Tijelo lokalne uprave
---------------------------------------------------------------------
Brzo pozicioniranje usklađenosti sa zakonom za tijela lokalne uprave
Ova usluga stvorena je s ciljem da našim Klijentima osigura svu potrebnu stručnu pomoć u brzom i efikasnom razumijevanju trenutnog položaja organizacije klijenta prema zakonskoj regulativi. Pored toga, u skladu sa najboljim praksama i regulativom na predmetnom području jedan od rezultata je i analiza razlika (GAP analisys) između trenutnog stanja organizacije Klijenta i stanja potrebnog da se dosegne usklađenost sa zakonskom regulativom. Za tijela državne uprave propisani su Zakon o tajnosti podataka, Zakon o informacijskoj sigurnosti te Uredba o mjerama informacijske sigurnosti koji se primjenjuju na državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave te na pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke. Zakon o tajnosti podataka koji je stupio na snagu 13. srpnja 2007. utvrđuje pojmove klasificiranih i neklasificiranih podataka, stupnjeve tajnosti, postupak klasifikacije i deklasifikacije, pristup klasificiranim i neklasificiranim podacima, njihovu zaštiti i nadzor nad provedbom ovog zakona. Zakon o informacijskoj sigurnosti proglašen 13. srpnja 2007. utvrđuje pojam informacijske sigurnosti, mjere i standarde informacijske sigurnosti, područja informacijske sigurnosti, te nadležna tijela za donošenje, provođenje i nadzor mjera i standarda informacijske sigurnosti. Uredba o mjerama informacijske sigurnosti donesena je 18. travnja 2008., a njome se utvrđuju mjere informacijske sigurnosti za postupanje s klasificiranim i neklasificiranim podacima. Trilix nudi uslugu provjere usklađenosti sa navedenim zakonima. Na temelju utvrđenog stanja izvješće će sadržavati preporuke i prijedloge rješenja koja bi Klijentu trebalo implementirati u cilju postizanja usklađenosti sa propisanom zakonskom regulativom. Trilix također nudi i dizajn i implementaciju potrebnih internih akata i tehničkih rješenja potrebnih da se uskladite s navedenim zakonima.
Uspostava sustava upravljanja informacijama za tijela lokalne uprave koji je usklađen sa zakonom
U Hrvatskoj postoji nekoliko zakona koji propisuju postupanje s informacijama. najjasnije propisuje u Zakonu o zaštiti osobnih podataka (NN 103/03). Naime, u članku 4 dotičnog zakona definirano je da se zakon primjenjuje na sve zbirke osobnih podataka u Republici Hrvatskoj, a u članku 18 definira zahtjeve za sigurnost informacija u zbirkama osobnih podataka ‐ među ostalim traži se da budu "odgovarajuće zaštićeni od slučajne ili namjerne zlouporabe, uništenja, gubitka, neovlaštenih promjena ili dostupa." Uredbom o mjerama zaštite koja je proizašla iz ovog zakona direktno se poziva na standard za informacijsku sigurnost ISO/IEC 17799. (27002). Zakon o zaštiti na radu (NN 59/96) u članku 61 propisuje slijedeće: “Poslodavac je dužan utvrditi plan evakuacije i spašavanja za slučaj izvanrednog događaja..." - ovo su zakoni koji se odnose na sve tvrtke. Za tijela državne uprave je propisan Zakon o tajnosti podataka i ZAkon o informacijskoj sigurnosti koji se primjenjuju na državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave te na pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke. Trilix nudi uslugu provjere usklađenosti sa navedenim zakonima. Također nudi i dizajn i implementaciju potrebnih internih akata i tehničkih rješenja potrebnioh da se uskladite s navedenim zakonima.
