Usługi

Doradztwo, konsultacje, outsourcing usług

Usługi

Bezpieczeństwo Informacji

Dla kogo przeznaczony jest SZBI?

System Zarządzania Bezpieczeństwem Informacji (SZBI, ang. ISMS) może być wdrożony w dowolnej organizacji, niezależnie od jej rozmiaru, czy natury biznesu (zarówno w sektorze publicznym jak i prywatnym). Prawidłowe wdrożenie SZBI umożliwia wykazanie zgodności nie tylko z normą PN-EN ISO/IEC 27001:2017-06, ale i z wymaganiami zewnętrznymi i wewnętrznymi odnośnie ochrony informacji.

Czy SZBI jest trudny do wdrożenia? Złożoność wdrożenia SZBI uzależniona jest wielu czynników:

  • ilości procesów biznesowych i systemów informacyjnych ich wspierających,
  • zastosowanych rozwiązań technologicznych,
  • sposobu zarządzania infrastrukturą,
  • zidentyfikowanych wymagań zewnętrznych i wewnętrznych w zakresie ochrony informacji,
  • kultury pracy i praktyk w zakresie zarządzania.

Ile i jakie zabezpieczenia należy wdrożyć by wykazać zgodność SZBI z normą PN-EN ISO/IEC 27001:2017-06?

Zabezpieczenia powinny być dobrane adekwatnie do zidentyfikowanych zagrożeń (na podstawie analizy ryzyka) oraz zgodnie z wymaganiami zewnętrznymi i wewnętrznymi w zakresie bezpieczeństwa informacji. Aneks A normy PN-EN ISO/IEC 27001:2017-06 zawiera zbiór zabezpieczeń, które mogą być wdrożone w organizacji.

Jaką przyjąć strategię przy wdrażaniu systemu?

Proponujemy Państwu kompleksowe podejście do wdrożenia SZBI w postaci połączonych usług:

  • Audyt wstępny – Przeprowadzamy audyt wstępny, który ma na celu poznanie struktury organizacyjnej przedsiębiorstwa, zakresów odpowiedzialności kluczowych stanowisk związanych z bezpieczeństwem, sposobu przestrzegania procedur i ogólnie przyjętych praktyk w zakresie eksploatacji systemów informatycznych. Wynikiem audytu wstępnego jest przedstawienie aktualnego stopnia spełnienia wymagań normatywnych oraz koncepcja opracowania i wdrożenia SZBI.
  • Klasyfikacja informacji – Na podstawie wyników audytu wstępnego i konsultacji prowadzonych z przedstawicielami organizacji identyfikujemy wymagania zewnętrzne i wewnętrzne w zakresie ochrony informacji, sugerujemy podział na grupy informacji i oraz określamy odpowiedzialności w zakresie dostępu do informacji. W wyniku konsultacji opracowywane są polityki bezpieczeństwa informacji.
  • Opracowanie dokumentacji systemowej oraz procedur eksploatacyjnych – Dostarczamy propozycję dokumentacji systemowej, wymaganej normą PN-EN ISO/IEC 27001:2017-06 oraz w drodze konsultacji opracowujemy procedury eksploatacyjne dot. zarządzania infrastrukturą teleinformatyczną (w oparciu o koncepcję wypracowaną w wyniku audytu wstępnego.
  • Analiza ryzyka – Kluczowy etap wdrożenia SZBI rozpoczynamy od szkolenia Zespołu ds. Analizy Ryzyka. Szkolenie składa się z części teoretycznej i warsztatowej. Podczas części praktycznej przeprowadzamy analizę ryzyka wybranego obszaru bezpieczeństwa lub procesu biznesowego. Po szkoleniu w drodze konsultacji wykonywana jest analiza ryzyka dla całej organizacji (w zakresie SZBI). Proces analizy ryzyka wspieramy systemem RAW (Risk Analysis Workbook), który proponujemy Państwu w ramach usługi oustsourcingowej. W wyniku tego etapu powstaje Raport z Analizy Ryzyka, Plan Postępowania z Ryzykiem i Deklaracja Stosowania.
  • Wdrożenie Planu Postępowania z Ryzykiem – Wspieramy organizację we wdrożeniu PPR, sugerujemy możliwe rozwiązania organizacyjne i techniczne, jak również oferujemy usługi w outsourcingu .
  • Szkolenia wewnętrzne – Przeprowadzamy szkolenia wewnętrzne w ramach wdrożenia SZBI dla pracowników organizacji oraz szkolenia dla Audytorów Wewnętrznych SZBI. Oferujemy również szkolenia powtórzeniowe lub rozszerzające tematykę bezpieczeństwa, jak również możemy wdrożyć u Państwa platformę elearningową i opracować multimedialne kursy.
  • Audyt wewnętrzny i działania poaudytowe – Wspólnie z Państwem przygotowujemy (opracowanie programu i planu audytu SZBI) i przeprowadzamy audyty wewnętrzne. Dysponujemy doświadczonymi Audytorami Wiodącymi ISO 27001, którzy wspierać będą Państwa Audytorów Wewnętrznych podczas audytu. Alternatywnie proponujemy Państwu przeprowadzanie audytów wewnętrznych w usłudze outsourcingu.
  • Działania poaudytowe – Wspieramy Państwa przy identyfikacji i wdrożeniu działań korygujących i zapobiegawczych oraz przygotowujemy do przeprowadzenia przeglądu SZBI i audytu certyfikacyjnego. Wspomagamy Państwa podczas audytu  – nasi konsultanci za zgodą Państwa i jednostki certyfikacyjnej uczestniczą jako obserwatorzy w audycie.

Jeśli jesteście Państwo zainteresowani wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji, zapraszamy do skontaktowania się z nami, dzięki czemu będziemy mogli przedstawić naszą koncepcję i ofertę na realizacji usługi.