15. Bře 2022

Případová studie: STŘEDNĚ VELKÉ FIRMY

Efektivní implementace ISO 27001 ve firmě Fabasoft

Profil firmy:

Fabasoft je výrobcem standardního softwaru pro elektronickou státní správu (e-government) a související aplikace. Produkty bezpečně a přehledně odrážejí celkový životní cyklus dokumentů: od zaevidování přes zpracování a archivaci až po vymazání. Se svými 200 zaměstnanci v Rakousku, Německu, Švýcarsku, Itálii a USA je Fabasoft dynamickou společností.

Interview: Manažerka kvality a informační bezpečnosti Karen Daghofer

Paní Daghoferová, jaké byly Vaše motivy pro zavedení ISMS podle ISO 27001?

Jako poskytovatelé služeb spravujeme citlivé a obchodní údaje klientů. Ty je nutné chránit - prokazatelně, prostřednictvím certifikace. Důvěrný dokument můžete uchovávat v trezoru. Pro komplexní ochranu dat s digitálními, analogovými a mentálními informacemi, uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců, působí ISO 27001 jako trezor.Účinný systém se strukturou a kontrolními mechanismy. Certifikát je také důležitým základem pro budoucí služby Software as a Service (SaaS).

 

Jaká část firmy byla certifikována?

Certifikace proběhla v mateřské společnosti v Linci se 150 zaměstnanci, která je sídlem výpočetního centra a vývoje softwaru. Uvažuje se o rozšíření certifikace ISO 27001 na další pobočky. Obzvlášť zajímavé by to mohlo být v USA, neboť poskytovatelé služeb americkým podnikům podléhajícím povinnosti SOX musejí sami provádět audity SOX. ISO 27000 pokrývá tu část Sarbanes Oxley, která je relevantní z hlediska IT a bezpečnosti.

Jaké konkurenční výhody Vám certifikát přináší?

Vysíláme tím signál a prezentujeme certifikát ISO 27001 na našich webových stránkách, na akcích pro zákazníky a přikládáme jej při výběrových řízeních. CIS jako certifikační společnost má v branži díky důkladné expertíze velmi dobrou pověst.

Měli jste definovány procesy nebo to byl krok do nové oblasti? 

Celý koncern je certifikován podle ISO 9001 a dokázali jsme integrovat ISO 27001. Rovněž IT a bezpečnostní procesy již byly definovány. Požadavky normy ISO 27001 jsme z velké části už uplatňovali, proto bylo logickým krokem tuto skutečnost zviditelnit certifikací. Dokázali jsme celý systém implementovat bez poradců během osmi měsíců.

Které body bylo nutné vypracovat nově?

Dokumentaci a příručku bylo nutné zkonkretizovat. Napínavým aspektem bylo uvědomění zaměstnanců, přičemž naše představenstvo bylo díky svému nadšení a angažovanosti pro toto téma velkým vzorem. Noví zaměstnanci absolvují naši akademii, kde se informační bezpečnost stala pevnou součástí. Dále byla zaměstnancům prostřednictvím newsletteru zaslána naše interní bezpečnostní směrnice.

To podnítilo silné diskuze a tak nám ústní propagace velmi přispěla při tvorbě povědomí o tématice. Navíc jsme v jídelně vyvěsili střídavě plakáty s bezpečnostními slogany jako „Nedej zlodějům šanci“ nebo „Popadni sluchátko“ (kvůli hlášení incidentů). A v neposlední řadě jsou články o ISO 27001 stále častěji sepisovány v našem interním wiki. Naposledy například záznam o zálohování harddisků s odkazem na normu.

„ISO 27001 působí jako trezor pro komplexní ochranu dat: s digitálními, analogovými a mentálními informacemi - uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců.“  

Manažerka kvality a informační bezpečnosti Karen Daghofer - Fabasoft

Jak jste realizovali management rizik podle ISO 27001?

Formou samostudia pomocí literatury a rešerší na Internetu. Kromě toho mám ve firmě potřebné podklady díky kurzu CIS „Manažer IS“. Velkou výzvou bylo sdružit dohromady rizika a opatření. Bylo nutné systematicky posbírat všechny dílky „puzzle“. Tím jsme získali cenný celkový přehled a mohli si být jistí, že jsme nepřehlédli žádné riziko. Jako smysluplný se vykrystalizoval tento proces zpracování: Sepsat rizika, prodiskutovat, zjednodušit. Teprve potom definovat opatření. Tak se zabrání přeplnění systému.

Jakou metodu jste použili pro analýzu rizik?

Kvalitativní metodu ALARP. Ta nás díky své jednoduché koncepci přesvědčila. V rovnici ,pravděpodobnost výskytu x následek = riziko‘ se nedosazují monetární hodnoty, což by bylo u poškození image obtížné, ale ,školní známky‘. Výsledky se znázorňují graficky jako matrice podle systému semaforu červená-zelená-žlutá. Aby bylo možné měřit účinnost opatření, propojili jsme náš strategický systém ukazatelů přímo s managementem rizik.

Máte nějaký tip pro implementaci ISO 27001?

Naplánovat si časovou rezervu a neustále se vracet o krok zpět, aby se na systém nahlíželo jako na celek. V principu - řídíme se heslem "Tak moc, jak je to nutné, tak málo, jak je možné." Přeplněný systém v praxi nefunguje. Systém musí být štíhlý a efektivní.

Více informací:

 

O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:

ISO 27001 ve firmě CQR Payment Solutions 

Úspěšné zavedení ISO 27001 v Selected Services

Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíteNapište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.

04. Srp 2023

Zpráva o globálních hrozbách 2023

Zjištění, trendy a doporučení k opatřením

03. Čvc 2023

Ovládněte nebe

Normy ISO 27017 a ISO 27018

12. Čvn 2023

Mlčenliví hrdinové digitálního světa

Datová centra

22. Kvě 2023

Nechte se hacknout!

Etický hacking jako trend v bezpečnostním průmyslu

10. Kvě 2023

New Work – 8 tipů pro větší bezpečnost

8 tipů pro větší bezpečnost

19. Dub 2023

New Work – potenciál, příležitost

Nové příležitosti, nový potenciál

17. Úno 2023

Den za bezpečnější internet

Safer Internet Day

10. Úno 2023

Nové vedení CIS GmbH

Změny v managementu od 01. 01. 2023

31. Led 2023

Mezinárodní den ochrany osobních údajů

26. Led 2023

Online kurz – Implementace změn ISO 27002:2022

Implementace změn a nových požadavků

10. Lis 2022

Revize norem ISO 27001 a ISO 27002:2022

Co přichází, co odchází a co zůstává?

23. Zář 2022

CIS Compliance Summit 2022

Jaký byl ročník 2022

+420 733 180 494