INFORMAČNÁ BEZPEČNOSŤ PODĽA ISO27001

Prečo riadiť informačnú bezpečnosť?

Žijeme v dobe, keď sa počítače stali neoddeliteľnou súčasťou skoro každej profesie. Byť pripojený na internet je nutnosťou takmer pre každú firmu vo

vyspelých krajinách. S možnosťou pripojenia sa začínajú objavovať aj potenciálne riziká. So stúpajúcim počtom pripojených užívateľov stúpol aj počet

zaznamenaných útokov na informačný systém. Norma ISO/IEC 27001 nerieši iba otázku bezpečnosti informačných systémov, ale otázku bezpečnosti

informácii rieši v širšom rozsahu. Od bezpečnostnej politiky organizácie, riadenia aktív z pohľadu informačnej bezpečnosti, bezpečnosti ľudských zdrojov,

fyzickej bezpečnosti a bezpečnosti priestorov, riadenie komunikácie a prevádzky, riadenie prístupu, riadenie incidentov informačnej bezpečnosti,

riadenie kontinuity činností až po súladu so zákonnými požiadavkami.

 

Spoločnosti certifikované podľa tejto normy tak disponujú efektívnymi nástrojmi na ochranu bezpečnosti a zabezpečenia kontinuity svojej

podnikateľskej činnosti.

 

Čo Vám prinesie certifikácia podľa ISO/IEC 27001

 Zvýšenie dôvernosti, zvýšenie bezpečnosti smerom k zákazníkom, možnosť deklarovať bezpečnosť spracovávaných, prenášaných, používaných

    a uložených informácií.

 Nezávisle potvrdenie, že riziká sú správne ošetrované, identifikované a existuje ich permanentné prehodnocovanie.

 Istota, že investície smerované do bezpečnosti sú vynaložené efektívne.

 Prostredníctvom systematického prístupu je lepšie zabezpečená kontinuita podnikania a minimalizované straty z podnikateľskej činnosti.

 

Čo Vám ponúkame

 Implementácia SMIB na kľúč

– vypracovanie a zavedenie SMIB, alebo len jeho časti (napr. Analýza rizík, a pod.). Rozsah sa špecifikuje na úvodnom

stretnutí.

 

 Interné audity

– pomoc pri interných auditoch.

 

 Školenie

– norma ISO/IEC 27001 požaduje budovať povedomie o SMIB u zamestnancoch spoločnosti. Ponúkame Vám školenie pre Vašich zamestnancov,

ktorého cieľom je oboznámiť zamestnancov s princípmi a pravidlami Vášho SMIB, poukázať na ich zodpovednosť v procese SMIB.

 

Postup pri zavádzaní SMIB (ISMS)

Implementácia SMIB obsahuje nasledovné kroky (predpokladáme, že organizácia je už certifikovaná podľa ISO9001:2008):

 Definovať rozsah a hranice SMIB v zmysle charakteristík podnikania, organizácie, jej lokalizácie, aktív a technológií, zahŕňajúc podrobnosti v odôvodnení

    akýchkoľvek výluk z rozsahu pôsobnosti.

 Definovať politiku SMIB vo vzťahu k bezpečnostnej politike organizácie, definovaných aktív, prevádzkovaných technológií a charakteristík podnikania.

 Definovať systematický prístup na preskúmavanie rizík.

 Identifikovať riziká.

 Analyzovať a ohodnotiť riziká.

 Identifikovať a ohodnotiť možnosti ošetrenia rizík.

 Vybrať ciele riadenia a opatrenia na ošetrenie rizík z komplexného zoznamu cieľov definovaných v norme v prílohe A.

 Získať súhlas vedenia organizácie k návrhu zostatkových rizík.

 Získať autorizáciu vedenia pre implementáciu a prevádzku SMIB; určiť osoby zodpovedné za informačnú bezpečnosť v rámci organizácie.

 Pripraviť Vyhlásenie o aplikovateľnosti.

 Vykonať interný audit.

 Vykonať preskúmanie manažmentom.