Dodržování shody (GDPR, NIS2, ZoKB, audity)
Pomůžeme vám s GDPR nebo NIS2. Nabízíme široký soubor produktů a služeb, s jejichž pomocí naplníte hlavní část požadavků evropské legislativní normy. Takový outsourcing je v řadě případů i finančně výhodnější.
General Data Protection Regulation
Nové povinnosti
Jedná se o významné zpřísnění regulace v oblasti zpracování osobních údajů. Nové podmínky v rámci organizace vyžadují nejen úpravu stávajících procesů, které souvisejí se zpracováním, ale znamenají povinnou implementaci řady dalších opatření.
Tato evropská norma vyžaduje velmi komplexní přístup k celé problematice ochrany informací, přestože je zaměřena pouze na osobní údaje. V rámci automatizovaného zpracování osobních údajů vznikají nové povinnosti vedoucí k větší transparentnosti, ale především bezpečnosti.
Toho lze docílit přijetím odpovídajících konkrétních opatření nejen v oblasti bezpečnosti IT, ale také bezpečnosti fyzické, administrativní, organizační a procesní. Je nezbytné všechny tyto oblasti komplexně propojit tak, aby celá ochrana osobních údajů fungovala jako jednolitý systém.
Nelze zajistit dostatečnou ochranu osobních údajů bez toho, aby existovala návaznost mezi řídícími dokumenty, které vycházejí z definovaných procesů a postupů a nejsou podpořeny odpovídající organizační strukturou a správně aplikovanými technologiemi.
Jedná se o významné zpřísnění regulace v oblasti zpracování osobních údajů. Nové podmínky v rámci organizace vyžadují nejen úpravu stávajících procesů, které souvisejí se zpracováním, ale znamenají povinnou implementaci řady dalších opatření.
Tato evropská norma vyžaduje velmi komplexní přístup k celé problematice ochrany informací, přestože je zaměřena pouze na osobní údaje. V rámci automatizovaného zpracování osobních údajů vznikají nové povinnosti vedoucí k větší transparentnosti, ale především bezpečnosti.
Toho lze docílit přijetím odpovídajících konkrétních opatření nejen v oblasti bezpečnosti IT, ale také bezpečnosti fyzické, administrativní, organizační a procesní. Je nezbytné všechny tyto oblasti komplexně propojit tak, aby celá ochrana osobních údajů fungovala jako jednolitý systém.
Nelze zajistit dostatečnou ochranu osobních údajů bez toho, aby existovala návaznost mezi řídícími dokumenty, které vycházejí z definovaných procesů a postupů a nejsou podpořeny odpovídající organizační strukturou a správně aplikovanými technologiemi.
Přínosy
- Patříme mezi zavedené security firmy, na trhu úspěšně působíme již déle než 30 let
- Nasloucháme klientům a přizpůsobujeme služby jejich potřebám a časovým možnostem
- Umožňujeme provádění komplexních bezpečnostních auditů kombinací několika bezpečnostních disciplín
Naše řešení GDPR
Nabízíme unikátní propojení znalostí v oblasti systematického řízení bezpečnosti informací a nasazení vhodných bezpečnostních technologií. S využitím mnoha let zkušeností v oblasti bezpečnosti informací a informačních technologií nabízíme široký soubor produktů a služeb, s kterými lze naplnit hlavní část požadavků evropské legislativní normy GDPR.
Ne všechna opatření musíte řešit pomocí vlastních interních zdrojů. S řadou z nich vám mohou pomoci specializovaní odborníci. Takový outsourcing je v řadě případů i finančně výhodnější. Náročnost GDPR vyžaduje komplexní přístup k řízení ochrany osobních údajů.
Analýza souladu s požadavky GDPR
Základem pro správnou implementaci požadavků GDPR je detailní porovnání aktuálního stavu ochrany osobních údajů s požadavky definovanými nařízením. Jen tak lze zajistit efektivní implementaci všech požadavků GDPR. Zpracujeme detailní analýzu a doporučíme vhodný postup a rozsah implementace.
Návrh a implementace procesů a metodik
GDPR je založeno na principech „privacy by design“ a „risk-based aproach“. To vyžaduje nejen zavedení nových bezpečnostních procesů a metodik v rámci vaší organizace, ale často bude mít dopad např. i v rámci architektury informačních systémů a aplikací. Jedná se zejména o postupy týkající se hlášení bezpečnostních incidentů, informační povinnosti nebo práva na výmaz. Navrhneme a zavedeme procesy a metodiky customizované pro prostředí vaší organizace.
