Ta strona używa plików Cookies. Dowiedz się więcej o celu ich używania i możliwości zmiany ustawień Cookies w przeglądarce.

Home       Strefa Klienta      Praca       Kontakt    

Bezpieczeństwo informacji - ISO 27001

ISO 27001

"Uczucia zależą od informacji,
  czyli mogą nie mieć nic  
  wspólnego z prawdą, 
  jeżeli informacja jest fałszywa."
  Sławomir Mrożek

Informacja stanowi taki sam zasób organizacji jak pracownicy, technologie, środki finansowe. Informacje w postaci know-how, bazy danych, warunków handlowych, stanowią wartość bilansową, dlatego kluczowe staje się właściwe zabezpieczenie przetwarzanych w organizacji informacji.

Opis

Należy zwrócić uwagę, że nie chodzi tylko o wdrożenie rozwiązań w obszarze teleinformatyki, która naturalnie ma istotne znaczenie w przetwarzaniu informacji, lecz również zapewnienie bezpieczeństwa fizycznego, organizacyjnego, osobowego, prawnego czy też ciągłości działania. Kierując się zasadą najsłabszego ogniwa, jedynie rozwiązania kompleksowe mogą skutecznie zabezpieczyć przetwarzane w organizacji dane.

Punktem odniesienia przy budowie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), czy wdrożeniu Polityki Bezpieczeństwa Informacji są międzynarodowe standardy ISO 27001, ISO 27005 oraz zbiór dobrych praktyk w obszarze analizy ryzyka (w tym ISO 31000).

System Bezpieczeństwa Informacji integruje obszary bezpieczeństwa organizacyjnego, bezpieczeństwa prawnego, bezpieczeństwa fizycznego i bezpieczeństwa teleinformatycznego w celu zapewnienia dostępności, integralności oraz dostępności informacji i danych..

Blue Energy oferuje usługi w zakresie szeroko rozumianego bezpieczeństwa organizacji, w tym cennego zasobu jakim jest informacji. Posiadamy doświadczenie oraz specjalistów w następujących dziedzinach:

  • - zarządzania bezpieczeństwem informacji,
  • - zarządzania ciągłością działania,
  • - zarządzania usługami IT,
  • - zarządzania ryzykiem,
  • - audyt i kontrola wewnętrznej,
  • - bezpieczeństwo teleinformatyczne,
  • - bezpieczeństwo fizyczne,
  • - bezpieczeństwo danych osobowych,
  • - bezpieczeństwo prawne,
  • - infrastruktura krytyczna.

W ramach każdego z wymienionych obszarów świadczymy usługi mające na celu zwiększenie bezpieczeństwa informacji jak i samej organizacji. Nasza oferta zawiera następujące typy usług:

  1. Przeprowadzanie audytów bezpieczeństwa organizacyjnego, fizycznego, teleinformatycznego, itp. na zgodność ze standardami i wymaganiami prawnymi,
  2. Projektowanie i wdrażanie Polityki Bezpieczeństwa Informacji,
  3. Budowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnych z normą ISO/IEC 27001:2013 oraz w oparciu o ISO/IEC 17799,
  4. Analiza procesów biznesowych i zasobów teleinformatycznych pod kątem bezpieczeństwa informacji,
  5. Budowanie i wdrażanie systemów zarządzania ciągłością działania organizacji zgodnych z normą ISO 22301 oraz w oparciu o PAS 56,
  6. Ocena zdolności organizacji do zapewnienia ciągłości, opracowywanie i wdrażanie strategii ciągłości działania oraz planów awaryjnych (BCM, BIA, BCP, DRP),
  7. Budowanie i wdrażanie systemów zarządzania usługami IT zgodnych z normą ISO 20000,
  8. Kreowanie funkcjonowania działu IT oraz organizacja procesów IT w oparciu o dobre praktyki ISO 20000/ITIL,
  9. Tworzenie koncepcji i budowa modeli zarządzania ryzykami operacyjnymi organizacji,
  10. Projektowanie i wdrażanie procedur audytu i kontroli wewnętrznej eliminującej nadużycia w organizacji,
  11. Optymalizacja procesów pod kątem eliminacji potencjalnych możliwości nadużyć,
  12. Ocena poziomu bezpieczeństwa infrastruktury i systemów teleinformatycznych,
  13. Doradztwo w zakresie bezpieczeństwa rozwiązań informatycznych,
  14. Analiza bezpieczeństwa fizycznego – tworzenie koncepcji zabezpieczeń fizycznych,
  15. Dostosowywanie organizacji do wymagań antyterrorystycznych C-TPAT,
  16. Tworzenie polityki przetwarzania danych osobowych zgodnie z wymaganiami prawnymi,
  17. Organizacja i przeprowadzanie szkoleń zwiększających świadomość w zakresie powyższych obszarów,
  18. Usługi serwisowe – okresowe działania mające na celu utrzymywanie bezpieczeństwa informacji oraz systemów zarządzania na wysoki poziomie.

