15. Bře 2022

Případová studie: STŘEDNĚ VELKÉ FIRMY

Efektivní implementace ISO 27001 ve firmě Fabasoft

Profil firmy:

Fabasoft je výrobcem standardního softwaru pro elektronickou státní správu (e-government) a související aplikace. Produkty bezpečně a přehledně odrážejí celkový životní cyklus dokumentů: od zaevidování přes zpracování a archivaci až po vymazání. Se svými 200 zaměstnanci v Rakousku, Německu, Švýcarsku, Itálii a USA je Fabasoft dynamickou společností.

Interview: Manažerka kvality a informační bezpečnosti Karen Daghofer

Paní Daghoferová, jaké byly Vaše motivy pro zavedení ISMS podle ISO 27001?

Jako poskytovatelé služeb spravujeme citlivé a obchodní údaje klientů. Ty je nutné chránit - prokazatelně, prostřednictvím certifikace. Důvěrný dokument můžete uchovávat v trezoru. Pro komplexní ochranu dat s digitálními, analogovými a mentálními informacemi, uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců, působí ISO 27001 jako trezor.Účinný systém se strukturou a kontrolními mechanismy. Certifikát je také důležitým základem pro budoucí služby Software as a Service (SaaS).

 

Jaká část firmy byla certifikována?

Certifikace proběhla v mateřské společnosti v Linci se 150 zaměstnanci, která je sídlem výpočetního centra a vývoje softwaru. Uvažuje se o rozšíření certifikace ISO 27001 na další pobočky. Obzvlášť zajímavé by to mohlo být v USA, neboť poskytovatelé služeb americkým podnikům podléhajícím povinnosti SOX musejí sami provádět audity SOX. ISO 27000 pokrývá tu část Sarbanes Oxley, která je relevantní z hlediska IT a bezpečnosti.

Jaké konkurenční výhody Vám certifikát přináší?

Vysíláme tím signál a prezentujeme certifikát ISO 27001 na našich webových stránkách, na akcích pro zákazníky a přikládáme jej při výběrových řízeních. CIS jako certifikační společnost má v branži díky důkladné expertíze velmi dobrou pověst.

Měli jste definovány procesy nebo to byl krok do nové oblasti? 

Celý koncern je certifikován podle ISO 9001 a dokázali jsme integrovat ISO 27001. Rovněž IT a bezpečnostní procesy již byly definovány. Požadavky normy ISO 27001 jsme z velké části už uplatňovali, proto bylo logickým krokem tuto skutečnost zviditelnit certifikací. Dokázali jsme celý systém implementovat bez poradců během osmi měsíců.

Které body bylo nutné vypracovat nově?

Dokumentaci a příručku bylo nutné zkonkretizovat. Napínavým aspektem bylo uvědomění zaměstnanců, přičemž naše představenstvo bylo díky svému nadšení a angažovanosti pro toto téma velkým vzorem. Noví zaměstnanci absolvují naši akademii, kde se informační bezpečnost stala pevnou součástí. Dále byla zaměstnancům prostřednictvím newsletteru zaslána naše interní bezpečnostní směrnice.

To podnítilo silné diskuze a tak nám ústní propagace velmi přispěla při tvorbě povědomí o tématice. Navíc jsme v jídelně vyvěsili střídavě plakáty s bezpečnostními slogany jako „Nedej zlodějům šanci“ nebo „Popadni sluchátko“ (kvůli hlášení incidentů). A v neposlední řadě jsou články o ISO 27001 stále častěji sepisovány v našem interním wiki. Naposledy například záznam o zálohování harddisků s odkazem na normu.

„ISO 27001 působí jako trezor pro komplexní ochranu dat: s digitálními, analogovými a mentálními informacemi - uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců.“  

Manažerka kvality a informační bezpečnosti Karen Daghofer - Fabasoft

Jak jste realizovali management rizik podle ISO 27001?

Formou samostudia pomocí literatury a rešerší na Internetu. Kromě toho mám ve firmě potřebné podklady díky kurzu CIS „Manažer IS“. Velkou výzvou bylo sdružit dohromady rizika a opatření. Bylo nutné systematicky posbírat všechny dílky „puzzle“. Tím jsme získali cenný celkový přehled a mohli si být jistí, že jsme nepřehlédli žádné riziko. Jako smysluplný se vykrystalizoval tento proces zpracování: Sepsat rizika, prodiskutovat, zjednodušit. Teprve potom definovat opatření. Tak se zabrání přeplnění systému.

Jakou metodu jste použili pro analýzu rizik?

Kvalitativní metodu ALARP. Ta nás díky své jednoduché koncepci přesvědčila. V rovnici ,pravděpodobnost výskytu x následek = riziko‘ se nedosazují monetární hodnoty, což by bylo u poškození image obtížné, ale ,školní známky‘. Výsledky se znázorňují graficky jako matrice podle systému semaforu červená-zelená-žlutá. Aby bylo možné měřit účinnost opatření, propojili jsme náš strategický systém ukazatelů přímo s managementem rizik.

Máte nějaký tip pro implementaci ISO 27001?

Naplánovat si časovou rezervu a neustále se vracet o krok zpět, aby se na systém nahlíželo jako na celek. V principu - řídíme se heslem "Tak moc, jak je to nutné, tak málo, jak je možné." Přeplněný systém v praxi nefunguje. Systém musí být štíhlý a efektivní.

Více informací:

 

O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:

ISO 27001 ve firmě CQR Payment Solutions 

Úspěšné zavedení ISO 27001 v Selected Services

Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíteNapište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.

25. Lis 2024

6 kroků k úspěšné implementaci ISO 42001

Nová norma pro AI

11. Lis 2024

6 výhod certifikace ISO 42001

Nová norma pro AI

05. Lis 2024

Vyšší bezpečnost s ISO 27001

ISO 27001 zvyšuje bezpečnost informací pro 81 % certifikovaných společností

30. Říj 2024

Společnost CIS udělila první certifikát ISO 42001

Novinky z oblasti AI

18. Říj 2024

CIS Compliance Summit 2024: CISO of the Year

Ocenění pro inovátory, kteří dělají kybernetický život bezpečnější a jednodušší

17. Říj 2024

Jaký byl CIS Compliance Summit 2024

Etika AI zajišťuje infrastrukturu v úzké spolupráci se směrnicemi a certifikačními standardy

27. Zář 2024

World Quantum Readiness Day

26. září 2024 poprvé jako World Quantum Readiness Day

16. Zář 2024

Co Vás čeká – část II.

CIS Compliance Summit 2024

10. Zář 2024

Co Vás čeká – část I.

CIS Compliance Summit 2024

22. Srp 2024

Zpráva o globálních hrozbách 2024

Zjištění, trendy a doporučení

16. Srp 2024

DORA v praxi – díl II.

Technické možnosti a výzvy

07. Srp 2024

DORA v praxi – díl I.

Správa IT a systém řízení rizik

+420 733 180 494