ISO 27001/ ISO 10006

Již více jak 8 let stavíme systémy managementu bezpečnosti a informací (dále jen ISMS) dle normy ČSN ISO/IEC 27001 a výstavbu systému managementu projektu dle ČSN ISO 10006 Systémy managementu jakosti - Směrnice pro management jakosti projektů (dále jen SMP) kvalitně s vysokou přidanou hodnotou pro Vaší organizaci obecná charakteristika naší práce.
Při výstavbě systému vycházíme ze základních všeobecných principů systému ISMS a SMP.

Na začátku naší spolupráce Vám automaticky vystavíme OSVĚDČENÍ O ZAHÁJENÍ SPOLUPRÁCE:

ISO 27001
ISO 27001

 

ISO 10006
ISO 10006

 

Etapa: Výstavba ISMS/SMP dle ČSN ISO/IEC 27001 a/ nebo ČSN ISO 10006 – spolupráce do získání certifikátu

Etapy výstavby:

1) Úvodní přezkoumání ISMS/ SMP 

Celkové prověření stavu ISMS ve Vaší organizaci, zpracování analýzy rizik, vypracování zprávy z úvodního přezkoumání daného systému, ve které budou dány doporučení z realizaci nutných činností z dosažení shody s požadavky příslušné normy a s legislativními a jinými požadavky a specifikování rozhodujících neshod mezi stávajícím systémem a požadavky norem řady ISMS/SMP.

Úvodní přezkoumání bude probíhat v rozsahu:

  • přezkoumání zdokumentování rozsahu a hranice ISMS vč. vyjmutí z rozsahu ISMS, přezkoumání politiky ISMS, kontrola nastavení stávající metodiky pro vyhledávání a hodnocení rizik ISMS, přezkoumání relevantnosti registru relevantních právních požadavků souvisejících s ISMS
  • přezkoumání informačních aktiv vč. jejich vlastníků (garantů) a jejich zdokumentování a určení významnosti aktiv. přezkoumání existujících hrozeb pro informační aktiva a zranitelnosti, které by mohly být hrozbami využit, přezkoumání zmapování dopadů na aktiva z hlediska ztráty důvěrnosti, integrity a dostupnosti. Přezkoumání posouzení pravděpodobnosti selhání bezpečnosti vč. následků na ztrátu důvěrnosti, integrity a dostupnosti aktiv. Přezkoumání odhadu úrovně rizik a analýza, zdali jsou rizika akceptovatelná nebo vyžadují opatření pro jejich minimalizaci
  • přezkoumání stavu identifikace variant pro zvládání rizik
  • analýza cílů a opatření dle  přílohy A normy ČSN ISO/IEC 27001:2006
  • přezkoumání existence souhlasu vedení organizace se zbytkovými riziky
  • přezkoumání stavu zvládání rizik požadovaný normou ČSN ISO/IEC 27001:2006
  • přezkoumání systému, přidělování hesel a přihlašování do systému ze vzdálených lokací
  • přezkoumání Prohlášení o aplikovatelnosti ISMS,
  • přezkoumání nastavení a zdokumentování postupu pro včasnou detekci pokusů o narušení bezpečnosti z oblasti IT
  • přezkoumání pravidelného přezkoumávání účinnosti a ISMS
  • přezkoumání funkčnosti měření účinnosti zavedených opatření
  • přezkoumání dokumentovaného přezkoumávání hodnocení rizik vč. zbytkových rizik s ohledem na změny v organizaci, identifikované hrozby a účinnost zavedených opatření
  • přezkoumání provádění interních audity ISMS
  • přezkoumání zaznamenávání bezpečnostních incidentů, audit zpracování bezpečnostního plánu
  • přezkoumání povinných dokumentovaných postupů

2) Informační seminář  pro vrcholové a střední vedení Vaší organizace a pro řadové pracovníky:

Bude provedeno našimi lektory školení ISMS, které bude zaměřeno svým obsahem a rozsahem pro střední a vrcholový management vaší organizace a pro řadové pracovníky. Účastníkům školení budou předány a OSVĚDČENÍ o účasti na školení. Školení bude probíhat za pomoci vizualizace (dataprojektor, meotar atd.).

3) Etapa tvorby dokumentace ISMS/ SMP

Odborný poradce provede zhodnocení a revizi stávající dokumentace vaší organizace a zpracuje relevantní dokumentaci ISMS/SMP za asistence vašich odpovědných pracovníků. Bude zpracována dokumentace ISMS/SMP I., II. a III. vrstvy. Poradce zapracuje připomínky do dokumentů I. - III. vrstvy. Provedeme grafické zpracování a následně provedeme vydání a distribuci dokumentace ve vaší organizaci.

  • příručka ISMS
  • politika a cíle ISMS
  • prohlášení ISMS
  • analýza rizik ISMSM
  • řízení dokumentace ISMS
  • řízení záznamů ISMS
  • řízení auditů ISMS
  • řízení nápravných a preventivních opatření ISMS, zlepšování
  • směrnice IT
  • registr právních a jiných požadavků
  • směrnice pro poskytování služeb v rozsahu hlavních procesů společnosti včetně monitorování a měření daných procesů
  • řízení informačních aktiv

4) Implementace požadavků ISMS/ SMP

V rámci této etapy vás poradce ve spolupráci s kompetentními pracovníky vaší organizce provede implementační fází, kdy pod vedením poradce budou zpracovány potřebné záznamy dle požadavků ISMS/ SMP. V rámci pravidelných návštěv Vás metodicky vedeme v rámci plnění právních a jiných požadavků ISMS/ SMP.

