07. Bře 2022

Případová studie: STŘEDNĚ VELKÉ FIRMY

Efektivní implementace ISO 27001 ve firmě CQR Payment Solutions

Profil firmy:

Poskytovatel platebních služeb online CQR Payment Solutions s 90 zaměstnanci ve Vídni je dceřinou společností přední online sázkové kanceláře bwin. 27 různých platebních metod je poskytováno B2B klientům po celé planetě jako outsourcingová služba. CQR při tom garantuje vysoce bezpečné spojení s finančními ústavy a online obchody.

Interview: Manažer informační bezpečnosti Oliver Eckel - CQR / bwin

Pane Eckele, jaké byly Vaše motivy pro zavedení informační bezpečnosti podle ISO 27001?

Chtěli jsme vyslat silný signál směrem k důvěře. Outsourcing celého platebního styku je otázkou důvěry. S certifikátem ISO 27001 je CQR průkopníkem v odvětví, což naši klienti velmi dobře přijímají.

 

Měli jste definovány procesy nebo to byl krok do nové oblasti?

Společnost CQR již procesy definovala podle odvětvového standardu ,Payment Card Industry Certification‘. Požadavky se protínají s požadavky normy ISO 27001, takže jsme mohli využít synergie. Zatímco PCI je zaměřen technicky, profitujeme díky ISO 27001 z organizace bezpečnosti, povědomí o bezpečnosti a bezpečnostních procesů, které kromě dat kreditních karet zahrnují veškeré citlivé informace.

Jaké interní výhody má firma z ISO 27001?

Mnoho procesů bylo v CQR definováno již před certifikací ISO 27001. Ale implementováním systému managementu informační bezpečnosti (ISMS) bylo vše zasazeno do jednotné struktury. Protože jsme dynamická firma se silným růstem a neustálými změnami - i co do počtu zaměstnanců, je získaná přehlednost postupů a úkonů velkou výhodou. Od nového uživatele až po nový software řídí všechny změnové procesy změnový a konfigurační management.

Jakou strategii jste sledovali při implementaci a certifikaci?

Během šestiměsíční fáze implementace jsme povolali poradce, abychom požadavky normy správně interpretovali a účinně realizovali. K tématu management rizik máme na základě odvětví, v kterém se pohybujeme, vlastní firemní znalosti. Navíc jsme mohli využít oddělení pro bezpečnost mateřské společnosti. Sestavení dokumentace byla tvrdá práce, zato jsou nyní běžné náklady na provoz ISMS minimální. Celkově implementaci ISO 27001 hodnotíme jako zisk - jedná se o požadavky, které bychom museli dříve či později stejně realizovat. Po těchto pozitivních zkušenostech plánujeme nechat certifikovat i mateřskou společnost bwin s několika tisíci servery, aby bylo možné dále zlepšovat interní procesy.

„Implementace ISO 27001 je jednoznačným přínosem. Navíc, jedná se o požadavky, které bychom museli dříve či později stejně uskutečnit.“

Manažer informační bezpečnosti Oliver Eckel  - CQR / bwin

 

Jaké výhody přináší ISO 27001 pro dodržování směrnice Euro-SOX?

Jako společnost ve veřejném zájmu podléhá CQR požadavkům 8. směrnice EU, která stanovuje zavedení vnitřního kontrolního systému. Aspekty IT a informační bezpečnosti směrnice Euro-SOX můžeme přímo odvodit z ISO 27001. Aby bylo možné prověřit účinnost vnitřního kontrolního systému a systému managementu rizik, musejí auditoři podle článku 26 8. směrnice EU jako měřítko aplikovat „mezinárodní standardy“. Dokumentace infrastruktury IT a TK je při tom důležitým aspektem.

Výbušný bod se dotýká otázky odpovědnosti vedení organizace. Bez prokazatelné dokumentace existuje osobní ručení vedení podniku a může být sankcionováno jako zavinění v důsledku špatné organizace. I z tohoto hlediska přísluší našemu systému managementu informační bezpečnosti podle ISO 27001 ústřední význam. Certifikát akreditované společnosti jako CIS odpovídá státem uznávanému dokumentu a poskytuje doklad, že IT naší firmy splňuje mezinárodní standardy. Protože dokumentační povinnost požadovaná směrnicí Euro-SOX je v případě certifikovaného (ISO) a tudíž prokazatelně uplatňovaného systému managementu automaticky splněna, jsou odpovědné osoby maximálně ušetřeny osobní odpovědnosti.

Více informací k ISO 27001:

Nabídku kurzů si můžete prohlédnout zde:

O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:

Fabasoft a jejich pohled na ISO 27001

Úspěšné zavedení ISO 27001 v Selected Services

Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíteNapište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

20. Čvn 2024

Online kurz: Refreshing kurz pro auditory a manažery IS

2024: podzimní termín

13. Čvn 2024

Inovace v oblasti ISO norem

Zahrnutí aspektů změny klimatu do norem pro systémy řízení

28. Kvě 2024

Jaký způsob získávání znalostí je nejúčinnější?

Co očekáváte od dalšího vzdělávání?

20. Kvě 2024

Online kurz: Refreshing kurz pro manažery a auditory IS

2024: nový termín

17. Kvě 2024

Podrobněji o TISAX®: 12 cílů hodnocení

Bezpečnost informací v automobilovém průmyslu

15. Kvě 2024

Podrobněji o TISAX®: tři úrovně hodnocení

Bezpečnost informací v automobilovém průmyslu

02. Kvě 2024

TISAX®: Bezpečnost informací v automobilovém průmyslu

V rychlém pruhu

22. Dub 2024

ISO 42001 – nová norma pro umělou inteligenci

První světový standard pro umělou inteligenci

+420 733 180 494