Wdrożenia systemów zarządzania bezpieczeństwem

Bezpieczeństwo informacji – wdrożenie ISO 27001

Światowym standardem w zakresie bezpieczeństwa informacji jest norma międzynarodowa ISO 27001.

W obszarze bezpieczeństwa wspieramy klientów w opracowywaniu i wdrażaniu procesowego podejścia, którego celem jest zapewnienie bezpieczeństwa informacji, a w szczególności cyberbezpieczeństwa niezależnie od zmieniającego się otoczenia technicznego, biznesowego i regulacyjnego.

Wdrożenie SZBI w firmie pozwala wprowadzić kompleksową ochronę zasobów informacyjnych organizacji przed zagrożeniami zewnętrznymi i wewnętrznymi.

Norma ISO 27001, wskazuje na szereg wymagań w zakresie stosowania zabezpieczeń w celu zapewnienia poufności, integralności i dostępności informacji.

Jako Audytel zapewniamy kompleksowe wsparcie w zakresie usług audytu oraz wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), zgodnego z tym standardem.

 

Przykładowy zakres prac:

  1. Audyt zerowy na zgodność z normą ISO 27001:

    Zadaniem audytu zerowego (zwanego także wstępnym) jest ocena aktualnego funkcjonowania zarządzania bezpieczeństwem informacji w organizacji. Wynikiem audytu jest raport wskazujący obszary, których funkcjonowanie odbiega od wymagań normy.

  2. Pomoc w przeprowadzeniu analizy i oceny ryzyka:

    Analiza służy oszacowaniu ryzyka  i zagrożeń dla poufności, integralności oraz rozliczalności informacji. Dla prawidłowego przeprowadzenia wymaga ustalenia chronionych zasobów oraz zagrożeń z nimi związanych i zasad postępowania z ryzykiem. Przeprowadzenie tego procesu stanowi podstawę do opracowania dokumentacji SZBI. Dlatego na tym etapie najczęściej wykonujemy analizę wspólnie z klientem lub też pomagamy mu w samodzielnym jej opracowaniu.

  3. Opracowanie rekomendacji zabezpieczeń:

    Na podstawie przeprowadzonej analizy ryzyka kolejnym etapem związanym z wdrożeniem  SZBI jest dobór zabezpieczeń w celu minimalizacji ryzyka dla organizacji. W oparciu o dobre praktyki, doświadczenie naszych konsultantów oraz aktualny stan wiedzy proponujemy zastosowanie zabezpieczeń organizacyjnych oraz technicznych w celu ograniczenia ryzyka do poziomu akceptowalnego.

  4. Opracowanie i wdrożenie polityk i procedur:

    Na tym etapie opracowujemy dokumentację wymaganą oraz rekomendowaną przez normę ISO 27001. Opracowana przez nas dokumentacja uwzględnia wyniki przeprowadzonego wcześniej audytu wstępnego, analizy ryzyka oraz uzgodnione wspólnie z Klientem zabezpieczenia.

  5. Szkolenia dla kadry zarządzającej, zespołu wdrożeniowego oraz pracowników:

    Jednym z ważniejszych etapów na drodze do wdrożenia SZBI  są szkolenia z zakresu normy. Szkolenia przeznaczone zarówno dla audytorów wewnętrznych,  dla pracowników organizacji i jej kierownictwa. Szkolenia stanowią podstawę do lepszego zrozumienia i łatwiejszego dostosowania się do wymagań wdrażanego systemu zarządzania bezpieczeństwem informacji.

  6. Audyt sprawdzający przestrzeganie wdrożonych procedur:

    Razem z przeszkolonymi audytorami wewnętrznymi przeprowadzimy audyt sprawdzający funkcjonowanie wdrożonego SZBI. Wspólnie przeprowadzamy spotkanie otwierające audyt, prezentujemy założenia, cele i sposób komunikacji. Wspólnie przeprowadzamy czynności audytowe, weryfikujemy zebrane dane i przygotowujemy wnioski audytowe.

  7. Asysta podczas procesu certyfikacji ISO 27001:

    W przypadku decyzji o certyfikacji SZBI pomagamy Klientowi w  przygotowaniu się do certyfikacji. Oferujemy także asystę podczas audytu certyfikującego na zgodność z normą ISO 27001 oraz ewentualne wsparcie w działaniach korygujących zaleconych przez jednostkę certyfikującą.

Ciągłość Działania Biznesu

Oferujemy usługę polegającą na opracowaniu i wdrożeniu w organizacji systemu zarządzania ciągłością działania, zgodnego z wymaganiami normy ISO 22301.

Nasza usługa dedykowana jest wszystkim tym, którym zależy na zbudowaniu organizacji odpornej na zakłócenia oraz inne okoliczności niepożądane wpływające bezpośrednio na jej pracę.

Zarządzanie ciągłością działania koncentruje się przede wszystkim na planowaniu odporności na zakłócenia, minimalizowaniu ich skutków oraz skutecznym przetrwaniu w sytuacjach awaryjnych. W tym celu kluczowe jest wskazanie krytycznych dla organizacji procesów poprzez przeprowadzenie analizy BIA, dokonanie analizy ryzyka oraz określenie odpowiedniej strategii ciągłości działania. Na podstawie przeprowadzonych analiz opracowane zostają odpowiednie procedury zgodne z międzynarodowymi normami oraz Plan Ciągłości Działania wraz ze szczegółowymi procedurami odtworzeniowymi.