Brzo pozicioniranje organizacije prema ISO/IEC 27001
Sustav upravljanja informacijskom sigurnošću pruža sistematičan pristup upravljanju osjetljivim informacijama kako bi ih zaštitio, a obuhvaća procese, informacijske imovinu i zaposlenike. Sustav upravljanja sigurnošću informacija je isto tako i sredstvo pomoću kojeg više poslovodstvo organizacije prati i nadzire sigurnost informacijskih sustava organizacije, svodeći poslovni rizik na minimum i osiguravajući da sigurnosni zahtjevi poslovanja ispunjavaju korporacijske, kupčeve i pravne obveze.
Ova usluga omogućiti će Vam da dobijete objektivnu ocjenu zrelosti sustava za upravljanje informacijskom sigurnošću vaše kompanije u ključnim točkama standarda - BC/DR, organizacijska sigurnost, fizička i logička sigurnost, kontrola pristupa, upravljanje operacijama itd. Usluga isporučuje kvalitetan set informacija u prethodno navedenim područjima, a u vrlo kratkom vremenu te može služiti za detaljnije definiranje potreba kako bi se sustav unaprijedio
Uspostava sustava upravljanja informacijskom sigurnošću (ISO/IEC 27001/27002)
Sustav upravljanja informacijskom sigurnošću pruža sistematičan pristup upravljanju osjetljivim informacijama kako bi ih zaštitio, a obuhvaća procese, informacijske imovinu i zaposlenike.
Sustav upravljanja sigurnošću informacija je isto tako i sredstvo pomoću kojeg više poslovodstvo organizacije prati i nadzire sigurnost informacijskih sustava organizacije, svodeći poslovni rizik na minimum i osiguravajući da sigurnosni zahtjevi poslovanja ispunjavaju korporacijske, kupčeve i pravne obveze.
Dobrobiti koje proizlaze iz sustavnog upravljanja informacijskom sigurnošću su:
- Pouzdanost programskih rješenja koja se koriste
- Povjerenje kupca u sigurnost informacijske imovine nad kojom nema fizički nadzor
- Osiguravanje zakonskih preduvjeta (HR podaci)
- Marketinški efekti
- Financijski i vremenski kritična raspoloživost usluge
- Ugovori koji uređuju intelektualno vlasništvo, mitigaciju rizika, repatrijaciju sustava, kvalitetu usluge itd.
Trilix nudi konzultantske usluge pri uspostavi sustava prema normi ISO/IEC 27001:2005. Također nudi djelomične uspostave pojedinih zahtjeva navedene norme koristeći se znanjima baziranim na najboljim praksama, dugogodišnjem iskustvu a slijedeće preporuke iz standarda ISO/IEC 27002 (ISO/IEC17799:2005.)
Održavanje sustava upravljanja informacijskom sigurnošću (ISO/IEC 27001/27002)
Ukoliko ste uspostavili Sustav upravljanja informacijskom sigurnošću svjesni ste da je potreban kontinuirano održavanje sustav i njegovo unaprjeđenje. Za procjenu takvog sustava su potrebne tehničke vještine i poznavanje novih prijetnji i ranjivosti u svijetu informacijske sigurnosti. Trilix nudi uslugu provedbe internih procjena, procjenu tehničke usklađenosti ( penetracijski testovi, revizija informacijskih sustava) te usklađivanje postojeće dokumentacije. Također Trilix nudi uslugu provedbe analize rizika te izradu prijedloga mjera ovisno o prihvatljivoj razini rizika. Trilix će Vam pomoći i pri pripremi uprave za provjeru eksternih auditora te pri samom kontaktu i komunikaciji s auditorima tijekom godišnje provjere ili recertifikacije.
