ICT Security Net Guru Link Podnikové systémy Reseller Channel Link

Reklamný panel

KALENDÁR PODUJATÍ

<  Máj 2012  >
 Po  Ut  St  Št  Pi  So  Ne 
   1  2  3  4  5  6
  7  8  910111213
14151617181920
21222324252627
28293031   

SEMINÁR

Reklamný panel
Gity – Výsledkem rychloimplementace je většinou paskvil
Na redakční otázky odpovídá Marek Chlup, senior security consultant, Gity

1) Jak správně a přesně vyčíslit přínosy auditů a zavádění norem ISO?

Exaktní vyčíslení přínosů zavedení ISO norem je obtížné a pro každou organizaci jedinečné. Z pohledu normy ISO 27001 je pro organizaci nejpodstatnější, že je zaveden cyklický systém procesů, které řídí informační bezpečnost. Totéž samozřejmě platí i pro audity. Tím, že pravidelně audituji stav informační bezpečnosti ve své organizaci (nejen procesy IT), jsem schopen minimalizovat případné bezpečnostní hrozby.

Jinak je možné provádět tzv. BIA (Business Impact Anylisys), která je schopna přesně vyjádřit náklady, které mohou organizaci vzniknout při nedostupnosti kritických IT systémů.

2) S jak velkou pracovní i časovou náročností je nutné při zavádění ISO norem počítat?

Zavádíme-li ISO normy v organizaci, která má více než 20 zaměstnanců, je třeba se připravit především v prvních měsících na zvýšenou časovou náročnost. Nešvarem posledních let se stává tzv. rychloimplementace ISO norem, která probíhá tak, že Vám specializovaná firma dodá dokumentaci obecného charakterů, udělá školení pro zaměstnance a zajistí certifikaci u své spřátelené firmy. Tímto způsobem lze „implementovat“ ISO normy v řádu týdnů. Samozřejmě výsledkem je paskvil. Implementujeme-li ISO normu řádně, může to trvat ve velké organizaci klidně i 12 měsíců.

3) Jak obtížné je nasadit ISO normy do prostředí, která s nimi zatím nemají zkušenosti?

Většinou nikterak zásadně. Odpor proti ISO normám pramení z neznalosti. Je-li možnost odpovědným pracovníkům vysvětlit co znamená implementace ISO normy, jsou obavy rozptýleny.

4) Jak výrazný posun v kvalitě bezpečnosti představuje certifikace dle CSN ISO/IEC 27001? Pro koho je vhodná?

Hlavním přínosem ISO normy 27001 je, že zavádí cyklický systém PDCA a na základě dlouhodobých zkušeností jsou hodnoceny nejdůležitější a nejkritičtější komponenty IS/IT. Norma samotná je vhodná pro všechny organizace, které ke své práci využívají výpočetní techniku, tzn., že vlastně pro všechny.

5) Lze smysluplný audit provést i s interními zdroji, nebo je za každých okolností kvůli „provozní slepotě“ využívat externích služeb?

Nejvhodnější forma audit je tzv. kombinovaná, tzn. že na některé činnosti, například analýzu rizik je vhodnější pozvat externího auditora, na audit dodržování pravidel IT provozu je zase vhodnější interní auditor.

Audity a ISO

Joomla Templates and Joomla Extensions by JoomlaVision.Com
 

Pridať komentár


Bezpečnostný kód
Obnoviť