Przy budowie systemu zarządzania bezpieczeństwem informacji możliwe jest wykorzystanie różnych metodyk i dokumentów źródłowych – począwszy od standardów korporacyjnych, poprzez normy krajowe, na normach międzynarodowych kończąc. W większości przypadków najbardziej atrakcyjną możliwością jest wdrożenie systemu zgodnego ze standardem międzynarodowym. Dzięki takiemu wyborowi organizacja uzyskuje pewność, że tworząc system korzysta ze sprawdzonych i wiarygodnych wskazówek. Przykładem takiego standardu jest norma ISO/IEC 27001:2013. Standard omawia wytyczne do budowy ISMS (tzw. „najlepsze praktyki”), definiuje poszczególne elementy kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań.

O wymaganiach normy dowiesz się więcej w zakładce o ISO 27001.

Konsultanci Blue Energy posiadają największe w Polsce doświadczenie w zakresie wdrażania SZBI, uzyskane w trakcie realizacji projektów zarówno w dużych koncernach, jak i małych firmach czy też administracji publicznej.

Nasze autorskie oprogramowanie wspiera zarówno proces analizy ryzyka, jak i zarządzania dokumentacją.

Projekty realizowane są przez ekspertów o bogatej wiedzy popartej międzynarodowymi certyfikatami jak np. CISA, CISM, CISSP, CompTIA Security+, Audytor ISO 27001, Audytor ISO 22301

Opracowana przez Blue Energy metodyka realizacji prac oparta jest na najlepszych praktykach oraz międzynarodowych normach jak ISO 27001, ISO 27002, ISO 27005, wytyczne COBIT i inne. Elementy te wraz z pozytywnymi rekomendacjami, jakie otrzymaliśmy od naszych Klientów potwierdzają, iż wybór Blue Energy jako firmy realizującej doradztwo lub wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji jest najbezpieczniejszym wyborem.

 

ISO 27001

Międzynarodowa norma ISO 27001 zawiera wymagania niezbędne do funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji, a w szczególności określa zasady:

  1. ustanowienia,
  2. wdrożenia,
  3. eksploatacji,
  4. monitorowania,
  5. przeglądu,
  6. utrzymania,
  7. doskonalenia.

ISO 27001 to norma oparta na podejściu procesowym i wykorzystuje doskonale znaną pętle doskonalenia Deminga (PDCA, czyli Plan – Do – Check - Act):

  1. Planuj
  2. Wykonuj
  3. Sprawdzaj
  4. Działaj

Część podstawowa normy ISO 27001 definiuje wymagania związane z ustanowieniem i zarządzaniem Systemu Zarządzania Bezpieczeństwem Informacji. Określa ona zakres dokumentacji, odpowiedzialność kierownictwa, audyty wewnętrzne, przeglądy systemu oraz ciągłe doskonalenie systemu. Wymagania części podstawowej są zbieżne z wymaganiami norm ISO 9001, ISO 14001, OHSAS itp. dlatego jest ona w pełni integrowalna z innymi systemami znormalizowanymi.

