Bezpečnost, compliance informací a procesů

Připravíme s Vámi projekt pro zavedení GDPR krok za krokem, včetně úvodní analýzy nakládání s osobními údaji, tak abyste byli ve shodě s legislativou. Získáte konkurenční výhodu a předejdete sankcím.

Information Security Management Systems (ISMS) - zavedení, udržování, případně příprava organizace k certifikaci podle ISO/IEC 27001:2006. Stejně tak audit organizace ke zjištění stavu a to pro organizace, které nejsou držiteli certifikátu.

Přínosy zavedení ISMS:

  • Prokázání shody procesů s legislativou (požadavky příslušných regulátorů)
  • Řízení rizik a nákladů na bezpečnost
  • Akceptace bezpečnostních business požadavků
  • Důkaz kvality řízení organizace pro vlastníky i zákazníky

Ochrana informací na základě se děje na základě vlastní vůle, smluvního vztahu anebo povinnost plyne ze zákona

Certifikát ISO 27001 je důkazem kvality řízení k certifikátu QMS nebo EMS (dle ISO 9001:2000 a ISO 14001:1996). Vzhledem k harmonizovanému PDCA modelu ISMS, QMS a EMS bývá řada procesů a odpovědností v organizaci již nastavena.

Tato služba spočívá zejména v posouzení situace (compliance) s legislativně/bezpečnostními, ekonomickými a technologickými požadavky a definicí nápravných opatření za účelem omezení rizik, či eliminace následných změn dodávané, či provozované aplikace – procesu – systému – technologie - projektu, vynucených regulatorním orgánem hrozbou či přímo uložením sankce, nápravného opatření ze zákona anebo ke kterým je klient povinen na základě smluvního závazku nebo interního uvážení za účelem ochrany vlastních obchodních zájmů.

Vždy je dodáván návrh řešení problému, nejen popis stavu!

Službu tak lze vnímat jako přesah „čistého“ řízení rizik, forenzního auditu i samotné „bezpečnosti“, když je dodáváno komplexní řešení. Bezpečnost, resp. řízení rizik je totiž součástí de facto všech procesů klienta.

Odborností a rychlou reakcí dokazujeme klientovi, že se na nás může vždy obrátit s žádostí o radu, vyřešení problému.

Reference jsou poskytovány výhradně na vyžádání a jen s výslovným souhlasem klienta.

Ekonomické standardy, předpisy a zákony

např. zákon č. 256/2004 o podnikání na kapitálovém trhu; ochrana vnitřní informace – insider trading, zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu; praní „špinavých peněz“ AML, bankovní tajemství, úřední sdělení ČNB č. 5/2011; operační riziko v oblasti informačního systému, zákon č. 513/1991 Sb., obchodní zákoník; obchodní tajemství, know-how a důvěrné informace, odpovědnost statutárních orgánů, zákon č. 40/1964 Sb., občanský zákoník, prostředky komunikace na dálku, elektronické uzavírání smluvních vztahů; zákon č. 563/1991 Sb., o účetnictví a související zákonné normy, zákon č. 227/200 Sb., o elektronickém podpisu a o změně některých dalších zákonů; archivace el. dokumentů, el. fakturace, el. podpis, časové razítko, certifikační autorita (PKI), ekonomická bezpečnost a kritická infrastruktura státu;

Zákonné požadavky na ochranu soukromí a oprávněných zájmů

zákon č. 101/2000 Sb., o ochraně osobních údajů, zákon č. 127/2005 Sb., o elektronických telekomunikacích, zákon č. 480/2004 Sb., o některých službách informační společnosti, zákon č. 329/1999 Sb., o cestovních dokladech, dále související Direktivy EU/získávání, ochrana osobních údajů a citlivých osobních údajů, zabezpečení dat, veřejné (telefonní) seznamy, registry dlužníků, bezpečná e-komunikace (phishing, honeypot), odpovědnost za obsah el. přenášených, ukládaných a publikovaných informací, provázanost problematiky na marketingové zdroje a nástroje - organizace a sdílení údajů/databází, SMS, IVR, SPAM, vydávání dokladů s biometrickými údaji, kamerové systémy/CCTV; odposlech a záznam tlkm. provozu, bezpečnostní dokumentace podnikatele, registry obyvatel, tisk cenin a dokladů.

