Bezpieczeństwo informacji
Tech-Com doradza w zakresie bezpieczeństwa informacji zgodnie z normą ISO 27000.
Podstawową usługą w zakresie doradztwo i audytu bezpieczeństwa informacji zgodnego z ISO 27000 jest zweryfikowanie w jaki sposób organizacja radzi sobie z informacją i czy informacja jaką posiada jest zgodna z wymogami prawnymi, procedurami wewnętrznymi oraz czy jest odpowiednio zabezpieczona. Z reguły organizacje są bardzo słabo przygotowane z zakresu bezpieczeństwa informacji i w pierwszej kolejności usługa dotyczy doradztwa w zbudowaniu systemu. Większość firm nie posiada klasyfikacji informacji czyli aktywów, nie robi analizy ryzyka pod kątem bezpieczeństwa informacji, nie weryfikuje czy informacja jaka jest przetwarzana jest zgodna z prawem i procedurami oraz nie posiada systemu zarządzania ciągłością działania.
W I Etapie doradztwo w zakresie wdrożenie systemu bezpieczeństwa informacji powinno odpowiedzieć klientowi:
- 1. Co chronić czyli zidentyfikować i zinwentaryzować aktywa.
- 2. Po co chronić czyli odpowiedzieć jakie są wymagania prawne, jakościowe i organizacyjne.
- 3. Jak chronić czyli opracować i wdrożyć polityki bezpieczeństwa.
- 4. Za co chronić czyli określić jakie są niezbędne zasoby do realizacji działań w zakresie bezpieczeństwa informacji.
- 5. Jak zorganizować czyli określić zasoby ludzkie oraz kto i za co odpowiada.
W II Etapie doradztwa w zakresie bezpieczeństwa informacji jest zweryfikowanie czy wdrożony system jest zgodny z normą ISO 27000. Audyt bezpieczeństwa informacji zgodny z normą ISO 27000 obejmuje następujące obszary:
- A.5 Polityka bezpieczeństwa.
- A.6 Organizacja bezpieczeństwa informacji.
- A.7 Zarządzanie aktywami.
- A.8 Bezpieczeństwo zasobów ludzkich.
- A.9 Bezpieczeństwo fizyczne i środowiskowe.
- A.10 Zarządzanie systemami i sieciami.
- A.11 Kontrola dostępu.
- A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych.
- A.13 Zarządzanie incydentami.
- A.14 Zarządzanie ciągłością działania.
- A.15 Zgodność.
Powyższy audyt pozwoli na niezależną i obiektywną ocenę posiadanego systemu bezpieczeństwa informacji oraz powinien przygotować organizację do uruchomienia procedur związanych z certyfikacją bezpieczeństwa.