ISO 27001/ TISAX / ISO 10006

Výstavba systému managementu bezpečnosti a informací dle normy ČSN EN ISO/IEC 27001 a výstavba systému managementu projektu dle ČSN ISO 10006

Již více jak 12 let stavíme systémy managementu bezpečnosti a informací (dále jen ISMS) dle normy ČSN EN ISO/IEC 27001 a výstavbu systému managementu projektu dle ČSN ISO 10006 Systémy managementu jakosti - Směrnice pro management jakosti projektů (dále jen SMP) kvalitně s vysokou přidanou hodnotou pro Vaší organizaci obecná charakteristika naší práce.
Při výstavbě systému vycházíme ze základních všeobecných principů systému ISMS a SMP.

Na začátku naší spolupráce Vám automaticky vystavíme OSVĚDČENÍ O ZAHÁJENÍ SPOLUPRÁCE:

 

 

1. etapa: Výstavba ISMS/SMP dle ČSN EN ISO/IEC 27001 a/ nebo ČSN ISO 10006 – spolupráce do získání certifikátu
 

Etapy výstavby:

1) Úvodní přezkoumání ISMS/SMP 

Celkové prověření stavu ISMS/SMP ve Vaší organizaci, zpracování analýzy rizik, vypracování zprávy z úvodního přezkoumání daného systému, ve které budou dány doporučení k realizaci nutných činností k dosažení shody s požadavky příslušné normy a s legislativními a jinými požadavky a specifikování rozhodujících neshod mezi stávajícím systémem a požadavky norem řady ISMS/SMP.

Úvodní přezkoumání bude probíhat v rozsahu:

  • Přezkoumání zdokumentování rozsahu a hranice ISMS/SMP vč. vyjmutí z rozsahu ISMS/SMP, přezkoumání politiky ISMS/SMP, kontrola nastavení stávající metodiky pro vyhledávání a hodnocení rizik ISMS, přezkoumání relevantnosti registru relevantních právních požadavků souvisejících s ISMS/SMP,
  • přezkoumání informačních aktiv vč. jejich vlastníků (garantů) a jejich zdokumentování a určení významnosti aktiv. přezkoumání existujících hrozeb pro informační aktiva a zranitelnosti, které by mohly být hrozbami využity, přezkoumání zmapování dopadů na aktiva z hlediska ztráty důvěrnosti, integrity a dostupnosti. Přezkoumání posouzení pravděpodobnosti selhání bezpečnosti vč. následků na ztrátu důvěrnosti, integrity a dostupnosti aktiv. Přezkoumání odhadu úrovně rizik a analýz, zdali jsou rizika akceptovatelná nebo vyžadují opatření pro jejich minimalizaci,
  • přezkoumání stavu identifikace variant pro zvládání rizik,
  • analýza cílů a opatření dle  přílohy A normy ČSN EN ISO/IEC 27001:2014,
  • přezkoumání existence souhlasu vedení organizace se zbytkovými riziky,
  • přezkoumání stavu zvládání rizik požadovaný normou ČSN EN ISO/IEC 27001:2014,
  • přezkoumání systému, přidělování hesel a přihlašování do systému ze vzdálených lokací,
  • přezkoumání Prohlášení o aplikovatelnosti ISMS/SMP,
  • přezkoumání nastavení a zdokumentování postupu pro včasnou detekci pokusů o narušení bezpečnosti z oblasti IT,
  • přezkoumání pravidelného přezkoumávání účinnosti a ISMS/SMP,
  • přezkoumání funkčnosti měření účinnosti zavedených opatření,
  • přezkoumání dokumentovaného přezkoumávání hodnocení rizik vč. zbytkových rizik s ohledem na změny v organizaci, identifikované hrozby a účinnost zavedených opatření,
  • přezkoumání provádění interních auditů ISMS/SMP,
  • přezkoumání zaznamenávání bezpečnostních incidentů, audit zpracování bezpečnostního plánu,
  • přezkoumání povinných dokumentovaných postupů.

