ISMS (ISO 27001)

ISMS (ISO 27001)

Systém řízení informační bezpečnosti

Zbožím naší doby se staly informace. Na tom, jak zvládnout proces tvorby, zpracování, ukládání a distribuce informací, jsou podniky a instituce životně závislé. Stále aktuálněji proto vystupuje do popředí otázka ochrany a bezpečnosti informací. Vedení mnohých organizací si uvědomuje, že ochrana a bezpečnost informací je jednou z priorit v systému řízení organizace.

  • Chcete dosáhnout zlepšení kvality Vašich procesů informační bezpečnosti?
  • Chcete být konkurenceschopní při poskytování outsourcingu a současně optimalizovat náklady svých služeb informační bezpečnosti?
  • Chcete být důvěryhodným partnerem Vašich zákazníků?

Versa Systems jako konzultační firma a systémový integrátor v oblasti podnikového poradenství Vám nabízí odbornou pomoc při zavádění systému řízení informační bezpečnosti - ISMSPaket. My Vám pomůžeme postavit systém řízení informační bezpečnosti přesně na míru Vaší společnosti na základě mezinárodně uznávaných norem a „Nejlepší praxe".

 Nabízíme Vám řešení informační bezpečnosti v následujících oblastech:

  • implementace systému managementu bezpečnosti informací jako celku a příprava k certifikaci dle ISO/IEC 27001
  • implementace systému managementu rizik v souladu s legislativou EU a mezinárodními standardy (ISO 27005, ISO 31000 atd.)
  • Implementace systému kontinuity podnikání (BCM) v souladu s mezinárodními standardy a legislativou (např. ISO 22301,
  • implementace systému informační bezpečnosti dle specifických, oborových požadavků, např. VISA a MasterCard nebo PCI DSS, SAS 70 apod.
  • provedení analýzy rizik - jednorázově nebo opakovaně, na základě našich osvědčených metodik a nástrojů
  • provedení bezpečnostních a Due Diligence auditů dle vybrané mezinárodní normy, legislativy nebo na základě požadavků zákazníka
  • implementace systému klasifikace informací a systému ochrany citlivých dat (DLP)
  • tvorba a implementace havarijních plánů a plánů kontinuity (např. dle ISO/IEC 24762, ISO/IEC 27013, atd.)
  • Implementace řešení penetračních testů a testování zranitelností dle mezinárodně uznávaných standardů (PCI DSS, OWASP, OSSTM apod.)

Co je ISMSPaket?

ISMSPaket představuje implementaci systému řízení informační bezpečnosti na kvalitativně vyšší úrovni. Takto implementovaný systém managementu informační bezpečnosti poskytuje zákazníkům důkaz o úrovni Vámi poskytovaných informační bezpečnosti dle mezinárodních standardů.
Realizace ISMSPaketu slouží jako výchozí podmínka pro úspěšnou certifikaci systému řízení informační bezpečnosti v souladu s mezinárodní normou ISO/IEC 270001 nebo kritérii Mastercard či VISA, PCI DSS apod.
Naše konzultační služby vycházejí z kvalitního procesního řízení, ale zároveň zohledňují podmínky zákazníka. Implementaci řídíme vždy na základě projektu, který má několik základních milníků. Nezbytným startovacím bodem každého implementačního projektu ISMS je tzv. situační analýza ISMS. Cílem situační analýzy je vyhodnocení stavu ISMS v organizaci, včetně stavu procesního řízení dle požadavků legislativy, norem (např. ISO/IEC 27001, ISO/IEC 27011, ISO/IEC 27099 apod.) nebo kritérií jako jsou požadavky Mastercard, VISA, PCI DSS, SAS70 aj.. Dle výsledku analýzy Vám navrhneme harmonogram prací, které je třeba udělat ke zdárné implementaci všech procesů dle výše uvedených standardů a následné certifikaci. Součástí implementace je i návrh procesního modelu managementu informační bezpečnosti, včetně identifikace vazeb mezi procesy, zpracování potřebné dokumentace a pomoc při implementaci, měření a analýze jednotlivých procesů v praxi dle modelu CMM.

Co nabízí ISMSPaket?