Zpracování řídících dokumentů
Nezbytnou součástí ochrany osobních údajů je odpovídající řídící dokumentace (politiky, směrnice atd.), kterou vaše organizace mimo jiné dokládá plnění požadavků GDPR. Zpracujeme či upravíme řídící dokumenty v rozsahu odpovídajícím požadavkům GDPR s ohledem vaše na stávající interní politiky a procesy.
Implementace technických opaření
Základním požadavkem GDPR je zajištění ochrany osobních údajů, zaručení jejich důvěrnosti, dostupnosti a integrity. K tomu je nezbytné implementovat dostatečná technická opatření k jejich zabezpečení či k identifikaci porušení bezpečnosti (Data Loss Prevention, Network Behavior Analysis, SandBox, kryptografické nástroje atd.). Navrhneme a implementujeme vhodná technická řešení dle vašich individuálních potřeb.
Data Protection Impact Assessment
Analýza dopadů na osobní údaje (Data Protection Impact Assessment) je jedním ze základních nástrojů jak zajistit vysokou bezpečnost osobních údajů při jakémkoliv nakládání s osobními údaji, jako například při profilování, zpracování citlivých údajů či realizaci monitoringu veřejně přístupných prostor apod. Posoudíme povinnost vaší organizace realizovat DPIA a pokud tato povinnost vznikne, navrhneme vhodný způsob implementace DPIA do vašich stávajících (např. projektových) metodik. Dále zajistíme i samotné zpracování konkrétní DPIA analýzy, včetně případné konzultace s Úřadem na ochranu osobních údajů.
Pověřenec na ochranu osobních údajů – DPO
Jedním z nových požadavků GDPR je pro povinné subjekty ustanovení pověřence pro ochranu osobních údajů – Data Protection Officer. Tato role vyžaduje osobu s dostatečnou praxi a zkušeností v oblasti ochrany osobních údajů a předpokládá se jejich nedostatek na trhu. Tuto roli je možné realizovat i formou outsourcingu. Formou služby zajistíme plnění všech povinností DPO s využitím svých zkušených a ověřených konzultantů.
Implementace GRC řešení
GDPR přináší zejména pro velké organizace zpracovávající velký objem osobních údajů mnoho dílčích povinností. Řešení GRC (Governance, Risk and Compliance) mohou být v takovém případě zásadním prvkem, který umožní efektivní řízení ochrany osobních údajů a plnění požadavků GDPR, včetně monitoringu míry souladu (compliance). Zajistíme optimální návrh a implementaci vhodného GRC řešení nejen pro potřeby GDPR. Pro tyto účely disponuje týmem zkušených konzultantů.
Ne všechna opatření musíte řešit pomocí vlastních interních zdrojů. S řadou z nich vám mohou pomoci specializovaní odborníci. Takový outsourcing je v řadě případů i finančně výhodnější. Náročnost GDPR vyžaduje komplexní přístup k řízení ochrany osobních údajů.
Analýza souladu s požadavky GDPR
Základem pro správnou implementaci požadavků GDPR je detailní porovnání aktuálního stavu ochrany osobních údajů s požadavky definovanými nařízením. Jen tak lze zajistit efektivní implementaci všech požadavků GDPR. Zpracujeme detailní analýzu a doporučíme vhodný postup a rozsah implementace.
Návrh a implementace procesů a metodik
GDPR je založeno na principech „privacy by design“ a „risk-based aproach“. To vyžaduje nejen zavedení nových bezpečnostních procesů a metodik v rámci vaší organizace, ale často bude mít dopad např. i v rámci architektury informačních systémů a aplikací. Jedná se zejména o postupy týkající se hlášení bezpečnostních incidentů, informační povinnosti nebo práva na výmaz. Navrhneme a zavedeme procesy a metodiky customizované pro prostředí vaší organizace.
Zpracování řídících dokumentů
Nezbytnou součástí ochrany osobních údajů je odpovídající řídící dokumentace (politiky, směrnice atd.), kterou vaše organizace mimo jiné dokládá plnění požadavků GDPR. Zpracujeme či upravíme řídící dokumenty v rozsahu odpovídajícím požadavkům GDPR s ohledem vaše na stávající interní politiky a procesy.
