místo pro obsah
textový blok zarovnaný na střed


ISO 27001

Pravidelně procházíme úspešnými dozorovými audity společnosti TÜV SÜD Czech s.r.o., které dokládají soulad vnitřních procesů s normou ČSN EN ISO 27001:2014. Zavedení a pravidelné udržování systému řízení bezpečnosti informací spolu s managementem kvality jsme již od počátku považovali za strategické rozhodnutí.

Rozvoj IT služeb a jejich plošné využívání ruku v ruce způsobuje zranitelnost jejich uživatelů. Mezi bezpečnostní hrozby patří kybernetická kriminalita, ztráta dat, porušení důvěrnosti informací atd. Ochrana informačního kapitálu je tak dnes již nezbytnou nutností! Poškození a ztráta uložených informací, natož krádež důvěrných dat, by na poskytovatele cloudových služeb mělo nedozírné následky. Proto je nezbytná ochrana všech systémů, které obsahují důležitá data, prostřednictvím systému řízení bezpečnosti informací, známého pod zkratkou ISMS, jehož zavedení je nezbytné pro certifikaci procesů ISO/IEC 27001:2014.

Zde si můžete ověřit platnost našeho certifikátu pro soulad s normou ČSN EN ISO 27001:2014 č. 10.613.145 u certifikační autority.

Přijatá opatření

Opatření přijatá procesy ISO/IEC 27001:2014 odpovídají požadavkům vyhlášky č. 316/2014 Sb., která provádí zákon č. 181/2014 Sb., o kybernetické bezpečnosti a Nařízení Evropského parlamentu a Rady (EU) č. 2016/679, obecné nařízení o ochraně osobních údajů (GDPR).

Bezpečnostní politika

Bezpečnostní politika je pro nás základním a zároveň ústředním strategickým dokumentem zajišťujícím rámec informační bezpečnosti.

Cílem tohoto dokumentu je:

  • zajištění požadované úrovně ochrany dostupnosti, důvěrnosti a integrity informačních aktiv, kdy veškeré významné uživatelské operace nad aktivy jsou jednoznačně identifikovány, bezpečně zaznamenávány a následně vyhodnocovány
  • schopnost detekovat kybernetické bezpečnostní incidenty, a to včetně identifikace původce bezpečnostního incidentu, způsobu narušení bezpečnosti, dopadů a přijmutí příslušných reaktivních bezpečnostních opatření
  • zavedení a řízení bezpečnostních opatření a udržování aktualizované bezpečnostní dokumentace;
  • aplikovat procesní rámec řízení informační bezpečnosti v organizaci

Nastavený procesní systém, který Bezpečnostní politika zastřešuje, je vypracován a auditován v souladu se zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a prováděcími vyhláškami, dále s nařízením Evropského parlamentu a rady EU 2016/679 GDPR a dalšími požadavky, které vyplývají z obecně závazných právních předpisů. Nastavené procesy dále odpovídají vysoké úrovni rizik, která hrozí našim informačním prostředkům a potřebám společnosti v oblasti zpracování a ochrany informací.

Bezpečnostní politika zřizuje funkce Manažera kybernetické bezpečnosti, Architekta kybernetické bezpečnosti a Výboru kybernetické bezpečnosti. Jedná se o odpovědné osoby v rámci organizace, kterým je v příručce ISMS stanoven rozsah jejich kompetencí v oblasti kybernetické bezpečnosti.

Standardy informační bezpečnosti

Cílem tohoto dokumentu je nastavení a kontrola účinného souboru opatření pro naše zaměstnance a externí konzultanty, který minimalizuje rizika ohrožení dostupnosti, důvěrnosti a integrity dat.

Dostupností se dle tohoto dokumentu rozumí zajištění takových procesů a informací, které jsou nezbytné pro splnění našich ročních cílů, společně se zákonnými požadavky.

V tomto dokumentu jsou také definovány procesy řízení aktiv, bezpečnosti lidských zdrojů, fyzické bezpečnosti, řízení komunikací a provozu, kontroly přístupů, přejímání, vývoje a údržby informačních systémů, řízení incidentů informační bezpečnosti a Business Continuity Management.

Příručka ISMS

Příručka ISMS je metodický dokument, který je vytvořen za účelem řízení systému informační bezpečnosti dle ISO/IEC 27001:2014 a slouží jako podklad pro efektivní řízení pravomocí kompetentních osob v systému kybernetické bezpečnosti, tedy Manažera kybernetické bezpečnosti, Architekta kybernetické bezpečnosti, Výboru kybernetické bezpečnosti, Auditora kybernetické bezpečnosti, Garanta aktiva a Technického správce aktiva.

Příručka ISMS je založena na cyklickém modelu PDCA, tedy Plan-Do-Check-Act, který je pravidelně přezkoumáván za účelem zdokonalování nastavených procesů.

Výbor kybernetické bezpečnosti

Výbor kybernetické bezpečnosti je orgánem odpovědným za řízení bezpečnosti informací. Činnosti Výboru kybernetické bezpečnosti spočívají v řízení bezpečnostní strategie, bezpečnostních politik, implementace bezpečnostních opatření, rozpočtu na bezpečnost, bezpečnostních incidentů, vzdělávání a školení v oblasti bezpečnosti a také bezpečnostních kontrol a auditů.

Výbor kybernetické bezpečnosti se skládá z představitelů všech klíčových oddělení, které jsou do poskytování cloudu zapojeny. Výbor je veden Manažerem kybernetické bezpečnosti a je jako celek odpovědný vedení naší obchodní společnosti.