-
בניית מערך המשכיות עסקית (Business continuity management) והכנה להסמכה לתקן BS 25999
הניסיון הרב שלנו בהסמכת ארגונים לתקנים בינלאומיים שונים כגון ISO27001, ISO20000, ISO9000 וכמובן BS25999, הכרותינו המעמיקה עם הגורם המסמיך ודרישותיו, והאחריות הכוללת שאנו לוקחים על עצמנו יבטיחו לבנק הפועלים תהליך יעיל, מהיר ואפקטיבי אשר יעניק לארגון הסמכה חשובה זו בתקופה קצרה.
תקן BS25999 מתאר את הקמתה, תחזוקתה ושיפורה של מערכת (מערכת ניהול המשכיות עסקית) המוודאת כי השירותים, הגורמים האנושיים, התשתיתיים והטכנולוגיים יהיו זמינים למקרה בו תתרחש הפרעה משמעותית לשירותים העסקיים של הארגון ויהיה צורך להפעיל את תוכנית הגיבוי על מנת למנוע פגיעה כלכלית בארגון.
-
ניהול אירועי אבטחת מידע- אבטחת SIM
אבטחת Security Information Management מספקות לארגון תמונת מצב מקיפה אודות סטאטוס אבטחת המידע ואירועי אבטחת המידע בעת התרחשותם. המערכת מאפשרת תחקור בדיעבד של אירועים אלו. אבטחת SIM חיונית ליישום ממשל אבטח מידע (Information Security Governance) בארגון. לא ניתן לנהל סיכונים ללא יכולת לזהותם בזמן אמת ולנתחם לאחר התרחשותם.
SOC - הינו ההיבט הארגוני והתהליכי של ניהול אירועי אבטחת המידע, כאשר
SIM מהווה אחד מרכיביו. SECOZ עוסקת בנושא זה מיום הקמתה ומעורבת בתכנון, ניתוח, יישום וניהול של יותר מ-15 פרויקטים בתחום זה בארץ ובעולם. לחברה הכרות מעמיקה עם כל הטכנולוגיות הקיימות בישראל בתחום זה
ניהול זהויות הינו תחום העוסקת בפתרונות ממוכנים לניהול מידע על משתמשים ומבקר את גישתם למשאבי הארגון. מטרת התחום הינה לשפר את יעילות התפעול ואת רמת האבטחה תוך צמצום העלויות הכרוכות בניהול משתמשים, זהויות והרשאות הגישה.ל SECOZ מתודולוגיה ייחודית בתחום זה הנובעת מניסיון רב בארגון גדולים ומגוונים.
-
הכנה להסמכה לתקן ISO 27001
SECOZ הינה החברה בעלת הניסיון הרב ביותר בישראל בהקמת מערכות ניהול אבטחת מידע (מנא"ם) בהתאם לדרישות תקן אבטחת המידע 27001 ISO ובהכנת הארגונים לעמידה בתקן זה. עד כה ליווינו למעלה מ-15 ארגונים בארץ ובעולם בתהליך זה.
ל-SECOZ ידע והתמחות מיוחדת בהקמת מערכות איכות משולבות (תקני איכות ואבטחת מידע). גישה זו מאפשרת לארגונים לתחזק מערכת אחת של תקנים, למנוע כפילויות ואי הבנות ולחסוך זמן ומשאבים רבים.
אנו מציעים אחריות כוללת על תהליך ההסמכה. SECOZ תהיה אחראית ותהווה נקודת קשר יחידה לתהליך כולו, מתחילתו ועד הענקת ההסמכה לארגון.
הניסיון הרב שלנו בהסמכת ארגונים, הכרותינו המעמיקה עם הגורם המסמיך ודרישותיו, והאחריות הכוללת שאנו לוקחים על עצמנו יבטיחו לארגון תהליך יעיל, מהיר ואפקטיבי אשר יעניק לארגון הסמכה חשובה זו בתקופה קצרה.
תקן ISO 27001 נוצר במטרה להגדיר מערכת ניהול אבטחת מידע וכדי להבטיח בחירת בקרות אבטחה מתאימות לשמירה על נכסי המידע.
בחודש נובמבר 2009 אישרה הכנסת את תיקון מספר 3 בתקנות ניירות ערך (דוחות תקופתיים ומידיים) העוסק במערך הבקרה הפנימית על הדיווח הכספי ועל הגילוי בתאגיד מדווח. תקנה זו מכונה I-SOX בשל קרבתה לחוק SOX האמריקאי.
ה I-SOX מטיל על הדירקטורים, המנכ"ל וסמנכ"ל הכספים של חברות ציבוריות חובה להצהיר בדו״ח התקופתי כי מערך הבקרה הפנימית על הדיווח הכספי הוא אפקטיבי. כמו כן נדרשות החברות לקבל חוות דעת מרואה החשבון המבקר שלהן על אפקטיביות הבקרה הפנימית על הדיווח הכספי ועל הגילוי.
ה I-SOX מטיל על הדירקטורים, המנכ"ל וסמנכ"ל הכספים של חברות ציבוריות חובה להצהיר בדו״ח התקופתי כי מערך הבקרה הפנימית על הדיווח הכספי הוא אפקטיבי. כמו כן נדרשות החברות לקבל חוות דעת מרואה החשבון המבקר שלהן על אפקטיביות הבקרה הפנימית על הדיווח הכספי ועל הגילוי.
