Usługa ta doprowadza do pozyskania usystematyzowanego systemu zarządzania bezpieczeństwem informacji zgodnego z PN-ISO/IEC 27001, poprzez przeprowadzenie audytu zerowego, przygotowanie dostosowanej do wymagań dokumentacji oraz zaproponowania rozwiązań 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 20212 r.

Skorzystaj jeśli:

Nie posiadasz wdrożonej pełnej dokumentacji SZBI
Audyt bezpieczeństwa wykazał niezgodności w zakresie wdrożenia Systemu
Twoja dokumentacja z zakresu bezpieczeństwa informacji jest przebudowana
Procedury znacząco różnią się od stanu faktycznego
Przepisy RODO wprowadziły bałagan w przyjętych politykach
Nie wiesz, kto i dlaczego ma odpowiadać za bezpieczeństwo

Zalety usługi:

Rozwiązania i procedury sprawdzone w praktyce
Na podstawie kilkuset projektów, wiemy co należy dokładnie zrobić w zakresie Krajowych Ram Interoperacyjności
Tylko niezbędne dokumenty i zabezpieczenia – w ramach usługi rozpoznamy, które z rozwiązań należy zastosować

Zakres Usługi:

Ustalenia pomiędzy Zamawiającym a Wykonawcą:

Dokonujemy ustaleń projektu wdrożenia dokumentacji Krajowych Ram interoperacyjności
Dokonujemy wsparcia w ramach określenia założeń projektowych m.in. celu, wyników, terminów, organizacji projektu, narzędzi określenia ryzyka, zarządzania

Audyt wstępny:

Weryfikujemy stosowane rozwiązania i procedury spełnienia wymagań rozporządzenia KRI
Przekazujemy wykryte spostrzeżenia i uwagi do wdrożonych procedur i rozwiązań
Rozpoznajemy strukturę organizacyjną i procesową organizacji

Projektowanie Systemu Zarządzania Bezpieczeństwem Informacji poprzez następujące procedury i zagadnienia:

Opracowanie procedury identyfikacji wymagań dla Systemu Zarządzania Bezpieczeństwem Informacji:
1. Identyfikacja zainteresowanych stron
2. Inwentaryzacja wymagań prawnych, branżowych, umownych i innych wymagań związanych z bezpieczeństwem informacji
3. Określenie ról i osób odpowiedzialnych za spełnienie w/w wymagań
Opracowanie Polityki Bezpieczeństwa Informacji:
1. Określenie zakresu Systemu Zarządzania Bezpieczeństwem Informacji
2. Opis celów Zarządzania Bezpieczeństwem Informacji
3. Przypisanie odpowiedzialności i ról w zakresie utrzymania SZBI
Przygotowanie Metodyki Szacowania i postępowania z Ryzykiem zgodnie z wymaganiami PN-ISO/IEC 27005
1. Opis metodyki
2. Określenie sposobu wyliczenia ryzyka
3. Opis metod akceptacji poszczególnych wartości ryzyka
4. Stworzenie wzoru tabeli szacowania ryzyka, tabeli postępowania z ryzykiem oraz tabel zawierających przykładowe aktywa, zagrożenia i podatności
5. Wzór raportu z dokonanego szacowania ryzyka
Opracowanie deklaracji stosowania, która zawiera opis zastosowania poszczególnych form zabezpieczeń
Opracowanie Planu postępowania z ryzykiem, zawierającym opis działania z poszczególnym ryzykiem wraz ze szczegółowymi informacjami na temat działań, które mają zostać podjęte
Przygotowanie procedury audytu wewnętrznego:
1. Opis opracowywania planów audytu
2. Opis metod przeprowadzania audytów oraz opracowywania raportów
3. Wzór rocznego programu audytu wewnętrznego
Przygotowanie wzoru protokołu z przeglądu SZBI dokonywanego przez kierownictwo
Przygotowanie procedury działań naprawczych i działań korygujących w ramach wykrytych niezgodności
Przygotowanie procedur operacyjnych dla zarządzania systemami informatycznymi zawierające:
1. Polityki haseł
2. Polityki rozwoju systemów informatycznych, zawierające wzór wykazu systemów
3. Procedury dot. kopii zapasowych, wraz ze wzorcem zasad ich tworzenia i przechowywania
4. Procedury dot. środowiska testowego i eksploatacji systemów wraz z dokumentowaniem zmian, oraz wzorcami dokumentacji dotyczącej infrastruktury teleinformatycznej
5. Procedury niszczenia danych i wycofania systemów z eksploatacji
6. Procedury zabezpieczenia systemów
7. Procedury dot. posługiwania się nośnikami wymiennymi
8. Procedury dotyczące pracy w sieci Internet
9. Procedury dotyczące serwisu i przeglądu systemów informatycznych
10. Procedury dotyczące monitoringu infrastruktury i raportowania funkcjonowania środowiska teleinformatycznego
Przesłanie zaleceń wykrytych w ramach realizowanego projektu do dalszego wdrażania KRI