+48 607 60 38 90 / +48 784 624 171 | biuro@4itsecurity.pl

Zaawansowane
rozwiązania

Zarządzanie bezpieczeństwem

Projektowanie, wdrożenie i certyfikacja systemu zarządzania bezpieczeństwem informacji zgodnego z PN-ISO/IEC 27001:2014

Organizacja, która chce należycie zabezpieczyć swoje informacje powinna zastosować podejście systemowe, w ramach którego będzie zarządzać kompleksowo posiadanymi aktywami informacyjnymi, infrastrukturą przeznaczoną do ich przetwarzania oraz ryzykiem dotyczącym bezpieczeństwa informacji.

Dla organizacji, która chce świadomie chronić swoje aktywa na uwagę zasługuję System Zarządzania Bezpieczeństwem Informacji wg normy PN-ISO/IEC 27001:2014. Norma ta jest zbiorem wytycznych pozwalających na wdrożenie efektywnego Systemu Zarządzania Bezpieczeństwem Informacji w organizacji. Norma jest przeznaczona dla wszystkich rodzajów organizacji, zarówno dla podmiotów biznesowych jak i podmiotów administracji publicznej.

Zastosowanie w branżach

Sektor publiczny

Ochrona zdrowia

Infrastruktura krytyczna

Bankowość i ubezpieczenia

Przemysł

Mamy przyjemność zaproponować Państwu naszą pomoc w zakresie przygotowania projektu, wdrożenia i doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji wg normy PN-ISO/IEC 27001:2014

Duże doświadczenie naszych konsultantów gwarantuje skuteczne wdrożenie systemu zarządzania zgodnego z normą ISO.

Kierując się naszym wieloletnim doświadczeniem proponujemy najkorzystniejszy, ramowy program wdrożenia systemu zarządzania, który za każdym razem dostosowujemy do potrzeb organizacji klienta.

Opracowanie i wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji jest dużym przedsięwzięciem. Aby nim skutecznie zarządzać podzieliliśmy go na etapy, stanowiące jednocześnie punkty milowe projektu. Każdy z etapów jest zbiorem zadań prowadzących do uzyskania produktu w szacowanym czasie realizacji.

Etap 1 - Audyt ISMS

Konsultanci przeprowadzają rozmowy z Kierownictwem i pracownikami, zapoznają się ze strukturą organizacyjną, dokumentacją stosowaną w organizacji, dokonują przeglądu dokumentów dotyczących danego systemu zarządzania w celu określenia w jakim stopniu organizacja jest zgodna z wymaganiami normy ISO a jakie elementy będą wymagały dostosowania do wymagań normy ISO. Informacje zebrane podczas audytu posłużą do opracowania szczegółowego zakresu prac i harmonogramu.

Etap 2 - Szkolenia

Kierownictwa organizacji
Zaangażowanie Kierownictwa jest podstawą dla prawidłowego funkcjonowania każdego systemu zarządzania. Podczas szkolenia zostają przedstawione zagregowane wyniki diagnozy z uwzględnieniem mocnych i słabych punktów ocenianych obszarów oraz zaprezentowane wymagania normy odnoszące się do najwyższego kierownictwa.

Szkolenie Pełnomocnika systemu zarządzania i zespołu wdrożeniowego
Podczas którego omówione zostaną obowiązujące uregulowania wewnętrzne w zakresie systemu zarządzania bezpieczeństwem informacji.

Szkolenie pracowników
Podczas którego omówione zostaną najważniejsze informacje dot. wdrażanej normy PN ISO/IEC 27001. Każdy z uczestników otrzyma materiał informacyjny.

Etap 3 - Szkolenie z metodyki analizy ryzyka

Uczestnicy szkolenia zostaną zapoznani z zasadami zarządzania ryzykiem, z metodyką analizy ryzyka. Trener zapewni formularze oraz metodykę szacowania ryzyka, które ułatwią i przyspieszą proces tworzenia analizy.

Etap 4 - Konsultacje przy opracowaniu analizy ryzyka

Analiza ryzyka jest punktem wyjścia do projektowania systemu w organizacji. Na jej podstawie wdrażane są warianty postępowania z ryzykiem oraz opracowywane plany postępowania z ryzykiem. Konsultanci wraz z przedstawicielami organizacji przeprowadzą identyfikację źródeł ryzyka, wspólnie określą prawdopodobieństwo wystąpienia źródeł ryzyka i ich wpływ na funkcjonowanie organizacji.

Etap 5 - Konsultacje przy opracowaniu planu ciągłości działania

Na podstawie Planu postępowania z ryzykiem opracowany zostanie w drodze konsultacji Plan Ciągłości Działania, powołujący się na scenariusze postępowania w sytuacjach kryzysowych. Scenariusze sytuacyjne odwoływać się będą do procedur odtwarzania po awarii (DRP).

