Případová studie: STŘEDNĚ VELKÉ FIRMY
Efektivní implementace ISO 27001 ve firmě Fabasoft
Profil firmy:
Fabasoft je výrobcem standardního softwaru pro elektronickou státní správu (e-government) a související aplikace. Produkty bezpečně a přehledně odrážejí celkový životní cyklus dokumentů: od zaevidování přes zpracování a archivaci až po vymazání. Se svými 200 zaměstnanci v Rakousku, Německu, Švýcarsku, Itálii a USA je Fabasoft dynamickou společností.
Interview: Manažerka kvality a informační bezpečnosti Karen Daghofer
Paní Daghoferová, jaké byly Vaše motivy pro zavedení ISMS podle ISO 27001?
Jako poskytovatelé služeb spravujeme citlivé a obchodní údaje klientů. Ty je nutné chránit - prokazatelně, prostřednictvím certifikace. Důvěrný dokument můžete uchovávat v trezoru. Pro komplexní ochranu dat s digitálními, analogovými a mentálními informacemi, uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců, působí ISO 27001 jako trezor.Účinný systém se strukturou a kontrolními mechanismy. Certifikát je také důležitým základem pro budoucí služby Software as a Service (SaaS).
Jaká část firmy byla certifikována?
Certifikace proběhla v mateřské společnosti v Linci se 150 zaměstnanci, která je sídlem výpočetního centra a vývoje softwaru. Uvažuje se o rozšíření certifikace ISO 27001 na další pobočky. Obzvlášť zajímavé by to mohlo být v USA, neboť poskytovatelé služeb americkým podnikům podléhajícím povinnosti SOX musejí sami provádět audity SOX. ISO 27000 pokrývá tu část Sarbanes Oxley, která je relevantní z hlediska IT a bezpečnosti.
Jaké konkurenční výhody Vám certifikát přináší?
Vysíláme tím signál a prezentujeme certifikát ISO 27001 na našich webových stránkách, na akcích pro zákazníky a přikládáme jej při výběrových řízeních. CIS jako certifikační společnost má v branži díky důkladné expertíze velmi dobrou pověst.
Měli jste definovány procesy nebo to byl krok do nové oblasti?
Celý koncern je certifikován podle ISO 9001 a dokázali jsme integrovat ISO 27001. Rovněž IT a bezpečnostní procesy již byly definovány. Požadavky normy ISO 27001 jsme z velké části už uplatňovali, proto bylo logickým krokem tuto skutečnost zviditelnit certifikací. Dokázali jsme celý systém implementovat bez poradců během osmi měsíců.
Které body bylo nutné vypracovat nově?
Dokumentaci a příručku bylo nutné zkonkretizovat. Napínavým aspektem bylo uvědomění zaměstnanců, přičemž naše představenstvo bylo díky svému nadšení a angažovanosti pro toto téma velkým vzorem. Noví zaměstnanci absolvují naši akademii, kde se informační bezpečnost stala pevnou součástí. Dále byla zaměstnancům prostřednictvím newsletteru zaslána naše interní bezpečnostní směrnice.
To podnítilo silné diskuze a tak nám ústní propagace velmi přispěla při tvorbě povědomí o tématice. Navíc jsme v jídelně vyvěsili střídavě plakáty s bezpečnostními slogany jako „Nedej zlodějům šanci“ nebo „Popadni sluchátko“ (kvůli hlášení incidentů). A v neposlední řadě jsou články o ISO 27001 stále častěji sepisovány v našem interním wiki. Naposledy například záznam o zálohování harddisků s odkazem na normu.
„ISO 27001 působí jako trezor pro komplexní ochranu dat: s digitálními, analogovými a mentálními informacemi - uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců.“
Manažerka kvality a informační bezpečnosti Karen Daghofer - Fabasoft
Jak jste realizovali management rizik podle ISO 27001?
Formou samostudia pomocí literatury a rešerší na Internetu. Kromě toho mám ve firmě potřebné podklady díky kurzu CIS „Manažer IS“. Velkou výzvou bylo sdružit dohromady rizika a opatření. Bylo nutné systematicky posbírat všechny dílky „puzzle“. Tím jsme získali cenný celkový přehled a mohli si být jistí, že jsme nepřehlédli žádné riziko. Jako smysluplný se vykrystalizoval tento proces zpracování: Sepsat rizika, prodiskutovat, zjednodušit. Teprve potom definovat opatření. Tak se zabrání přeplnění systému.
Jakou metodu jste použili pro analýzu rizik?
Kvalitativní metodu ALARP. Ta nás díky své jednoduché koncepci přesvědčila. V rovnici ,pravděpodobnost výskytu x následek = riziko‘ se nedosazují monetární hodnoty, což by bylo u poškození image obtížné, ale ,školní známky‘. Výsledky se znázorňují graficky jako matrice podle systému semaforu červená-zelená-žlutá. Aby bylo možné měřit účinnost opatření, propojili jsme náš strategický systém ukazatelů přímo s managementem rizik.
Máte nějaký tip pro implementaci ISO 27001?
Naplánovat si časovou rezervu a neustále se vracet o krok zpět, aby se na systém nahlíželo jako na celek. V principu - řídíme se heslem "Tak moc, jak je to nutné, tak málo, jak je možné." Přeplněný systém v praxi nefunguje. Systém musí být štíhlý a efektivní.
Více informací:
- přehled o certifikaci ISO 27001 naleznete zde: ISO 27001
- nabídku kurzů si můžete prohlédnout na odkazu: Série kurzů Manažer IS dle ISO 27001, Série kurzů Auditor IS dle 27001
O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:
Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíte. Napište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.