Informacja o usłudze

Informacja jest zasobem posiadającym swoją wartość i podlegającym ochronie niezależnie od formy przetwarzania.  Właśnie ona jest przedmiotem zainteresowania normy ISO/IEC 27001, która w głównej mierze określa wymagania dotyczące ustanawiania, wdrażania, utrzymania i ciągłego doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), zapewniającego zachowanie poufności, integralności i dostępności informacji. ISO/IEC 27001 to kompleksowe rozwiązanie regulujące ochronę informacji w obszarach bezpieczeństwa prawno-organizacyjnego, osobowego i fizycznego.

Dlaczego informacja jest szczególnie cenna? Konsekwencje jej ujawnienia mogą być bardzo dotkliwe. Wystarczy wspomnieć o kilku rodzajach informacji chronionych takich jak: dokumentacja technologiczna, dane pracowników (w tym dane o wynagrodzeniach), dane klientów, kontrahentów (w tym dane finansowe).

Dlaczego informacja jest szczególnie narażona na zagrożenia?

  • Po pierwsze era analogowych danych minęła bezpowrotnie. Bardzo szybki proces cyfryzacji sprawił, że większość danych przetwarzanych jest w postaci elektronicznej.

  • Po drugie globalizacja wymusza coraz częstsze przesyłanie danych na odległość lub przetwarzanie danych w chmurze.

  • Po trzecie ilość przetwarzanych danych stale rośnie. Coraz częściej mamy do czynienia z jest Big Data (gromadzenie i wielowymiarowa analiza ogromnych pakietów danych).

W związku z tym niezbędne jest właściwe zabezpieczenie infrastruktury IT organizacji, w tym nośników danych, kanałów przesyłu, sieci, ale także ustanowienie odpowiednich procedur i zasad postępowania w obszarze bezpieczeństwa informacji. Dzięki SZBI, wymagane do podniesienia poziomu bezpieczeństwa działania organizacyjne i techniczne zostają udokumentowane, a kierownictwo organizacji otrzymuje narzędzie, za pomocą którego może nie tylko stale nadzorować poziomy ryzyk i podejmować adekwatne do nich działania, ale także traktować bezpieczeństwo w kategoriach inwestycji, a nie kosztów funkcjonowania.

SZBI zgodny z ISO/IEC 27001 może zostać wdrożony w organizacji całkowicie niezależnie lub zostać zintegrowany z innymi systemami zarządzania – np. ISO 9001 lub ISO/IEC 20000. Dzięki unifikacji niektórych procesów i dokumentów poprawia się skuteczność i efektywność wdrożonych systemów.

Dzięki naszym usługom Państwa polityka bezpieczeństwa będzie odnosić się do następujących zagadnień:

– co podlega ochronie?

  –> informacja (dane)

  –> systemy teleinformatyczne (sprzęt)

– jak chronimy krytyczne zasoby?

Projektując mechanizmy ochrony informacji zwracamy uwagę na następujące elementy:

– model bezpieczeństwa

– mechanizmy kontroli dostępu

– poziomy uprawnień (jakie poziomy uprawnień istnieją i jakie są zasady ich przyznawania)

– mechanizmy identyfikacji i zapewnienie autentyczności (na poziomie fizycznym i systemów)

– śledzenie zdarzeń w systemie (jakie mechanizmy/programy/procedury stosowane są do śledzenia zmian w systemach)

Zakres usługi

Audyt

  • audyt bezpieczeństwa informacji oraz opracowanie raportu zawierającego ocenę zabezpieczeń, wnioski i propozycje działań w celu spełnienia wymagań normy

Analiza ryzyka

  • opracowanie i wdrożenie metodyki analizy ryzyka

  • przeprowadzenie szacowania ryzyka oraz opracowanie planów postępowania z ryzykiem

Wdrożenie

  • klasyfikacja informacji w organizacji ze względu na wymagany poziom ochrony oraz określenie zasad postępowania z informacjami

  • budowa dokumentacji SZBI (polityk, procedur, instrukcji)

  • szkolenia dla pracowników, zespołu wdrażającego SZBI, audytorów wewnętrznych,

  • przegląd zarządzania

  • pomoc w wyborze jednostki certyfikującej oraz nadzór nad procesem certyfikacji