Zavedieme systém riadenia informačnej bezpečnosti (ISMS), ktorý chráni vaše dáta, znižuje riziká a pripraví vás na certifikáciu - v rozsahu primeranom veľkosti vašej firmy.
ISO/IEC 27001 je medzinárodná norma pre systém riadenia informačnej bezpečnosti (ISMS). Aktuálne vydanie 2022 je postavené na riadení rizík a chráni tri vlastnosti informácií: dôvernosť, integritu a dostupnosť. Príloha A obsahuje sadu bezpečnostných kontrol v štyroch témach - organizačné, personálne, fyzické a technologické. Ktoré z nich zavediete, určuje analýza rizík a Vyhlásenie o aplikovateľnosti (SoA). Certifikát je dôveryhodný dôkaz pre klientov, partnerov aj verejné obstarávania.
Posúdenie, kde firma stojí oproti ISO/IEC 27001:2022, s jasným zoznamom medzier.
Definícia hraníc systému, kontextu organizácie a kľúčových informačných aktív.
Metodika, register rizík a plán ošetrenia primeraný vašej situácii.
Výber a zdôvodnenie kontrol z Prílohy A (SoA) na mieru.
Riadená dokumentácia, ktorá je použiteľná v praxi - nie „do šuflíka“.
Dôkazy, nápravy a sprevádzanie až po certifikačný audit bez prekvapení.
| Kapitola | Výstup v praxi |
|---|---|
| 4 - Kontext organizácie | Rozsah ISMS, zainteresované strany, hranice systému. |
| 5 - Vodcovstvo | Politika informačnej bezpečnosti, roly a zodpovednosti, záväzok vedenia. |
| 6 - Plánovanie | Analýza a hodnotenie rizík, plán ošetrenia rizík, Vyhlásenie o aplikovateľnosti (SoA), ciele bezpečnosti. |
| 7 - Podpora | Zdroje, kompetentnosť, povedomie, riadená dokumentácia. |
| 8 - Prevádzka | Realizácia ošetrenia rizík, prevádzkovanie zvolených kontrol. |
| 9 - Hodnotenie výkonnosti | Monitorovanie a meranie, interné audity, preskúmanie manažmentom. |
| 10 - Zlepšovanie | Riadenie nezhôd, nápravné opatrenia, neustále zlepšovanie. |
Príloha A - sada 93 bezpečnostných kontrol v štyroch témach: organizačné, personálne, fyzické a technologické. Ktoré z nich zavediete, neurčuje norma paušálne - vyplýva to z analýzy rizík a Vyhlásenia o aplikovateľnosti (SoA). Zavádza sa len to, čo dáva pre vašu firmu zmysel.
Prístup k zákazkám a partnerom vyžadujúcim ISMS a výrazne nižšie riziko nákladného incidentu či úniku.
Orientačne niekoľko mesiacov podľa rozsahu ISMS a veľkosti firmy; presný harmonogram po GAP analýze.
V úvode vyššia (súpis aktív, analýza rizík), po stabilizácii rutinné riadenie.
Odbornosť bez fixného úväzku interného CISO / manažéra bezpečnosti.
Neaktuálny register rizík / SoA, chýbajúce záznamy o preskúmaní, kontroly „na papieri“ bez dôkazov, neriešené nezhody a slabé riadenie prístupov a dodávateľov.
Rozsah ISMS, politika bezpečnosti, metodika a register rizík, plán ošetrenia rizík, SoA, záznamy o auditoch a preskúmaní, evidencia incidentov a nápravných opatrení.
Definovať rozsah ISMS a aktíva, spraviť GAP voči 27001:2022 a naštartovať analýzu rizík a návrh SoA.
GAP analýza a rozsah ISMS - kde ste a kam smerujeme.
Analýza rizík, SoA a plán implementácie s míľnikmi.
Politiky, kontroly a dokumentácia priamo vo vašej prevádzke.
Interný audit a príprava na certifikačný audit.
Malé a stredné firmy pracujúce s citlivými alebo zákazníckymi údajmi.
Tie, čo certifikát ISO 27001 potrebujú pre zákazku alebo partnera.
Organizácie, ktorým ISMS pomáha plniť požiadavky NIS2 a dodávateľského reťazca.
Ochranu dôvernosti, integrity a dostupnosti vašich informácií
Nižšie riziko únikov a bezpečnostných incidentov
Dôveryhodný certifikát pre klientov, partnerov aj obstarávania
Pripravenosť na certifikačný audit bez prekvapení
Silný základ pre súlad s NIS2 / zákonom č. 366/2024
Cena závisí od rozsahu ISMS, počtu aktív a aktuálnej pripravenosti firmy. Presné číslo dostanete po bezplatnej úvodnej GAP analýze - nezáväzne.
Najčastejšie cez zákazky a partnerstvá, ktoré certifikát vyžadujú, a cez výrazne nižšie riziko nákladného bezpečnostného incidentu alebo úniku dát.
Áno, ak spracúva citlivé alebo zákaznícke dáta, prípadne to vyžaduje partner či NIS2. Rozsah ISMS prispôsobíme veľkosti firmy.
Závisí od veľkosti firmy a rozsahu ISMS; typicky niekoľko mesiacov. Presný harmonogram dostanete po úvodnej GAP analýze.
V dvoch etapách - dokumentačný audit (etapa 1) a audit na mieste (etapa 2). Na obe vás pripravíme a počas auditu sme s vami.
Je to bežná súčasť auditu. Väčšie nezhody treba odstrániť pred vydaním certifikátu, menšie sa riešia s podmienkou nápravy v dohodnutom termíne.
Nie. Aplikovateľné kontroly určuje analýza rizík a Vyhlásenie o aplikovateľnosti (SoA) - zavádzate len to, čo dáva pre vašu firmu zmysel.
Nie. GDPR je právna požiadavka na ochranu osobných údajov, ISO 27001 je rámec riadenia informačnej bezpečnosti. Veľmi dobre sa však dopĺňajú.
ISO 27001 je certifikovateľná norma s požiadavkami na ISMS. ISO 27002 je návod a odporúčania k jednotlivým kontrolám. Certifikuje sa podľa 27001.
Dokument, ktorý uvádza, ktoré kontroly z Prílohy A zavádzate a prečo (alebo prečo nie). Je to priamy výstup analýzy rizík.
Áno. ISMS podľa ISO 27001 je silný základ pre splnenie požiadaviek NIS2 / zákona č. 366/2024.
Áno, riešime ich integrovane. Spoločné riadenie rizík a dokumentácie šetrí čas aj náklady.
Nie nutne. Vieme pôsobiť ako externý výkon roly / vCISO v rozsahu, ktorý firma potrebuje.
Na úvodnej konzultácii posúdime, kde stojíte, a navrhneme konkrétny ďalší krok - bez záväzku.
Napíšte nám, čo riešite - ozveme sa s návrhom ďalšieho kroku.