2) Informační seminář  pro vrcholové a střední vedení Vaší organizace a pro řadové pracovníky:

Bude provedeno našimi lektory školení ISMS/SMP, které bude zaměřeno svým obsahem a rozsahem pro střední a vrcholový management vaší organizace a pro řadové pracovníky. Účastníkům školení budou předány OSVĚDČENÍ o účasti na školení. Školení bude probíhat za pomoci vizualizace (dataprojektor, meotar atd.).

3) Etapa tvorby dokumentace ISMS/SMP

Odborný poradce provede zhodnocení a revizi stávající dokumentace vaší organizace a zpracuje relevantní dokumentaci ISMS/SMP za asistence vašich odpovědných pracovníků. Bude zpracována dokumentace ISMS/SMP I., II. a III. vrstvy. Poradce zapracuje připomínky do dokumentů I. - III. vrstvy. Provedeme grafické zpracování a následně provedeme vydání a distribuci dokumentace ve vaší organizaci.

  • Příručka ISMS/SMP,
  • politika a cíle ISMS/SMP,
  • prohlášení ISMS/SMP,
  • analýza rizik ISMS/SMP,
  • řízení dokumentace ISMS/SMP,
  • řízení záznamů ISMS/SMP,
  • řízení auditů ISMS/SMP,
  • řízení nápravných a preventivních opatření ISMS/SMP, zlepšování,
  • směrnice IT,
  • registr právních a jiných požadavků,
  • směrnice pro poskytování služeb v rozsahu hlavních procesů společnosti včetně monitorování a měření daných procesů,
  • řízení informačních aktiv.

4) Implementace požadavků ISMS/SMP

V rámci této etapy vás poradce ve spolupráci s kompetentními pracovníky vaší organizce provede implementační fází, kdy pod vedením poradce budou zpracovány potřebné záznamy dle požadavků ISMS/SMP. V rámci pravidelných návštěv Vás metodicky vedeme v rámci plnění právních a jiných požadavků ISMS/SMP.

  • Zpracování a monitorování zdokumentování rozsahu a hranice ISMS/SMP vč. vyjmutí z rozsahu ISMS/SMP, audit politiky ISMS/SMP, analýza metodiky pro vyhledávání a hodnocení rizik ISMS/SMP, audit tvorby a aktualizace registru relevantních právních požadavků souvisejících s ISMS/SMP,
  • zpracování a monitorování informačních aktiv vč. jejich vlastníků (garantů) a jejich zdokumentování a určení významnosti aktiv,
  • provedení identifikace a zdokumentování existujících hrozeb pro informační aktiva a zranitelnosti, které by mohly být hrozbami využity, analýza zmapování dopadů na aktiva z hlediska ztráty důvěrnosti, integrity a dostupnosti. Posouzení pravděpodobnosti selhání bezpečnosti vč. následků na ztrátu důvěrnosti, integrity a dostupnosti aktiv. Odhad úrovně rizik a analýz, zdali jsou rizika akceptovatelná nebo vyžadují opatření pro jejich minimalizaci,
  • nastavení a monitorování identifikace variant pro zvládání rizik jako je aplikace vhodných opatření, vědomé a objektivní akceptování rizik, vyhnutí se rizikům či přenesení rizik spojených s činností organizace na třetí strany,
  • nastavení a monitorování zdokumentování cílů a opatření dle  přílohy A normy ČSN EN ISO/IEC 27001:2014,
  • zpracování a monitorování existence souhlasu vedení organizace se zbytkovými riziky, audit existence dokumentovaného povolení z prohlášení,
  • nastavení, zpracování, monitorování, formulování, plánování a zvládání rizik požadovaný normou ČSN EN ISO/IEC 27001:2014, ve kterém vedení organizace vymezuje odpovídající činnost vedení, zdroje, odpovědnosti a priority pro ISMS/SMP. Monitorování, zavedení bezpečnostních opatření, sloužící jako nástroje pro zvládání rizik, audit nadefinování jakým způsobem bude probíhat měření účinnosti vybraných opatření,
  • nastavení a monitorování realizace programů školení a zvyšování informovanosti ve vztahu k ISMS,
  • monitorování systému přidělování hesel a přihlašování do systému ze vzdálených lokací. Monitorování pravidla „prázdného stolu“,
  • monitorování existence tzv. "Prohlášení o aplikovatelnosti ISMS" poskytující souhrn rozhodnutí jakým způsobem bude naloženo s identifikovanými riziky,
  • zpracování, monitorování, nastavení a zdokumentování postupu pro včasnou detekci pokusů o narušení bezpečnosti z oblasti IT,
  • nastavení, zpracování a monitorování pravidelného přezkoumávání účinnosti a ISMS s ohledem na výsledky bezpečnostních auditů, incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech zainteresovaných stran,
  • nastavení a monitorování měření účinnosti zavedených opatření,
  • nastavení a monitorování dokumentovaného přezkoumávání hodnocení rizik vč. zbytkových rizik s ohledem na změny v organizaci, identifikované hrozby a účinnost zavedených opatření,
  • nastavení a monitorování zaznamenávání bezpečnostních incidentů, audit zpracování bezpečnostního plánu.