Istotą ustanowienia, wdrożenia oraz utrzymania Systemu bezpieczeństwa informacji jest określenie metody oraz przeprowadzenie analizy ryzyka. Należy pamiętać, że analiza ryzyka musi odnosić się do bezpieczeństwa informacji. Informacja jest bytem abstrakcyjnym, która w rzeczywistości fizycznej związana jest nierozerwalnie z nośnikiem tejże informacji np.: kartką papieru, człowiekiem, systemem teleinformatycznym, umową itp. Takie zrozumienie istoty informacji podczas klasyfikacji informacji, poprzedzającej analizę ryzyka daj ogromną wartość dodana w postaci szybkiej identyfikacji, fizycznego miejsca występowania informacji i miejsc jej przetwarzania. Klasyfikacja informacji, będąca swoistą inwentaryzacją aktywów, nie może wskazywać jedynie informacji, ale również aktywa, czyli zasoby biorące udział w przetwarzaniu informacji.

Istotą klasyfikacji informacji jest ocena informacji, a tym samym zasobów biorących w przetwarzaniu danej informacji pod kątem jednego z parametrów bezpieczeństwa informacji:

  • - poufności, która jest naturalnym parametrem bezpieczeństwa oznaczającym ograniczenie w dostępie do informacji do grupy osób uprawnionych z włączeniem zasady wiedzy koniecznej (wiem tyle ile powinienem do wykonania mojej pracy)
  • - integralności, która określa swoistą pewność i wiarygodność, a czasami wiązana jest również z rozliczalnością informacji (dane z których korzystam są zawsze prawdziwe)
  • - dostępności, która jest miarą ciągłości w dostępie do informacji determinującą łatwość i szybkość pozyskania informacji dla osób upoważnionych (informacje, z których korzystam do zrealizowania pracy są dostępne we właściwym miejscu i czasie).

Analiza ryzyka bezpieczeństwa informacji powinna się odnosić do wagi informacji, która będzie miała istotny wpływ na skutek utraty parametrów bezpieczeństwa informacji oraz do zagrożeń, zabezpieczeń i podatności aktywów biorących udział w przetwarzaniu informacji, które będą miały istotny wpływ na prawdopodobieństwo utraty parametrów bezpieczeństwa informacji.

Właśnie prawdopodobieństwo i skutek są wyznacznikiem ryzyka. Oczywiście możemy zastosować różne mechanizmy identyfikacji, oceny i analizy ryzyka, o których więcej można przeczytać w sekcji zarządzanie ryzykiem. Można również zastosować narzędzia wspierające gromadzenie danych do klasyfikacji, jej przeprowadzenie jak i automatyzujące zarządzanie ryzykiem, o których więcej można dowiedzieć się z zakładki BPM Bezpieczeństwo Informacji.

Norma wskazuje na konieczność opracowania planu działań z ryzykiem oraz doskonalenie. To z pomocą przychodzi załącznik A normy określający wymagane zabezpieczenia podzielone na 11 obszarów:

A.5 Polityka bezpieczeństwa

A.6 Organizacja bezpieczeństwa informacji

A.7 Zarządzanie aktywami

A.8 Bezpieczeństwo zasobów ludzkich

A.9 Bezpieczeństwo fizyczne i środowiskowe

A.10 Zarządzanie systemami i sieciami

A.11 Kontrola dostępu

A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych

A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji

A.14 Zarządzanie ciągłością działania

A.15 Zgodność

Załącznik A w poszczególnych podpunktach określa jakie powinny być przyjęte zasady dotyczące:

  1. zachowania bezpieczeństwa informacji, 
  2. formalnej struktury odpowiedzialności za bezpieczeństwo,
  3. metody i zasady zarządzania,
  4. instrukcje i procedury określające bezpieczeństwo zasobów, 
  5. bezpiecznego rozwoju,
  6. ciągłości działania,
  7. zapewnienia zgodności z wymaganiami,
  8. przykłady konkretnych zabezpieczeń.

W rezultacie możliwe jest zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności gospodarczej oraz otoczenia rynkowego. Szczególny nacisk położony został na zarządzanie ryzykiem. Norma obejmuje zakresem ochrony wszystkie formy informacji, w tym także ustne oraz graficzne, powstające z wykorzystaniem telefonów komórkowych oraz faksów. Poniżej przedstawiono krótką charakterystykę poszczególnych grup wymagań.