Brzo pozicioniranje sustava u sposobnosti uspostave neprekinutog poslovanja
Gotovo 1 od 5 kompanija pretrpi nekakav veći prekid poslovanja. Kako opstati nakon toga? Opstati ne znači samo preživjeti – već ne doživjeti velike gubitke. Često su spominjane velike krize poput 9/11, Barings, Enron, no više štete nastaje svakodnevnim incidentima tzv. Tihim katastrofama -koji se obično ignoriraju poput krađa, ljudskih grešaka, gubitaka u proizvodnji, loših investicija, itd... i ti gubici se u većini slučajeva podcjenjuju, a iznosi su prema nekim podacima i do 8 milijardi dolara godišnje. Da li ste uspostavili proces upravljanja kontinuitetom poslovanja, da li vaša analiza utjecaja na poslovanje bazirana na tome što je kritično za ostvarenje poslovnog kontinuiteta, da li su planovi reakcije na incidente koji mogu uzrokovati prekid poslovanja testirani… Da li ste koristili najbolje prakse (BCI, BS 7799) pri uspostavi svog sustava? Trilix nudi objektivnu ocjena sustava za upravljanje kontinuitetom poslovanja prema dobrim praksama i normi BS-25999 pri kojoj procjenjuje stupanj usklađenosti prema svim segmentima upravljanja.
Upravljanje neprekinutošću poslovanja
Upravljanje kontinuitetom poslovanja je proces kojime se identificiraju potencijalne prijetnje i njihov učinak na poslovne operacije ukoliko se prijetnje dogode. Upravljanje kontinuitetom poslovanja daje radni okvir pri stvaranju mjera kojima se povećava otpornost organizacije. Pomoću tih mjera povećava se mogućnost efektivnog odgovora u kriznim situacijama, a sve u cilju očuvanja interesa zainteresiranih strana, imidža poslovanja i oporavka iz kriznih situacija. Primarni interes upravljanja kontinuitetom poslovanja je briga o otpornosti na svim razinama i može se implementirati i parcijalno (na nivou odjela, funkcije, lokacije i sl.). Posebna pažnja pri tome, posvećuje se kreiranju otpornosti na neželjene događaje kroz cijelu kompaniju omogućavajući tako oporavak od značajnih gubitaka kao što su djelomični ili cjeloviti gubitak operacija.Glavna korist od Upravljanja kontinuitetom poslovanja jest sigurnost da organizacija ima odgovor na događaje koji prijete njenom opstanku. Neke organizacije imaju zakonske ili regulatorne obveze po pitanju kontinuiteta poslovanja. Ipak, primarni razlog za uvođenje upravljanja kontinuitetom poslovanja jest činjenica da Upravljanje kontinuitetom poslovanja daje dodatnu vrijednost organizaciji te proizvodima i uslugama koje organizacija pruža. Provođenjem temeljnih procesa Upravljanja kontinuitetom poslovanja kao što su Analiza poslovnog utjecaja i Vježbe plana oporavka može se dodatno identificirati neefikasne dijelove poslovanja ili se fokusirati na dijelove poslovanja koji inicijalno nisu prepoznati kao bitni.
Kontinuirano upravljanje neprekinutošću poslovanja
Upravljanje kontinuitetom poslovanja je proces koji ostaje dio svakidašnjeg poslovanja- uklopljen kao jedan od procesa koji dodaju vrijednost, sa svim razvijenim ulogama, budžetom itd. Reakcije na incidente, praćenje novih prijetnji, praćenje unaprjeđenja poslovanja - su kontinuirani zahtjevi na proces upravljanja kontinuitetom poslovanja. trilix nudi set usluga kako bi Vam pomogao u efikasnom upravljanju: provodimo procjene usklađenosti sustava s najboljim praksama - i na osnovu njih radimo akcijske planove implementacije, testiramo postojeće planove - dokumentacijski, table test, simulacija te provjera u situacijama), procjenjujemo tehničku pripremljenost (IT sustava), te na osnovu analize rizika i analize utjecaja na poslovanje predlažemo unaprjeđenja.
Plan neprekinutosti poslovanja
Tijekom uspostave upravljanja neprekinutošću poslovanja preporuke su za uspostavom 3 tipa planova:
Planovi neprekinutosti poslovanje- unutar kojeg se alociraju uloge i odgovornosti, pravila kako riješiti komunikacije – interne i eksterne, dobavljače, hitne službe, mediji itd,
Planovi i driješenja u upravljanju resursima –opisuju tehnička rješenja, osiguranje radne okoline, arhive podataka, energija, telefoni te ljudi, i
Planovi upravljanja u kriznim situacijama –koji opisuju kako reagirati u kriznim situacijama te kako smanjiti utjecaj krize.
