Usługa ta doprowadza do pozyskania usystematyzowanego systemu zarządzania bezpieczeństwem informacji zgodnego z PN-ISO/IEC 27001, poprzez przeprowadzenie audytu zerowego, przygotowanie dostosowanej do wymagań dokumentacji oraz zaproponowania rozwiązań zgodnie z zapisami § 19 ust. 2 pkt 14 Rozporządzenia Rady Ministrów z dnia 21 maja 2024 r.
Skorzystaj jeśli:
- Nie posiadasz wdrożonej pełnej dokumentacji SZBI
- Audyt bezpieczeństwa wykazał niezgodności w zakresie wdrożenia Systemu
- Twoja dokumentacja z zakresu bezpieczeństwa informacji jest przebudowana
- Procedury znacząco różnią się od stanu faktycznego
- Przepisy RODO wprowadziły bałagan w przyjętych politykach
- Nie wiesz, kto i dlaczego ma odpowiadać za bezpieczeństwo
Zalety usługi:
- Rozwiązania i procedury sprawdzone w praktyce
- Na podstawie kilkuset projektów, wiemy co należy dokładnie zrobić w zakresie Krajowych Ram Interoperacyjności
- Tylko niezbędne dokumenty i zabezpieczenia – w ramach usługi rozpoznamy, które z rozwiązań należy zastosować
Zakres Usługi:
Ustalenia pomiędzy Zamawiającym a Wykonawcą:
- Dokonujemy ustaleń projektu wdrożenia dokumentacji Krajowych Ram interoperacyjności
- Dokonujemy wsparcia w ramach określenia założeń projektowych m.in. celu, wyników, terminów, organizacji projektu, narzędzi określenia ryzyka, zarządzania
Audyt wstępny:
- Weryfikujemy stosowane rozwiązania i procedury spełnienia wymagań rozporządzenia KRI
- Przekazujemy wykryte spostrzeżenia i uwagi do wdrożonych procedur i rozwiązań
- Rozpoznajemy strukturę organizacyjną i procesową organizacji
Projektowanie Systemu Zarządzania Bezpieczeństwem Informacji poprzez następujące procedury i zagadnienia:
- Opracowanie procedury identyfikacji wymagań dla Systemu Zarządzania Bezpieczeństwem Informacji:
- Identyfikacja zainteresowanych stron
- Inwentaryzacja wymagań prawnych, branżowych, umownych i innych wymagań związanych z bezpieczeństwem informacji
- Określenie ról i osób odpowiedzialnych za spełnienie w/w wymagań
- Opracowanie Polityki Bezpieczeństwa Informacji:
- Określenie zakresu Systemu Zarządzania Bezpieczeństwem Informacji
- Opis celów Zarządzania Bezpieczeństwem Informacji
- Przypisanie odpowiedzialności i ról w zakresie utrzymania SZBI
- Przygotowanie Metodyki Szacowania i postępowania z Ryzykiem zgodnie z wymaganiami PN-ISO/IEC 27005
- Opis metodyki
- Określenie sposobu wyliczenia ryzyka
- Opis metod akceptacji poszczególnych wartości ryzyka
- Stworzenie wzoru tabeli szacowania ryzyka, tabeli postępowania z ryzykiem oraz tabel zawierających przykładowe aktywa, zagrożenia i podatności
- Wzór raportu z dokonanego szacowania ryzyka
- Opracowanie deklaracji stosowania, która zawiera opis zastosowania poszczególnych form zabezpieczeń
- Opracowanie Planu postępowania z ryzykiem, zawierającym opis działania z poszczególnym ryzykiem wraz ze szczegółowymi informacjami na temat działań, które mają zostać podjęte
- Przygotowanie procedury audytu wewnętrznego:
- Opis opracowywania planów audytu
- Opis metod przeprowadzania audytów oraz opracowywania raportów
- Wzór rocznego programu audytu wewnętrznego
- Przygotowanie wzoru protokołu z przeglądu SZBI dokonywanego przez kierownictwo
- Przygotowanie procedury działań naprawczych i działań korygujących w ramach wykrytych niezgodności
- Przygotowanie procedur operacyjnych dla zarządzania systemami informatycznymi zawierające:
- Polityki haseł
- Polityki rozwoju systemów informatycznych, zawierające wzór wykazu systemów
- Procedury dot. kopii zapasowych, wraz ze wzorcem zasad ich tworzenia i przechowywania
- Procedury dot. środowiska testowego i eksploatacji systemów wraz z dokumentowaniem zmian, oraz wzorcami dokumentacji dotyczącej infrastruktury teleinformatycznej
- Procedury niszczenia danych i wycofania systemów z eksploatacji
- Procedury zabezpieczenia systemów
- Procedury dot. posługiwania się nośnikami wymiennymi
- Procedury dotyczące pracy w sieci Internet
- Procedury dotyczące serwisu i przeglądu systemów informatycznych
- Procedury dotyczące monitoringu infrastruktury i raportowania funkcjonowania środowiska teleinformatycznego
- Przesłanie zaleceń wykrytych w ramach realizowanego projektu do dalszego wdrażania KRI