Österreich
Secure Your Business
 

Případová studie: středně velké firmy

Efektivní uplatnění ISO 27001 v malých a středních podnicích

  • Management rizik, povědomí zaměstnanců, využití synergií
  • Silný signál pro důvěru a plus v konkurenčním boji
  • Výhody pro Euro-SOX a Sarbanes Oxley 

Trh mluví jasnou řečí: Prokázání informační bezpečnosti explicitně požaduje stále více zákazníků. Jak lze mezinárodní standard pro bezpečnost ISO 27001 efektivně uplatnit v malých a středních firmách, ukazují tři příklady: Společnosti Selected Services, Fabasoft a CQR Payment Solutions byly úspěšně certifikovány podle ISO 27001 a informují o své cestě od implementace k certifikátu.
ISO 27001 lze aplikovat nezávisle na velikosti: Prostřednictvím analýzy rizik se zjistí individuální potřeby. Malé a střední firmy tak profitují ze štíhlého, efektivního systému.
 

dart

 

Informační bezpečnost explicitně požaduje stále více zákazníků. 

 

Interview s CQR Payment Solutions – 90 zaměstnanců
Interview s Fabasoft Group – 200 zaměstnanců
Interview s Selected Services Ltd. – 50 zaměstnanců

 

 

 

Pane Eckele, jaké byly Vaše motivy pro zavedení informační bezpečnosti podle ISO 27001?

 

"Chtěli jsme vyslat silný signál směrem k důvěře. Outsourcing celého platebního styku je otázkou důvěry. S certifikátem ISO 27001 je CQR průkopníkem v odvětví, což naši klienti velmi dobře přijímají."

  • Měli jste definovány procesy nebo to byl krok do nové oblasti?

"Společnost CQR již procesy definovala podle odvětvového standardu ,Payment Card Industry Certification‘. Požadavky se protínají s požadavky normy ISO 27001, takže jsme mohli využít synergie. Zatímco PCI je zaměřen technicky, profitujeme díky ISO 27001 z organizace bezpečnosti, povědomí o bezpečnosti a bezpečnostních procesů, které kromě dat kreditních karet zahrnují veškeré citlivé informace."

  • Jaké interní výhody má firma z ISO 27001?

"Mnoho procesů bylo v CQR definováno již před certifikací ISO 27001. Ale implementováním systému managementu informační bezpečnosti (ISMS) bylo vše zasazeno do jednotné struktury. Protože jsme dynamická firma se silným růstem a neustálými změnami - i co do počtu zaměstnanců, je získaná přehlednost postupů a úkonů velkou výhodou. Od nového uživatele až po nový software řídí všechny změnové procesy změnový a konfigurační management."

  • Jakou strategii jste sledovali při implementaci a certifikaci?

"Během šestiměsíční fáze implementace jsme povolali poradce, abychom požadavky normy správně interpretovali a účinně realizovali. K tématu management rizik máme na základě odvětví, v kterém se pohybujeme, vlastní firemní znalosti. Navíc jsme mohli využít oddělení pro bezpečnost mateřské společnosti. Sestavení dokumentace byla tvrdá práce, zato jsou nyní běžné náklady na provoz ISMS minimální. Celkově implementaci ISO 27001 hodnotíme jako zisk - jedná se o požadavky, které bychom museli dříve či později stejně realizovat. Po těchto pozitivních zkušenostech plánujeme nechat certifikovat i mateřskou společnost bwin s několika tisíci servery, aby bylo možné dále zlepšovat interní procesy."

  • Jaké výhody přináší ISO 27001 pro dodržování směrnice Euro-SOX?

"Jako společnost ve veřejném zájmu podléhá CQR požadavkům 8. směrnice EU, která stanovuje zavedení vnitřního kontrolního systému. Aspekty IT a informační bezpečnosti směrnice Euro-SOX můžeme přímo odvodit z ISO 27001. Aby bylo možné prověřit účinnost vnitřního kontrolního systému a systému managementu rizik, musejí auditoři podle článku 26 8. směrnice EU jako měřítko aplikovat „mezinárodní standardy“. Dokumentace infrastruktury IT a TK je při tom důležitým aspektem.

