IT üzemeltetési és IT biztonsági folyamatok kialakítása
A szolgáltatás eredményeképpen az IT rendszerhez kapcsolódóan kialakításra kerülnek mindazon folyamatok, melyek alkalmazásával az informatika rendszer üzemeltetése, használata megfelelővé válik.
Alkalmazásával az informatika rendszer üzemeltetése, használata megfelelővé válik.
A szervezet méretére, tevékenységére, informatikai rendszerére szabottan meghatározzuk azokat az IT üzemeltetési, felhasználási és mindezekhez kapcsolódó biztonsági folyamatokat, melyek az informatikai rendszer, illetve annak biztonságos használatának megfelelőségéhez a legjobb gyakorlat szerint, valamint a szervezetre vonatkozó ágazati jogszabályok követelményei szerint szükségesek. Erre vonatkozó igény esetén a folyamat kialakítás az ISO27001 szerinti információbiztonság irányítási menedzsment rendszer felkészülést is eredményezheti.
A szolgáltatás eredményeképpen az IT rendszerhez kapcsolódóan kialakításra kerülnek mindazon folyamatok, melyek alkalmazásával az informatika rendszer üzemeltetése, használata megfelelővé válik.
Az IT üzemeltetés és IT biztonsági folyamatok kialakítása az alábbi elemekből tevődik össze
1.
Információbiztonsági keretrendszer kialakítása, bevezetése
A nemzetközileg elfogadott szabványokat alapul véve, valamint a legjobb gyakorlat elve alapján dokumentum alapon elkészítjük az információbiztonsági rendszer magas szintű szabályozó dokumentumait.
A szolgáltatási elem részeként a megrendelővel közösen kialakítjuk az információbiztonsági rendszer működtetéséhez szükséges további speciális dokumentumokat, nyilvántartásokat, működési mérőszámokat.
Eredményként a megrendelő szervezetéhez illeszkedő magasszintű szabályozó elemek kerülnek kialakításra.
2.
Kockázatkezelési keretrendszer kialakítása
A szolgáltatás során kialakítunk egy folyamatalapú kockázatfelmérési, illetve kockázat kezelési keretrendszert, mely alapvetően kitér a megrendelő minden IT és azzal közvetve és közvetlenül kapcsolódó elemére.
A keretrendszer alapja egy általunk kialakított és rendelkezésre álló keretrendszer, melyet a személyes megrendelővel történő egyeztetés során testreszabunk. A keretrendszert úgy alakítjuk ki, hogy kiterjedjen a kockázatkezelés módszertanának meghatározására, valamint a kockázatok felmérésére, elemzésére. Ezt követően meghatározzuk a kockázatkezelési keretrendszer feladatait és a hozzá kapcsolódó felelősségi köröket.
Eredményként a megrendelő szervezetében a saját tevékenységéhez kapcsolódó, releváns, több területen elfogadott keretrendszer kerül kialakításra, mely a gyakorlatban is használható.
3.
Információbiztonsági tudatosságot fejlesztő belső képzés
A megrendelő szervezet szabályozási környezetének, méretének és tevékenységének figyelembe vételével több rétegben, célcsoportokra bontva kialakítjuk az információbiztonsági képzések oktatási anyagát. Külön képzési anyagot készítünk a végfelhasználók, illetve az IT üzemeltetők részére. Az információbiztonsági tudatossági képzés minden célcsoport részére egységesen kerül kialakításra.
Az oktatások kialakítását, megvalósítását auditorok segítségével valósítjuk meg a megrendelő igényeihez igazodva személyesen vagy online térben.
Igény szerint a belső képzések részeként a lefolytatott oktatások visszamérését is biztosítjuk.
A szolgáltatás eredményeként komplex, az információbiztonság elemeit tartalmazó oktatást, oktatási anyagot kap a megrendelő.
4.
Üzemeltetési, felhasználói eljárások kialakítása
A szolgáltatás során megvalósítjuk az egyes IT üzemeltetési szerepkörök szervezeten belüli és igény szerint szervezeten kívüli delegálását. Meghatározzuk az egyes folyamatok feladatlépéseit, a feladatvégzés módját, felelősét. Kialakítjuk a működéshez kapcsolódó nyilvántartásokat, valamint kijelöljük az azok vezetéséért felelős személyeket. Meghatározzuk a folyamatok kontrollpontjait, valamint rögzítésre kerül az eltérések kezelésének módja, felelőse. A tényleges kialakítás függvényében a szükséges magas szintű szabályozó dokumentumokat is módosíthatjuk.
Eredményként a megrendelő a szervezetéhez, informatikai rendszeréhez, tevékenységéhez illeszkedő egyedi IT üzemeltetési és felhasználói eljárásokat kap szakértői támogatással.
5.
IT szolgáltatói szerződések felülvizsgálata a bevezetett Információbiztonsági keretrendszer alapján
A vizsgálat során a szolgáltatói szerződéseket az információbiztonsági keretrendszer elvárásai alapján felülvizsgáljuk, majd a szerződések módosításához kapcsolódóan javaslatokat fogalmazunk meg.
Eredményként a megrendelő információbiztonsági keretrendszeréből fakadó, a szolgáltatóra vonatkozó információbiztonsági hiányosságok a szerződésekben azonosításra kerülnek, valamint a hiányosságok kezelésére szövegszerű szerződésmódosítási javaslatot kap.