Demo erisk

pl

erisk pomaga zarządzać bezpieczeństwem informacji i ochroną danych

Elastyczność konfiguracji i dopasowanie pod normy ISO.
Bezpieczeństwo, automatyzacja i możliwość rozwoju narzędzia.

Chmura Krajowa jest dziś najbardziej wyspecjalizowanym dostawcą rozwiązań chmury obliczeniowej na polskim rynku. Celem firmy jest przyspieszenie cyfrowej transformacji polskich przedsiębiorstw oraz instytucji publicznych. Cyfryzacja zwiększa tempo rozwoju, obniża koszty działania i zapewnia narzędzia, dzięki którym przedsiębiorstwa zwinnie wprowadzają innowacje, dostosowując produkty i usługi do szybko zmieniających się oczekiwań rynku. Aby organizacja mogła tak działać, potrzebuje dobrze przygotowanej i skutecznie przeprowadzonej cyfrowej transformacji.

Chmura obliczeniowa jest niezbędnym elementem tego procesu, ponieważ coraz więcej nowoczesnych technologii rozwija się wyłącznie w środowisku chmurowym. Chmura ściśle wiąże wydatki z faktycznie wykorzystywanymi zasobami. Zapewnia skalowalność, zwiększa niezawodność i bezpieczeństwo środowiska IT. Wspiera wykorzystanie zwinnych metodyk i umożliwia automatyzację powtarzalnych procesów. Stosowanie podejścia cloud native, w którym zwinne aplikacje i systemy są rozwijane od podstaw w chmurze, przyspiesza implementację nowych projektów i proces ciągłego doskonalenia wdrożonych już rozwiązań.

Pełna nazwa
Pełna nazwa

Operator Chmury Krajowej Sp. z o.o.

WWW
WWW

www.chmurakrajowa.pl

Zatrudnienie
Zatrudnienie
  • ponad 90 (2020r.) – spółka
Branża
Branża

Usługi IT – chmura

Lokalizacje
Lokalizacje

(kraje/oddziały, które korzystają z eriska): Polska

Wersje językowe
Wersje językowe

polska

Używane moduły
Używane moduły
  • Zarządzanie ryzykiem
  • Zarządzanie Incydentami
  • Analityka i Raportowanie
Ilość użytkowników systemu (ogółem)
Ilość użytkowników systemu (ogółem)

90

Ilość użytkowników systemu (wg poszczególnych wdrożonych modułów)
Ilość użytkowników systemu (wg poszczególnych wdrożonych modułów)
  • Moduł Ryzyko – 30 użytkowników
  • Moduł zdarzenia operacyjne – 30 użytkowników
  • Moduł Raporty – 30 użytkowników

Oczekiwania

Celem projektu było wdrożenie i certyfikacja systemu zarządzania bezpieczeństwem informacji, zgodnego z wymaganiami normy ISO 27001. Dla klienta ważna była pełna automatyzacja procesów oraz zapewnienie maksymalnego bezpieczeństwa ze względu na to, że narzędzie miało wspierać obszar ochrony danych osobowych. Rozwiązanie miało być na tyle zaawansowane, aby możliwe było analizowanie wpływu biznesowego (BIA), opracowanie minimalnej akceptowalnej konfiguracji (MAK), zarządzanie ryzykiem ciągłości działania, a także raportowanie zgodnie z wymaganiami ISO 27001, ISO 27017, ISO 27018 i standardem CSA CCM. Ponadto klientowi zależało na możliwości swobodnego doskonalenia funkcjonujących procesów, przez co priorytetem była pełna elastyczność narzędzia, umożliwiająca wprowadzanie niezbędnych zmian w przyszłości. Wszystkie te wymagania spełniło erisk.

Rozwiązanie

Projekt został zrealizowany w okresie grudzień 2019 – styczeń 2020 i został podzielony na kilka etapów, obejmujących wdrożenie w poszczególnych obszarach (bezpieczeństwo informacji, ciągłość działania, ochrony danych osobowych). Kluczowe było przeprowadzenie prac w taki sposób, aby nie naruszać wcześniej wdrożonych metodyk i nie stwarzać zagrożenia dla zgromadzonych danych.

Przekazaliśmy licencję

Dostarczyliśmy oprogramowanie w postaci rocznej licencji dostępowej do narzędzia erisk. Dzięki aplikacji w modelu SaaS klient ograniczył koszty niezbędne do instalacji, utrzymania, aktualizacji i zapewnienia wymaganego bezpieczeństwa.

Przygotowaliśmy środowiska testowe i produkcyjne

Zgodnie z najlepszymi praktykami dotyczącymi bezpieczeństwa informacji uruchomiliśmy dwa środowiska pracy: testowe służące do projektowania bazy, prac konfiguracyjnych, testów i szkoleń, oraz produkcyjne, w którym prowadzona była pierwsza iteracja procesu zarządzania ryzykiem bezpieczeństwa informacji.

Opracowaliśmy koncepcję wdrożeniową

Przeanalizowaliśmy stosowane metodyki analizy ryzyka bezpieczeństwa informacji, rejestru ryzyka oraz struktury ról i odpowiedzialności. Na tej podstawie wypracowaliśmy główne założenia dla struktury formularzy i uprawnień w erisk. Dzięki aktywnej współpracy zespołów roboczych dopracowaliśmy strukturę bazy danych, która w pełni odpowiadała potrzebom organizacji.

