ODJEL ZA INFORMACIJSKU SIGURNOST - Zavod za ispitivanje kvalitete d.o.o.

SITUACIJA

• CISSO (Chief Information Systems Security Officer) odnosno voditelj sigurnosti IS-a je odgovoran za sigurnost informacijskog sustava, a što uključuje obavljanje raznovrsnih zadataka koji zahtijevaju izuzetno visoku razinu specifičnih znanja o informacijskoj sigurnosti i informacijskim sustavima (poznavanje informacijskih sustava, baza podataka, operacijskih sustava, mreža računala itd., poznavanje standardnih procesa informacijske sigurnosti, poput procjene i obrade rizika infomacijske sigurnosti, klasifikacije informacija, planiranja oporavka od katastrofe , planiranja odgovora na incidente itd.) te menadžerskih vještina (komunikacijske, prezentacijske, pregovaračke, analitičke i ostale vještine koje čine svakog uspješnog menadžera. Kvalitetnog CISSO-a nije uvijek lako naći.
• Odlukom o primjerenom upravljanju IS-om (HNB) zahtijeva od banaka uspostavu funkcije CISSO-a. Navedena funkcija može se eksternalizirati.

RJEŠENJE

• Pod eksternalizacijom funkcije CISSO-a podrazumijeva se eksternalizacija poslova i zadataka koje bi CISSO obavljao, dok sveukupna odgovornost za sigurnost IS-a dakako ostaje u organizaciji (po definiciji eksternalizacije). U praksi ovo funkcionira na način da organizacija nominira osobu odgovornu za sigurnost IS-a, dok bi sve poslove i zadaće CISSO-a obavljao ZIK na bazi ugovorno definiranog angažmana.
• Sve dodatne aktivnosti i specifičnosti reguliraju se pratećim ugovorom, kojim se definira i način izvješćivanja, komunikacije, vršenja nadzora provedbom aktivnosti koje su predmetom ugovora i nad kvalitetom izvšenog posla i svi ostali potrebni elementi kako bi se osiguralo da ZIK obavlja dane mu poslove u skladu s očekivanjima i potrebama klijenta.
• Uobičajen skup aktivnosti koje ZIK pritom kao „vanjski“ CISSO provodi za klijenta uključuje:

• redovitu i izvanrednu procjenu rizika,
• izradu plana obrade rizika,
• izradu i održavanje politike sigurnosti IS-a,
• predlaganje i razradu potrebnih mjera s ciljem otklanjanja eventualnih nesukladnosti/nepravilnosti i/ili prijedloga za poboljšanjem koje se odnose na sigurnost IS-a, na temelju izvješća interne i/ili vanjske revizije informacijskog sustava planiranje odgovora na incidente informacijske sigurnosti,
• kontinuirano praćenje i održavanje popisa sve primjenjive zakonske regulative koja se odnosi na informacijsku sigurnost
• razvoj i koordinaciju programa obuke i podizanja svijesti o sigurnosti IS-a,
• provođenje sigurnosnih provjera politika i ostalih internih akata sigurnosti informacijskog sustava i izradu izvješća o provedenim provjerama,
• iniciranje primjene dobrih sigurnosnih praksi i
• izradu godišnjih i polugodišnjih izvješća o stanju informacijske sigurnosti.

ZAŠTO ODABRATI EKSTERNALIZACIJU UPRAVLJANJA SIGURNOŠĆU IS-a?

• nedostatka odgovarajućeg kadra u vlastitoj organizaciji i/ili na tržištu radne snage,
• smanjenja troškova zapošljavanja i troškova samog radnog mjesta (CISSO je odgovoran za sigurnost IS-a „u kući“; da bi mogao učinkovito obavljati svoj posao, CISSO mora biti dovoljno visoko u organizacijskoj hijerarhiji, a što znači da ga se mora i adekvatno nagraditi; osim toga, nema troškova kontinuirane edukacije),
• nepristranosti odnosno eliminacije mogućnosti da dođe do sukoba interesa (koji postoji ukoliko imate CISSO-a koji je pod kapom CIO-a),
• bržeg i što kvalitetnijeg ispunjavanja zahtjeva regulatora i/ili
• orijentacije na obavljanju jedino „core“ djelatnosti.

KAKO MOŽEMO POMOĆI?

• Želite se informirati o mogućnostima eksternalizacije funkcije voditelja sigurnosti informacijskog sustava (CISSO)?

Kontaktirajte nas i rado ćemo vam prezentirati opcionalne modele eksternalizacije.