- I3C ochrana osobních údajů GDPR DPO

Konzultační společnost v oblasti bezpečnosti informací

Odkazy:

Národní úřad pro kybernetickou a informační bezpečnost

Národní centrum kybernetické bezpečnosti

Standard ISO/IEC 27001:2013 - ISMS

Systém řízení bezpečnosti informací (ISMS) je zaměřen na ochranu zpracování informací u organizace. Systém implementuje u organizace procesy, které zajistí důvěrnost informací (ochranu před vyzrazením nepovolané osobě), integritu informací (ochranu správnosti obsahu informací) a dostupnost informací (zajistí přístup k informacím v okamžiku jejich potřeby).

Postup zavádění:

Vstupní analýza je základem pro pochopení organizace:

Identifikují se hlavní činnosti organizace (s jakými informacemi organizace pracuje, k čemu a jak je používá).
Získá se obecný přehled o aktuálním stavu a úrovni bezpečnosti u organizace (bezpečnostní opatření, která jsou již zavedena a jsou funkční, zůstanou zachována).
Navrhne se a s managementem organizace se odsouhlasí struktura orgánů, které budou bezpečnost informací řídit a odpovídat za ni.
Stanoví se a se zákazníkem se odsouhlasí procesy řízení bezpečnosti informací.

Provedení analýzy rizik:

Identifikují se aktiva, nad kterými se provede analýza rizik.
Pro zvládání rizik se používají opatření z přílohy „A“ standardu ISMS.
Pro analýzu rizik používáme vlastní nástroj vyvinutý naší společností, který nejen vypočítá rizika, ale také stanoví přínos a efektivitu jednotlivých opatření sloužících ke zvládání rizik (stanoví váhu opatření).
Ve spolupráci s managementem organizace se vyberou opatření, která se budou implementovat.

Implementace vybraných opatření:

Při implementaci poskytujeme odbornou podporu zákazníkovi, která spočívá především ve zpracování potřebné dokumentace a pomoci při zavádění jednotlivých opatření.
Smyslem je zapojit do zavádění opatření zaměstnance zákazníka, aby od našich odborníků převzali potřebné znalosti (know-how) a byli schopni následně samostatně systém rozvíjet.

Spuštění provozu ISMS:

V rámci prvotního spuštění provozu ISMS poskytujeme konzultační služby, provádíme kontrolní činnost, monitorujeme (případně zlepšujeme) procesy a opatření ISMS.
Na závěr prvotního provozu ISMS poskytujeme podporu při přípravě podkladů pro přezkoumání i při samotném přezkoumání systému vedením organizace.

Podpora při certifikaci systému:

V případě, že se zákazník rozhodne systém certifikovat, poskytujeme zákazníkovi podporu při vlastním certifikačním auditu.

Teprve úspěšnou certifikací, nebo přezkoumáním ISMS vedením organizace (v případě, že se organizace rozhodne necertifikovat ISMS) považujeme ISMS u organizace za zavedený.