Náš klient, veřejná vzdělávací instituce sice přímo nespadá pod povinnosti zákona o kybernetické bezpečnosti, ale chce s ním být v souladu z důvodu sdílení části informačních a komunikačních služeb s organizacemi, které požadavky plnit musí. Výsledek analýzy má také sloužit jako jeden ze vstupů pro plánování investic. Instituce neměla zavedený systém řízení bezpečnosti informací.
S klientem jsme nejprve projednali a definovali rozsah analýzy v rámci organizační struktury a v rámci IT infrastruktury.
Následně jsme provedli interview s odpovědnými osobami za jednotlivé oblasti. Na základě výsledků z interview jsme vypracovali formulář, ve kterém bylo plnění jednotlivých požadavků vyhlášky č. 82/2018 sb. o kybernetické bezpečnosti ohodnoceno pomocí modelu CMM (Capability Maturity Model), tedy na škále od 0 do 5. Souhrnně jsme pak posoudili nadřazené oblasti, definované jednotlivými paragrafy. V případě neshod byla navržena doporučení, jak jednotlivé neshody řešit. Kromě tohoto formuláře jsme sestavili i Zprávu ze srovnávací analýzy. Ta obsahuje kromě úvodního manažerského shrnutí výsledků i slovní popis stavu jednotlivých oblastí a návrh implementačního plánu včetně navrženého doporučení s prioritami a odpovědnostmi. Organizace pak byla na základě výsledků této analýzy schopna ad-hoc vyřešit základní nedostatky a vytvořit střednědobý a dlouhodobý plán investic do bezpečnosti informací.
