Od konzultácie po implementáciu
Naša spoločnosť poskytuje komplexné služby – od nezávislých vstupných konzultácií, cez implementáciu bezpečnostných procesov a technologických opatrení, až po zabezpečenie certifikačného alebo výstupného auditu.
Poskytujeme konzultácie v oblasti informačnej a kybernetickej bezpečnosti a ochrany osobných údajov (GDPR). Zároveň zabezpečujeme celý proces implementácie podľa normy ISO/IEC 27001:2022 – systému manažérstva informačnej bezpečnosti (ISMS), v súlade so zákonom o kybernetickej bezpečnosti a požiadavkami GDPR.
Počas implementácie s klientom identifikujeme všetky prvky vstupujúce do informačnej a kybernetickej bezpečnosti. Následne spracujeme analýzu rizík spolu s plánom zvládania rizík a vypracujeme bezpečnostné smernice v nižšie uvedenom rozsahu. Realizujeme interné audity a pripravujeme povinné záznamy, ako sú SOA (Statement of Applicability), preskúmanie manažmentom, správa z analýzy rizík a ďalšie.
Naším cieľom je, aby klient úspešne zvládol certifikačný audit alebo audit kybernetickej bezpečnosti, a zároveň si udržal schopnosť efektívne čeliť nástrahám informačnej a kybernetickej bezpečnosti bez vážnejších následkov.
Prínosy implementácie a certifikácie ISMS:
Vyškolíme vašich zamestnancov, aby presne vedeli, čo majú robiť v oblasti bezpečnosti.
Implementujeme bezpečnostné opatrenia, ktoré sú následne monitorované, kontrolované a fungujú efektívne.
Nastavíme zmluvnú bezpečnostnú politiku s klientami a zamestnancami (NDA, SLA) priamo podľa vašich potrieb.
Pomôžeme vám zabezpečiť súlad s legislatívou v požadovaných oblastiach, čím minimalizujeme riziká a možné sankcie.
Oblasti informačnej bezpečnosti
Informačná bezpečnosť je súbor opatrení a postupov na ochranu informačných aktív spoločnosti (dokumenty, záznamy, e-maily, elektronické súbory, služby, databázy a pod.). Norma ISMS ju definuje prostredníctvom nasledujúcich oblastí:
Organizačná bezpečnosť
- Určenie bezpečnostných rolí a kompetencií
- Implementácia organizačných procesov (preskúmanie manažmentom, SOA…)
- Integrácia bezpečnosti do prostredia spoločnosti
Riadenie informačných aktív
- Identifikácia primárnych a podporných aktív a ich garantov
- Hodnotenie dôvernosti, integrity a dostupnosti
- Správna manipulácia s aktívami
Riadenie rizík
- Analýza rizík
- Analýza dopadov (BIA)
- Identifikácia hrozieb a zraniteľností
- Plán zvládania rizík
IT bezpečnosť
- Zabezpečenie pracovných staníc a mobilných zariadení
- Zabezpečenie sietí, serverov a databáz
- Šifrovanie a bezpečný prenos údajov
- Riadenie prístupov a správa identít
- Zálohovanie a monitoring
Fyzická bezpečnosť
- Definícia bezpečnostného perimetra
- Definícia úrovne zabezpečenia jednotlivých bezpečnostných zón
- Postupy a opatrenia fyzickej ochrany
Personálna bezpečnosť
- Požiadavky a proces výberu zamestnancov
- Vzdelávanie zamestnancov
- Bezpečnosť počas a po ukončení pracovného pomeru
- Riadenie externých pracovníkov a tretích strán
Riadenie incidentov
- Kategorizácia a hlásenie incidentov
- Nastavenie procesov reakcie
- Zhodnotenie účinnosti opatrení
Riadenie kontinuity (BCM)
- Identifikácia kritických aktív a procesov
- Plán kontinuity a obnovy
- Testovanie a overovanie funkčnosti kontinuity
Riadenie dodávateľov
- Identifikácia a kategorizácia dodávateľov
- Preskúmanie a nastavenie SLA
- Nastavenie pravidiel SLA pre jednotlivé kategórie dodávateľov
Súlad
- Dodržiavanie legislatívy (GDPR, Kybernetický zákon)
- Súlad s ISO normami