  • zpracování a monitorování zdokumentování rozsahu a hranice ISMS vč. vyjmutí z rozsahu ISMS, audit politiky ISMS, analýza metodiky pro vyhledávání a hodnocení rizik ISMS, audit tvorby a aktualizace registru relevantních právních požadavků souvisejících s ISMS
  • zpracování a monitorování informačních aktiv vč. jejich vlastníků (garantů) a jejich zdokumentování a určení významnosti aktiv
  • provedení identifikace a zdokumentovanání existujících hrozeb pro informační aktiva a zranitelnosti, které by mohly být hrozbami využity, analýza zmapování dopadů na aktiva z hlediska ztráty důvěrnosti, integrity a dostupnosti. Posouzení pravděpodobnosti selhání bezpečnosti vč. následků na ztrátu důvěrnosti, integrity a dostupnosti aktiv. Odhad úrovně rizik a analýza, zdali jsou rizika akceptovatelná nebo vyžadují opatření pro jejich minimalizaci
  • nastavení a monitorování identifikace variant pro zvládání rizik jako je aplikace vhodných opatření, vědomé a objektivní akceptování rizik, vyhnutí se rizikům či přenesení rizik spojených s činností organizace na třetí strany
  • nastavení a monitorování zdokumentování cílů a opatření dle  přílohy A normy ČSN ISO/IEC 27001:2006
  • zpracování a monitorování existence souhlasu vedení organizace se zbytkovými riziky, audit existence dokumentovaného povolení z prohlášení
  • nastavení, zpracování, monitorování, formulování, plánování a zvládání rizik požadovaný normou ČSN ISO/IEC 27001:2006, ve kterém vedení organizace vymezuje odpovídající činnost vedení, zdroje, odpovědnosti a priority pro ISMS. Monitorování, zavedení bezpečnostních opatření, sloužící jako nástroje pro zvládání rizik, audit nadefinování jakým způsobem bude probíhat měření účinnosti vybraných opatření
  • nastavení a monitorování realizace programů školení a zvyšování informovanosti ve vztahu k ISMS
  • monitorování systému přidělování hesel a přihlašování do systému ze vzdálených lokací. Monitorování pravidla „prázdného stolu“
  • monitorování existence tzv. "Prohlášení o aplikovatelnosti ISMS" poskytující souhrn rozhodnutí jakým způsobem bude naloženo s identifikovanými riziky
  • zpracování, monitorování, nastavení a zdokumentování postupu pro včasnou detekci pokusů o narušení bezpečnosti z oblasti IT
  • nastavení, zpracování a monitorování pravidelného přezkoumávání účinnosti a ISMS s ohledem na výsledky bezpečnostních auditů, incidentů, výsledků měření účinnosti opatření, návrhů a podnětů všech zainteresovaných stran
  • nastavení a monitorování měření účinnosti zavedených opatření
  • nastavení a monitorování dokumentovaného přezkoumávání hodnocení rizik vč. zbytkových rizik s ohledem na změny v organizaci, identifikované hrozby a účinnost zavedených opatření
  • nastavení a monitorování zaznamenávání bezpečnostních incidentů, audit zpracování bezpečnostního plánu

5) Provedení interních auditů ISMS/ SMP 

Následně provedeme kompletně interní audity ISMS dle požadavků ČSN EN ISO 19011 ve spolupráci s jmenovanými interními auditory Vaší organizace. Bude zpracován program auditů, plán interních auditů, auditní dotazník, zpráva z auditu, následně bude proveden kontrolní audit pro uzavření zjištění z interního auditu.

6) Provedení kontrolních auditů s vazbou na kontrolu realizace nápravných a preventivních opatření a konečná kontrola projektu

Poradce provede kontrolní audity pro odstranění neshod a pro realizaci doporučení vydaných poradcem ve spolupráci s kompetentními pracovníky vaší organizace. Provedeme konečnou kontrolu projektu, zpracujeme zprávu o stavu ISMS/ SMP- přezkoumání systému.

7) Účast na certifikačním procesu

V této etapě se budeme účastnit auditu prvního a druhého stupně v rámci certifikačního procesu ISMS a poskytneme odbornou pomoc při obhajobě tohoto systému.

Systém dle ISO 10006 se v současné době akreditovaně necertifikuje. Automaticky Vám vystavíme neakreditovaný certifikát po splnění všech požadavků daného systému.

V případě, že Vás výše uvedený rozsah prací zaujal, rádi Vám zpracujeme nabídku. Kontaktujte nás.

Způsob platby:

Dle dohody - navrhujeme: Platba jedenkrát měsíčně po odvedení výkonu (výpočet: Celkové částka: počet měsíců zavádění systému managementu) či platba po ukončení jednotlivých etap výstavby daného systému managementu. Splatnost faktury 14 - 30 dnů či dle individuální dohody s klientem.

Garance:

V současné době máme 100% úspěšnost při certifikačních auditech všech systémů.

V případě nedoporučení k certifikaci v rámci certifikačního auditu certifikačním orgánem způsobený zaviněním ze strany Zhotovitele, je dána garance následného bezplatného odstranění neshod s cílem následné úspěšné certifikace, která je podložena poslední splátkou dle výše navrženého způsobu platby.

 

Předpokládaný rozsah plnění na místě: dle velikosti organizace a složitosti jejích procesů

Předpokládaný rozsah plnění v kanceláři QEMS s.r.o.: dle velikosti organizace a složitosti jejích procesů

Předpokládaný termín: dle dohody

 

Copyright © 2015 - Všechna práva vyhrazena.

Webovou stránku vytvořilo StudioArt.cz