5) Provedení interních auditů ISMS/SMP 

Následně provedeme kompletně interní audity ISMS/SMP dle požadavků ČSN EN ISO 19011 ve spolupráci s jmenovanými interními auditory Vaší organizace. Bude zpracován program auditů, plán interních auditů, auditní dotazník, zpráva z auditu, následně bude proveden kontrolní audit pro uzavření zjištění z interního auditu.

6) Provedení kontrolních auditů s vazbou na kontrolu realizace nápravných a preventivních opatření a konečná kontrola projektu

Poradce provede kontrolní audity pro odstranění neshod a pro realizaci doporučení vydaných poradcem ve spolupráci s kompetentními pracovníky vaší organizace. Provedeme konečnou kontrolu projektu, zpracujeme zprávu o stavu ISMS/SMP -  přezkoumání systému.

7) Účast na certifikačním procesu

V této etapě se budeme účastnit auditu prvního a druhého stupně v rámci certifikačního procesu ISMS/SMP a poskytneme odbornou pomoc při obhajobě tohoto systému.

Systém dle ISO 10006 se v současné době akreditovaně necertifikuje. Automaticky Vám vystavíme neakreditovaný certifikát po splnění všech požadavků daného systému.

V případě, že Vás výše uvedený rozsah prací zaujal, rádi Vám zpracujeme nabídku. Kontaktujte nás.

Způsob platby:

Dle dohody - navrhujeme: Platba jedenkrát měsíčně po odvedení výkonu (výpočet: Celkové částky: počet měsíců zavádění systému managementu) či platba po ukončení jednotlivých etap výstavby daného systému managementu. Splatnost faktury 14 - 30 dnů či dle individuální dohody s klientem.

Garance:

V současné době máme 100 % úspěšnost při certifikačních auditech všech systémů.

V případě nedoporučení k certifikaci v rámci certifikačního auditu certifikačním orgánem způsobený zaviněním ze strany Zhotovitele, je dána garance následného bezplatného odstranění neshod s cílem následné úspěšné certifikace, která je podložena poslední splátkou dle výše navrženého způsobu platby.

 

Předpokládaný rozsah plnění na místě: dle velikosti organizace a složitosti jejích procesů

Předpokládaný rozsah plnění v kanceláři "QEMS" s.r.o.: dle velikosti organizace a složitosti jejích procesů

Předpokládaný termín: dle dohody

V případě, že máte zájem o nabídku, kontaktujte nás!