ŘÍZENÍ BEZPEČNOSTI INFORMACÍ V PRAXI
Praxe ukazuje, že zajištění bezpečnosti informací je ve skutečnosti spíše manažerský než technický problém. Pro efektivní řešení bezpečnosti – ať jde o řízení informační bezpečnosti, přípravu havarijních plánů nebo implementaci technologií – je klíčová existence procesů a struktur, stejně jako dostatek lidských a finančních zdrojů, které budou řešení bezpečnosti zajišťovat.
Vybudujte si v organizaci systém řízení bezpečnosti informací (Information Security Management System – ISMS), který bude integrovat veškeré technické, administrativní, provozní činnosti tak, aby plně vyhovovaly vašim potřebám, splňovaly kritéria odpovídající mezinárodním standardům a naplňovaly požadavky regulatorních či zákonných požadavků.
ISO/IEC 27001 A ISO/IEC 27002
Norma ISO/IEC 27001 poskytuje model pro zavedení efektivního systému řízení bezpečnosti informací (ISMS) v organizaci a synergicky tak doplňuje normu ISO/IEC 27002. Obě normy jsou úzce propojeny, každá z nich však plní jinou roli. Zatímco norma ISO/IEC 27002 poskytuje podrobný přehled (katalog) bezpečnostních opatření, které mohou být vybrány při budování ISMS, norma ISO 27001 specifikuje požadavky na to, jak ISMS v organizaci správně zavést. Případná certifikace ISMS pak probíhá podle ISO/IEC 27001.
Tým RAC dlouhodobě používá ISO/IEC 27001 a 27002 při realizaci bezpečnostních projektů, například při zavádění, revizi, přípravě na audit či přímo auditování systému řízení bezpečnosti informací ISMS nebo jeho částí.
ŘEŠENÍ PRO JEDNOTLIVÉ OBLASTI BEZPEČNOSTI INFORMACÍ
– Analýza aktuálního stavu bezpečnosti informací organizace
– Vytvoření plánu a příprava navazujících bezpečnostních projektů/činností
– Vytvoření předpisové základny (dokumentace strategie, politik, příruček, manuálů apod.)
– Nastavení rolí a odpovědností
– Nastavení procesů, činností a postupů
– Zvyšování povědomí o bezpečnosti mezi zaměstnanci, dodavateli, zákazníky (školení, tvorba materiálu pro realizaci osvětové kampaně apod.)
– Řízení aktiv (evidence a klasifikace informací, pravidla pro manipulaci s aktivy, řízení přístupu, stanovení odpovědností apod.)
– Správa uživatelů a privilegovaných identit (CyberArk)
– Stanovení požadavků a kritérií pro výběrová řízení
– Nastavení spolupráce s dodavateli
– Řízení incidentů
– Řízení rizik
– Řízení kontinuity činností (BCMS)
– Podpora implementace požadavků Zákona č. 181/2014 Sb. o kybernetické bezpečnosti
– Podpora implementace požadavků GDPR
– Stanovení požadavků na logování
– Stanovení požadavků na zálohování
– Nastavení požadavků na akvizici, vývoj a údržbu systémů
– Řízení technických zranitelností (Qualys, Tenable)
– Penetrační testování
– Shoda se zákonnými či normativními požadavky
– Nastavení a zavedení procesu interního auditu včetně potřebné dokumentace
– Podpora při externím či certifikačním auditu
– Tvorba dokumentace pro přezkoumání vedením (management review)