Trilix nudi uslugu izrade planova upravljanja neprekinutošću poslovanja za pojedine IT sustave te DRPa kao dio pojedinih planova. Nakon izrade Trilix sudjeluje s Klijentom u implementacijom plana, izrađuje planove testiranja kontinuiteta poslovanja, sudjeluje u testiranju, izrađuje izvješća o testiranjima te izradi prijedloga poboljšanja planova.
Plan oporavka nakon nesreće
U današnjem svijetu poslovanja informacija je najvažnija imovina svake firme. Obzirom na značajnu ulogu IT-a pri čuvanju i obradi podataka te centralizaciji sustava koji te informacije procesiraju vrlo je važno razmišljati o katastrofama tj. potencijalnim prekidima u pristupu podacima te o mogućem oporavku od katastrofa ( disaster recovery). Nerijetko se dešava da nisu katastrofalni događaji oni koji uzrokuju pokretanje DR plana, već se dešava da je nedostupnost informacija uzrokovana nizom "malih" događaja. Planiranje DR rješenja omogućava Vam da se pripremite za takve neželjene situacije bez obzira na njihov uzrok. Oko 90 posto tvrtki koje nisu imale implementirane mehanizme DR/BC u vrijeme katastrofe, prema statističkim podacima, prekinule su s poslovanjem unutar 18 mjeseci. Osim gubitka podataka, troškovi se povećavaju i zbog posljedica na poslovanje uzrokovanih gubitkom podataka (pad dionica tvrtke, oslabljena produktivnost zaposlenika, nemogućnost pružanja usluga klijentima itd.).
Uspostava sustava za upravljanje kvalitetom (ISO 9001)
Posjedovanje ISO 9001 certifikata više nije prednost nego nužnost organizacije. Korištenje mehanizma propisanog normom unutar kojeg se prepoznaju nesukladni proizvodi, propisuje što raditi u takvim situacijama ( odatle i naziv - upravljanje kvalitetom), a istovremeno imati sustav koji će preventivno djelovati da se takve stvari ne dogode i korektivno da se otkloni uzrok takvih situacija. ISO 9001 je norma okrenuta maksimizaciji profita kroz rješavanje organizacijskih problema, a ne na račun smanjenja kvalitete proizvoda. Trilix nudi konzultantske usluge koje su bazirane na analizi rizika i orijentirane unaprjeđenju poslovanja koristeći cost- benefit analize. Također ovako izgrađen sustav kvalitete ima postavljene temelje za kasnije implementacije unaprjeđenja poslovnih procesa, uspostave sustava sigurnosti informacija itd.
Redizajn poslovnih procesa
Poslovni procesi su izvor poslovne prednosti svakog poduzeća. Učinkoviti poslovni procesi koji imaju mogućnost reakcije na incidentne situacije, te koji opstaju nakon kritičnih situacija su temelj za izgradnju povjerenja kupca. Trilix radi analize rizika pojedinih procesa, analize njihovog poslovnog utjecaja ( business impact analiza) i na osnovu tako prikupljenih informacija, predlaže poboljšanja. Ovako predložena poboljšanja direktno smanjuju rizike poslovanja te su također orijentirani na zadovoljenje regulatornih zahtjeva.
