Analyzovat potřeby Vaší organizace v oblasti řízení bezpečnosti informací.
Analyzovat rizika v oblasti řízení bezpečnosti informací a zmapovat aktiva organizace zapojené do procesu řízení bezpečnosti informací.
Naplánovat udržitelný systém řízení bezpečnosti informací.
Zavést efektivní Politiku řízení bezpečnosti informací a další řídící dokumentaci ve Vaší organizaci.
Doplnit organizační opatření o technická opatření pomáhající prosadit požadavky z Politiky řízení bezpečnosti informací.
Ověřit efektivitu, případně soulad již zavedené Politiky řízení bezpečnosti informací v organizaci.
Navrhnout a implementovat rámec pro udržitelnost souladu s externími požadavky na organizaci.
Podpořit dosažení strategických cílů organizace v oblasti řízení bezpečnosti informací, a to pomocí vytvoření a implementace akčního plánu pro zvýšení úrovně řízení bezpečnosti informací.
Navrhnout a implementovat udržitelný program řízení bezpečnosti informací reflektující externí požadavky strategické a obchodní cíle organizace.
Navrhnout, vytvořit a realizovat vzdělávací cyklus pro zvýšení bezpečnostního povědomí uvnitř organizace, její klienty i další zainteresované strany.
Analýza potřeb organizace v rámci procesu Řízení kontinuity činností.
Ověření již zavedeného procesu Řízení kontinuity činností a návrhy k jeho optimalizaci, či případné návrhy ke zvýšení efektivity.
Podrobného mapování klíčových procesů/produktů organizace a k nim navázaných aktiv.
Navrhnout a následně implementovat Politiku řízení kontinuity činností, jakožto i další organizační opatření.
Navrhnout a vytvořit podpůrné dokumenty pro efektivní zavedení procesu Řízení kontinuity činností v organizaci, zejména Plán kontinuity činností a Plán obnovy, včetně popisů kroků pro navrácení postižených činností do standardního stavu.
Navrhnout navázání procesu Řízení kontinuity činností na další procesy organizace tak, aby byla zajištěna jeho maximální efektivita, zejména pak identifikace závislostí vstupů a výstupů jednotlivých procesů organizace.
Navrhnout složení týmů pro zvládání neočekávaných situací, popsat role a odpovědnosti v rámci procesu Řízení kontinuity činností.
Navrhnout a sestavit plán testování jednotlivých Plánů kontinuity a Plánů obnovy tak, aby byl zajištěn efektivní a udržitelný cyklus testování.
Vyhodnotit jednotlivé výsledky z testů Plánů kontinuity a plánů obnovy a sestavit akční plán pro zajištění zlepšování procesu řízení kontinuity činností.
Navrhnout, vytvořit a realizovat vzdělávací cyklus pro zvýšení povědomí o procesu řízení kontinuity činností uvnitř organizace a zajistit tak vyšší důvěru pro zainteresované strany.
1. Definice kontextu organizace a působnosti
a. Vymezení zainteresovaných stran
b. Vymezení regulatorních požadavků
c. Určení cílů organizace
2. Posouzení zavedeného Systému řízení bezpečnosti informací
a. Posouzení rozsahu a cílů Systému řízení bezpečnosti informací ve vztahu ke kontextu organizace
b. Bezpečnostní politika organizace
c. Zavedení Systému řízení bezpečnosti informací do každodenních činností organizace
3. Posouzení řízení aktiv organizace
a. Posouzení metodiky pro řízení aktiv v organizaci
b. Identifikace a provázání primárních aktiv
c. Identifikace a provázání podpůrných aktiv
4. Posouzení řízení rizik v organizaci
a. Posouzení metodiky pro řízení rizik v organizaci
b. Kontrola aktuální analýzy rizik a jejich výstupů
c. Kontrola Plánu zvládání rizik
5. Posouzení organizační bezpečnosti v organizaci
a. Posouzení politiky organizační bezpečnosti v organizaci
b. Kontrola alokace zdrojů potřebných k dosažení cílů stanovených v Systému řízení bezpečnosti informací
c. Zajištění obsazení bezpečnostní role Manažera kybernetické bezpečnosti, její práv a povinností
d. Zajištění Plánů kontinuity činností a zvládání kybernetických bezpečnostních incidentů
e. Kontrola jmenování členů Výboru pro řízení kybernetické bezpečnosti
6. Posouzení řízení dodavatelů v organizaci
a. Posouzení metodiky pro řízení dodavatelů v organizaci
b. Seznámení dodavatelů s jejich povinnostmi
c. Posouzení řízení rizik dodavatelů
7. Posouzení bezpečnosti lidských zdrojů
a. Posouzení metodiky pro řízení bezpečnosti lidských zdrojů v organizaci
b. Posouzení plánu na zvyšování bezpečnostního povědomí v organizaci
c. Posouzení pravidel pro porušení bezpečnostních politik ze strany zaměstnanců organizace
