Námi poskytované služby jsou zaměřeny především na bezpečnostní procesy a technologie. Poskytujeme služby od in-in nezávislých konzultací až po zajištění certifikace nebo výstupního auditu.
Poskytujeme konzultace o jednotlivých oblastech informací / kybernetické bezpečnosti, GDPR nebo můžeme zajistit celý proces implementace, ať už podle ISO 27001 ISMS, v souladu se zněním zákona o kybernetické bezpečnosti a požadavky GDPR.
V rámci provádění jsou identifikovány všechny prvky, které vstupují do informací / kybernetické bezpečnosti, jsou zpracovány analýzy rizik a plán řízení rizik, bezpečnostní pokyny jsou zpracovávány v rozsahu uvedeném níže, provádějí se interní audity, jsou zpracovávány povinné záznamy (SOA, přezkum řízení, zpráva o analýze rizik atd.).
Naším cílem je, aby naše práce vedla nejen k úspěšnému zpracování certifikačních nebo kybernetických auditů, ale také ke schopnosti organizace pokračovat v řízení úskalí informací / kybernetické bezpečnosti bez vážnějšího dopadu.
Ve zkratce:
- Lidé jsou vyškoleni a vědí, co mají dělat
- Opatření jsou prováděna, monitorována, kontrolována a účinně fungují
- Technologie fungují v souladu se stanovenými požadavky a jsou pravidelně udržovány
- SLA a NDA jsou podle Vašich potřeb
- Dodržování právních předpisů je zajištěno
A když už, tak víme, co dělat!
V oblasti informací / kybernetické bezpečnosti se zaměřujeme na procesy zaměřené na:
Organizační bezpečnost
- Určení bezpečnostních rolí a kompetencí
- Tvorba a implementace organizačních procesů (management review, SOA, …)
- Integrace zabezpečení do prostředí vaší organizace
- …
Správa informačních aktiv
- Identifikace primárních a podpůrných aktiv a jejich ručitelů
- Identifikace vazeb mezi primárním a podpůrným aktivem
- Hodnocení majetku (důvěrnost, integrita, dostupnost)
- Nakládání s informačními aktivy a jejich označování
- Likvidace informačních aktiv
- …
Řízení rizik
- Definování přijatelné úrovně rizika
- Stanovení metodiky a implementace analýzy dopadu podnikání (BIA)
- Stanovení metodiky a implementace analýzy rizik
- Návrh a zpracování plánů řízení rizik
- Zacházení s rizikovými scénáři a definice kontextu
- Identifikace bezpečnostních opatření
- Identifikace a hodnocení bezpečnostních hrozeb a zranitelných míst
- Posouzení dopadů (GDPR)
- …
Bezpečnost IT
- Zabezpečení sítě
- Zabezpečení PC a notebooku
- Zabezpečení serveru a databáze (CMDB)
- Bezpečnost vývoje a testování
- Zabezpečení mobilních zařízení
- Šifrování a přenos dat
- Řízení přístupu a správa identit
- Zálohování
- Protokolování
- Monitorování a hodnocení
- ….
Fyzické zabezpečení
- Obvod fyzického zabezpečení
- Bezpečnostní zóny
- Opatření a postupy
- Implementace fyzické bezpečnosti
- …
Osobní bezpečnost
- Požadavky na výběr zaměstnanců
- Postup výběru zaměstnanců
- Zabezpečení před podpisem smlouvy
- Bezpečnost při práci
- Ukončení pracovního poměru
- Bezpečnost externích pracovníků a subjektů
Správa incidentů
- Určení kategorií incidentů
- Určení práva na povinnosti jednotlivých rolí v procesu řízení incidentů
- Určení procesu řízení incidentů (oznámení, odpověď, akce, …)
- Metody hlášení incidentů podle právních předpisů (GDPR, Cyber Law)
- Hodnocení a ověřování účinnosti nápravných opatření
- …
Správa kontinuity – BCM
- Identifikace kritických aktiv a kritických procesů
- Plán obnovy IT
- Kontroly a testování
- …
Řízení dodavatelů v oblasti optimalizace a efektivity SLA)
- Identifikace významných dodavatelů
- Přezkum SLA s ohledem na požadavky a potřeby společnosti
- Sladění SLA s plánem obnovení IT
- …
Konzistence
- Zajištění souladu s právními předpisy
- Zajištění souladu s příslušnou normou
- …