  1. Polityka bezpieczeństwa. Polityka jest najważniejszym dokumentem w systemie zarządzania bezpieczeństwem informacji. Wskazuje cele zarządzania oraz tworzy ramy dla pozostałych zasad. Punkt opisuje wskazówki właściwe dla organizacji, które należy wziąć pod uwagę podczas tworzenia polityki bezpieczeństwa informacji.
  2. Organizacja bezpieczeństwa. Utworzenie zasad zabezpieczania informacji nie gwarantuje jeszcze zbudowania funkcjonującego systemu. Konieczne jest powołanie odpowiednich struktur zarządzania wewnątrz organizacji. Ważne jest również zidentyfikowanie firm zewnętrznych mających dostęp do informacji i wyznaczenie odpowiednich metod nadzoru nad stronami trzecimi.
  3. Klasyfikacja i kontrola aktywów. Konieczna jest weryfikacja informacji przetwarzanych i składowanych w organizacji. Efektem klasyfikacji informacji jest utworzenie grup informacji o różnych stopniach poufności oraz opisanie zasad postępowania z zidentyfikowanymi grupami.
  4. Bezpieczeństwo osobowe. Najsłabszym elementem każdego systemu są ludzie. Norma wymaga, aby sprawować nadzór nad poszczególnymi grupami pracowników: potencjalnych kandydatów, praktykantów, nowych pracowników, pracowników przewidzianych do awansu. Konieczne jest utworzenie systemu szkoleń i uświadamiania pracowników odnośnie zagrożeń.
  5. Bezpieczeństwo fizyczne i środowiskowe. Punkt opisuje wymagania dotyczące fizycznego zabezpieczania budynków, pomieszczeń użytkowych, serwerowni. Niezbędne jest również opisanie zasad związanych z konserwacją urządzeń, w tym komputerów oraz ustalenia wymaganej kultury pracy np. zasada czystych biurek.
  6. Zarządzanie systemami i sieciami. Wiele błędów związanych z bezpieczeństwem informacji jest związane z niewłaściwym użytkowaniem urządzeń. Dlatego konieczne jest opracowanie zasad korzystania z funkcjonujących urządzeń, w tym również będących własnością firm zewnętrznych. Dużym zagrożeniem są wirusy i inne niebezpieczne oprogramowanie. Aby uniknąć utraty cennych danych elektronicznych konieczne jest opracowanie zasad tworzenia i zarządzania kopiami zapasowymi. Bardzo ważnym elementem jest bezpieczne postępowanie z przenośnymi nośnikami danych oraz ustalenie zasad wymiany informacji ze stronami trzecimi.
  7. Kontrola dostępu do systemów. Systemy informatyczne zawierają ogromne ilości danych. Niezbędne jest kontrolowanie dostępu do danych poprzez jasne ustalenie grup użytkowników oraz zdefiniowanie uprawnień do edycji i odczytu. Dotyczy to zarówno informacji dostępnych w sieciach wewnętrznych jak i sieciach zewnętrznych. Kontrola dostępu powinna rozpoczynać się już na poziomie systemów operacyjnych.
  8. Rozwój i utrzymywanie systemów. Podczas rozbudowy systemów informatycznych należy również pamiętać o zabezpieczeniach. Każda zmiana musi być autoryzowana przez odpowiednie osoby oraz przetestowana w wydzielonym środowisku testowym zanim zostanie zastosowana.
  9. Zarządzanie incydentami bezpieczeństwa. Aby doskonalić system zarządzania bezpieczeństwem informacji konieczne jest utworzenie systemu monitorowania i zarządzania incydentami bezpieczeństwa. Każdy incydent powinien być zarejestrowany, przeanalizowany i powinien zostać określony sposób postępowania z danym zdarzeniem.
  10. Zarządzanie ciągłością biznesu odnośnie informacji. Każda organizacja powinna poczynić odpowiednie kroki w celu zapewnienia ciągłości najważniejszych działań biznesowych w zakresie ochrony informacji i systemów informacyjnych. Obejmuje to analizę najbardziej prawdopodobnych i najdotkliwszych w skutkach awarii oraz opracowanie planów mających na celu jak najszybsze przywrócenie organizacji do poprawnego funkcjonowania. Dodatkowo wszystkie utworzone plany muszą być okresowo testowane pod kątem przydatności w momencie materializacji zagrożeń.
  11. Zgodność z prawem i własnymi wymaganiami. Podstawowym warunkiem certyfikowania systemu bezpieczeństwa informacji jest pełna zgodność z obowiązującymi przepisami prawnymi. Aby spełnić przedstawiane w normie wymagania należy przeanalizować akty normatywne w zakresie bezpieczeństwa informacji i wprowadzić rozwiązania gwarantujące spełnienie wymagań prawnych.

