Od konzultace po implementaci
Naše společnost poskytuje komplexní služby – od nezávislých úvodních konzultací, přes implementaci bezpečnostních procesů a technologických opatření, až po poskytování certifikačních nebo výstupních auditů.
Poskytujeme konzultace v oblasti informační a kybernetické bezpečnosti a ochrany osobních údajů (GDPR). Zároveň zajišťujeme celý proces implementace v souladu s normou ISO/IEC 27001:2022 – Systém managementu bezpečnosti informací (ISMS), v souladu s požadavky zákona o kybernetické bezpečnosti a GDPR.
Během implementace identifikujeme společně s klientem všechny prvky, které se podílejí na informační a kybernetické bezpečnosti. Následně připravíme analýzu rizik spolu s plánem řízení rizik a vypracujeme bezpečnostní pokyny v rozsahu uvedeném níže. Provádíme interní audity a připravujeme povinné záznamy, jako jsou SOA (Prohlášení o použitelnosti), přezkoumání vedením, zpráva o analýze rizik a další.
Naším cílem je, aby klient úspěšně prošel certifikačním auditem nebo auditem kybernetické bezpečnosti a zároveň si zachoval schopnost účinně čelit nástrahám informační a kybernetické bezpečnosti bez vážných následků.
Výhody zavedení a certifikace ISMS:
Zaškolíme vaše zaměstnance, aby přesně věděli, jak se chovat v oblasti bezpečnosti.
Implementujeme bezpečnostní opatření, která jsou následně monitorována, kontrolována a účinně fungují.
S klienty a zaměstnanci uzavíráme smluvní bezpečnostní politiky (NDA, SLA) přizpůsobené vašim potřebám.
Pomáháme vám zajistit dodržování legislativy v požadovaných oblastech, čímž minimalizujeme rizika a možné sankce.
Oblasti informační bezpečnosti
Informační bezpečnost je soubor opatření a postupů pro ochranu informačních aktiv společnosti (dokumentů, záznamů, e-mailů, elektronických souborů, služeb, databází atd.). Norma ISMS ji definuje prostřednictvím následujících oblastí:
Organizační bezpečnost
- Stanovení bezpečnostních rolí a odpovědností
- Implementace organizačních procesů (přezkoumání vedením, SOA atd.)
- Integrace bezpečnosti do prostředí společnosti
Řízení informačních aktiv
- Identifikace primárních a podpůrných aktiv a jejich garantů
- Posouzení důvěrnosti, integrity a dostupnosti
- Správné zacházení s aktivy
Řízení rizik
- Analýza rizik
- Analýza dopadů (BIA)
- Identifikace hrozeb a zranitelností
- Plán řízení rizik
IT bezpečnost
- Zabezpečení pracovních stanic a mobilních zařízení
- Zabezpečení sítí, serverů a databází
- Šifrování a bezpečný přenos dat
- Řízení přístupu a správa identit
- Zálohování a monitorování
Fyzická bezpečnost
- Definice bezpečnostního perimetru
- Definice úrovně bezpečnosti pro jednotlivé bezpečnostní zóny
- Postupy a opatření fyzické ochrany
Bezpečnost zaměstnanců
- Požadavky na zaměstnance a výběrové řízení
- Školení zaměstnanců
- Bezpečnost během zaměstnání a po jeho skončení
- Řízení externích pracovníků a třetích stran
Řízení incidentů
- Kategorizace incidentů a jejich hlášení
- Nastavení procesu odezvy
- Hodnocení účinnosti opatření
Řízení kontinuity podnikání (BCM)
- Identifikace kritických aktiv a procesů
- Plán kontinuity a obnovy
- Testování a ověřování funkčnosti kontinuity
Řízení dodavatelů
- Identifikace a kategorizace dodavatelů
- Kontrola a nastavení SLA
- Nastavení pravidel SLA pro jednotlivé kategorie dodavatelů
Soulad
- Soulad s legislativou (GDPR, zákon o kybernetické bezpečnosti)
- Soulad s normami ISO