Implementace technických opaření
Základním požadavkem GDPR je zajištění ochrany osobních údajů, zaručení jejich důvěrnosti, dostupnosti a integrity. K tomu je nezbytné implementovat dostatečná technická opatření k jejich zabezpečení či k identifikaci porušení bezpečnosti (Data Loss Prevention, Network Behavior Analysis, SandBox, kryptografické nástroje atd.). Navrhneme a implementujeme vhodná technická řešení dle vašich individuálních potřeb.
Data Protection Impact Assessment
Analýza dopadů na osobní údaje (Data Protection Impact Assessment) je jedním ze základních nástrojů jak zajistit vysokou bezpečnost osobních údajů při jakémkoliv nakládání s osobními údaji, jako například při profilování, zpracování citlivých údajů či realizaci monitoringu veřejně přístupných prostor apod. Posoudíme povinnost vaší organizace realizovat DPIA a pokud tato povinnost vznikne, navrhneme vhodný způsob implementace DPIA do vašich stávajících (např. projektových) metodik. Dále zajistíme i samotné zpracování konkrétní DPIA analýzy, včetně případné konzultace s Úřadem na ochranu osobních údajů.
Pověřenec na ochranu osobních údajů – DPO
Jedním z nových požadavků GDPR je pro povinné subjekty ustanovení pověřence pro ochranu osobních údajů – Data Protection Officer. Tato role vyžaduje osobu s dostatečnou praxi a zkušeností v oblasti ochrany osobních údajů a předpokládá se jejich nedostatek na trhu. Tuto roli je možné realizovat i formou outsourcingu. Formou služby zajistíme plnění všech povinností DPO s využitím svých zkušených a ověřených konzultantů.
Implementace GRC řešení
GDPR přináší zejména pro velké organizace zpracovávající velký objem osobních údajů mnoho dílčích povinností. Řešení GRC (Governance, Risk and Compliance) mohou být v takovém případě zásadním prvkem, který umožní efektivní řízení ochrany osobních údajů a plnění požadavků GDPR, včetně monitoringu míry souladu (compliance). Zajistíme optimální návrh a implementaci vhodného GRC řešení nejen pro potřeby GDPR. Pro tyto účely disponuje týmem zkušených konzultantů.
NIS2
Směrnice NIS2 přináší významné změny do oblasti kybernetické bezpečnosti. Na základě rozhodnutí o implementaci této směrnice do národního práva se rámec povinností stanovených v dokumentu přenáší do vnitrostátní legislativy prostřednictvím nového zákona o kybernetické bezpečnosti a jeho vyhlášek. Tyto změny budou mít dopad nejen na organizace, které již dnes mají být v souladu s požadavky zákona č. 181/2014 Sb. o kybernetické bezpečnosti a navazující vyhlášky č. 82/2018 Sb., ale také na mnohé další subjekty, které dosud nebyly do regulace zahrnuty a nemusely plnit žádné povinnosti v této oblasti.
Nový zákon o kybernetické bezpečnosti by měl začít platit v říjnu roku 2024. Zákonem bude poskytnuta roční přechodná lhůta pro adaptaci na nové požadavky a jejich postupné plnění. Plnění vybraných povinností bude vyžadováno od druhé poloviny roku 2024, zatímco plnění zbývajících povinností až v průběhu druhé poloviny roku 2025. I přes roční přechodnou lhůtu je teď ten vhodný čas začít s přípravnými kroky vedoucími k funkčnímu procesu řízení kybernetické bezpečnosti, s jehož zavedením vám rádi pomůžeme.
Nový zákon o kybernetické bezpečnosti by měl začít platit v říjnu roku 2024. Zákonem bude poskytnuta roční přechodná lhůta pro adaptaci na nové požadavky a jejich postupné plnění. Plnění vybraných povinností bude vyžadováno od druhé poloviny roku 2024, zatímco plnění zbývajících povinností až v průběhu druhé poloviny roku 2025. I přes roční přechodnou lhůtu je teď ten vhodný čas začít s přípravnými kroky vedoucími k funkčnímu procesu řízení kybernetické bezpečnosti, s jehož zavedením vám rádi pomůžeme.
U NIS2 vám pomůžeme zejména s těmito oblastmi:
Analýza současného stavu informační bezpečnosti
Provedeme analýzu současného stavu vaší organizace s ohledem na kybernetickou bezpečnost. Do analýzy zahrneme především posouzení systému řízení bezpečnosti informací, bezpečnostní dokumentace, řízení aktiv, řízení rizik, řízení dodavatelů, řízení lidských zdrojů, řízení změn a řízení přístupů. Jako součást analýzy také posuzujeme zvládání kybernetických bezpečnostních událostí a incidentů a řízení kontinuity činností.