Istotną cechą standardu jest powiązanie potencjalnych zagrożeń zewnętrznych, powszechnie uznawanych za najbardziej niebezpieczne, z analizą zagrożeń wewnętrznych. Oznacza to, że w rozumieniu normy nie tylko partnerzy rynkowi, dostawcy i odbiorcy mogą stanowić potencjalne zagrożenie dla informacji gospodarczych. Równie istotne są zagrożenia wewnętrzne – związane z pracownikami.

Z normy wynika, że struktura zagrożeń organizacji oparta jest na trzech podstawowych elementach: pracownikach, procesach biznesowych oraz stosowanych technologiach. Każdy z przedstawionych elementów może stanowić potencjalne źródło zagrożeń wewnętrznych. Systemy informacyjne, w tym np. teleinformatyczne, przez swoją specyfikę oraz możliwość łączenia się bez względu na odległość i porę dnia muszą być traktowane w kategorii zagrożeń wewnętrznych oraz zewnętrznych - każda organizacja musi indywidualnie zdecydować ostatecznie, jaka rola zostanie im przypisana

Norma w sposób kompleksowy prezentuje podejście do bezpieczeństwa informacji, wskazując obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego.

Nie określa ona  szczegółowych technicznych wymagań, ze względu na ich różnorodność i wielość, dając swobodę wyboru zabezpieczeń, oczywiście na bazie przeprowadzonej analizie ryzyka.

Norma jest świetnym punktem wyjścia do budowy Systemu Zarządzania Bezpieczeństwem Informacji oraz certyfikacji. Norma daje możliwość wykorzystania dobrych praktyk i uzupełnienia o metody zawarte w innych standardach i zbiorach.

Ścieżka wdrożenia

W ramach realizacji usługi wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji konsultanci Blue Energy analizują aktualny stan zabezpieczeń fizycznych, teleinformatycznych, jak również stopień wdrożenia rozwiązań organizacyjnych i prawnych.

Audyt

Podczas realizowanego audytu konsultanci oceniają już stosowane zabezpieczenia i określają ich skuteczność dla wdrażanego systemu bezpieczeństwa informacji. Audyt realizowany jest w oparciu o  ścieżkę audytową zbudowaną zgodnie z wymaganiami normy ISO 27001 i uwzględniającą dobre praktyki w obszarze bezpieczeństwa. Dodatkowo, lista zostanie uzupełniona elementami związanymi z weryfikacją przestrzegania obowiązujących reguł wewnętrznych oraz ustawy o ochronie danych osobowych i tajemnicy przedsiębiorstwa.

W celu zbudowania poprawnych list audytowych konsultanci przeanalizują:

  1. regulamin organizacyjny,
  2. misję firmy,
  3. strategię/cele strategiczne,
  4. schemat organizacyjny wraz z wykazem stanowisk i osób (forma elektroniczna),
  5. wykaz zarządzeń,
  6. wykaz wszystkich dokumentów określających zasady postępowania z danymi osobowymi
  7. wykaz wszystkich dokumentów określających zasady postępowania: procedury, instrukcje, regulaminy itp. również w aspekcie zarządzania systemami informatycznymi,
  8. przykładowy zakres obowiązków pracownika,
  9. dokumentację techniczną wykorzystywanych rozwiązań informatycznych (w przypadku, gdy nie jest ona ogólnodostępna),
  10. procedury eksploatacyjne wszystkich krytycznych systemów informatycznych,
  11. procedury zarządzania kopiami zapasowymi (z uwzględnieniem tworzenia, odtwarzania, przechowywania i testowania),
  12. procedury zarządzania uprawnieniami użytkowników (w tym procedury rejestrowania i tworzenia kont użytkowników, procedury przeglądu uprawnień itd.),
  13. procedury obsługi incydentów teleinformatycznych (awaria zasilania, atak wirusowy itd.),
  14. procedury związane z systemami kryptograficznymi (opis środowiska, zasady zarządzania kluczami itd.),
  15. wyniki cząstkowych i pełnych audytów teleinformatycznych.

