Usługa ta doprowadza do pozyskania usystematyzowanego systemu ochrony danych osobowych poprzez przeprowadzenie audytu zerowego i przygotowanie dostosowanej do wymagań dokumentacji spełniającej wymagania ogólnego rozporządzenia unijnego.
Skorzystaj jeśli:
- Nie posiadasz wdrożonej pełnej dokumentacji SZBI;
- Audyt bezpieczeństwa wykazał niezgodności w zakresie wdrożenia Systemu;
- Twoja dokumentacja z zakresu bezpieczeństwa informacji jest przebudowana;
- Procedury znacząco różnią się od stanu faktycznego;
- Przepisy RODO wprowadziły bałagan w przyjętych politykach;
- Nie wiesz, kto i dlaczego ma odpowiadać za bezpieczeństwo;
- W informatyce panuje nieporządek i są problemy z komunikacją.
Zalety usługi:
- Rozwiązania i procedury sprawdzone w praktyce;
- Na podstawie kilkuset projektów, wiemy co należy dokładnie zrobić w zakresie Krajowych Ram Interoperacyjności;
- Dokumenty opisane poniżej przeszły pozytywnie certyfikację z zakresu PN-ISO/IEC 27001;
- Tylko niezbędne dokumenty i zabezpieczenia – w ramach usługi rozpoznamy, które z rozwiązań należy zastosować.
Zakres Usługi
Ustalenia pomiędzy zamawiającym a wykonawcą:
- Dokonujemy ustaleń projektu wdrożenia dokumentacji Krajowych Ram interoperacyjności;
- Dokonujemy wsparcia w ramach określenia założeń projektowych m.in. celu, wyników, terminów, organizacji projektu, narzędzi określeniu ryzyka, zarządzania.
Audyt wstępny
- Weryfikujemy stosowane rozwiązania i procedury spełnienie wymagań rozporządzenia KRI;
- Przekazujemy wykryte spostrzeżenia i uwagi do wdrożonych procedur i rozwiązań;
- Rozpoznajemy strukturę organizacyjną i procesową organizacji;
Projektowanie systemu zarządzania bezpieczeństwem informacji poprzez następujące procedury i zagadnienia:
- Opracowanie procedury identyfikacji wymagań dla Systemu Zarządzania Bezpieczeństwem Informacji
- Identyfikacja zainteresowanych stron;
- Inwentaryzacja wymagań prawnych, branżowych, umownych i innych wymagań związanych z bezpieczeństwem informacji;
- Określenie ról i osób odpowiedzialnych za spełnienie w/w wymagań.
- Opracowanie Polityki Bezpieczeństwa Informacji
- Określenie Zakresu Systemu Zarządzania Bezpieczeństwem Informacji;
- Opis celów zarządzania bezpieczeństwem informacji;
- Przypisanie odpowiedzialności i ról w zakresie utrzymywania SZBI.
- Przygotowanie Metodyki Szacowania i Postępowania z Ryzykiem zgodnie z wymaganiami PN-ISO/IEC 27005.
- Opis metodyki;
- Określenie sposobu wyliczenia ryzyka;
- Opis metod akceptacji poszczególnych wartości ryzyka;
- Stworzenie wzoru tabeli szacowania ryzyka, tabeli postępowania z ryzykiem, tabele zawierają przykładowe aktywa, zagrożenia i podatności;
- Wzór raportu z dokonanego szacowania ryzyka.
- Opracowanie Deklaracji stosowania, która zawiera opis zastosowania poszczególnych form zabezpieczeń zgodnie z Załącznikiem A normy PN-ISO/IEC 27001:2014-12.
- Opracowanie Planu postępowania z ryzykiem, zawierający opis działania z poszczególnym ryzykiem wraz z szczegółowymi informacjami na temat działań, które mają zostać podjęte.
- Przygotowanie procedury audytu wewnętrznego:
- Opis opracowywania planów audytu;
- Opis metod przeprowadzania audytów oraz opracowywania raportów;
- Dodatkowo dołączony wzór rocznego programu audytu wewnętrznego.
- Przygotowanie wzoru protokołu z przeglądu SZBI dokonywanego przez kierownictwo.
- Przygotowanie procedury działań naprawczych i działań korygujących w ramach wykrytych niezgodności.
- Przygotowanie Procedur Operacyjnych dla zarządzania systemami informatycznymi zawierające:
- Polityki haseł;
- Polityki rozwoju systemów informatycznych, zawierające wzór wykazu systemów;
- Procedury dot. kopii zapasowych, wraz z wzorcem zasad ich tworzenia i przechowywania;
- Procedury dot. środowiska testowego i eksploatacji systemów wraz z dokumentowaniem zmian wraz z przygotowanymi wzorcami dokumentacji dotyczącej infrastruktury teleinformatycznej;
- Procedury niszczenia danych i wycofania systemów z eksploatacji;
- Procedury zabezpieczenia systemów;
- Procedury dot. posługiwania się nośnikami wymiennymi;
- Procedury dotyczące pracy w sieci Internet.
- Procedury dotyczące serwisu i przeglądu systemów informatycznych;
- Procedury dotyczące monitoringu infrastruktury i raportowania funkcjonowania środowiska teleinformatycznego.
- Przesłanie zaleceń wykrytych w ramach realizowanego projektu do dalszego wdrażania KRI.
Projektowanie systemu zarządzania bezpieczeństwem informacji poprzez następujące procedury i zagadnienia:
- Sprawujemy zdalny nadzór nad stworzoną dokumentacją i zapisami.
- Wspieramy zdalnie w ramach wdrażania procedur systemowych.
- Udzielamy dodatkowych wyjaśnień w ramach pojawiających się pytań i wątpliwości (telefonicznie i mailowo).