Výstavba systému managementu bezpečnosti a informací dle normy ČSN EN ISO/IEC 27001 a výstavba systému managementu projektu dle ČSN ISO 10006
Již více jak 12 let stavíme systémy managementu bezpečnosti a informací (dále jen ISMS) dle normy ČSN EN ISO/IEC 27001 a výstavbu systému managementu projektu dle ČSN ISO 10006 Systémy managementu jakosti - Směrnice pro management jakosti projektů (dále jen SMP) kvalitně s vysokou přidanou hodnotou pro Vaší organizaci obecná charakteristika naší práce.
Při výstavbě systému vycházíme ze základních všeobecných principů systému ISMS a SMP.
Na začátku naší spolupráce Vám automaticky vystavíme OSVĚDČENÍ O ZAHÁJENÍ SPOLUPRÁCE:
1. etapa: Výstavba ISMS/SMP dle ČSN EN ISO/IEC 27001 a/ nebo ČSN ISO 10006 – spolupráce do získání certifikátu
Etapy výstavby:
1) Úvodní přezkoumání ISMS/SMP
Celkové prověření stavu ISMS/SMP ve Vaší organizaci, zpracování analýzy rizik, vypracování zprávy z úvodního přezkoumání daného systému, ve které budou dány doporučení k realizaci nutných činností k dosažení shody s požadavky příslušné normy a s legislativními a jinými požadavky a specifikování rozhodujících neshod mezi stávajícím systémem a požadavky norem řady ISMS/SMP.
Úvodní přezkoumání bude probíhat v rozsahu:
- Přezkoumání zdokumentování rozsahu a hranice ISMS/SMP vč. vyjmutí z rozsahu ISMS/SMP, přezkoumání politiky ISMS/SMP, kontrola nastavení stávající metodiky pro vyhledávání a hodnocení rizik ISMS, přezkoumání relevantnosti registru relevantních právních požadavků souvisejících s ISMS/SMP,
- přezkoumání informačních aktiv vč. jejich vlastníků (garantů) a jejich zdokumentování a určení významnosti aktiv. přezkoumání existujících hrozeb pro informační aktiva a zranitelnosti, které by mohly být hrozbami využity, přezkoumání zmapování dopadů na aktiva z hlediska ztráty důvěrnosti, integrity a dostupnosti. Přezkoumání posouzení pravděpodobnosti selhání bezpečnosti vč. následků na ztrátu důvěrnosti, integrity a dostupnosti aktiv. Přezkoumání odhadu úrovně rizik a analýz, zdali jsou rizika akceptovatelná nebo vyžadují opatření pro jejich minimalizaci,
- přezkoumání stavu identifikace variant pro zvládání rizik,
- analýza cílů a opatření dle přílohy A normy ČSN EN ISO/IEC 27001:2014,
- přezkoumání existence souhlasu vedení organizace se zbytkovými riziky,
- přezkoumání stavu zvládání rizik požadovaný normou ČSN EN ISO/IEC 27001:2014,
- přezkoumání systému, přidělování hesel a přihlašování do systému ze vzdálených lokací,
- přezkoumání Prohlášení o aplikovatelnosti ISMS/SMP,
- přezkoumání nastavení a zdokumentování postupu pro včasnou detekci pokusů o narušení bezpečnosti z oblasti IT,
- přezkoumání pravidelného přezkoumávání účinnosti a ISMS/SMP,
- přezkoumání funkčnosti měření účinnosti zavedených opatření,
- přezkoumání dokumentovaného přezkoumávání hodnocení rizik vč. zbytkových rizik s ohledem na změny v organizaci, identifikované hrozby a účinnost zavedených opatření,
- přezkoumání provádění interních auditů ISMS/SMP,
- přezkoumání zaznamenávání bezpečnostních incidentů, audit zpracování bezpečnostního plánu,
- přezkoumání povinných dokumentovaných postupů.
2) Informační seminář pro vrcholové a střední vedení Vaší organizace a pro řadové pracovníky:
Bude provedeno našimi lektory školení ISMS/SMP, které bude zaměřeno svým obsahem a rozsahem pro střední a vrcholový management vaší organizace a pro řadové pracovníky. Účastníkům školení budou předány OSVĚDČENÍ o účasti na školení. Školení bude probíhat za pomoci vizualizace (dataprojektor, meotar atd.).
3) Etapa tvorby dokumentace ISMS/SMP
Odborný poradce provede zhodnocení a revizi stávající dokumentace vaší organizace a zpracuje relevantní dokumentaci ISMS/SMP za asistence vašich odpovědných pracovníků. Bude zpracována dokumentace ISMS/SMP I., II. a III. vrstvy. Poradce zapracuje připomínky do dokumentů I. - III. vrstvy. Provedeme grafické zpracování a následně provedeme vydání a distribuci dokumentace ve vaší organizaci.
- Příručka ISMS/SMP,
- politika a cíle ISMS/SMP,
- prohlášení ISMS/SMP,
- analýza rizik ISMS/SMP,
- řízení dokumentace ISMS/SMP,
- řízení záznamů ISMS/SMP,
- řízení auditů ISMS/SMP,
- řízení nápravných a preventivních opatření ISMS/SMP, zlepšování,
- směrnice IT,
- registr právních a jiných požadavků,
- směrnice pro poskytování služeb v rozsahu hlavních procesů společnosti včetně monitorování a měření daných procesů,
- řízení informačních aktiv.
4) Implementace požadavků ISMS/SMP
V rámci této etapy vás poradce ve spolupráci s kompetentními pracovníky vaší organizce provede implementační fází, kdy pod vedením poradce budou zpracovány potřebné záznamy dle požadavků ISMS/SMP. V rámci pravidelných návštěv Vás metodicky vedeme v rámci plnění právních a jiných požadavků ISMS/SMP.