Konsultanci Blue Energy stosują następujące techniki audytowe:

  1. prowadzą rozmowy z pracownikami,
  2. sprawdzają zabezpieczenia fizyczne urządzeń i informacji,
  3. sprawdzają ochronę budynków i pomieszczeń zawierających informację,
  4. dokonują przeglądu zapisów,
  5. sprawdzają (podczas prezentacji wykonywanej przez pracowników) stosowane zabezpieczenia i konfiguracje systemów teleinformatycznych)
  6. sprawdzają bezpieczeństwo przetwarzania danych: wydruki danych, niszczenie danych, przechowywanie danych, transport danych.

Podczas audytu badaniu poddane są w sposób szczególny, następujące obszary organizacji:

  1. struktura zarządzania i odpowiedzialności związane z bezpieczeństwem informacji,
  2. nadzór nad firmami zewnętrznymi mającymi dostęp do informacji będącej własnością organizacji,
  3. nadzór nad studentami i praktykantami,
  4. postępowanie z nośnikami danych,
  5. zgłaszanie i postępowanie z incydentami bezpieczeństwa,
  6. stosowane techniki ochrony danych, systemów i sieci,
  7. konfiguracja i zarządzanie systemami i sieciami,
  8. rozmieszczenie i zabezpieczenie stref bezpieczeństwa,
  9. zgodność z prawodawstwem polskim w tym szczególnie z ustawą o ochronie danych osobowych.

Sporządzony raport z audytu bezpieczeństwa oprócz zidentyfikowanych problemów (podatności/słabości) wskazuje na działania, jakie powinny być podjęte celem ich usunięcia, jak również spełnienia wymagań międzynarodowych standardów.

W ramach prac konsultanci opracowują koncepcję funkcjonowania przyszłego systemu wraz z propozycjami metod dokumentowania, metod zarządzania ryzykiem oraz struktury odpowiedzialności.

Szkolenia wstępne

Po przeprowadzonym audycie prezentujemy wyniki audytu kierownictwu. Prezentacja ma formę szkolenia wstępnego, mającego na celu zapoznanie z podstawowymi elementami bezpieczeństwa i odpowiedzialnością kierownictwa w ramach budowanego systemu.

Następnie prowadzimy szkolenia dla grupy projektowej, złożonej z przedstawicieli poszczególnych komórek organizacyjnych.

Klasyfikacja informacji

W ramach audytu, lub bezpośrednio po nim przeprowadzana jest klasyfikacja informacji przetwarzanych w organizacji. Polega ona na inwentaryzacji informacji przetwarzanych oraz wskazaniu miejsc i zasobów służących jej przetwarzaniu. Klasyfikacja jest swoistym rankingiem ważności informacji pod kątem parametrów bezpieczeństwa: poufności, integralności i dostępności. W ramach klasyfikacji powstaje macierz powiązań pomiędzy informacją, jej wagą, miejscami i zasobami służącymi do jej przetwarzania. Dzięki takim powiązaniom możemy tworzyć rankingi istotności zasobów, których wagi poufności, integralności i dostępności dziedziczone są z informacji będących przez nie przetwarzane. Podział informacji i zasobów na grupy usprawnia proces analizy ryzyka i tworzenia planów zabezpieczeń.

Analiza ryzyka

Ważnym elementem wdrażanego Systemu Zarządzania Bezpieczeństwem Informacji jest analiza ryzyka, w ramach której dokonuje się zestawienia zidentyfikowanych podatności z potencjalnymi zagrożeniami oraz skutkami wynikającymi z wystąpienia tych zagrożeń. Poziom ryzyka pozwala wskazać na te elementy, które należy rozwiązać priorytetowo i dla nich sporządza się plan postępowania z ryzykiem.

Zarówno analizę ryzyka, jak i klasyfikacje informacji można wykonać za pomocą systemu BPM.