 

Výbušný bod se dotýká otázky odpovědnosti vedení organizace. Bez prokazatelné dokumentace existuje osobní ručení vedení podniku a může být sankcionováno jako zavinění v důsledku špatné organizace. I z tohoto hlediska přísluší našemu systému managementu informační bezpečnosti podle ISO 27001 ústřední význam. Certifikát akreditované společnosti jako CIS odpovídá státem uznávanému dokumentu a poskytuje doklad, že IT naší firmy splňuje mezinárodní standardy. Protože dokumentační povinnost požadovaná směrnicí Euro-SOX je v případě certifikovaného (ISO) a tudíž prokazatelně uplatňovaného systému managementu automaticky splněna, jsou odpovědné osoby maximálně ušetřeny osobní odpovědnosti."
 

 


 

Paní Daghoferová, jaké byly Vaše motivy pro zavedení ISMS podle ISO 27001?

 

„Jako poskytovatelé služeb spravujeme citlivé a obchodní údaje klientů. Ty je nutné chránit - prokazatelně, prostřednictvím certifikace. Důvěrný dokument můžete uchovávat v trezoru. Pro komplexní ochranu dat s digitálními, analogovými a mentálními informacemi, uloženými centrálně, lokálně, mobilně a v hlavách zaměstnanců, působí ISO 27001 jako trezor. Účinný systém se strukturou a kontrolními mechanismy. Certifikát je také důležitým základem pro budoucí služby Software as a Service (SaaS)."

  • Jaká část firmy byla certifikována?

„Certifikace proběhla v mateřské společnosti v Linci se 150 zaměstnanci, která je sídlem výpočetního centra a vývoje softwaru. Uvažuje se o rozšíření certifikace ISO 27001 na další pobočky. Obzvlášť zajímavé by to mohlo být v USA, neboť poskytovatelé služeb americkým podnikům podléhajícím povinnosti SOX musejí sami provádět audity SOX. ISO 27000 pokrývá tu část Sarbanes Oxley, která je relevantní z hlediska IT a bezpečnosti."

  • Jaké konkurenční výhody Vám certifikát přináší?

„Vysíláme tím signál a prezentujeme certifikát ISO 27001 na našich webových stránkách, na akcích pro zákazníky a přikládáme jej při výběrových řízeních. CIS jako certifikační společnost má v branži díky důkladné expertíze velmi dobrou pověst.“

  • Měli jste definovány procesy nebo to byl krok do nové oblasti? 

„Celý koncern je certifikován podle ISO 9001 a dokázali jsme integrovat ISO 27001. Rovněž IT a bezpečnostní procesy již byly definovány. Požadavky normy ISO 27001 jsme z velké části už uplatňovali, proto bylo logickým krokem tuto skutečnost zviditelnit certifikací. Dokázali jsme celý systém implementovat bez poradců během osmi měsíců.“

  • Které body bylo nutné vypracovat nově?

„Dokumentaci a příručku bylo nutné zkonkretizovat. Napínavým aspektem bylo uvědomění zaměstnanců, přičemž naše představenstvo bylo díky svému nadšení a angažovanosti pro toto téma velkým vzorem. Noví zaměstnanci absolvují naši akademii, kde se informační bezpečnost stala pevnou součástí. Dále byla zaměstnancům prostřednictvím newsletteru zaslána naše interní bezpečnostní směrnice.

 

To podnítilo silné diskuze a tak nám ústní propagace velmi přispěla při tvorbě povědomí o tématice. Navíc jsme v jídelně vyvěsili střídavě plakáty s bezpečnostními slogany jako „Nedej zlodějům šanci“ nebo „Popadni sluchátko“ (kvůli hlášení incidentů). A v neposlední řadě jsou články o ISO 27001 stále častěji sepisovány v našem interním wiki. Naposledy například záznam o zálohování harddisků s odkazem na normu.“

  • Jak jste realizovali management rizik podle ISO 27001?

„Formou samostudia pomocí literatury a rešerší na Internetu. Kromě toho mám ve firmě potřebné podklady díky kurzu CIS „Manažer IS“. Velkou výzvou bylo sdružit dohromady rizika a opatření. Bylo nutné systematicky posbírat všechny dílky „puzzle“. Tím jsme získali cenný celkový přehled a mohli si být jistí, že jsme nepřehlédli žádné riziko. Jako smysluplný se vykrystalizoval tento proces zpracování: Sepsat rizika, prodiskutovat, zjednodušit. Teprve potom definovat opatření. Tak se zabrání přeplnění systému.“

  • Jakou metodu jste použili pro analýzu rizik?

