Co je zásadní pro výrobní podnik? Asi tušíte, že to je plynulost výroby a její unikátní postupy. Podívejte se, jak jsme vyřešili noční můru našeho klienta
Co je zásadní pro výrobní podnik? Asi tušíte, že to je plynulost výroby a její unikátní postupy. A přesně to jsou aktiva, které musí takovýto podnik adekvátně střežit. Ukradení výrobních procesů či neudržení výrobních linek v chodu je noční můra i našeho klienta – soukromé organizace z výrobního sektoru. Proto se vedení společnosti rozhodlo zavést Systém řízení bezpečnosti informací neboli ISMS. Jedná se o dokumentovaný systém, ve kterém jsou chráněna definovaná aktiva, jsou řízena rizika bezpečnosti informací a zavedená opatření jsou kontrolována.
Do tohoto rozhodnutí společnost řešila bezpečnost pouze nahodile (v rámci provozu IT) a neexistovala žádná bezpečnostní role. Byla k dispozici základní, spíše provozní, dokumentace informačních a komunikačních systémů, a základní, velmi neaktuální, příručka pro uživatele o práci s výpočetní technikou.
Veškerá spolupráce začala tradiční úvodní schůzkou mezi našimi konzultanty a čerstvě jmenovaným manažerem bezpečnosti informací. Na základě společné schůzky a následné úzké spolupráce jsme vypracovali Rozsah ISMS. Po odsouhlasení Rozsahu vedením organizace jsme se pustili do analýzy rizik. Jejím výsledkem bylo kromě Zprávy z hodnocení rizik i tzv. Prohlášení o aplikovatelnosti definující jednotlivá opatření k implementaci. Následovala GAP analýza zjišťující rozdíl mezi definovaným cílovým stavem a současným stavem v jednotlivých oblastech. Na základě jejích výsledků a výsledků předchozí analýzy rizik jsme zpracovali Plán zvládání rizik, který definuje jednotlivé dílčí projekty, které zajistí implementaci opatření, která dosud v organizaci nebyla zavedena. Paralelně s běžícími projekty jsme přezkoumali stávající dokumentaci a vnitřní předpisy. Část z nich stačilo pouze aktualizovat (primárně provozní IT dokumenty), ale větší část jsme museli nově vytvořit. Po téměř roce jsme provedli interní audit systému ISMS, který následně přezkoumalo vedení. S potěšením jsme došli k závěru, že může dojít k certifikaci systému ISMS. U certifikačního auditu byl přítomen, jako externí poradce klienta, náš konzultant.
Úspěšným certifikačním auditem byl projekt zavádění ISMS dokončen. Vzhledem k tomu, že organizace nemá interního auditora (bylo by to pro ni ekonomicky nevýhodné), provádí nadále NGSS jednou ročně v této organizaci interní audit systému ISMS.