Wdrożenie planu ciągłości działania umożliwia kontynuacje kluczowych procesów biznesowych wykorzystujących elektroniczne przetwarzanie danych w sytuacji, gdy część infrastruktury informatycznej jest niedostępna – np. wskutek katastrofy. Plan ciągłości działania uruchamiany jest w sytuacji kryzysowej – gdy skutki zaistniałych incydentów zagrażają funkcjonowaniu organizacji.

Etap 6 - Konsultacje przy tworzeniu dokumentacji

Konsultanci przy wsparciu ze strony członków grupy wdrożeniowej dokonują uzupełniania dokumentacji systemowej o nowe elementy wymagane w systemie zarządzania. Wraz z oddelegowanymi do budowania systemu pracownikami organizacji zostanie sformułowana polityka systemu zarządzania. Dokumentację przygotowują pracownicy organizacji lub na życzenie klienta konsultanci, uzgadniając ją z osobami odpowiedzialnymi za poszczególne obszary.

Etap 7 - Szkolenie audytorów wewnętrznych

Po opracowaniu dokumentacji należy sprawdzić poprawność i stan wdrożenia opisanych w dokumentacji rozwiązań. Zadania te realizowane są przez przeszkolonych pracowników organizacji – audytorów wewnętrznych. Celem szkolenia jest przygotowanie audytorów do praktycznego przeprowadzenia audytów, stąd też zawiera ono szereg ćwiczeń i scenek audytowych. Audytorzy wewnętrzni zapoznawani są z widzą z w zakresie podejścia procesowego przy ocenie systemu zarządzania. Po ukończeniu szkolenia audytorzy otrzymują certyfikaty. Etap ten nie musi być realizowany, jeżeli klient nie dysponuje osobami mogącymi pełnić funkcję audytora wewnętrznego lub zakłada, że organizacja samodzielnie nie będzie przeprowadzała audytów wewnętrznych. Wówczas rolę audytora wewnętrznego przejmuje konsultant pomagający przy wdrożeniu systemu zarządzania, który zgodnie z planem audytów wewnętrznych przeprowadza audyty w fazie wdrożenia jak również i później, podczas utrzymywania systemu.

Etap 8 - Wdrożenie systemu zarządzania

Etap wdrożenia systemu zarządzania polega na przekazaniu wszystkim pracownikom opracowanej dokumentacji, polityki oraz zapewnieniu świadomości dotyczącej ich roli w funkcjonującym systemie. Forma przekazywania informacji dostosowywana jest do zasad panujących w organizacji (spotkania, szkolenia wewnętrzne, broszury, intranet). Wdrożenie systemu zarządzania jest to również etap dokonania oceny funkcjonowania systemu i sprawdzenia gotowości do certyfikacji, poprzez przeprowadzenie audytów wewnętrznych, wdrożenie działań korygujących i postępowania z ryzykiem.

Etap 9 - Zgłoszenie gotowości do certyfikacji – przegląd zarządzania

Ostatnim etapem wdrożenia jest przeprowadzenie Przeglądu zarządzania. Jest to spotkanie Pełnomocnika ds. systemu i kierownictwa pod przewodnictwem osoby zarządzającej organizacją. W spotkaniu przeważnie uczestniczy konsultant pomagając w sprawnym i zgodnym z wymaganiami normy jego przeprowadzeniu. Po zakończeniu konsultant pomaga w przygotowaniu Raportu z przeglądu zarządzania.

Etap 10 - Certyfikacja

Etap ten realizowany jest przez wybraną jednostkę certyfikującą. Pomagamy w wyborze firmy certyfikującej. Podczas audytu certyfikującego nie pozostawiamy Klientów bez opieki.

Etap 11 - Serwisowanie systemu zarządzania

Po otrzymaniu certyfikatu nie zostawiamy naszych klientów samych. Na życzenie pomagamy w utrzymaniu systemu zarządzania: dokonujemy przeglądu analizy ryzyka, szkolimy, audytujemy, przeprowadzamy przegląd systemu przed audytami nadzoru.

Doświadczeni konsultanci i trenerzy czuwają nad prawidłowym przebiegiem wdrożenia. Posiadają kompetencje audytorów wewnętrznych i wiodących, współpracują z jednostkami certyfikującymi jako audytorzy i trenerzy. Współpraca z naszymi konsultantami zawsze kończy się sukcesem.

Zachęcamy do nawiązania kontaktu z naszymi konsultantami, którzy udzielą dodatkowych informacji, poznają oczekiwania oraz przygotują ofertę spełniającą Państwa potrzeby i wymagania.

Pobierz ofertę w formacie PDF

Jak do nas trafić?

Chętnie podejmiemy dyskusję na tematy związane z bezpieczeństwem IT i ochroną danych, działalnością uświadamiającą oraz ochroną infrastruktury krytycznej. Zapraszamy do kontaktu.

Bądź bezpieczny, czytaj newsletter

Otrzymuj informacje o najnowszych wpisach na blogu, wydarzeniach 4 IT SECURITY