nápravy akutních problémů i strategii rozvoje ISMS. Nejčastěji využíváme tyto standardy:

  • ISO/IEC 27001 – Systémy řízení bezpečnosti informací – Požadavky,
  • ISO/IEC 27002 – Soubor postupů pro opatření bezpečnosti informací,
  • ISO/IEC 27003 – Směrnice pro implementaci ISMS,
  • ISO/IEC 27004 – Řízení bezpečnosti informací – Měření,
  • ISO/IEC 27005 – Řízení rizik bezpečnosti informací,
  • ISO/IEC 27014 – Governance of information security,
  • ISO 22301 – Systémy managementu kontinuity podnikání – Požadavky,
  • ISO/IEC 27031 – Guidelines for information and communication technology readiness for business continuity,
  • ISO/IEC 27035 – Řízení incidentů bezpečnosti informací, aj.

Zvolené standardy jsou svou povahou univerzálním a široce respektovaným návodem na efektivní řízení informační bezpečnosti, přičemž jednou z hlavních charakteristik je zejména komplexnost náhledu na bezpečnost informací. Neřešíme tedy pouze „IT bezpečnost“ neboli „počítačovou bezpečnost“, ale bezpečnost informací jako celku, tj. v jakékoli jejich podobě.

Bezpečnost informací je logicky propojena s bezpečností fyzickou a personální, je přímo spojena se strategií a top managementem společnosti, což se projevuje zejména v řízení business kontinuity, shody s legislativními normami na úrovni státu i EU, atd. Je potřebné brát procesy, kterými je v praxi řízena bezpečnost informací, jako integrální součást řízení rizik společnosti jako celku.

Přestože se odkazujeme na výše uvedené standardy, není naším cílem je do důsledku (v celé své šíři) prosazovat k aplikaci do reálného života posuzované organizace. Bereme si z nich zejména věcnou část bez administrativní zátěže, kterou by jinak např. certifikace dle ISO/IEC 27001 přinášela. Důvodů je několik. Malé a střední organizace nebývají z pohledu složitosti procesů, ani počtu zaměstnanců natolik velké, aby se ihned „vyplatila“ certifikace dle ISO/IEC 27001. Sama certifikace totiž samozřejmě nic neřeší, je pouze dokladem pro vnější svět o úrovní procesů a dalším motivátorem pro rozvoj řízení informační bezpečnosti.

Naopak je naším cílem identifikovat zjevné nedostatky (slabiny), přičemž na souměřitelnou úroveň, pokud je to akceptovatelné, stavíme opatření formálního i neformálního charakteru. Výše zmíněná charakteristika nicméně platí v kratším nebo střednědobém výhledu. Z dlouhodobého pohledu je směřování k certifikaci dle ISO/IEC 27001 jistě správné, což podporuje také u většiny organizací již dosažená certifikace dle ISO 9001. Tyto normy jsou navzájem kompatibilní a vhodně se doplňují. Zejména v aktuálních či aktuálně připravovaných verzích se sjednocují struktury norem i názvosloví a jednoznačně podporují vznik integrovaných systémů řízení, které staví na filozofii neustálých změn a zlepšování.

Analýza rizik & analýza dopadů (BIA)

Analýza rizik vč. BIA by měla být na počátku tvorby každé ISMS strategie, její periodické opakování je i požadavkem ISO/IEC 27001. Jenom díky jejímu provedení máte možnost propojit strategické cíle organizace s bezpečností informací. Existuje spousta metodik, vybereme tu pravou a pomůžeme s její realizací. Informace jsou získávány metodou řízených rozhovorů, které lze doplnit o technické analýzy typu penetrační testování, analýza datového toku, nebo sken zranitelností. Vše shromažďujeme a vyhodnocujeme v profesionálním nástroji, jehož výstupy jsou podkladem závěrečné zprávy.

RANIT je sofistikovaná a přitom elegantně nekomplikovaná aplikace vytvořená pro podporu provádění rizikových analýz. Slouží pro import, ukládání a vyhodnocování údajů získaných v průběhu řízených pohovorů s  vlastníky aktiv nebo procesů. RANIT sám osobě implementuje metodiku provádění rizikové analýzy dle ISO 27005 kombinovanou metodou, čímž výrazně usnadňuje tvorbu a údržbu ISMS certifikovaného dle ISO/IEC 27001.

Program umožňuje spravovat data pro větší množství projektů. Pro každý projekt lze samostatně zvolit zda budou analyzována rizika aktiv nebo procesů a  dále zda bude analýza prováděna podrobně s použitím všech parametrů nebo ve zjednodušené podobě.

RANIT na základě vložených údajů stanoví hodnotu míry rizika pro každou hrozbu/aktivum/komponentu. Hodnota míry rizika je stanovena ve třech variantách: aktuální míra rizika (Riziko), míra rizika po aplikaci uvažovaných protiopatření (Riziko – Uvažovaná protiopatření) a jako míra rizika hrubá tedy bez aplikace protiopatření (Riziko – Bez protiopatření). Aspekty hodnocení komponenty ovlivňují stanovenou míru rizika. Kdykoliv v průběhu vkládání dat lze zobrazovat výsledky v přehledu, kde jsou vypočtená čísla priority rizika také rozděleny do skupin a barevně zvýrazněny. Dodávaná verze má rovněž naplněny tabulky hrozeb, dopadu, četnosti, detekovatelnosti a  koeficientu ochrany.

Podpora při implementaci ISMS dle ISO 27001

Pokud jste se rozhodli „normalizovat“ řízení bezpečnosti informací v organizaci a nechcete prozkoumávat slepé uličky, využijte našich služeb. Naším cílem je vždy vytvořit komplexní systém zajišťující potřebnou úroveň zabezpečení, který ale zároveň nebude organizaci a její zaměstnance zbytečně svazovat.

Outsourcing manažera ISMS / interního auditora

Tyto dvě funkce jsou klíčové pro fungování ISMS v každé organizaci. Vyžadují maximální možnou míru autonomie a podřízenost pouze a přímo top managementu, což spolu s nedostatkem zkušených profesionálů na trhu velmi často vede logicky k outsourcingu. Naši odborníci jsou Vám k dispozici.

Havarijní plány a plány obnovy – řízení kontinuity

Zajištění ničím nerušené činnosti organizace tak, aby dosahovala svých strategických cílů je jednou z klíčových otázek, která se nutně týká i bezpečnosti informací skládající se z atributů dostupnosti, integrity a důvěrnosti. Pomůžeme s tvorbou i testováním havarijních plánů, plánů obnovy a plánů kontinuity.

Právní poradenství v oblasti bezpečnosti informací

Spolupracujeme s předními experty v oboru práva a ICT technologií, kteří v organizaci vyhodnotí míru shody interních procesů s českým právním řádem a aktuální judikaturou v oblasti ochrany osobních údajů, citlivých informací organizace, autorských práv, dodavatelsko-odběratelských i pracovně-právních vztahů v souvislosti s bezpečností informací.

Napište nám