Analýza rizik
Nabízíme provedení analýzy rizik, pomocí které identifikujeme a ohodnotíme potenciální hrozby a zranitelnosti spojené s aktivy vaší organizace. Získáte jasný přehled o rizicích, které by mohly ohrozit vaši bezpečnost.
Zpracování či revize bezpečnostní dokumentace
Zpracujeme či upravíme dokumenty s ohledem na vaše stávající interní politiky. Konkrétně vám můžeme pomoci vytvořit plán zvládání incidentů, plán obnovy, analýzu dopadů, bezpečnostní příručku pro uživatele apod.
Školení
Pro zvýšení bezpečnostního povědomí vašich zaměstnanců (od běžných uživatelů, bezpečnostních správců až po vrcholový management) nabízíme školení přizpůsobené potřebám vaší organizace. Školení lze realizovat kromě prezenční formy také e-learningovou formou za pomoci zábavných videokurzů, ukončených vědomostním testem.
Penetrační testování
Prověříme schopnost vašich systémů odolávat kybernetickým útokům. Ve zprávě popíšeme slabá místa a navrhneme vhodná opatření k nápravě, abyste zamezili reálním útokům.
Posílení bezpečnosti IT infrastruktury
Pomůžeme vám identifikovat slabá místa v technickém zabezpečení interní sítě, implementovat bezpečnostní technologie jako například firewall či EDR řešení, které dokáže identifikovat, monitorovat a reagovat na podezřelé aktivity na koncových zařízeních.
Provedeme analýzu současného stavu vaší organizace s ohledem na kybernetickou bezpečnost. Do analýzy zahrneme především posouzení systému řízení bezpečnosti informací, bezpečnostní dokumentace, řízení aktiv, řízení rizik, řízení dodavatelů, řízení lidských zdrojů, řízení změn a řízení přístupů. Jako součást analýzy také posuzujeme zvládání kybernetických bezpečnostních událostí a incidentů a řízení kontinuity činností.
Analýza rizik
Nabízíme provedení analýzy rizik, pomocí které identifikujeme a ohodnotíme potenciální hrozby a zranitelnosti spojené s aktivy vaší organizace. Získáte jasný přehled o rizicích, které by mohly ohrozit vaši bezpečnost.
Zpracování či revize bezpečnostní dokumentace
Zpracujeme či upravíme dokumenty s ohledem na vaše stávající interní politiky. Konkrétně vám můžeme pomoci vytvořit plán zvládání incidentů, plán obnovy, analýzu dopadů, bezpečnostní příručku pro uživatele apod.
Školení
Pro zvýšení bezpečnostního povědomí vašich zaměstnanců (od běžných uživatelů, bezpečnostních správců až po vrcholový management) nabízíme školení přizpůsobené potřebám vaší organizace. Školení lze realizovat kromě prezenční formy také e-learningovou formou za pomoci zábavných videokurzů, ukončených vědomostním testem.
Penetrační testování
Prověříme schopnost vašich systémů odolávat kybernetickým útokům. Ve zprávě popíšeme slabá místa a navrhneme vhodná opatření k nápravě, abyste zamezili reálním útokům.
Posílení bezpečnosti IT infrastruktury
Pomůžeme vám identifikovat slabá místa v technickém zabezpečení interní sítě, implementovat bezpečnostní technologie jako například firewall či EDR řešení, které dokáže identifikovat, monitorovat a reagovat na podezřelé aktivity na koncových zařízeních.
-
Pro Škoda Auto jsme provedli audity a sofistikované penetrační testy k identifikaci zranitelnosti -
V T-Mobile jsme provedli bezpečnostní testy a audity -
Díky hardeningové politice byly splněny cíle auditu i zvýšena bezpečnost Burzy cenných papírů Praha -
V Deutsche Telekom (T-Systems) pokrýváme oblasti kybernetické bezpečnosti. -
Realizace bezpečnostních auditů a penetračních testů pro společnost ČEZ -
Zvýšili jsme bezpečnost a efektivitu IT infrastruktury ve společnosti SATUM
-
V L‘Oréal jsme se postarali o řízení kontinuity činností. -
Zajištění analýzy i podpory dohledového centra ve společnosti Centropol Energy
NEVÁHEJTE, KONTAKTUJTE NÁS.
Máte zájem o další informace nebo o nabídku pro vaši konkrétní situaci?