15. Bře 2022

Případová studie: STŘEDNĚ VELKÉ FIRMY

Efektivní implementace ISO 27001 ve firmě Fabasoft

Profil firmy:

Fabasoft je výrobcem standardního softwaru pro elektronickou státní správu (e-government) a související aplikace. Produkty bezpečně a přehledně odrážejí celkový životní cyklus dokumentů: od zaevidování přes zpracování a archivaci až po vymazání. Se svými 200 zaměstnanci v Rakousku, Německu, Švýcarsku, Itálii a USA je Fabasoft dynamickou společností.

Interview: Manažerka kvality a informační bezpečnosti Karen Daghofer

Paní Daghoferová, jaké byly Vaše motivy pro zavedení ISMS podle ISO 27001?

Jako poskytovatelé služeb spravujeme citlivé a obchodní údaje klientů. Ty je nutné chránit - prokazatelně, prostřednictvím certifikace. Důvěrný dokument můžete uchovávat v trezoru. Pro komplexní ochranu dat s digitálními, analogovými a mentálními informacemi, uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců, působí ISO 27001 jako trezor.Účinný systém se strukturou a kontrolními mechanismy. Certifikát je také důležitým základem pro budoucí služby Software as a Service (SaaS).

 

Jaká část firmy byla certifikována?

Certifikace proběhla v mateřské společnosti v Linci se 150 zaměstnanci, která je sídlem výpočetního centra a vývoje softwaru. Uvažuje se o rozšíření certifikace ISO 27001 na další pobočky. Obzvlášť zajímavé by to mohlo být v USA, neboť poskytovatelé služeb americkým podnikům podléhajícím povinnosti SOX musejí sami provádět audity SOX. ISO 27000 pokrývá tu část Sarbanes Oxley, která je relevantní z hlediska IT a bezpečnosti.

Jaké konkurenční výhody Vám certifikát přináší?

Vysíláme tím signál a prezentujeme certifikát ISO 27001 na našich webových stránkách, na akcích pro zákazníky a přikládáme jej při výběrových řízeních. CIS jako certifikační společnost má v branži díky důkladné expertíze velmi dobrou pověst.

Měli jste definovány procesy nebo to byl krok do nové oblasti? 

Celý koncern je certifikován podle ISO 9001 a dokázali jsme integrovat ISO 27001. Rovněž IT a bezpečnostní procesy již byly definovány. Požadavky normy ISO 27001 jsme z velké části už uplatňovali, proto bylo logickým krokem tuto skutečnost zviditelnit certifikací. Dokázali jsme celý systém implementovat bez poradců během osmi měsíců.

Které body bylo nutné vypracovat nově?

Dokumentaci a příručku bylo nutné zkonkretizovat. Napínavým aspektem bylo uvědomění zaměstnanců, přičemž naše představenstvo bylo díky svému nadšení a angažovanosti pro toto téma velkým vzorem. Noví zaměstnanci absolvují naši akademii, kde se informační bezpečnost stala pevnou součástí. Dále byla zaměstnancům prostřednictvím newsletteru zaslána naše interní bezpečnostní směrnice.

To podnítilo silné diskuze a tak nám ústní propagace velmi přispěla při tvorbě povědomí o tématice. Navíc jsme v jídelně vyvěsili střídavě plakáty s bezpečnostními slogany jako „Nedej zlodějům šanci“ nebo „Popadni sluchátko“ (kvůli hlášení incidentů). A v neposlední řadě jsou články o ISO 27001 stále častěji sepisovány v našem interním wiki. Naposledy například záznam o zálohování harddisků s odkazem na normu.

„ISO 27001 působí jako trezor pro komplexní ochranu dat: s digitálními, analogovými a mentálními informacemi - uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců.“  

Manažerka kvality a informační bezpečnosti Karen Daghofer - Fabasoft

Jak jste realizovali management rizik podle ISO 27001?

Formou samostudia pomocí literatury a rešerší na Internetu. Kromě toho mám ve firmě potřebné podklady díky kurzu CIS „Manažer IS“. Velkou výzvou bylo sdružit dohromady rizika a opatření. Bylo nutné systematicky posbírat všechny dílky „puzzle“. Tím jsme získali cenný celkový přehled a mohli si být jistí, že jsme nepřehlédli žádné riziko. Jako smysluplný se vykrystalizoval tento proces zpracování: Sepsat rizika, prodiskutovat, zjednodušit. Teprve potom definovat opatření. Tak se zabrání přeplnění systému.

Jakou metodu jste použili pro analýzu rizik?

Kvalitativní metodu ALARP. Ta nás díky své jednoduché koncepci přesvědčila. V rovnici ,pravděpodobnost výskytu x následek = riziko‘ se nedosazují monetární hodnoty, což by bylo u poškození image obtížné, ale ,školní známky‘. Výsledky se znázorňují graficky jako matrice podle systému semaforu červená-zelená-žlutá. Aby bylo možné měřit účinnost opatření, propojili jsme náš strategický systém ukazatelů přímo s managementem rizik.

Máte nějaký tip pro implementaci ISO 27001?

Naplánovat si časovou rezervu a neustále se vracet o krok zpět, aby se na systém nahlíželo jako na celek. V principu - řídíme se heslem "Tak moc, jak je to nutné, tak málo, jak je možné." Přeplněný systém v praxi nefunguje. Systém musí být štíhlý a efektivní.

Více informací:

 

O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:

ISO 27001 ve firmě CQR Payment Solutions 

Úspěšné zavedení ISO 27001 v Selected Services

Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíteNapište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.

24. Kvě 2022

Minimalizace rizik pro cloudové služby

certifikace ISO 27017

11. Kvě 2022

Bezpečnost a kvalita

Nejvyšší ohodnocení za integraci 27001 / 9001

14. Dub 2022

Nový komplexní pohled na firmu

Integrace ISO 27001 v Siemens IT Solutions & Services

21. Bře 2022

Audity na dálku

Přínosy & rizika

21. Bře 2022

ISO 27001 ve středně velkých firmách – 3

Úspěšné zavedení ISO 27001

07. Bře 2022

ISO 27001 ve středně velkých firmách – 1

Příklady efektivní implementace

02. Čvn 2021

8 tipů proti psychickému stresu

očima lékaře a psychologa

+420 733 180 494