8. Posouzení řízení provozu a komunikací
a. Posouzení metodiky pro řízení provozu a komunikací v organizaci
b. Posouzení pravidel a postupů pro ochranu informací a dat v průběhu celého životního cyklu
c. Posouzení pravidel a postupů pro zajištění bezpečnosti síťových služeb
d. Kontrola oddělených prostředí pro vývoj, test a provoz
9. Posouzení řízení změn
a. Posouzení metodiky pro řízení změn v organizaci
b. Kontrola zajištění přiměřeného posouzení v rámci hodnocení změn a významných změn z pohledu kybernetické bezpečnosti
10. Posouzení řízení přístupu
a. Posouzení metodiky pro řízení přístupu v organizaci
b. Kontrola zavedení pravidla neslučitelnosti rolí
c. Kontrola změn reflektujících změny pozic zaměstnanců organizace
d. Kontrola zajištění mobilních zařízení z hlediska přístupu
11. Posouzení akvizice, vývoje a údržby
a. Posouzení metodiky pro akvizici, vývoj a údržbu v organizaci
b. Posouzení bezpečnostních požadavků reflektujících kontext organizace v rámci akvizice, vývoje a údržby
c. Posouzení výsledků bezpečnostního testování významných změn před zavedením do provozu
12. Posouzení procesu zvládání kybernetických bezpečnostních událostí a incidentů
a. Posouzení metodiky pro zvládání kybernetických bezpečnostních událostí a incidentů v organizaci
b. Posouzení odpovědností a postupů v rámci:
i. detekce a vyhodnocování kybernetických bezpečnostních událostí a incidentů
ii. koordinace a zvládání kybernetických bezpečnostních incidentů
c. Posouzení záznamů o kybernetických bezpečnostních incidentech, jejich šetření a o jejich zvládání
13. Posouzení řízení kontinuity činností
a. Posouzení metodiky pro řízení kontinuity činností v organizaci
b. Posouzení plánů testů BCP a DRP reflektujících kontext organizace
14. Posouzení procesu auditu kybernetické bezpečnosti
a. Posouzení metodiky pro audit kybernetické bezpečnosti v organizaci
b. Posouzení akčních plánů auditů a plán auditů
15. Posouzení fyzické bezpečnosti organizace
a. Posouzení metodiky pro fyzickou bezpečnost v organizaci
b. Posouzení rozsahu bezpečnostního perimetru reflektujícího kontext organizace
16. Posouzení bezpečnosti komunikačních sítí
a. Posouzení metodiky pro bezpečnost komunikačních sítí v organizaci
b. Posouzení zajištění integrity a důvěryhodnosti přenášených dat v komunikační síti, zejména při vzdáleném přístupu, nebo při využití bezdrátových technologií
17. Posouzení správy a ověřování identit a přístupových oprávnění
a. Posouzení metodiky pro správu a ověřování identit a přístupových oprávnění v organizaci
b. Kontrola nástroje pro správu a ověření identity uživatelů
c. Posouzení více faktorové autentizace uživatelů, nebo odpovídající zabezpečení
d. Posouzení pravidel pro hesla uživatelů
18. Posouzení ochrany před škodlivým kódem
a. Posouzení metodiky pro ochranu před škodlivým kódem v organizaci
b. Posouzení aplikované přiměřené ochrany na podpůrných aktivech zpracovávajících informace organizace s ohledem na kontext organizace
19. Posouzení procesu zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů
a. Posouzení metodiky pro zaznamenávání událostí informačního a komunikačního systému, jeho uživatelů a administrátorů
b. Posouzení událostí, které se zaznamenávají s ohledem na kontext organizace
20. Posouzení detekce kybernetických bezpečnostních událostí v organizaci
a. Posouzení metodiky pro detekci kybernetických bezpečnostních událostí v organizaci
b. Posouzení úrovně zavedení detekce kybernetických bezpečnostních událostí v organizaci
21. Posouzení aplikační bezpečnosti v organizaci
a. Posouzení metodiky pro aplikační bezpečnost
b. Posouzení výsledků bezpečnostních testů aplikací před zavedením do provozního prostředí
22. Posouzení kryptografických prostředků
a. Posouzení metodiky pro použití kryptografických prostředků v organizaci
b. Posouzení PKI organizace
23. Posouzení zajišťování úrovně dostupnosti informací
a. Posouzení metodiky pro zajišťování úrovně dostupnosti v organizaci
b. Posouzení požadavků dostupnosti reflektujících kontext organizace
c. Posouzení testů ohledně dostupnosti informací organizace
24. Posouzení bezpečnostní dokumentace
a. Posouzení metodiky pro tvorbu bezpečnostní dokumentace organizace
b. Posouzení dostupnosti a aktuálnosti bezpečnostní dokumentace
c. Posouzení ochrany bezpečnostní dokumentace z pohledu důvěrnosti a integrity