Forenzní audit spočívá v důvěrném šetření závažné, zejména trestné činnosti, s cílem minimalizace škod pro organizaci, prevence proti obdobným incidentům - goodwill, škoda na hmotném i nehmotném majetku, fraud, loyalita, pre-screening/HR, střet zájmů, korupce. Dále jsou poskytovány konzultace k související trestní problematice a pracovnímu právu.

Znáte skutečný stav plnění požadavků ochrany informací (zejména se jedná osobní údaje, obchodního tajemství a know-how, autorská práva a duševní vlastnictví, utajované informace atd.), vyplývajících ze zákona a smluvních vztahů, ve Vaší organizaci?

Zodpovězení přiložených stručných a krátkých otázek formou ANO/NE Vám pomůže ke zjištění stavu a zlepšení situace.

 

Pokračovat

1/ Je ve Vaší organizaci určena osoba systémově odpovědná za ochranu informací a práv duševního vlastnictví? (nejen pro technické řešení)

2/ Je ve Vaší organizaci určena osoba systémově odpovědná za řízení bezpečnostních rizik a zvládání bezpečnostní aspektů v projektech zákazníků?

3/ Jsou ve Vaší organizaci všechny formy informací/aktiv (listinná, elektronická) klasifikovány a definovány pravidla pro jejich zpracovávání?

(jedná se např. o zpracovávání kategorií informací typu osobní a citlivé údaje, obchodní tajemství, know-how a důvěrné informace, listovní a poštovní tajemství, bankovní tajemství, utajované informace, důvěrnost komunikací, realizace konkurenční doložky)

4/ Je prokazatelným způsobem a ve stanovených intervalech realizována kontrola dodržování pravidel ochrany informací a práv duševního vlastnictví?

5/ Znáte rozsah Vaší osobní odpovědnosti za způsobenou škodu, případně až trestní odpovědnosti a rozsah odpovědnosti organizace za porušení podmínek ochrany informací?

6/ Víte, jak se lze z této odpovědnosti vyvinit?

7/ Jsou prokazatelně zaměstnancům uloženy konkrétní povinnosti a stanovena jejich odpovědnost při ochraně informací?

8/ Je Vám známa výše provozních a investičních nákladů k zajištění ochrany informací, odpovídá tato výše hrozícím rizikům?

9/ Jste pojištěn (nejen) v souvislosti s ochranou informací proti škodám, jež můžete organizaci způsobit?

10/ Provádíte testování loajality zaměstnanců? Je aplikován tzv. whistleblowing, případně jeho principy?

11/ Máte vědomost, jakým způsobem může konkurence neoprávněně získávat Vaše obchodní tajemství a know-how, či jiné chráněné informace? Víte jak se bránit?

12/ Používáte technické zabezpečení e-komunikace? (např. šifrování mailů, bezpečné ukládání dat, chráněný telefon)

13/ Jsou Vám známa relativně široká oprávnění Úřadu pro ochranu osobních údajů, Úřadu pro ochranu hospodářské soutěže a orgánů činných v trestním řízení, či dalších institucí pro ochranu autorských práv? (jejich činnost reálně hrozí při prošetřování stížnosti, podání, oznámení konkurence, nespokojeného zaměstnance anebo zákazníka……)

Může vstupovat do obchodních prostor soutěžitelů, u kterých šetření probíhá; nahlížet do obchodních záznamů; kopírovat nebo získávat v jakékoli formě kopie nebo výpisy z obchodních záznamů; zjednat si do obchodních prostor přístup, otevřít uzavřené skříně nebo schránky, a další….