- Zpracování a monitorování zdokumentování rozsahu a hranice ISMS/SMP vč. vyjmutí z rozsahu ISMS/SMP, audit politiky ISMS/SMP, analýza metodiky pro vyhledávání a hodnocení rizik ISMS/SMP, audit tvorby a aktualizace registru relevantních právních požadavků souvisejících s ISMS/SMP,
- zpracování a monitorování informačních aktiv vč. jejich vlastníků (garantů) a jejich zdokumentování a určení významnosti aktiv,
- provedení identifikace a zdokumentování existujících hrozeb pro informační aktiva a zranitelnosti, které by mohly být hrozbami využity, analýza zmapování dopadů na aktiva z hlediska ztráty důvěrnosti, integrity a dostupnosti. Posouzení pravděpodobnosti selhání bezpečnosti vč. následků na ztrátu důvěrnosti, integrity a dostupnosti aktiv. Odhad úrovně rizik a analýz, zdali jsou rizika akceptovatelná nebo vyžadují opatření pro jejich minimalizaci,
- nastavení a monitorování identifikace variant pro zvládání rizik jako je aplikace vhodných opatření, vědomé a objektivní akceptování rizik, vyhnutí se rizikům či přenesení rizik spojených s činností organizace na třetí strany,
- nastavení a monitorování zdokumentování cílů a opatření dle přílohy A normy ČSN EN ISO/IEC 27001:2014,
- zpracování a monitorování existence souhlasu vedení organizace se zbytkovými riziky, audit existence dokumentovaného povolení z prohlášení,
- nastavení, zpracování, monitorování, formulování, plánování a zvládání rizik požadovaný normou ČSN EN ISO/IEC 27001:2014, ve kterém vedení organizace vymezuje odpovídající činnost vedení, zdroje, odpovědnosti a priority pro ISMS/SMP. Monitorování, zavedení bezpečnostních opatření, sloužící jako nástroje pro zvládání rizik, audit nadefinování jakým způsobem bude probíhat měření účinnosti vybraných opatření,
- nastavení a monitorování realizace programů školení a zvyšování informovanosti ve vztahu k ISMS,
- monitorování systému přidělování hesel a přihlašování do systému ze vzdálených lokací. Monitorování pravidla „prázdného stolu“,
- monitorování existence tzv. "Prohlášení o aplikovatelnosti ISMS" poskytující souhrn rozhodnutí jakým způsobem bude naloženo s identifikovanými riziky,
- zpracování, monitorování, nastavení a zdokumentování postupu pro včasnou detekci pokusů o narušení bezpečnosti z oblasti IT,
- nastavení, zpracování a monitorování pravidelného přezkoumávání účinnosti a ISMS s ohledem na výsledky bezpečnostních auditů, incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech zainteresovaných stran,
- nastavení a monitorování měření účinnosti zavedených opatření,
- nastavení a monitorování dokumentovaného přezkoumávání hodnocení rizik vč. zbytkových rizik s ohledem na změny v organizaci, identifikované hrozby a účinnost zavedených opatření,
- nastavení a monitorování zaznamenávání bezpečnostních incidentů, audit zpracování bezpečnostního plánu.
5) Provedení interních auditů ISMS/SMP
Následně provedeme kompletně interní audity ISMS/SMP dle požadavků ČSN EN ISO 19011 ve spolupráci s jmenovanými interními auditory Vaší organizace. Bude zpracován program auditů, plán interních auditů, auditní dotazník, zpráva z auditu, následně bude proveden kontrolní audit pro uzavření zjištění z interního auditu.
6) Provedení kontrolních auditů s vazbou na kontrolu realizace nápravných a preventivních opatření a konečná kontrola projektu
Poradce provede kontrolní audity pro odstranění neshod a pro realizaci doporučení vydaných poradcem ve spolupráci s kompetentními pracovníky vaší organizace. Provedeme konečnou kontrolu projektu, zpracujeme zprávu o stavu ISMS/SMP - přezkoumání systému.
7) Účast na certifikačním procesu
V této etapě se budeme účastnit auditu prvního a druhého stupně v rámci certifikačního procesu ISMS/SMP a poskytneme odbornou pomoc při obhajobě tohoto systému.
Systém dle ISO 10006 se v současné době akreditovaně necertifikuje. Automaticky Vám vystavíme neakreditovaný certifikát po splnění všech požadavků daného systému.
V případě, že Vás výše uvedený rozsah prací zaujal, rádi Vám zpracujeme nabídku. Kontaktujte nás.
Způsob platby:
Dle dohody - navrhujeme: Platba jedenkrát měsíčně po odvedení výkonu (výpočet: Celkové částky: počet měsíců zavádění systému managementu) či platba po ukončení jednotlivých etap výstavby daného systému managementu. Splatnost faktury 14 - 30 dnů či dle individuální dohody s klientem.
Garance:
V současné době máme 100 % úspěšnost při certifikačních auditech všech systémů.
V případě nedoporučení k certifikaci v rámci certifikačního auditu certifikačním orgánem způsobený zaviněním ze strany Zhotovitele, je dána garance následného bezplatného odstranění neshod s cílem následné úspěšné certifikace, která je podložena poslední splátkou dle výše navrženého způsobu platby.
Předpokládaný rozsah plnění na místě: dle velikosti organizace a složitosti jejích procesů
Předpokládaný rozsah plnění v kanceláři "QEMS" s.r.o.: dle velikosti organizace a složitosti jejích procesů
Předpokládaný termín: dle dohody