  • implementaci systému řízení informační bezpečnosti na kvalitativně vyšší úrovni dle vybraného standardu nebo normy (např. ISO/IEC 27001, kritérií Mastercard nebo VISA, PCI DSS apod.), která se skládá z následujících základních etap:
    • analýza současného stavu systému informační bezpečnosti, stanovení rozsahu a identifikace požadavků zákazníka
    • vytvoření nezbytné dokumentace dle požadavků legislativy, norem, standardů a organizace
    • pomoc při implementaci jednotlivých procesů ISMS do praxe organizace
    • pomoc při provedení interních auditů a stanovení míry plnění požadavků legislativy, norem, standardů (např. ISO/IEC 27001, kritérií Mastercard nebo VISA, PCI DSS apod.) po implementaci všech předepsaných procesů ISMS
    • pomoc při přípravě k certifikačnímu auditu a v průběhu auditu
  • nastavení základního rámce procesů dle požadavků legislativy, norem, standardů a organizace (např. ISO/IEC 27001, kritérií Mastercard nebo VISA, PCI DSS apod.), především pak:
    • systému procesního řízení informační bezpečnosti
    • definování politiky ISMS, včetně hranic a rozsahu ISMS
    • definování a nastavení managementu rizik v definovaném rozsahu ISMS
    • definování a nastavení managementu kontinuity
    • pomoc při provedení analýzy a hodnocení rizik, včetně návrhu na snižování neakceptovatelných rizik
    • pomoc při vypracování plánů snižování rizik
    • pomoc při vypracování „Prohlášení o aplikovatelnosti"
    • pomoc při definování a nastavení systému řízení incidentů a bezpečnostních událostí
    • pomoc při definování a nastavení metrik a cílů pro měření efektivnosti ISMS
  • pomoc při definování a implementaci postupů ISMS na základě vybraných bezpečnostních opatření dle „Best practices" (např. normy ISO/IEC 27002)
  • garanci pevné ceny za dodanou službu
  • individuální přístup konzultantů, naši konzultanti mají více jak 15 - leté zkušenosti s implementací managementu informační bezpečnosti
  • minimální zatěžování zaměstnanců organizace
  • provedení základního školení zaměstnanců

Časová náročnost a cena

  • Celková časová náročnost uvedených činností je závislá na podpoře a spolupráci ze strany zákazníka (zpřístupnění pracovišť, průběh činností dle schváleného harmonogramu, atd.)
  • Obvykle lze dosáhnout implementace systému informační bezpečnosti za 4 – 12 měsíců s ohledem na složitost procesů a velikost organizace.
  • Konkrétní cenovou nabídku Vám rádi připravíme, kontaktujte nás !

Přínosy ISMSPaketu

  • Implementací ISMS lépe pochopíte jednotlivé procesy managementu informační bezpečnosti, vazby mezi nimi, role, které se na procesech podílejí.
  • Snadněji se Vám budou nastavovat parametry (metriky), které určují efektivitu jednotlivých procesů.
  • Řízení a snížení celkových nákladů na bezpečnostní opatření, která jsou realizována ne na základě „pocitů", ale na základě výsledků analýzy rizik
  • Pružnější a rychlejší přizpůsobení požadavkům zákazníků.
  • Zefektivnění činností při provozu informační bezpečnosti.
  • Certifikát dokládá to, že organizace má řízené, kontrolované a certifikované procesy managementu informační bezpečnosti odpovídající mezinárodním standardům a „Best practices".
  • Certifikátem získáte konkurenční výhodu na trhu.

ISMS – pro koho je vhodný?

  • ISMS se hodí pro všechny organizace, které nabízejí a provozují služby pro zákazníky, poskytují outsourcing, zpracovávají data svých klientů, zpracovávají osobní údaje atd.
  • Základním cílem ISMS je ochrana důležitých aktiv organizace z pohledu jejich dostupnosti, důvěrnosti a integrity tak, aby byla zajištěna kontinuita podnikání.
  • ISMS je vhodný tam, kde organizace potřebuje chránit svá aktiva, včetně informací, image, know-how, dobrého jména před interními a externími útočníky

ISMS – z čeho vychází?

  • ISMS je procesně orientovaná platforma pro management informační bezpečnosti, která využívá nejčastěji dvě komplementární normy ISO/IEC 27001 a ISO/IEC 27002. Tyto normy definují základní, minimální požadavky na ISMS a dávají také základní návod, pro implementaci systému ISMS.
  • Pro úspěšnou implementaci a efektivní provozování ISMS však jen prosté splnění požadavků norem nestačí. Systém je nutno zavést i na operativní úrovni a realizovat vybraná bezpečnostní opatření. K tomu se nejčastěji využívá norma ISO/IEC 27002.
  • V závislosti na odvětví a oboru, v kterém je ISMS nasazován, vystává někdy požadavek na implementaci iSMS dle jiných, odvětvových standardů, jako např. kritéria Mastercard, VISA, PCI DSS, SAS70 nebo normy ISO/IEC 27011 či ISO/IEC 27099.