CZEN
> Služby
Úvod > Služby > Služby v oblasti informační (ICT) bezpečnosti > Analýza rizik pro malé a střední organizace

Analýza rizik pro malé a střední organizace

Jste majitelem či jednatelem společnosti? Jste si vědomi možných rizik s ohledem na bezpečnost informací ve Vaší organizaci? Je Vaším záměrem standardizovat či optimalizovat procesy související s úrovní bezpečnosti informací ve Vaší firmě, ale nevíte kde začít? Nabízíme odbornou analýzu zpracovanou našimi specialisty na míru Vašim potřebám.

 

Při konzultacích a realizaci projektů souvisejících se systémovým řízením bezpečnosti informací (ISMS) a řízením kontinuity činností (BCM) vycházíme z mnohaleté praxe našich konzultantů stejně jako z vlastních zkušeností, jelikož společnost COMGUARD zavedla a udržuje mimo jiné ISMS dle ISO/IEC 27001.

 

Naší předností je přinejmenším odborná znalost bezpečnostní problematiky v ICT prostředí a návaznost na konkrétní technologická řešení. Klíčové je pro nás vždy pochopení specifických potřeb dané organizace a jejího prostředí, a naše schopnost propojit „zdravý selský rozum“ a sofistikovaný manažersko-technický pohled na bezpečnost informací.

 

Každý z řešených projektů je do jisté míry originál, ve kterém využíváme zkušenosti a znalosti širokého týmu specialistů. Základem jsou všeobecně uznávané metodiky a normy, které propojujeme s naším know-how, jak tyto postupy aplikovat v prostředí malých a středních firem. Součástí projektu je zejména posouzení infrastrukturních a procesních aspektů ISMS/BCM a analýza dopadů (BIA) zasazená do procesního modelu organizace.

 

Co je cílem projektu?

  • Posoudit stávající stav a úroveň bezpečnosti informací s ohledem na individuální prostředí klienta a navrhnout odpovídající opatření
  • Optimalizovat procesy a náklady na bezpečnost informací

Co je součástí projektu?

  • Analýza dopadů bezpečnosti informací na fungování organizace
  • Inventarizace informačních aktiv a jejich návaznost
    na služby IT
  • Technická analýza ICT infrastruktury
  • Analýza stávajících procesních a technických opatření
  • Analýza bezpečnostních incidentů

Co je výstupem projektu?

Výstupem projektu je cca 10 stran manažersky zaměřené zprávy, která identifikuje a priorizuje zjištěné bezpečnostní slabiny–rizika a navrhuje způsob jejich řešení.

 

Jaká je náročnost?

Na straně posuzované organizace je třeba počítat
cca s 5 člověkodny a se zapojením nejen IT oddělení,
ale také managementu, popř. dalších funkcí. Projekt je realizován v rozmezí cca 4 týdnů.

Nezávislý audit bezpečnosti dle norem skupiny ISO 27000

Normy skupiny ISO 27000 a jejich požadavky-doporučení jsou celosvětově uznávaným standardem v oblasti systémového řízení bezpečnosti informací. Prověříme míru shody procesů organizace s těmito normami a doporučíme způsob nápravy akutních problémů i strategii rozvoje ISMS. Nejčastěji využíváme tyto standardy:

  • ISO/IEC 27001 – Systémy řízení bezpečnosti informací – Požadavky,
  • ISO/IEC 27002 – Soubor postupů pro opatření bezpečnosti informací,
  • ISO/IEC 27005 – Řízení rizik bezpečnosti informací,
  • ISO/IEC 27031 – Guidelines for ICT readiness for business continuity,
  • ISO/IEC 27035 – Řízení incidentů bezpečnosti informací, a mnohé další.

Zvolené standardy jsou svou povahou univerzálním a široce respektovaným návodem na efektivní řízení informační bezpečnosti, přičemž jednou z hlavních charakteristik je zejména komplexnost náhledu na bezpečnost informací. Neřešíme tedy pouze „IT bezpečnost“ neboli „počítačovou bezpečnost“, ale bezpečnost informací jako celku, tj. v jakékoli jejich podobě.

Bezpečnost informací je logicky propojena s bezpečností fyzickou a personální, je přímo spojena se strategií a top managementem společnosti, což se projevuje zejména v řízení business kontinuity, shody s legislativními normami na úrovni státu i EU, atd. Je potřebné brát procesy, kterými je v praxi řízena bezpečnost informací, jako integrální součást řízení rizik společnosti jako celku.

Přestože se odkazujeme na výše uvedené standardy, není naším cílem je do důsledku (v celé své šíři) prosazovat k aplikaci do reálného života posuzované organizace. Bereme si z nich zejména věcnou část bez administrativní zátěže, kterou by jinak např. certifikace dle ISO/IEC 27001 přinášela. Důvodů je několik. Malé a střední organizace nebývají z pohledu složitosti procesů, ani počtu zaměstnanců natolik velké, aby se ihned „vyplatila“ certifikace dle ISO/IEC 27001. Sama certifikace totiž samozřejmě nic neřeší, je pouze dokladem pro vnější svět o úrovní procesů a dalším motivátorem pro rozvoj řízení informační bezpečnosti.

Naopak je naším cílem identifikovat zjevné nedostatky (slabiny), přičemž na souměřitelnou úroveň, pokud je to akceptovatelné, stavíme opatření formálního i neformálního charakteru. Výše zmíněná charakteristika nicméně platí v kratším nebo střednědobém výhledu. Z dlouhodobého pohledu je směřování k certifikaci dle ISO/IEC 27001 jistě správné, což podporuje také u většiny organizací již dosažená certifikace dle ISO 9001. Tyto normy jsou navzájem kompatibilní a vhodně se doplňují. Zejména v aktuálních či aktuálně připravovaných verzích se sjednocují struktury norem i názvosloví a jednoznačně podporují vznik integrovaných systémů řízení, které staví na filozofii neustálých změn a zlepšování.

 

DALŠÍ INFORMACE



 
Linkedin Twitter Facebook YouTube