System zarządzania bezpieczeństwem informacji ISO/IEC 27001


Już prawie 300 organizacji, które przygotowaliśmy do certyfikacji pozytywnie przeszło audyt certyfikacyjny. Duże doświadczenie naszych konsultantów gwarantuje skuteczne wdrożenie systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO/IEC 27001 w organizacjach zatrudniających od  jednej do kilkuset osób, we wszystkich branżach. Aby ułatwić wdrożenia przygotowaliśmy autorskie oprogramowanie usprawniające wykonanie koniecznej w tym systemie analizy ryzyka – Certus Risk Analyzer.

Kierując się doświadczeniem proponujemy Państwu najkorzystniejszy, kompleksowy program wdrożenia systemu zarządzania bezpieczeństwem informacji, który za każdym razem dostosowujemy do potrzeb organizacji klienta.

Etap 1 – Diagnoza.

Konsultanci przeprowadzają rozmowy z Kierownictwem i pracownikami, zapoznają się ze strukturą organizacyjną, dokumentacją stosowaną w organizacji, dokonują przeglądu dokumentów dotyczących bezpieczeństwa informacji oraz rozpoznania grup informacji, które podlegają ochronie tj. tajemnic przedsiębiorstwa i innych informacji prawnie chronionych.

Etap 2 – Szkolenie kierownictwa organizacji.

Zaangażowanie Kierownictwa jest podstawą dla prawidłowego funkcjonowania systemu zarządzania bezpieczeństwem informacji. Podczas szkolenia zostają przedstawione zagregowane wyniki diagnozy z uwzględnieniem mocnych i słabych punktów ocenianych obszarów.  Poruszone zostaną podstawowe zagadnienie związane z ochroną danych osobowych. Zostaje ustalony skład Forum Bezpieczeństwa Informacji.

Etap 3 – Szkolenie Managera systemu zarządzania bezpieczeństwem informacji.

Manager (pełnomocnik systemu zarządzania bezpieczeństwem informacji) odpowiada za wdrożenie, utrzymanie i doskonalenie systemu. W czasie trwania projektu jest osobą, która m.in. koordynuje prace przy opracowaniu, zatwierdzaniu, weryfikowaniu i rozpowszechnianiu dokumentacji systemu. Po zakończeniu prac nad wdrożeniem będzie dbał o jej aktualizację, a dodatkowo przygotowywał i nadzorował przebieg audytów wewnętrznych.
Szkolenie może być zrealizowane indywidualnie lub w ramach kursów otwartych. Dodatkowo dla pełnomocników przygotowaliśmy poradnik „Od wdrożenia do certyfikacji”.

Etap 4 – Szkolenie z metodyki analizy ryzyka aktywów.

Przetwarzane aktywa/ informacje powinny zostać sklasyfikowane. Konsultanci wraz z grupą wdrożeniową oceniają ich bezpieczeństwo, czyli m.in. podatność na różnego typu zagrożenia, prawdopodobieństwo wystąpienia zagrożeń i ewentualny ich wpływ na funkcjonowanie organizacji w razie ich utraty lub zniekształcenia.

Etap 5 – Konsultacje przy opracowaniu analizy ryzyka.

Analiza ryzyka jest punktem wyjścia do projektowania systemu bezpieczeństwa informacji w organizacji. Na jej podstawie wdrażane są zabezpieczenia oraz opracowywane plany postępowania z ryzykiem oraz plany ciągłości działania. Konsultanci zapewnią formularze oraz metodykę szacowania ryzyka, które ułatwią i przyspieszą proces tworzenia analizy. W pracach aktywny udział biorą członkowie Forum Bezpieczeństwa Informacji.

Etap 6 – Konsultacje przy tworzeniu polityki bezpieczeństwa.

Konsultanci przy wsparciu ze strony członków grupy wdrożeniowej dokonują uzupełniania dokumentacji systemowej o nowe elementy wymagane w systemie zarządzania bezpieczeństwem informacji, będące w zgodzie z normą ISO/IEC 27001. Wraz z oddelegowanymi do budowania systemu bezpieczeństwa informacji pracownikami organizacji zostanie sformułowana polityka bezpieczeństwa informacji. Konsultanci wspólnie z pracownikami wypracowują potrzebne formularze oparte na metodyce MERITUM, które ułatwią i przyspieszą proces tworzenia dokumentacji.

