Řízení bezpečnosti informací (ISMS) a kontinuity (BCM)

Naší předností je expertní znalost aktuálních ICT bezpečnostních a síťových řešení a technologií. Nicméně klíčové je pro nás vždy pochopení specifických potřeb dané organizace a jejího prostředí vč. ekonomických a právních souvislostí. Klíčem k úspěchu je naše schopnost propojit manažerský a technický pohled na ISMS a BCM.

Každý z řešených projektů je do jisté míry originál, ve kterém využíváme zkušenosti a znalosti širokého týmu specialistů. Základem jsou všeobecně uznávané metodiky a normy, které propojujeme s naším know-how, jak tyto postupy aplikovat v českém a slovenském prostředí.

Každý z řešených projektů je do jisté míry originál, ve kterém využíváme zkušenosti a znalosti širokého týmu specialistů. Základem jsou všeobecně uznávané metodiky a normy, které propojujeme s naším know-how, jak tyto postupy aplikovat v českém a slovenském prostředí.

Úvodní analýza

Standardně je na počátku projektu vstupní analýza, která mapuje prostředí organizace. Její součástí je zejména posouzení infrastrukturních a procesních aspektů ISMS/BCM a analýza dopadů (BIA) zasazená do procesního modelu organizace. Výsledky analýzy spolu s cíli zákazníka pak determinují vlastní projekt a jeho náročnost na zdroje. Hlavní charakteristikou úvodní analýzy je její snadné a rychlé provedení, které klade minimální nároky na zdroje posuzované organizace.

Nezávislý audit bezpečnosti dle norem skupiny ISO 27000

Normy skupiny ISO 27000 a jejich požadavky-doporučení jsou celosvětově uznávaným standardem v oblasti systémového řízení bezpečnosti informací. Prověříme míru shody procesů organizace s těmito normami a doporučíme způsob nápravy akutních problémů i strategii rozvoje ISMS. Nejčastěji využíváme tyto standardy:

  • ISO/IEC 27001 – Systémy řízení bezpečnosti informací – Požadavky
  • ISO/IEC 27002 – Soubor postupů pro opatření bezpečnosti informací
  • ISO/IEC 27003 – Směrnice pro implementaci ISMS
  • ISO/IEC 27004 – Řízení bezpečnosti informací – Měření
  • ISO/IEC 27005 – Řízení rizik bezpečnosti informací
  • ISO/IEC 27014 – Governance of information security
  • ISO 22301 – Systémy managementu kontinuity podnikání – Požadavky
  • ISO/IEC 27031 – Guidelines for information and communication technology readiness for business continuity
  • ISO/IEC 27035 – Řízení incidentů bezpečnosti informací, aj.

Analýza rizik & analýza dopadů (BIA)

Analýza rizik vč. BIA by měla být na počátku tvorby každé ISMS strategie, její periodické opakování je i požadavkem ISO/IEC 27001. Jenom díky jejímu provedení máte možnost propojit strategické cíle organizace s bezpečností informací. Existuje spousta metodik, vybereme tu pravou a pomůžeme s její realizací. Informace jsou získávány metodou řízených rozhovorů, které lze doplnit o technické analýzy typu penetrační testování, analýza datového toku, nebo sken zranitelností. Vše shromažďujeme a vyhodnocujeme v profesionálním nástroji, jehož výstupy jsou podkladem závěrečné zprávy.

RANIT je sofistikovaná a přitom elegantně nekomplikovaná aplikace vytvořená pro podporu provádění rizikových analýz. Slouží pro import, ukládání a vyhodnocování údajů získaných v průběhu řízených pohovorů s  vlastníky aktiv nebo procesů. RANIT sám osobě implementuje metodiku provádění rizikové analýzy dle ISO 27005 kombinovanou metodou, čímž výrazně usnadňuje tvorbu a údržbu ISMS certifikovaného dle ISO/IEC 27001.

Program umožňuje spravovat data pro větší množství projektů. Pro každý projekt lze samostatně zvolit zda budou analyzována rizika aktiv nebo procesů a  dále zda bude analýza prováděna podrobně s použitím všech parametrů nebo ve zjednodušené podobě.

RANIT na základě vložených údajů stanoví hodnotu míry rizika pro každou hrozbu/aktivum/komponentu. Hodnota míry rizika je stanovena ve třech variantách: aktuální míra rizika (Riziko), míra rizika po aplikaci uvažovaných protiopatření (Riziko – Uvažovaná protiopatření) a jako míra rizika hrubá tedy bez aplikace protiopatření (Riziko – Bez protiopatření). Aspekty hodnocení komponenty ovlivňují stanovenou míru rizika. Kdykoliv v průběhu vkládání dat lze zobrazovat výsledky v přehledu, kde jsou vypočtená čísla priority rizika také rozděleny do skupin a barevně zvýrazněny. Dodávaná verze má rovněž naplněny tabulky hrozeb, dopadu, četnosti, detekovatelnosti a  koeficientu ochrany.

Podpora při implementaci ISMS dle ISO 27001

Pokud jste se rozhodli „normalizovat“ řízení bezpečnosti informací v organizaci a nechcete prozkoumávat slepé uličky, využijte našich služeb. Naším cílem je vždy vytvořit komplexní systém zajišťující potřebnou úroveň zabezpečení, který ale zároveň nebude organizaci a její zaměstnance zbytečně svazovat.

Outsourcing manažera ISMS / interního auditora

Tyto dvě funkce jsou klíčové pro fungování ISMS v každé organizaci. Vyžadují maximální možnou míru autonomie a podřízenost pouze a přímo top managementu, což spolu s nedostatkem zkušených profesionálů na trhu velmi často vede logicky k outsourcingu. Naši odborníci jsou Vám k dispozici.

Havarijní plány a plány obnovy – řízení kontinuity

Zajištění ničím nerušené činnosti organizace tak, aby dosahovala svých strategických cílů je jednou z klíčových otázek, která se nutně týká i bezpečnosti informací skládající se z atributů dostupnosti, integrity a důvěrnosti. Pomůžeme s tvorbou i testováním havarijních plánů, plánů obnovy a plánů kontinuity.

Právní poradenství v oblasti bezpečnosti informací

Spolupracujeme s předními experty v oboru práva a ICT technologií, kteří v organizaci vyhodnotí míru shody interních procesů s českým právním řádem a aktuální judikaturou v oblasti ochrany osobních údajů, citlivých informací organizace, autorských práv, dodavatelsko-odběratelských i pracovně-právních vztahů v souvislosti s bezpečností informací.

Napište nám