Moduł bezpieczeństwo w BPM to kompleksowe narzędzie wsparcia wdrożenia, utrzymania i doskonalenia systemu zarządzania bezpieczeństwem informacji.
Wykorzystywany przez kilkaset organizacji, jest doskonałym narzędziem budowania świadomości i podnoszenia poziomu bezpieczeństwa.
Posiada wszystkie niezbędne elementy do budowy skutecznego systemu bezpieczeństwa informacji oraz utrzymania i doskonalenia systemu.
Opis
System BPM jest najpopularniejszym systemem wspierającym zarządzanie bezpieczeństwem informacji! Liczba wdrożeń przekroczyła 200, a liczba aktywnych użytkowników to ponad 100 000!
Przy budowie systemu zarządzania bezpieczeństwem informacji możliwe jest wykorzystanie różnych metodyk i narzędzi – począwszy od standardów korporacyjnych, poprzez normy krajowe, na normach międzynarodowych kończąc. W większości przypadków uzasadnionym jest wdrożenie systemu zgodnego ze standardem międzynarodowym. Dzięki takiemu wyborowi organizacja uzyskuje pewność, że tworząc system korzysta ze sprawdzonych i wiarygodnych wskazówek. Przykładem takiego standardu jest norma ISO/IEC 27001:2013. Standard omawia wytyczne do budowy ISMS (tzw. „najlepsze praktyki”), definiuje poszczególne elementy kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań.
BPM bezpieczeństwo jest zgodny z ISO 27001 i w pełni wspiera aktywności związane z wdrożeniem wymagań, doskonaleniem i utrzymaniem systemu, poprzez wsparcie:
- klasyfikacji aktywów: informacji, usług wspomagających, zasobów fizycznych, ludzkich i teleinformatycznych,
- identyfikacji zagrożeń,
- analizy ryzyka,
- projektowanie planu postępowania z ryzykiem,
- realizacji działań z planu,
- pomiaru skuteczności zabezpieczeń,
- zarządzanie dokumentacją,
- zarządzanie incydentem,
- planowanie i realizację audytów,
- zarządzanie spostrzeżeniami, niezgodnościami, potencjałami,
- zarządzanie działaniami korygującymi,
- raportowanie.
Ze względu na funkcje systemu i jego logikę polegającą na aktywizowaniu szerokiej grupy pracowników w celu wdrożenia i doskonalenia systemu zarzadzania bezpieczeństwem informacji system dostępny jest dla użytkowników przez przeglądarkę internetową, a liczba użytkowników jest nielimitowana.
System wspiera proces wdrożenia systemu, jak i utrzymanie systemu i dokumentacji systemowej.
System posiada szereg standardowych raportów takich jak:
- klasyfikacja informacji,
- ranking ryzyk,
- mapa ryzyk,
- zmiana ryzyk w czasie,
- plan postępowania z ryzykiem,
- status działań,
- program audytów,
- plan audytu,
- raport z audytu,
- niezgodności i uwagi audytowe,
- rejestr działań zapobiegawczych i korygujących,
- rejestr incydentów
i wiele innych.
System jest zintegrowany z modułami do:
- zarządzania ryzykiem operacyjnym - Dowiedz się więcej!
- zarządzania ciągłością działania - Dowiedz się więcej!
- zarządzania danymi osobowymi - Dowiedz się więcej!
- monitorowania usług - Dowiedz się więcej!
- zarządzania infrastrukturą - Dowiedz się więcej!
Funkcjonalność
BPM Bezpieczeństwo to kompletne narzędzie wspierające zarządzanie bezpieczeństwem informacji i nie tylko. Dzięki naszym Klientom i ich wymaganiom jego funkcjonalność rośnie z dnia na dzień, co stało się podstawą europejskiego sukcesu narzędzia!Podstawowe funkcje systemu to wsparcie: audytu, klasyfikacji informacji, oceny i analizy ryzyka, planowania rekcji i realizacji działań, tworzenia polityki i dokumentacji, zarządzania incydentem monitorowania ryzyka i ocena zabezpieczeń, doskonalenie systemu.
Audyt wewnętrzny
System umożliwia ocenę stosowanych zabezpieczeń. Audyt może zostać realizowany w oparciu o ścieżkę audytową zbudowaną zgodnie z wymaganiami normy ISO 27001 i uwzględniającą dobre praktyki w obszarze bezpieczeństwa. Dodatkowo, checklista zostanie uzupełniona elementami związanymi z weryfikacją przestrzegania obowiązujących reguł wewnętrznych oraz ustawy o ochronie danych osobowych i tajemnicy przedsiębiorstwa.