אחד הנדבכים החשובים ב-ISOX הוא הערכה ובחינה של סביבת הבקרה במערכות המידע אשר בשימוש הארגון. הסיבה לכך הינה כי ליקויים בבקרה זו משפיעים באופן ישיר על איכות הדיווח הכספי.
בקרות מערכות המידע נחלקות לבקרות כלליות ולבקרות אפליקטיביות. יישום מלא של בקרות אלה מבטיח כי הארגון, מבחינת הרגולציה, עומד בדרישות הדיווח הכספי.
המתודולוגיה של SECOZ להכנת מערכות המידע לעמידה ב ISOX כוללת את השלבים הבאים:
א. כתיבת נהלים ובקרה על הטמעת בקרות התהליכיות והטכנולוגיות במערכות המידע (ITGC)
המונח ITGC מתייחס לבקרות ממוחשבות של טכנולוגיית המידע (Information Technology General Controls). בקרות אלה מתייחסות לכלל רכיבי המערכות הממוחשבות, התהליכים הרלוונטיים, המידע וסביבת טכנולוגיית המידע בה מצויות המערכות.
אנו מבססים את יישום ה ITGC על מסגרת הCobiT . סטנדרט זה מגדיר תהליכים ויעדי בקרה בסביבה טכנולוגית ואינו תלוי בפלטפורמה מסוימת. ה CobiT-מספק מסגרת שבעזרתה ניתן לוודא כי התוכניות האסטרטגיות של מערכות המידע יביאו לתוצאה העסקית המצופה וזאת תוך תהליך עקבי והשקעת משאבים אופטימאלית.
ב. הערכת אפקטיביות הבקרה הפנימית
בשלב זה מעריכים האם הבקרות שיושמו במהלך ההטמעה אכן פועלות באופן אפקטיבי על מנת לתת מענה לסיכונים כפי שהוגדרו.
ג. ניהול תהליך ההטמעה של הנהלים והבקרות ב- IT
תהליך ההטמעה של הבקרות, הנהלים והתהליכים ב- IT הנו השלב המכריע בפרויקט. תהליך ההטמעה אורך מספר חודשים ודורש ניהול שוטף בפורמט של פרויקט פנימי, פורום ניהולי למעקב אחר התקדמות הפרויקט ואינטראקציה עם גורמים שונים הן פנימיים והן חיצוניים.
-
הכנה להסמכה לתקן ISO 20000
התקן מגדיר את התשתית המנהלית הנדרשת לקיום מערכת לניהול שירותי מערכות המידע. מסגרת זו כוללת את האחריות הניהולית; את דרישות התיעוד הכוללות מדיניות, תוכניות עבודה, תהליכי עבודה ורשומות הנדרשות; ואת רמת המיומנות המקצועית וההדרכה של מספקי השירות.
התקן מגדיר סט בסיסי של דרישות מולן ניתן להעריך את יעילות ניהול שירותי מערכות המידע של הארגון. הוא מאפשר לארגונים לבחון את רמת יישומו של ניהול שירותי טכנולוגיית המידע. התקן משלים תקנים אחרים של ISO כולל תקן האיכות 9001 ותקן ניהול אבטחת מידע 27001.
-
ניהול סיכונים (Risk Management)
SECOZ מתמחה בניהול סיכונים מיום הקמתה, לפני כ-8 שנים ומקימיה אף קודם לכן. החברה פיתחה מגוון מתודולוגיות וכלים המסייעים ללקוחותיה להתמודד עם נושא זה.
ל-SECOZ התמחות בהיבטים הייחודים של ניהול סיכונים בתחום מערכות המידע. אנו מביאים עמנו ניסיון רב שנים בניהול, תכנון, תיעוד ובחינה של יישום תהליכים ובקרות בתחום זה בהתאם לדרישות הרגולאטוריות.
אנו עובדים עם ארגונים גדולים בארץ ובחו"ל. אנו מנתחים דרישות חוזיות, חוקיות וסטנדרטיות, מנתחים את התאמתם לדרישות אלה, בונים תוכנית עבודה לסגירת פערים אלה ומלווים את היישום. בין יתר הסטנדרטים בתחום זה:
• סטנדרטים בתחום מערכות מידע כגון 20000 ISO (ITIL) , 25999 BSI (המשכיות עסקית), 30000 ISO (ניהול סיכוני מערכות מידע) ו 9001 ISO (איכות).
• היבטים משפטיים ורגולציות כגון SOX, 357, דרישות המפקח על שוק ההון, II BASEL, II SOLVENCY, HIPAA ועוד.
• אנו חברים פעילים בארגון ISACA ועושים שימוש במתודולוגיות המומלצות על ידי ארגון וכן בעלי הכשרות של גוף זה (CISA) ופעילים בקידום הסטנדרטים שנוצרו על ידי גוף זה – COBIT, RISKIT, VALIT.
ל-SECOZ מומחיות מעשית בהטמעת מתודולוגיות וכלים של עולמות ניהול הסיכונים, בארגונים גדולים.