Dokumentacja i Plan Zarządzania Ryzykiem

Kolejnym etapem prac realizowanym przez konsultantów jest opracowanie dokumentacji. W ramach etapu tworzona jest Polityka Bezpieczeństwa Informacji, która jest nadrzędna dla Polityk Bezpieczeństwa: Teleinformatycznego, Fizycznego, Osobowego (w tym Polityka Danych Osobowych), Prawnego. Oprócz wdrażania rozwiązań technicznych, w ramach projektu opracowywane są również rozwiązania organizacyjne w postaci polityki, procedur oraz instrukcji. 

Ich opracowanie nie jest jednak wystarczające, gdyż newralgicznym elementem jest jej skuteczne wdrożenie zasad bezpieczeństwa i zabezpieczeń w organizacji. Dzięki działaniom wdrożeniowym, takim jak uruchamianie projektów zabezpieczeń, informowaniu pracowników o zasadach, szkoleniom dla pracowników, programowi komunikacji oraz zarządzania incydentami budujemy świadomość, będącą podstawą skuteczności wdrożenia. Dodatkowo dla wybranych zabezpieczeń konsultanci opracowują mierniki, które mają wskazywać skuteczność przyjętych i wdrożonych zabezpieczeń.

Proponujemy również wykorzystanie narzędzi wspierających analizę ryzyka oraz zarządzanie dokumentacją, audytami, miernikami i incydentami jako istotnego elementu budującego świadomość i zapewniającemu systemowi bezpieczeństwa informacji elastyczności i łatwości doskonalenia.

Budowa świadomości

Świadomość i chęć partycypacji pracowników w zapewnieniu bezpieczeństwa jest kluczowe dla skuteczności wdrażanego systemu. W ramach programu budowania śiwdomości realizujemy:

  1. Szkolenia podstawowe
  2. Szkolenia dla audytorów
  3. Coaching
  4. Akcja informacyjna (ulotki, newslettery, gry)
  5. e-learnig
  6. Testy socjotechniczne

Przeszkoleni pracownicy otrzymają zaświadczenia uczestnictwa w szkoleniu, a uczestnicy, którzy zaliczą wynikiem pozytywnym egzamin uzyskają certyfikat audytora.

Audyt sprawdzający

Na zakończenie projektu przeprowadzana jest weryfikacja wdrożenia w postaci audytów wewnętrznych, które pozwalają sprawdzić, czy wdrożone rozwiązania funkcjonują prawidłowo. Konsultanci realizują cykl szkoleń dla audytorów wewnętrznych dla pracowników Klienta oraz wspólnie z nimi prowadzą ocenę skuteczności wdrożenia oraz proponują działania doskonalące i przeprowadzają korekty. Wspólnie z audytorami wewnętrznymi opracowują raport końcowy oraz dokumentację na przegląd, na którym kierownictwo zapoznaje się z wynikami i określa kierunki doskonalenia.

Wdrożony system może zostać następnie poddany certyfikacji przez niezależną jednostkę certyfikującą.

Większość prac może zostać wykonana w oparciu o  dedykowane narzędzie informatyczne, które usprawnia wdrożenie i doskonalenie systemu. Dowiedz się wiecej!

Korzyści

Wśród głównych korzyści wdrożenia SZBI wymienić można:

  • wprowadzenie dodatkowej inwentaryzacji zasobów i ocenę bezpieczeństwa aktywów oraz wprowadzenie ładu organizacyjnego,

  • zwiększenie poziomu bezpieczeństwa informacji przetwarzanych w organizacji, co przekłada się na jakość zarządzania w organizacji,

  • zapewnienie zgodności z wymaganiami prawnymi w obszarze bezpieczeństwa informacji (np. dane osobowe), co jest obowiązkiem każdego przedsiębiorcy,

  • zwiększenie świadomości pracowników, a tym samym budowę kultury organizacyjnej i ładu,

  • systemowe podejście do tematu bezpieczeństwa, dzięki monitoringowi, ewaluacji i wdrażania zabezpieczeń w obszarze bezpieczeństwa informacji,

  • ew. uzyskanie certyfikatu, który stanowi doskonały element marketingowy dla organizacji.

Zapraszamy do współpracy!

Jesteś tutaj: Home Usługi Bezpieczeństwo Bezpieczeństwo informacji