Oprogramowanie pozwala na raportowanie i przedstawienie dowdów:
-
wywiadów z pracownikami,
-
oceny zabezpieczeń fizycznych urządzeń i informacji,
-
oceny ochrony budynków i pomieszczeń zawierających informację,
-
przeglądu zapisów,
-
oceny stosowanych zabezpieczeń i konfiguracje systemów teleinformatycznych,
-
oceny przetwarzania danych: wydruki danych, niszczenie danych, przechowywanie danych, transport danych.
Checklista zawarta w systemie odnosi się bezpośrednio do wymagań normy:
- struktury zarządzania i odpowiedzialności związane z bezpieczeństwem informacji,
- nadzoru nad firmami zewnętrznymi mającymi dostęp do informacji będącej własnością organizacji,
- nadzoru nad studentami i praktykantami,
- postępowania z nośnikami danych,
- zgłaszania i postępowania z incydentami bezpieczeństwa,
- stosowanych technik ochrony danych, systemów i sieci,
- konfiguracji i zarządzania systemami i sieciami,
- rozmieszczenia i zabezpieczenie stref bezpieczeństwa,
- zgodność z prawodawstwem polskim w tym szczególnie z ustawą o ochronie danych osobowych,
- świadomości pracowników,
- podejścia systemowego do bezpieczeństwa informacji.
Raport z audytu bezpieczeństwa oprócz zidentyfikowanych problemów (podatności/słabości) wskazuje na działania, jakie powinny być podjęte celem ich usunięcia, jak również spełnienia wymagań międzynarodowych standardów.
Klasyfikacja informacji
W ramach systemu BPM funkcjonuje klasyfikacja informacji przetwarzanych w organizacji. Polega ona na inwentaryzacji informacji przetwarzanych oraz wskazaniu miejsc i zasobów służących jej przetwarzaniu. Klasyfikacja jest swoistym rankingiem ważności informacji pod kątem parametrów bezpieczeństwa: poufności, integralności i dostępności. W ramach klasyfikacji powstaje macierz powiązań pomiędzy informacją, jej wagą, miejscami i zasobami służącymi do jej przetwarzania. Dzięki takim powiązaniom możemy tworzyć rankingi istotności zasobów, których wagi poufności, integralności i dostępności dziedziczone są z informacji będących przez nie przetwarzane. Podział informacji i zasobów na grupy usprawnia proces analizy ryzyka i tworzenia planów zabezpieczeń.
Analiza ryzyka
W ramach analizy ryzyka BPM bezpieczeństwo umożliwia zestawienie zidentyfikowanych podatności z potencjalnymi zagrożeniami oraz skutkami wynikającymi z wystąpienia tych zagrożeń.
Kostka ryzyka, od której zależą mechanizmy reakcji na ryzyko proponowane przez system oraz podział na grupy informacji, jest dostosowywany do charakteru i specyfiki organizacji.
Poziom ryzyka pozwala wskazać na te elementy, które należy rozwiązać priorytetowo i dla nich sporządza się plan postępowania z ryzykiem.
Dokumentacja i Plan Zarządzania Ryzykiem
BPM Bezpieczeństwo wspiera opracowanie i wdrożenie Polityki Bezpieczeństwa Informacji, jako hierarchicznego dokumentu powiązaną z dokumentami: Polityka Bezpieczeństwa Teleinformatycznego, Fizycznego, Osobowego (w tym Polityka Danych Osobowych), Prawnego, procesami, procedurami i instrukcjami najniższego rzędu.
Po przeprowadzeniu analizy ryzyka system automatyzuje powstanie Planu Zarządzania Ryzykiem, w ramach którego przypisywane są poszczególnym uczestnikom działania.
Działania mogą mieć różnoraki charakter np. organizacyjne, dokumentacyjne, inwestycyjne, czy w zakresie monitorowania ryzyka.
Zarządzanie incydentem
System posiada wbudowany mechanizm zgłoszenia, rozpatrzenia i działania z incydentem. Osoby upoważnione otrzymują w systemie zgłoszenie incydentu, mają możliwość odrzucenia z podaniem przyczyny, lub przydzielenie do odpowiedniej kategorii, które rozpoczyna postepowanie z incydentem. Postępowanie to może mieć charakter ad hoc, poprzez wskazanie kolejnych działań przez osobę upoważnioną, lub za pomocą modelu raportu 8D, w którym następuje ustalenie zespołu ds. incydentu, wskazanie działań natychmiastowych - plan awaryjny, ustalenie przyczyn, wprowadzanie korekty oraz ocena skuteczności.