Může vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje; zajišťovat v odůvodněných případech doklady; pořídit kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného a další….

Může zejména vyžadovat vysvětlení od fyzických a právnických osob a státních orgánů; vyžadovat odborné vyjádření od příslušných orgánů, a je-li toho pro posouzení věci třeba, též znalecké posudky; obstarávat potřebné podklady, zejména spisy a jiné písemné materiály; provádět ohledání věci a místa činu; vyzvat k vydání věci nebo ji odejmout, dtto platí pro zajištění peněžních prostředků na účtu, zaknihovaných cenných papírů, nemovitosti a jiné majetkové hodnoty; provádět domovní a osobní prohlídku, prohlídku jiných prostor a pozemků, vstupovat do obydlí, jiných prostor a pozemků a další….

Ochranný svaz autorský pro práva k dílům hudebním

Bussines Software Alliance

Občanské sdružení DILIA

Nezávislá společnost výkonných umělců a výrobců zvukových a zvukově obrazových záznamů

Mezinárodní federace fonografického průmyslu

Česká protipirátská unie

Agentura pro ochranu software

14/ Znáte skutkové podstaty trestných činů pro případ porušení ochrany informací?

Doporučení po vyhodnocení:

Pokud jste odpověděli na více než polovinu otázek ne, je na místě vážné riziko Vaší osobní odpovědnosti a současně odpovědnosti Vaší organizace.

 

Smyslem tohoto dotazníku je pomoci Vám identifikovat související rizika, která v praxi řešíte a to v postavení statutárního orgánu nebo vedoucího zaměstnance. Dotazník zjišťuje stav dodržování bezpečnostních požadavků z pohledu platné legislativy ČR i EU a smluvních závazků.

Statutární orgány jsou povinni vykonávat jejich působnost s péčí řádného hospodáře, s odbornou péčí. Důkazní břemeno, zda jednali s péčí řádného hospodáře či nikoli, nesou statutární orgány samy. Vedoucí zaměstnanci jsou ve smyslu zákoníku práce mj. povinni zabezpečit dodržování právních a vnitřních předpisů. Mají nejen právo, ale současně také povinnost podřízeným zaměstnancům ukládat závazné pokyny (akt řízení). Důležité je upozornit, že projev vůle se dle zákona neprojevuje pouze konáním, ale také nečinností. S uvedeným úzce souvisí odpovědnost za způsobenou škodu. Dle platné právní úpravy nesou právnické osoby pro definované skutkové podstaty trestněprávní odpovědnost, ve smyslu zákona č. 412/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim. Včetně zákazu plnění veřejných zakázek, účasti v koncesním řízení nebo ve veřejné soutěži. Pokud jednání statutárního orgánu nebo vedoucího zaměstnance naplní skutkovou podstatu trestného činu, nese trestněprávní odpovědnost za toto jednání sama taková fyzická osoba. Stejně platí pro odpovědnost za přestupky a správní delikty.

Pokud zjistíte, že některá z dále uvedených rizik, resp. hrozeb nejsou ve Vaší organizaci dostatečně ošetřena, neváhejte mne kontaktovat:

Mgr. Tomáš Sekera, MBA
+420 605222585; sekera@msolutions.cz

 

 

Jedná se podle povahy věci zejména o podporu topmanagementu při rozhodování high-level a dále o podporu middle-managementu při operativním řešení jeho úkolů. A to zejména z pohledu řízení rizik (technologické, organizační, reputační, finanční) a odpovědnosti. Uvedené zpravidla formou zpracování strategií, feasibility study, analýz, auditů, oponentur i vlastních business case a dále pomocí při přípravě zadání zakázek, či přímou účastí v projektové kanceláři klienta. Ale rovněž o podporu ve smyslu reaktivním, při řešení konkrétního bezpečnostního problému klienta.