SOULAD SE STANDARDY A NORMAMI
Veškeré provedené práce, vytvořená dokumentace a nastavené procesy jsou prováděny v souladu s
Mezinárodními normami:
ISO 22301 (BCMS)
ISO 22313 (BCMS)
ISO/IEC 27001 (ISMS)
ISO/IEC 27002 (ISMS)
ISO/IEC 27005 (IRM)
ISO 9001 (QMS)
ISO 14001 (EMS)
Zákonnými požadavky:
Zákon č. 412/2005 Sb. o utajovaných informací a o bezpečnostní způsobilosti
Zákon č. 181/2014 Sb. o kybernetické bezpečnosti
Zákon č. 110/2019 Sb. o zpracování osobních údajů
Standardy:
ITIL (Information Technology Infrastructure Library)
COBiT (Control Objectives for Information and Related Technology)
BASEL II
PRINCE2
KONZULTACE BEZPEČNOSTI INFORMACÍ
V bezpečnosti, stejně jako ve všech oblastech informatiky, je jedním z největších problémů, hned po nedostatečných lidských zdrojích, nedostatek znalostních zdrojů a nesmírná šíře problematiky, kterou bezpečnost zasahuje.
Naše konzultační podpora je určena pro pracovníky, kteří mají odpovědnost za řízení bezpečnosti informací, za odbornou garanci problematiky bezpečnosti a za výkon technických činností spojených s touto problematikou.
ŘEŠENÍ PRO JEDNOTLIVÉ OBLASTI BEZPEČNOSTI INFORMACÍ
– Analýza aktuálního stavu bezpečnosti informací organizace
– Vytvoření plánu a příprava navazujících bezpečnostních projektů/činností
– Vytvoření předpisové základny (dokumentace strategie, politik, příruček, manuálů apod.)
– Nastavení rolí a odpovědností
– Nastavení procesů, činností a postupů
– Zvyšování povědomí o bezpečnosti mezi zaměstnanci, dodavateli, zákazníky (školení, tvorba materiálu pro realizaci osvětové kampaně apod.)
– Řízení aktiv (evidence a klasifikace informací, pravidla pro manipulaci s aktivy, řízení přístupu, stanovení odpovědností apod.)
– Správa uživatelů a privilegovaných identit (CyberArk)
– Stanovení požadavků a kritérií pro výběrová řízení
– Nastavení spolupráce s dodavateli
– Řízení incidentů
– Řízení rizik
– Řízení kontinuity činností (BCMS)
– Podpora implementace požadavků Zákona č. 181/2014 Sb. o kybernetické bezpečnosti
– Podpora implementace požadavků GDPR
– Stanovení požadavků na logování
– Stanovení požadavků na zálohování
– Nastavení požadavků na akvizici, vývoj a údržbu systémů
– Řízení technických zranitelností (Qualys, Tenable)
– Penetrační testování
– Shoda se zákonnými či normativními požadavky
– Nastavení a zavedení procesu interního auditu včetně potřebné dokumentace
– Podpora při externím či certifikačním auditu
– Tvorba dokumentace pro přezkoumání vedením (management review)

SOULAD SE STANDARDY A NORMAMI
Veškeré provedené práce, vytvořená dokumentace a nastavené procesy jsou prováděny v souladu s
Mezinárodními normami:
ISO 22301 (BCMS)
ISO 22313 (BCMS)
ISO/IEC 27001 (ISMS)
ISO/IEC 27002 (ISMS)
ISO/IEC 27005 (IRM)
ISO 9001 (QMS)
ISO 14001 (EMS)
Zákonnými požadavky:
Zákon č. 412/2005 Sb. o utajovaných informací a o bezpečnostní způsobilosti
Zákon č. 181/2014 Sb. o kybernetické bezpečnosti
Zákon č. 110/2019 Sb. o zpracování osobních údajů
Standardy:
ITIL (Information Technology Infrastructure Library)
COBiT (Control Objectives for Information and Related Technology)
BASEL II
PRINCE2



KONZULTACE BEZPEČNOSTI INFORMACÍ
V bezpečnosti, stejně jako ve všech oblastech informatiky, je jedním z největších problémů, hned po nedostatečných lidských zdrojích, nedostatek znalostních zdrojů a nesmírná šíře problematiky, kterou bezpečnost zasahuje.
Naše konzultační podpora je určena pro pracovníky, kteří mají odpovědnost za řízení bezpečnosti informací, za odbornou garanci problematiky bezpečnosti a za výkon technických činností spojených s touto problematikou.
Chcete získat více informací? Neváhejte nás kontaktovat!
Chcete získat více informací? Neváhejte nás kontaktovat!