Doskonalenie systemu
Działania z planu postępowania z ryzykiem, działania poaudytowe oraz działania wynikające z zarządzania incydentem są rejestrowane w systemie i mogą otrzymywać status niezgodności oraz działań korygujących. Sposób realizacji działań zależny jest od przypisania w systemie odpowiednich ról w strukturze zarządzania bezpieczeństwem. Podobnie jak w zarządzaniu incydentem przy realizacji działań doskonalących można skorzystać mechanizmu raportu 8d, którego ścieżkę opisano powyżej.
Monitorowanie ryzyka i ocena zabezpieczeń
W ramach działań z planu postepowania z ryzykiem, lub innych działań doskonalących istnieje możliwość wskazania mierników dla monitorowania ryzyka – Key Risk Indicators (KRI) lub w celu oceny skuteczności zabezpieczeń. System umożliwia wskazanie mierników oraz wartości oczekiwanych i alarmowych dla wskazanych mierników. Osoby odpowiedzialne wskazują dane źródłowe dla przeliczenia mierników, a osoby odpowiedzialne za zabezpieczenie lub ryzyko otrzymują wartości mierników i w przypadku wartości alarmowej mogą wskazać dodatkowe działania doskonalące.
Budowa świadomości
System BPM bezpieczeństwo, zapewnia dostęp do wszystkich niezbędnych informacji i dokumentów, informuje pracowników o zasadach, wspomaga zarządzanie szkoleniami i staje się platformą komunikacji w ramach systemu bezpieczeństwa informacji.
Jest biblioteką dokumentacji, zapisów i prezentacji wyników. System informuje o zmianach w dokumentacji, w analizie ryzyka oraz w zakresie działań zleconych bądź realizowanych.
Raportowanie
System BPM bezpieczeństwo, zawiera pełny moduł raportujący i szereg gotowych raportów. Istnieje również możliwość opracowywania własnych. Funkcjonalność modułu umożliwia tworzenie reaportów tabelarycznych, zestawień, raportów graficznych, porównań międzyokresowych, raportowanie macierzowe i wiele innych.
Zgodność z ISO 27001
ISO 27001 to norma oparta na podejściu procesowym i wykorzystuje doskonale znaną pętle doskonalenia Deminga (PDCA, czyli Plan – Do – Check - Act), której realizacja w oparciu o system BPM bezpieczeństwo staje się prosta i efektywna.BPM bezpieczeństwo wspiera realizacje klasyfikacji informacji, która jest swoistą inwentaryzacją i oceną informacji oraz zasobów biorących udział w przetwarzaniu danej informacji. Klasyfikacja ta jest realizowana pod kątem parametrów bezpieczeństwa informacji:
- poufności, która jest naturalnym parametrem bezpieczeństwa oznaczającym ograniczenie w dostępie do informacji do grupy osób uprawnionych z włączeniem zasady wiedzy koniecznej (wiem tyle ile powinienem do wykonania mojej pracy)
- integralności, która określa swoistą pewność i wiarygodność, a czasami wiązana jest również z rozliczalnością informacji (dane z których korzystam są zawsze prawdziwe)
- dostępności, która jest miarą ciągłości w dostępie do informacji determinującą łatwość i szybkość pozyskania informacji dla osób upoważnionych (informacje, z których korzystam do zrealizowania pracy są dostępne we właściwym miejscu i czasie).
Analiza ryzyka realizowana w BPM bezpieczeństwo jest skalowalna i dostosowana do wymagań zarówno średnich, jak i dużych organizacji, włącznie z zapewnieniem spójnego podejścia w grupach kapitałowych. Analiza ryzyka bezpieczeństwa informacji odnosi się do wagi informacji, która będzie miała istotny wpływ na skutek utraty parametrów bezpieczeństwa informacji oraz do zagrożeń, zabezpieczeń i podatności aktywów biorących udział w przetwarzaniu informacji, które będą miały istotny wpływ na prawdopodobieństwo utraty parametrów bezpieczeństwa informacji.
W BPM bezpieczeństwo prawdopodobieństwo i skutek są wyznacznikiem ryzyka, a jego ocena wskazuje rozwiązania niezbędne do realizacji przez organizację w celu zapewnienia bezpieczeństwa informacji.
Cały proces zarządzania ryzykiem w BPM bezpieczeństwo jest zgodny z wymaganiami normy ISO 27005 oraz dobrymi praktykami w zakresie zarządzania ryzykiem.
Oceniając zgodność z Załącznikiem A normy ISO 27001 określający wymagane zabezpieczenia podzielone na 11 obszarów, wykazujemy, iż BPM bezpieczeństwo jest jedynym kompletnym narzędziem na rynku:
A.5 Polityka bezpieczeństwa – system umożliwia opracowanie polityki i dokumentacji systemu, jako dokumentu hierarchicznego, którego części administrowane są przez wskazanych użytkowników, a ich dostępność określa ich zakres stosowania.
