Nabízíme provedení analýzy rizik včetně navazujících činností a snadného následného opakování díky elektronickému modelu. Analýzu je možné provést podle mezinárodně uznávané metodiky CRAMM s integrovanou podporou norem řady ČSN ISO/IEC 2700x, případně podle metodiky vlastní. Metodika CRAMM umožňuje v souladu s ČSN ISO/IEC 27005 kombinovaný přístup, tzn. provést základní analýzu a v závislosti na jejích výsledcích pro systémy významné pro činnost organizace analýzu podrobnou.
Analýza rizik a stanovení přiměřených bezpečnostních opatření k jejich zvládání obsahuje:
-
stanovení rozsahu a míry detailu analýzy rizik,
-
zjištění a ohodnocení aktiv,
-
sestavení modelu služeb poskytovaných analyzovaným ICT systémem,
-
stanovení velikostí hrozeb a zranitelností,
-
výpočet míry rizika dle jednotlivých hrozeb a jejich dopadů,
-
generování množiny přiměřených bezpečnostních opatření z databáze použitého nástroje, nebo využití jiných zdrojů,
-
zpracování závěrečné zprávy z analýzy rizik obsahující vysvětlení, závěry a množinu bezpečnostních opatření,
-
předání elektronického modelu analýzy.
Jako navazující výstupy mohou být připraveny:
-
Odvození a kostra havarijního plánu (pro nouzové plánování),
-
Stanovení způsobu zvládání rizik (ISMS),
-
Výběr cílů opatření a jednotlivých bezpečnostních opatření (ISMS),
-
Prohlášení o aplikovatelnosti (ISMS),
-
Zpracování bezpečnostní politiky zaměřené dle požadavků zadavatele,
-
Zjištění stavu implementace bezpečnostních opatření a na jejím základě stanovení:
-
míry souladu s požadavky normy ČSN ISO/IEC 27001,
-
účinnosti bezpečnostních opatření (vyzrálost) - ČSN ISO/IEC 21827,
-
zbytkového rizika - ČSN ISO/IEC 27001 a 27005.