Provedba analize rizika
Sigurnosni rizik je potencijal kojim određena prijetnja koja može prouzročiti gubitak ili štetu informaciji, koristeći njenu ranjivost i vrijednost za grupu ili pojedinca" [Humphreys, 1998). Interes i potreba za upravljanjem raste zbog kontinuirane porasti ranjivosti imovine iS-a, porasti troškova zaštite i neučinkovite zaštita, porasti broja prijetnji i nastanak novih oblika prijetnji i njihovog sve težeg uočavanja zbog visokog tehničkih zahtjeva. Trilix nudi uslugu procjene rizika koristeći svoja tehnička i poslovna znanja prepoznavajući nove prijetnje i inherentne ranjivosti. Trilix nudi uslugu upravljanja rizikom . odabir prikladne strategije – TARA (u većini slučajeva se odlučuje za R- reduce-smanjivanje ako nije preskupo, ovisno o dozvoljenoj razini rizika se A-accept -prihvaćaju, relativno rijetko se rizik T-transfer-prebacuje jer kod nas osim u veliki kompanijama ne postoji kultura takvog razmišljanja, a skoro nitko ne razmišlja o mogućnostima A- avoid-izbjegavanja) i izrada prijedloga kontrola: upravljačkih, logičkih te fizičkih.
Analiza utjecaja na poslovanje
Analiza utjecaja na poslovanje određuje utjecaj neraspoloživosti pojedinih poslovnih procesa odnosno resursa informacijskog sustava potrebnih za odvijanje tih procesa na poslovanje kompanije. Trilix nudi uslugu cjelovite analize utjecaja na poslovanje ili provedbu pojedinih faza analize kao samostalnih projekata. Analiza se po Trilixovoj metodologiji započinje Identifikacijom poslovnih procesa i njihovom klasifikacijom obzirom na njihovu kritičnost i/ili vitalnost, te se zatim provodi identifikacija resursa informacijskog sustava potrebnih za odvijanje poslovnih procesa, utvrđuje njihovih međuovisnosti te povezanosti s drugim informacijskim sustavima. Utvrđuju se prioriteti oporavka poslovnih procesa, te RTO i RPO, i određuju organizacijske odgovornosti.
Audit usklađenosti s normom ISO/IEC 19770-1
Upravljanje softverskom imovinom (Software Asset Management – SAM) je dio upravljanja informacijskom imovinom i korespondira sa procesima upravljanja promjenama, upravljanje incidentima, upravljanjem otpisom imovine itd. ISO/IEC 19770-1 je standard koja propisuje dobre prakse u upravljanju softverskom imovinom. Dobre prakse u SAMu bi trebale rezultirati koristima kao što su:
• Smanjenje rizika prekida ili smanjenja kvalitete IT servisa
• Smanjenje troškova softvera i povezanih sredstava
• Smanjenje rizika od zakonskih prekršaja
• Smanjenje troškova zbog bolje pregovaračke pozicije s dobavljačima
• Kompetitivna prednost zbog povećane sposobnosti implementacije novih softvera.
Audit obuhvaća procjenu usklađenosti tvrtke sa preporukama danim u poglavlju 4 SAM processes norme ISO/IEC 19770. Sama metodologija audita je bazirana na COBIT-u, dok se za provedbu audita koriste ISACA IS auditing standards.
Prijedlozi unaprjeđenja su bazirani na najboljim praksama kao što su ISO/IEC 27001, ISO/IEC 27002 (bivša 17799), COSO, COBIT te ostalim stručnim standardima. Procjena obuhvaća pregled dokumentacije, intervjue s djelatnicima, te uvid u informacijske sustave, informacijsku infrastrukturu i načine osiguranja funkcioniranja pojedinih procesa.
LMS - Centralizirana edukacija djelatnika kroz portalsko rješenje
Trilix sustav za edukaciju (Trilix LMS) je centralizirani sustav baziran na web tehnologijama koji korisnicima daje dostup do edukacijskog okruženja primjerenog radnom mjestu odnosno opsegu edukacije koji je korisniku potreban. S obzirom da je baziran na međunarodno prihvaćenim standardima te posebno web tehnologiji, dostup do samog sustav moguć je bez potrebe za većim zahvatima na korisničkim računalima. Sve radnje na sustavu provode se kroz ranije spomenuto web sučelje.
