Bezpečnost ICT

ICT bezpečnost je nedílnou součástí bezpečné výměny informací mezi uživateli, aplikacemi, informačními a komunikačními technologiemi i technickými komponentami jednotlivých systémů.
Zákazníkům pomáháme nejen s technickým řešením ochrany, ale především s organizační, procesní a metodickou stránkou kybernetické a informační bezpečnosti.

Jsme partnerem Pallo Alto NetworksFirewally nové generace (next-genaration firewall)

Zákazníkům pomáháme s přípravou, zavedením a rozvojem systému managementu bezpečnosti informací — ISMS (Information Security Management System) — podle aktuálních norem ČSN EN ISO/IEC 27001:2023 a ČSN EN ISO/IEC 27002:2023. Norma ČSN EN ISO/IEC 27001:2023 specifikuje požadavky na ustavení, zavedení, udržování a neustálé zlepšování ISMS, včetně posuzování a ošetření rizik informační bezpečnosti.

Norma ČSN EN ISO/IEC 27002:2023 poskytuje soubor opatření informační bezpečnosti a doporučené postupy pro jejich zavádění. Pokrývá nejen kybernetickou bezpečnost, ale také fyzickou bezpečnost, bezpečnost zaměstnanců, řízení přístupů, ochranu informací a vztahy s dodavateli.
Dále připravujeme zákazníky na splnění požadavků aktuálně platné legislativy v oblasti kybernetické bezpečnosti, zejména zákona č. 264/2025 Sb., o kybernetické bezpečnosti, souvisejících prováděcích vyhlášek a požadavků směrnice NIS2. Nová právní úprava zavádí režim vyšších a nižších povinností pro poskytovatele regulovaných služeb a rozšiřuje okruh organizací, na které se povinnosti vztahují.

Způsob realizace

Úvodní přezkoumání zahrnuje ověření aktuálního stavu ISMS v organizaci, vymezení rozsahu systému, zpracování analýzy rizik, návrh doporučených kroků pro dosažení souladu s příslušnými normami, legislativními požadavky a požadavky zákazníka.
Součástí realizace jsou workshopy, připomínkování návrhů, příprava prováděcí dokumentace, návrh opatření a stanovení dalšího postupu. Pomáháme také s implementací bezpečnostních procesů v IT útvaru a s jejich začleněním do běžného provozu organizace.
V případě organizací, na které dopadá zákon č. 264/2025 Sb., podporujeme také určení dopadu regulace, přípravu na ohlášení regulované služby, nastavení odpovědností, bezpečnostních opatření, procesů řízení rizik, hlášení incidentů a dokumentace požadované pro režim vyšších nebo nižších povinností.

Detaily úvodního přezkoumání

• vymezení hranic a rozsahu ISMS,
• definice aktiv, procesů, systémů a služeb zahrnutých do rozsahu ISMS,
• stanovení výjimek z rozsahu ISMS včetně jejich odůvodnění,
• přezkoumání stávajících politik, směrnic a bezpečnostní dokumentace,
• vyhledávání, hodnocení a ošetření rizik informační a kybernetické bezpečnosti,
• identifikace vlastníků aktiv, garantů procesů a odpovědných osob,
• určení významnosti informačních aktiv,
• identifikace hrozeb, zranitelností a možných dopadů,
• posouzení dopadů na důvěrnost, integritu a dostupnost informací,
• hodnocení pravděpodobnosti a závažnosti rizik,
• určení akceptovatelných a neakceptovatelných rizik,
• návrh opatření ke snížení nebo řízení rizik,
• zpracování nebo aktualizace Prohlášení o aplikovatelnosti — SoA,
• posouzení souladu s požadavky ČSN EN ISO/IEC 27001:2023,
• posouzení souladu s požadavky zákona č. 264/2025 Sb., pokud se na organizaci vztahuje,
• návrh postupů pro včasnou detekci, hlášení a řešení bezpečnostních incidentů,
• nastavení pravidel pro řízení dodavatelů a bezpečnost dodavatelského řetězce,
• návrh metrik, monitorování a měření účinnosti bezpečnostních opatření,
• pravidelné přezkoumávání účinnosti ISMS,
• plánování interních auditů ISMS,
• návrh bezpečnostních plánů, plánů kontinuity a návaznosti na BCM.

Tvorba dokumentace

V rámci implementace nebo aktualizace ISMS připravujeme zejména:

  • politiku a cíle ISMS,
  • metodiku řízení rizik,
  • analýzu rizik ISMS,
  • plán zvládání rizik,
  • Prohlášení o aplikovatelnosti — SoA,
  • řízenou dokumentaci ISMS,
  • pravidla řízení záznamů ISMS,
  • plán interních auditů ISMS,
  • dokumentaci pro přezkoumání vedením,
  • řízení nápravných opatření a zlepšování ISMS,
  • postupy pro řízení bezpečnostních incidentů,
  • postupy pro řízení změn,
  • pravidla řízení přístupů,
  • pravidla zálohování a obnovy,
  • pravidla bezpečnosti dodavatelů,
  • pravidla fyzické bezpečnosti,
  • pravidla personální bezpečnosti,
  • pravidla bezpečného provozu IT,
  • bezpečnostní požadavky pro uživatele,
  • bezpečnostní požadavky pro správce systémů,
  • bezpečnostní plán,
  • plán kontinuity činností — BCP/BCM.

After you have typed in some text, hit ENTER to start searching...