A.6 Organizacja bezpieczeństwa informacji – BPM bezpieczeństwo umożliwia utworzenie struktury zarządzania bezpieczeństwem informacji wraz z przypisaniem ról i zadań. Dodatkową zaletą, jest zapewnienie powiązań pomiędzy strukturą organizacyjną, struktura dokumentacji oraz rolami w procesie zarządzania ryzykiem, audytu i doskonalenia, budowania świadomości oraz zarządznia incydentem.
A.7 Zarządzanie aktywami – aplikacja umożliwia inwentaryzowanie aktywów w powiązaniu z informacjami, lokalizacja fizyczną i umiejscowieniem w strukturze organizacyjnej w zakresie odpowiedzialności. Plan zarządzania ryzykiem wskazuje jednoznacznie działania związane z utrzymaniem zasobów ze względu na ich istotę w przetwarzaniu informacji.
A.8 Bezpieczeństwo zasobów ludzkich – poprzez określenie zasad postępowania, wskazanie niezbędnych zapisów, system wspiera bezpieczeństwo ludzkie i zapewnia utrzymanie niebędnych kompetencji z zakresu bezpieczeństwa.
A.9 Bezpieczeństwo fizyczne i środowiskowe – dzięki rozbudowanemu modułowi audytów, systemu checklist oraz rozbudowanej funkcjonalności zarządzania działaniami doskonalącymi i monitorowaniu, narzędzie w istotny sposób wpływa na poziom bezpieczeństwo fizyczne i środowiskowe.
A.10 Zarządzanie systemami i sieciami – moduł zarządzania zmianą, zarządzanie incydentem, zarządzanie planem działań, doskonalenie i monitoring mają istotny wpływ na usprawnienie i bezpieczeństwo zarządzania systemami i sieciami.
A.11 Kontrola dostępu – podobnie jak przy wcześniejszych wymaganiach system ułatwia zarządzanie obszarem, a wbudowane mechanizmy bezpieczeństwa zapewniają odpowiedni poziom dostępu do danych zawartych w systemie.
A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych - moduł zarządzania zmianą, zarządzanie incydentem, zarządzanie planem działań, doskonalenie i monitoring mają istotny wpływ na usprawnienie i bezpieczeństwo oraz rozwój infrastruktury teleinformatycznej.
A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji – system posiada dedykowany moduł do zarządzania incydentem, od zgłoszenia, przez ocenę, po działania, niezgodności i doskonalenie.
A.14 Zarządzanie ciągłością działania – przyjęta w systemie metoda działania zapewnia w pełni opracowanie planów ciągłości, a dodatkowy moduł BPM ciągłość działania wspiera cały proces od analizy krytyczności (BIA), po popracowanie planów ciągłości działania, planów awaryjnych i odtworzeniowych, aż po testowanie i doskonalenie zgodnie z wymaganiami normy ISO 22301.
A.15 Zgodność – funkcjonalność systemu została tak zaprojektowana, aby w prosty sposób z dokonać oceny wymagań prawnych, Klienta oraz regulacji wewnętrznych, a portal systemu zapewnia łatwą komunikację i budowanie świadomości.
Dzięki zapewnieniu pełnej zgodności systemu BPM Bezpieczeństwo z wymaganiami normy ISO 27001 stał się on najczęściej kupowanym systemem do wspierania bezpieczeństwa w Europie!
Korzyści
Wśród głównych korzyści wdrożenia BPM Bezpieczeństwo wymienić można:- automatyzację inwentaryzacji aktywów i oceny bezpieczeństwa
- usprawnienie zarządzania ryzykiem,
- wsparcie w realizacji działań z postepowania z ryzykiem,
- ułatwienie doskonalenia systemu,
- wprowadzenie ładu organizacyjnego i uporządkowania organizacji ,
- zwiększenie poziomu bezpieczeństwa informacji przetwarzanych w organizacji, co przekłada się na jakość zarządzania w organizacji,
- zapewnienie zgodności z wymaganiami prawnymi w obszarze bezpieczeństwa informacji (np. dane osobowe), co jest obowiązkiem każdego przedsiębiorcy,
- zwiększenie świadomości pracowników, a tym samym budowę kultury organizacyjnej i ładu,
- systemowe podejście do tematu bezpieczeństwa, dzięki monitoringowi, ewaluacji i wdrażania zabezpieczeń w obszarze bezpieczeństwa informacji,
- intuicyjny interfejs umożliwa szybkie i efektywne zapoznanie się z regulacjami, dokumentacją i zadaniami przez każdego z użytkowników systemu, co większa partycypację pracowników w tworzeniu i doskonaleniu systemu.
Zapraszamy do współpracy!