Korištenjem elektroničkog sustava za edukaciju izbjegava se značajan skup problema i prepreka u odnosu na klasičan način održavanja edukacije. Kod provođenja klasične edukacije svi sudionici edukacije moraju biti na istom mjestu u isto vrijeme te moraju slušati isti sadržaj. Redovito se edukacija odvija na, za pojedine sudionike, udaljenom mjestu što rezultira odsutnošću djelatnika sa radnog mjesta. Korištenjem elektroničkog sustava za edukaciju osigurava se raspoloživost sadržaja svim sudionicima edukacije bez obzira kojoj organizacijskoj jedinici pripadaju odnosno bez obzira na njihovu geografsku lokaciju. Upravljanje edukacijskim materijalima i grupama korisnika koji se educiraju izvodi se preko naprednog sučelja te ne zahtijeva dodatne logističke napore. Svim sudionicima procesa edukacije se informacije o novim edukacijskim sadržajima ili edukacijskim planovima mogu dostaviti kroz sustav odnosno kroz E-mail. Ukoliko Vam je potreban učinkovit sustav edukacije kroz portalsko rješenje, Trilix-ov LMS sustav je pravi izbor za Vas.(više...)
Usluga djelomične (ili potpune) eksternalizacije uloge CISO
Uslugom eksternalizacije voditelja sigurnosti informacijskog sustava Trilix omogućuje stručnu pomoć pri upravljanju sigurnošću informacijskog sustava. Kroz uslugu eksternalizacije voditelja sigurnosti informacijskog sustava Klijent ostvaruje niz benefita. Benefiti se mogu klasificirati u dvije osnovne skupine: stručne i financijske. Benefit korištenja eksternaliziranog voditelja sigurnosti informacijskog sustava poduzeća Trilix, u stručnom pogledu, jest osiguranje da posao obavlja kvalificirana osoba, sa potrebnim znanjima te dugogodišnjim iskustvom u upravljanju sigurnošću velikih informacijskih sustava. Isto tako, obzirom na međunarodno priznate certifikate (CISM) i zahtjeve istih za kontinuiranom edukacijom, Klijent je siguran da eksternalizirani voditelj informacijske sigurnosti konstantno nadograđuje svoja znanja i vještine prateći najnovije trendove u sigurnosti informacija i sigurnosti informacijskih sustava. Financijski benefit za Klijenta je primarno u činjenici da eksternalizirani voditelj informacijske sigurnosti predstavlja fiksni odnosno predvidivi trošak koji se angažira sukladno dogovorenim uvjetima i/ili po potrebi. Obzirom na cijenu rada stručnjaka za informacijsku sigurnost, zapošljavanje adekvatnog djelatnika predstavljalo bi značajan trošak Klijentu. Trenutno stanje informacijskog sustava i zadovoljenje sigurnosti istoga ne zahtijeva dediciranog djelatnika za navedene poslove, te takav djelatnik i njegova znanja ne bi bila adekvatno korištena. Ništa manje važno je i činjenica da Klijent u slučaju eksternalizacije nema brigu o skrivenim troškovima djelatnika poput edukacije, troška prostora i pripadajuće infrastrukture za rad (računalo, mobitel, trošak telefoniranja i sl.). Model eksternalizacije CISSO-a (ili dijela funkcije) se sastoji od dva dijela: inicijalne uspostave i kontinuiranog servisa koji se odvija na lokaciji Klijenta ili udaljenim pristupom. Pri inicijalnoj uspostavi definiraju se organizacijske uloge i odgovornosti, te se izrađuju potrebne, a nepostojeće procedure (ukoliko ih ima). Također se implementiraju procesi kao npr. Incident managment i provode se procjene informacijskih sustava (tehnički). Kontinuirani servis (on i off site) je usluga dogovarana u pravilnim vremenskim periodima, ili na pojavu incidenta i sastoji se od provjere provedbe procesa, pripreme i izrade izvješća, te izrade prijedloga daljnjih koraka..