Dokumentację przygotowują pracownicy organizacji lub na życzenie klienta konsultanci Centrum Doskonalenia Zarządzania Meritum, uzgadniając ją z osobami odpowiedzialnymi za poszczególne obszary.

Etap 7 – Szkolenie audytorów wewnętrznych

Po opracowaniu dokumentacji należy sprawdzić poprawność i stan wdrożenia opisanych w dokumentacji rozwiązań. Zadania te realizowane są przez przeszkolonych pracowników organizacji – audytorów wewnętrznych. Celem szkolenia jest przygotowanie audytorów do praktycznego przeprowadzenia audytów, stąd też zawiera ono szereg ćwiczeń i scenek audytowych. Audytorzy wewnętrzni zapoznawani są z widzą z w zakresie podejścia procesowego przy ocenie systemu zarządzania bezpieczeństwem informacji Po ukończeniu szkolenia audytorzy otrzymują certyfikaty.
Oferujemy również kursy otwarte.

Etap ten nie musi być realizowany, jeżeli klient nie dysponuje osobami mogącymi pełnić funkcję audytora wewnętrznego lub zakłada, że organizacja samodzielnie nie będzie przeprowadzała audytów wewnętrznych. Wówczas rolę audytora wewnętrznego przejmuje konsultant pomagający przy wdrożeniu systemu zarządzania bezpieczeństwem informacji, który zgodnie z planem audytów wewnętrznych przeprowadza audyty w fazie wdrożenia jak również i później, podczas utrzymywania systemu.

Etap 8 – Wdrożenie systemu zarządzania

Etap wdrożenia systemu zarządzania bezpieczeństwem informacji polega na przekazaniu wszystkim pracownikom opracowanej dokumentacji, polityki bezpieczeństwa oraz świadomości dotyczącej ich roli w funkcjonującym systemie. Forma przekazywania informacji dostosowywana jest do zasad panujących w organizacji (spotkania, szkolenia wewnętrzne, broszury, intranet). Coraz większą popularność zdobywają krótkie szkolenia e-learningowe, przygotowywane na bazie dokumentacji klienta, udostępniane wszystkim pracownikom organizacji.

Wdrożenie systemu zarządzania bezpieczeństwem informacji jest to również etap dokonania oceny funkcjonowania systemu i sprawdzenia gotowości do certyfikacji, poprzez przeprowadzenie audytów wewnętrznych, wdrożenie działań korygujących i zapobiegawczych.

Etap 9 – zgłoszenie gotowości do certyfikacji – przegląd zarządzania

Ostatnim etapem wdrożenia jest przeprowadzenie Przeglądu zarządzania. Jest to spotkanie managera ds. systemu zarządzania bezpieczeństwem informacji (pełnomocnika), członków Forum Bezpieczeństwa, pod przewodnictwem osoby zarządzającej organizacją. W spotkaniu przeważnie uczestniczy konsultant pomagając w sprawnym i zgodnym z wymaganiami normy ISO/IEC 27001 jego przeprowadzeniu. Po zakończeniu konsultant pomaga w przygotowaniu Raportu z przeglądu zarządzania.

Etap 10 – Certyfikacja

Etap ten realizowany jest przez wybraną jednostkę certyfikującą. Pomagamy w wyborze firmy certyfikującej. Podczas audytu certyfikującego nie pozostawiamy Klientów bez opieki!

W celu ułatwienia klientom kontaktu z jednostkami certyfikującymi Centrum Doskonalenia Zarządzania Meritum współpracuje jako partner merytoryczny z portalem soscertyfikacja.pl.

Etap 11 – serwisowanie systemu zarządzania bezpieczeństwem informacji

Po otrzymaniu certyfikatu nie zostawiamy naszych klientów samych. Na życzenie pomagamy w utrzymaniu systemu zarządzania bezpieczeństwem informacji: dokonujemy przeglądu analizy ryzyka, szkolimy, audytujemy, przeprowadzamy przegląd systemu przed auditami nadzoru. Nasi konsultanci odpowiadają na każdy telefon i mail od klienta!

Na portalu soscertyfikacja.pl umieszczamy nowe informacje i aktualne wydarzenia ze świata certyfikacji.

Zobacz również:

Poradnik: Jak samodzielnie wdrożyć ISO?”

Szkolenie e-learningowe “Audytor wewnętrzny ISO 27001”

Jeśli jesteś zainteresowany wdrożeniem systemu zarządzania, wyślij do nas swoje pytanie, a nasi konsultanci bezpłatnie przygotują dla Ciebie ofertę!