IMPLEMENTÁCIA
INFORMAČNÁ BEZPEČNOSŤ PODĽA ISO27001
Prečo riadiť informačnú bezpečnosť?
Žijeme v dobe, keď sa počítače stali neoddeliteľnou súčasťou skoro každej profesie. Byť pripojený na internet je nutnosťou takmer pre každú firmu vo
vyspelých krajinách. S možnosťou pripojenia sa začínajú objavovať aj potenciálne riziká. So stúpajúcim počtom pripojených užívateľov stúpol aj počet
zaznamenaných útokov na informačný systém. Norma ISO/IEC 27001 nerieši iba otázku bezpečnosti informačných systémov, ale otázku bezpečnosti
informácii rieši v širšom rozsahu. Od bezpečnostnej politiky organizácie, riadenia aktív z pohľadu informačnej bezpečnosti, bezpečnosti ľudských zdrojov,
fyzickej bezpečnosti a bezpečnosti priestorov, riadenie komunikácie a prevádzky, riadenie prístupu, riadenie incidentov informačnej bezpečnosti,
riadenie kontinuity činností až po súladu so zákonnými požiadavkami.
Spoločnosti certifikované podľa tejto normy tak disponujú efektívnymi nástrojmi na ochranu bezpečnosti a zabezpečenia kontinuity svojej
podnikateľskej činnosti.
Čo Vám prinesie certifikácia podľa ISO/IEC 27001
Zvýšenie dôvernosti, zvýšenie bezpečnosti smerom k zákazníkom, možnosť deklarovať bezpečnosť spracovávaných, prenášaných, používaných
a uložených informácií.
Nezávisle potvrdenie, že riziká sú správne ošetrované, identifikované a existuje ich permanentné prehodnocovanie.
Istota, že investície smerované do bezpečnosti sú vynaložené efektívne.
Prostredníctvom systematického prístupu je lepšie zabezpečená kontinuita podnikania a minimalizované straty z podnikateľskej činnosti.
Čo Vám ponúkame
Implementácia SMIB na kľúč
– vypracovanie a zavedenie SMIB, alebo len jeho časti (napr. Analýza rizík, a pod.). Rozsah sa špecifikuje na úvodnom
stretnutí.
Interné audity
– pomoc pri interných auditoch.
Školenie
– norma ISO/IEC 27001 požaduje budovať povedomie o SMIB u zamestnancoch spoločnosti. Ponúkame Vám školenie pre Vašich zamestnancov,
ktorého cieľom je oboznámiť zamestnancov s princípmi a pravidlami Vášho SMIB, poukázať na ich zodpovednosť v procese SMIB.
Postup pri zavádzaní SMIB (ISMS)
Implementácia SMIB obsahuje nasledovné kroky (predpokladáme, že organizácia je už certifikovaná podľa ISO9001:2008):
Definovať rozsah a hranice SMIB v zmysle charakteristík podnikania, organizácie, jej lokalizácie, aktív a technológií, zahŕňajúc podrobnosti v odôvodnení
akýchkoľvek výluk z rozsahu pôsobnosti.
Definovať politiku SMIB vo vzťahu k bezpečnostnej politike organizácie, definovaných aktív, prevádzkovaných technológií a charakteristík podnikania.
Definovať systematický prístup na preskúmavanie rizík.
Identifikovať riziká.
Analyzovať a ohodnotiť riziká.
Identifikovať a ohodnotiť možnosti ošetrenia rizík.
Vybrať ciele riadenia a opatrenia na ošetrenie rizík z komplexného zoznamu cieľov definovaných v norme v prílohe A.
Získať súhlas vedenia organizácie k návrhu zostatkových rizík.
Získať autorizáciu vedenia pre implementáciu a prevádzku SMIB; určiť osoby zodpovedné za informačnú bezpečnosť v rámci organizácie.
Pripraviť Vyhlásenie o aplikovateľnosti.
Vykonať interný audit.
Vykonať preskúmanie manažmentom.