Przeprowadziliśmy warsztaty

Podzieliliśmy szkolenia na dwie grupy: dla administratorów merytorycznych i dla właścicieli ryzyka. Zaprezentowaliśmy funkcje narzędzia, które bezpośrednio odnosiły się do codziennej pracy użytkowników erisk. Dzięki formie warsztatowej uczestnicy mogli poznać narzędzie w praktyce i samodzielnie przećwiczyć realizację zadań w ramach procesu zarządzania ryzykiem.

Skonfigurowaliśmy narzędzie zgodnie z ISO 27001

Kolejnym etapem była konfiguracja i implementacja danych do oprogramowania erisk w zakresie standardu zarządzania bezpieczeństwem informacji (ISO 27001). Przygotowaliśmy formularze, skrypty, monity, raporty i biblioteki, w tym bibliotekę środków kontroli/zabezpieczeń. Innowacyjną funkcją był tu tryb oceny, który pozwala wypełniać dane w formularzu planu postępowania z ryzykiem w zależności od wybranego rodzaju postępowania (minimalizacja ryzyka, akceptacja ryzyka, unikanie ryzyka, przeniesienie ryzyka). Co istotne, zastosowane rozwiązanie daje bardzo dużą swobodę rozwoju wykorzystania narzędzia w przyszłości poprzez implementację innych obszarów zarządczych.

Po pełnym skonfigurowaniu formularzy w bazie danych przystąpiliśmy do konfiguracji ról użytkowników i nadawania uprawnień zgodnie z ustaloną strukturą oraz do implementacji danych na temat ryzyka bezpieczeństwa informacji zgromadzonych w rejestrze ryzyka. Na zakończenie przeprowadziliśmy testy akceptacyjne zgodnie z ustalonymi scenariuszami – test zakończył się wynikiem pozytywnym.

Skonfigurowaliśmy narzędzie zgodnie z ISO 22301 i RODO

W następnym etapie przyjrzeliśmy się rozwiązaniom dotyczącym zarządzania ciągłością działania. Dzięki temu wykryliśmy lukę, która wskazała na konieczność stworzenia dedykowanych formularzy do prowadzenia systematycznej analizy BIA i analizy ryzyka utraty ciągłości działania, w tym środków kontroli i planów postępowania z ryzykiem. W ramach obszaru RODO wdrożyliśmy rejestr czynności przetwarzania, proces analizy DPIA oraz proces zarządzania ryzykiem. Nacisk położyliśmy na jak największą spójność i jednolitość z obszarami bezpieczeństwa informacji i ciągłości działania w podejściu do budowy formularzy dotyczących zarządzania ryzykiem przy jednoczesnym zachowaniu niezbędnej indywidualności.

Zapewniliśmy asystę techniczną

W ramach usługi aktywowaliśmy konto dostępowe do supportu, dzięki czemu klient zyskał asystę techniczną podczas prac wdrożeniowych i po zakończeniu projektu. W ramach asysty dodatkowej trwającej rok od uruchomienia erisk zrealizowaliśmy dodatkowe usługi konfiguracyjne i przygotowaliśmy niezbędne raporty, w tym mapę ryzyka i raport dotyczący CSA CCM.

Metodyki

Zarządzanie ryzykiem bezpieczeństwa informacji zgodnie z ISO 27001

Zarządzanie ryzykiem bezpieczeństwa informacji zgodnie z ISO 27005

Analiza ryzyka zgodna z RODO

Zarządzanie Ciągłością Działania zgodnie ISO 22301

Wymagania standardu CSA CCM

Zarządzanie zabezpieczeniami i generowanie deklaracji stosowania według ISO 27001, ISO 27017 i ISO 27018

Co zyskał klient?

  • Dedykowane i w pełni dostosowane do potrzeb organizacji narzędzie w modelu chmurowym SaaS, które można swobodnie rozwijać i dostosowywać do zmieniających się potrzeb organizacji.
  • Kompleksową informatyzację procesów powiązanych z wymaganiami norm ISO 27001, ISO 27017, ISO 27018, ISO 27005, ISO 22301, standardem CSA CCM oraz RODO.
  • Zwiększenie efektywności zarządzania ryzykiem bezpieczeństwa informacji i ciągłości działania dzięki automatyzacji.
  • Ograniczenie pracochłonności generowania raportów i danych na potrzeby audytów, kontroli, analiz poprzez zapewnienie szybkiego dostępu do aktualnych i spójnych danych.

Jak erisk wspiera zarządzanie ryzykiem w polskim ministerstwie

Dowiedz się więcej

Jak erisk wspiera Urząd Miejski

Dowiedz się więcej

Jak erisk wspiera zarządzanie ryzykiem w branży odzieżowej

Dowiedz się więcej

Jak erisk wspiera wrocławskie wodociągi

Dowiedz się więcej

Jak erisk wspiera organizację z sektora administracyjnego

Dowiedz się więcej

Jak erisk wspiera instytucję gospodarki budżetowej

Dowiedz się więcej

Jak erisk wspiera międzynarodowe korporacje

Dowiedz się więcej

Jak erisk wspiera wicelidera polskiego rynku elektroenergetycznego

Dowiedz się więcej

Jak erisk wspiera zarządzanie ryzykiem w spółce z branży e-commerce

Dowiedz się więcej
SPRAWDŹ POZOSTAŁE CASE STUDIES

Potrzebujesz pomocy
lub chcesz skonsultować
pomysł Twojego wdrożenia?

Porozmawiajmy!

Kontakt

Chcesz wiedzieć
ile kosztuje erisk?

Sprawdź cennik