Konieczność posiadania opracowanych i skutecznych (rozumianych jako przetestowanych w praktyce) planów ciągłości działania została uwypuklona szczególnie w czasie pandemii koronawirusa, która pokazała, że brak takich planów jest w stanie całkowicie sparaliżować funkcjonowanie działania firmy, w tym m.in. działu IT.

Nadrzędnym produktem projektu jest stworzenie ram ciągłości działania dla firmy (Business Continuity Framework), definiujący politykę, zakres i cele ciągłości działania, uwarunkowania prawne i kontraktowe jak obrazujący główny proces ciągłości.

Mając wypracowane ramy działania wspieramy organizacje w określaniu listy procesów krytycznych, wyznaczeniu parametrów takich jak m.in. RTO i RPO a następnie opracowaniu właściwej dokumentacji BCP, w skład której wchodzą m.in.:

  • Strategia ciągłości działania.
  • Metodyka BIA.
  • Rejestr wymagań wewnętrznych i zewnętrznych.
  • Rejestr zabezpieczeń, zagrożeń i podatności.
  • Procedura analizy ryzyka i wynikowa mapa ryzyka.
  • Plany ciągłości działania (BCP) i plany odtworzeniowe dla infrastruktury informatycznej (DRP).

 

Wdrożenie planów ciągłości działania kończy się ustaleniem harmonogramu testów, a następnie zapewnieniu asysty technicznej podczas prowadzonych testów ciągłości. W przypadku planów, dla których testy wykazały istnienie braków lub niedociągnięć proponujemy odpowiednie działania korygujące.

Przykładowe realizacje:

Case study: Wdrożenie normy ISO 27001 dla spółki giełdowej

Dla naszego Klienta, spółki giełdowej, z branży wysokiej technologii wdrożyliśmy kompletny System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO 27001:2013.

Na początku realizacji zamówienia zespół Audytela dokonał analizy istniejącego stanu zarządzania bezpieczeństwem informacji i przeprowadził szkolenia z wymagań normy. Następnie wspólnie z zespołem klienta przeprowadzono proces analizy ryzyka, zidentyfikowano i udokumentowano  aktywa i główne procesy. Po przeprowadzeniu procesu analizy ryzyka przygotowano kompletną dokumentację oraz dokonano jej wdrożenia w dwóch lokalizacjach.

Projekt zakończono szkoleniem dla audytorów wewnętrznych oraz przeprowadzonym wspólnie z klientem audytem oraz przeglądem zarządzania SZBI.

Korzyści z wdrożenia:

Wdrożenie umożliwiło między innymi usprawnienie zarządzania bezpieczeństwem w firmie oraz wzrost świadomości pracowników w obszarze postępowania z informacjami.

Co zyskujesz dzięki wdrożeniu ISO 27001

Przeprowadzone wdrożenie SZBI zapewni Twojej organizacji:

  • Przewagę konkurencyjną w ubieganiu się o nowe kontrakty.
  • Możliwość uzyskania statusu zaufanego, rekomendowanego kontrahenta.
  • Zgodność z przepisami prawa i innymi regulacjami.
  • Ograniczenie ryzyka wysokich kar, zakłóceń w działalności lub/oraz utraty dobrej reputacji.
  • Wsparcie w rozwoju kultury organizacyjnej.
  • Zwiększenie odporności organizacji na pojawiające się stale nowe zagrożenia.

 

Celem naszej usługi jest kompleksowe przeprowadzenie Klienta przez proces wdrożenia wymagań normy, poczynając od ustalenia kontekstu organizacji i zakresu działania, po przygotowanie niezbędnych i wymaganych normą dokumentów, a następnie ich wdrożenie.

Co zyskujesz po wdrożeniu ISO 22301

  • Zapewnienie ciągłości działania organizacji.
  • Szybkie reagowanie w przypadku wystąpienia sytuacji kryzysowych.
  • Identyfikacja krytycznych obszarów IT w organizacji wymagających szczególnej ochrony.
  • Zwiększenie bezpieczeństwa pracowników.
  • Łatwa integracja z innymi systemami zarządzania.
  • Zwiększenie zaufania klientów i partnerów biznesowych.

Zapytaj o ofertę:

Wiesław Krawczyński

22 537 50 50








    Administratorem danych osobowych jest Audytel S.A., ul. ks. I. Skorupki 5, 00-546 Warszawa, tel. +48 22 5375050, e-mail info@audytel.pl. Administrator wyznaczył Inspektora Ochrony Danych, z którym można kontaktować się pod adresem iod@audytel.pl.
    Dane będą przetwarzane w celach udzielenia odpowiedzi na zapytanie (podstawa prawna: prawnie uzasadniony interes administratora) oraz marketingu produktów własnych (podstawa prawna: prawnie uzasadniony interes administratora). Podanie danych jest warunkiem udzielenia odpowiedzi, a ich niepodanie uniemożliwi udzielenie odpowiedzi na pytanie. Dane będą przechowywane do czasu udzielenia odpowiedzi na przesłane zapytanie.
    Każdej osobie przysługuje prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz ich przenoszenia. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania danych, wniesienia skargi do organu nadzorczego oraz cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jej danych osobowych na podstawie prawnie uzasadnionego interesu administratora, a także sprzeciwu wobec przetwarzania jej danych osobowych na potrzeby marketingu.