info@h-square.cz+420 226 200 992

Řízení bezpečnosti informací

Chcete znát reálný stav bezpečnosti ve vaší společnosti? Potřebujete poradit se zaváděním informační bezpečnosti do vaší organizace? Řešíte dopady zákona o kybernetické bezpečnosti a shodu bezpečnostní politiky vaší společnosti s jeho zněním a požadavky?

Information security management system – ISMS (dle ISO/IEC 27001)

Zavedení ISMS spočívá v definování, zavedení, provozování a soustavném zlepšování standardem stanovených bezpečnostních opatření a procedur u organizace. ISMS předepisuje takové postupy, které zabrání tomu, aby bezpečnost informací byla na překážku hlavním činnostem u organizace, ale naopak koncipuje bezpečnost informací tak, aby podporovala dosahování hlavních cílů organizace.

Předpokladem pro zavedení ISMS je vůle managementu realizovat a trvale prosazovat a podporovat stanovené bezpečnostní opatření a procesy u organizace.

Naše společnost nabízí širokou nabídku služeb v oblasti zavádění a řízení informační bezpečnosti:

  • Analýza stavu informační bezpečnosti s ohledem na existující normy a best practice
  • Bezpečnostní analýza vybraných informačních systémů
  • Analýza shody s kybernetickým zákonem
  • Analýza rizik podle ISO 27000
  • Zavádění ISMS podle ISO 27000
  • Ověření existence zranitelností v klientově prostředí
  • Školení a bezpečnostní vzdělávání zaměstnanců klienta

Výběr přístupu k řešení bezpečnosti informací

Volba přístupu je závislá na charakteru a velikosti organizace. V každém případě je třeba, aby se celé řešení implementace informační bezpečnosti společnosti vyplatilo. To znamená, že řešení informační bezpečnosti představuje pro organizaci pracovní a finanční zátěž, tudíž užitek plynoucí z realizace bezpečnosti musí přesahovat vynaložené náklady na bezpečnost.

  • Vlastní řešení – spočívá ve výběru kritických oblastí informační bezpečnosti, na které je pak zaměřeno vlastní řešení. Výhodou je zaměření na problémy, které organizace potřebuje přednostně řešit. Nevýhodou je, že mnohá bezpečnostní rizika zůstávají nerozpoznána a následně také nepokryta a řešení tak nemůže poskytnout komplexní záruky za bezpečnost informací.
  • Necertifikované řešení – spočívá v přístupu, kdy je bezpečnost informací řešena v souladu se standardem ISO/IEC 27001, ale organizace toto řešení necertifikuje. Zásadním rozdílem od předchozího přístupu je fakt, že organizace postupuje metodicky a celkově v souladu se standardem. Standard poskytuje návod, jak zajistit bezpečnost a podstatnou měrou je snížena možnost opomenutí některého rizika. To se projeví v mnohem vyšších zárukách, které takové bezpečnostní řešení přináší. Tímto přístupem si organizace zároveň otevírá cestu do budoucnosti, kdy může dosáhnout takové úrovně souladu se standardem, že může přistoupit k certifikaci. Negativem tohoto přístupu je absence možnosti poskytnutí záruky za správnost a úplnost řešení, protože není ověřen soulad řešení bezpečnosti se standardem pověřenou autoritou (není provedena certifikace).
  • Certifikované řešení – spočívá v přístupu, kdy je bezpečnost informací řešena v souladu se standardem a organizace verifikuje správnost řešení certifikací nezávislou auditorskou firmou. Tento přístup představuje nejkvalitnější řešení bezpečnosti informací, protože se slučují pozitiva postupu podle standardu a navíc je řešení verifikováno certifikačním auditem, který prověří, zda byly naplněny všechny požadavky standardu. Jen toto řešení poskytuje plnohodnotné záruky za správnost a certifikát lze navíc dobře využít i v oblasti marketingu.

Naši odborníci jsou připraveni pomoci vaší společnosti ať už si vyberete jakýkoliv z uvedených přístupů k zavedení a řízení informační bezpečnosti. S výběrem konkrétního přístupu mohou pomoci odpovědí na dvě otázky.
“K čemu má bezpečnost sloužit?“ Zda k eliminaci několika zcela určitých rizik, nebo zda se hledá komplexní řešení, které poskytne záruky, že bezpečnost v organizaci pokrývá všechny aspekty činnosti organizace. Certifikovaný systém řízení bezpečnosti může poskytnout důkazy o tom, že organizace poskytovala problematice bezpečnosti svých informací dostatečnou pozornost a případný incident je nepředvídatelným selháním jednotlivce v organizaci a nikoli organizace samé.
„Jaké je množství zdrojů, které je organizace schopna a ochotna na bezpečnost svých informací vynaložit?“ Zde odpověď otevírá problematiku efektivity bezpečnostního řešení. Silným nástrojem pro zdůvodnění opodstatněnosti investic do bezpečnosti bývají právě bezpečnostní standardy, protože většinou podporují postupy pro optimalizaci bezpečnostních opatření.

| Next Generation Security | Palo Alto Networks NGFW | Endpoint Protection | Cisco ISE | Penetrační testy | Monitoring ICT | Audit datové sítě |

© 2015 - 2020 H-Square ICT Solutions s.r.o. Všechna práva vyhrazena. Ochrana osobních údajů.
Vytvořilo studio EXXO.cz