15. Bře 2022

Případová studie: STŘEDNĚ VELKÉ FIRMY

Efektivní implementace ISO 27001 ve firmě Fabasoft

Profil firmy:

Fabasoft je výrobcem standardního softwaru pro elektronickou státní správu (e-government) a související aplikace. Produkty bezpečně a přehledně odrážejí celkový životní cyklus dokumentů: od zaevidování přes zpracování a archivaci až po vymazání. Se svými 200 zaměstnanci v Rakousku, Německu, Švýcarsku, Itálii a USA je Fabasoft dynamickou společností.

Interview: Manažerka kvality a informační bezpečnosti Karen Daghofer

Paní Daghoferová, jaké byly Vaše motivy pro zavedení ISMS podle ISO 27001?

Jako poskytovatelé služeb spravujeme citlivé a obchodní údaje klientů. Ty je nutné chránit - prokazatelně, prostřednictvím certifikace. Důvěrný dokument můžete uchovávat v trezoru. Pro komplexní ochranu dat s digitálními, analogovými a mentálními informacemi, uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců, působí ISO 27001 jako trezor.Účinný systém se strukturou a kontrolními mechanismy. Certifikát je také důležitým základem pro budoucí služby Software as a Service (SaaS).

 

Jaká část firmy byla certifikována?

Certifikace proběhla v mateřské společnosti v Linci se 150 zaměstnanci, která je sídlem výpočetního centra a vývoje softwaru. Uvažuje se o rozšíření certifikace ISO 27001 na další pobočky. Obzvlášť zajímavé by to mohlo být v USA, neboť poskytovatelé služeb americkým podnikům podléhajícím povinnosti SOX musejí sami provádět audity SOX. ISO 27000 pokrývá tu část Sarbanes Oxley, která je relevantní z hlediska IT a bezpečnosti.

Jaké konkurenční výhody Vám certifikát přináší?

Vysíláme tím signál a prezentujeme certifikát ISO 27001 na našich webových stránkách, na akcích pro zákazníky a přikládáme jej při výběrových řízeních. CIS jako certifikační společnost má v branži díky důkladné expertíze velmi dobrou pověst.

Měli jste definovány procesy nebo to byl krok do nové oblasti? 

Celý koncern je certifikován podle ISO 9001 a dokázali jsme integrovat ISO 27001. Rovněž IT a bezpečnostní procesy již byly definovány. Požadavky normy ISO 27001 jsme z velké části už uplatňovali, proto bylo logickým krokem tuto skutečnost zviditelnit certifikací. Dokázali jsme celý systém implementovat bez poradců během osmi měsíců.

Které body bylo nutné vypracovat nově?

Dokumentaci a příručku bylo nutné zkonkretizovat. Napínavým aspektem bylo uvědomění zaměstnanců, přičemž naše představenstvo bylo díky svému nadšení a angažovanosti pro toto téma velkým vzorem. Noví zaměstnanci absolvují naši akademii, kde se informační bezpečnost stala pevnou součástí. Dále byla zaměstnancům prostřednictvím newsletteru zaslána naše interní bezpečnostní směrnice.

To podnítilo silné diskuze a tak nám ústní propagace velmi přispěla při tvorbě povědomí o tématice. Navíc jsme v jídelně vyvěsili střídavě plakáty s bezpečnostními slogany jako „Nedej zlodějům šanci“ nebo „Popadni sluchátko“ (kvůli hlášení incidentů). A v neposlední řadě jsou články o ISO 27001 stále častěji sepisovány v našem interním wiki. Naposledy například záznam o zálohování harddisků s odkazem na normu.

„ISO 27001 působí jako trezor pro komplexní ochranu dat: s digitálními, analogovými a mentálními informacemi - uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců.“  

Manažerka kvality a informační bezpečnosti Karen Daghofer - Fabasoft

Jak jste realizovali management rizik podle ISO 27001?

Formou samostudia pomocí literatury a rešerší na Internetu. Kromě toho mám ve firmě potřebné podklady díky kurzu CIS „Manažer IS“. Velkou výzvou bylo sdružit dohromady rizika a opatření. Bylo nutné systematicky posbírat všechny dílky „puzzle“. Tím jsme získali cenný celkový přehled a mohli si být jistí, že jsme nepřehlédli žádné riziko. Jako smysluplný se vykrystalizoval tento proces zpracování: Sepsat rizika, prodiskutovat, zjednodušit. Teprve potom definovat opatření. Tak se zabrání přeplnění systému.

Jakou metodu jste použili pro analýzu rizik?

Kvalitativní metodu ALARP. Ta nás díky své jednoduché koncepci přesvědčila. V rovnici ,pravděpodobnost výskytu x následek = riziko‘ se nedosazují monetární hodnoty, což by bylo u poškození image obtížné, ale ,školní známky‘. Výsledky se znázorňují graficky jako matrice podle systému semaforu červená-zelená-žlutá. Aby bylo možné měřit účinnost opatření, propojili jsme náš strategický systém ukazatelů přímo s managementem rizik.

Máte nějaký tip pro implementaci ISO 27001?

Naplánovat si časovou rezervu a neustále se vracet o krok zpět, aby se na systém nahlíželo jako na celek. V principu - řídíme se heslem "Tak moc, jak je to nutné, tak málo, jak je možné." Přeplněný systém v praxi nefunguje. Systém musí být štíhlý a efektivní.

Více informací:

 

O zkušenostech s úspěšnou implementací ISO 27001 se dočtete v našich dalších rozhovorech:

ISO 27001 ve firmě CQR Payment Solutions 

Úspěšné zavedení ISO 27001 v Selected Services

Máte otázky k auditům nebo ke vzdělávacím kurzům? Ať již máte zájem o realizaci na dálku či přímo u vás, budeme rádi, pokud se na nás obrátíteNapište nám na office@cis-cert.cz. Věříme, že vaši důvěru nezklameme.

13. Bře 2024

Online kurz: Refreshing kurz pro manažery a auditory IS

2024: jarní termín

06. Bře 2024

Budoucnost AI a vlastnictví dat

Balancování mezi AI, bezpečností informací a vlastnictvím dat - II.část

29. Úno 2024

Ztrácíme kvůli AI kontrolu nad svými daty?

Balancování mezi AI, bezpečností informací a vlastnictvím dat

19. Úno 2024

Norma EN 50600 podporuje udržitelnost

12. Úno 2024

Nově jsme certifikačním orgánem pro EN 50600

Nyní v naší nabídce!

05. Úno 2024

Barometr rizik: kybernetické útoky

Celosvětové riziko číslo 1

12. Led 2024

DORA – Odolnost ve finančním sektoru

Zákon o digitální provozní odolnosti

04. Led 2024

Významné legislativní novinky v oblasti kybernetické bezpečnosti v roce 2024

Zákony a směrnice zabývající se bezpečností informací

16. Lis 2023

TISAX: VDA vydala nový katalog ISA

Nová edice - verze 6

15. Lis 2023

Aktuality týkající se EN 50600

EN 50600 - Design

07. Lis 2023

O normě EN 50600

Vaše otázky - naše odpovědi

29. Zář 2023

CIS Compliance Summit 2023 / část II

Jaký byl ročník 2023/část II.

+420 733 180 494