„Kvalitativní metodu ALARP. Ta nás díky své jednoduché koncepci přesvědčila. V rovnici ,pravděpodobnost výskytu x následek = riziko‘ se nedosazují monetární hodnoty, což by bylo u poškození image obtížné, ale ,školní známky‘. Výsledky se znázorňují graficky jako matrice podle systému semaforu červená-zelená-žlutá. Aby bylo možné měřit účinnost opatření, propojili jsme náš strategický systém ukazatelů přímo s managementem rizik.“

  • Máte nějaký tip pro implementaci ISO 27001?

„Naplánovat si časovou rezervu a neustále se vracet o krok zpět, aby se na systém nahlíželo jako na celek. Platí principy jako: Tak moc, jak je nutné, tak málo, jak je možné. Přeplněný systém v praxi nefunguje. Systém musí být štíhlý a efektivní.“ 

 


 

Pane Röschi, jaké byly Vaše motivy pro zavedení informační bezpečnosti podle ISO 27001?

 

„Informační bezpečnost je pro nás jako poskytovatele pronajímaného softwaru založeného na webu obchodní nutností a není vysoce aktuální pouze v automobilovém průmyslu. Jeden z našich zákazníků, velká subdodavatelská firma, explicitně požadovala certifikaci podle ISO 27001 - preventivně, zatímco sami ještě byli před certifikací.

  • Měli jste definovány procesy nebo to byl krok do nové oblasti?

„Implementace probíhala snadněji a rychleji, než se očekávalo. Především z toho důvodu, že jsme díky našemu obchodnímu vztahu s firmou kótovanou na americké burze již měli ve firmě procesy v souladu se směrnicí SOX. Požadavky ISO 27001 a Sarbanes Oxley se obsahově protínají, proto jsme mohli implementaci ISO 27001 naroubovat přímo na již definované procesy.“

  • Jakou strategii jste sledovali při implementaci a certifikaci?

„Kvůli efektivní realizaci standardů jsme přizvali poradce: Analýzu procesů, přepracování dokumentace, provedení analýzy rizik a klasifikaci dokumentů jsme realizovali s externí pomocí. Tak jsme dokázali implementaci zvládnout za půl roku. Certifikována byla celá pobočka ve Vídni s odděleními vývoj softwaru, podpora a administrace. Jako přípravu na certifikační audit jsme využili stage review společnosti CIS. Pro motivaci zaměstnanců, kteří mají systém trvale uplatňovat, je důležité dosáhnout certifikaci na první pokus.“

  • Jaké interní výhody má firma z ISO 27001?

„Kompletní dokumentace všech procesů znamená transparentnost pro celou firmu. Choulostivé otázky jako postup při odchodu zaměstnanců jsou tak jasně upraveny. Díky managementu incidentů a změn v rámci ISO 27001 jsme zlepšili naše podpůrné procesy a optimalizovali veškeré pracovní toky a použití trouble tickets. Profitujeme tak ze zvýšení efektivnosti a jasně definovaných postupů. Naši zákazníci to pociťují formou kratších reakčních a realizačních dob při zpracování poptávek. Proto pro nás bylo také důležité zpečetit zavedení ISO 27001 certifikátem, abychom interní optimalizaci našich procesů zviditelnili i pro naše zákazníky.“

  • A výhody oproti konkurenci?

„Standardizované procesy, uznávané a prověřené nezávislou certifikační organizací CIS, jsou reálnou konkurenční výhodnou na trhu: Poptávka ze strany našich zákazníků po certifikaci ISO 27001 v minulém roce výrazně vzrostla. Certifikát našim zákazníkům dodává jistotu, že jsme spolehlivým partnerem.“

  • Jak jste realizovali management rizik podle ISO 27001?

„Oblast managementu rizik pro nás byla novinkou, takže jsme tento aspekt realizovali společně s poradcem. Stěžejní body při tom byly smluvní témata, otázky odpovědnosti a další právní záležitosti, neboť otázky zabezpečení proti výpadkům již byly pokryty požadavky směrnice SOX.“

  • Plánujete také certifikaci ISO 20000?

„Ano, je v plánu. A sice jako integrovaný systém s ISO 27001, abychom mohli využít synergie až po kombinované audity. POOL4TOOL již odráží procesy v souladu s ITIL prostřednictvím vlastního ticketing modulu. ISO 20000 umožňuje prokázat shodu s ITIL prostřednictvím certifikátu. Proto usilujeme o certifikaci podle ISO 20000 - další výhodu v mezinárodním konkurenčním boji.“

 
 
CIS - Certification & Information Security Services, s.r.o. T +420 733 180 494 office.cz@cis-cert.com

GDPR VOP