Впровадження та Сертифікація ENX TISAX®
Визначення обсягу охоплення має вирішальне значення для VDA ISA та ENX TISAX®. Помилки на цьому етапі призводять до зайвих робіт з впровадження та обслуговування або до помилкових результатів сертифікації. Також ми визначаємо пріоритети завдань, щоб якомога швидше отримати максимальну безпеку. Ми виконуємо цей етап для вас безкоштовно. Коли ви розумієте, що вам цікаво працювати з нами, ми відправляємо вам комерційну пропозицію та підписуємо договір.
Цей етап зазвичай займає 3-4 тижні, залежно від обсягу охоплення. Ми проводимо співбесіди з вашими співробітниками, перевіряємо документи, оцінюємо фізичну безпеку, периметр, тощо. Цей етап включає аналіз поточного стану процесів і засобів управління інформаційною безпекою, бізнес-процесів і технологічних процесів, аналіз фізичної безпеки приміщень, персоналу, ІТ-інфраструктури, тощо. Результатом цього етапу є звіт про первинний аудит та аналіз недоліків, а також детальний план-графік впровадження засобів контролю VDA ISA.
Цей етап зазвичай виконується протягом 4-9 місяців, у залежності від обсягу охоплення, вихідного стану та результатів попереднього етапу. Виконується: побудова та автоматизація СУІБ з використанням інструментів класу GRC, впровадження базових процесів управління безпекою (управління інцидентами, змінами, тощо), Реалізація необхідних базових заходів і контролів безпеки, впровадження основних елементів SDLC, навчання співробітників політикам і правилам безпеки, розробка і розрахунок KPI. В результаті ви отримуєте не тільки набір точних і повних документів і записів, але також нову культуру безпеки вашої організації та найвищу ступінь готовності до офіційної сертифікації.
Процес сертифікації зазвичай триває 1-3 місяці, у залежності від затвердженого обсягу охоплення. Цей етап включає вибір органу сертифікації, попередній аудит, коригувальні дії та сертифікаційний аудит. Ми захищаємо вас на аудиті, демонструємо, що ми створили для вас, і допомагаємо аудитору. Після цього аудитор аналізує результати, збирає докази та формує остаточний звіт. Нарешті, ви отримуєте сертифікат ENX TISAX®, статус офіційної відповідності та можете з гордістю показувати ваш новий статус вашим клієнтам через портал ENX.
Детальніше.
Підтримка та Керована відповідність
Щомісячне або щоквартальне навчання співробітників на всіх місцях. Тренінг займає 1 годину та може проводитися для різних категорій співробітників (загальний персонал, розробники програмного забезпечення, системні адміністратори, HR, тощо).
Навчання співробітників |
Весь вихідний код програмного забезпечення, включаючи скрипти, необхідно аналізувати, щоб не допустити випадкових або навмисних вразливостей. У нас висока компетенція у безпеці додатків, тому ми виконуємо аналіз безпеки коду на вищому рівні.
Аудит безпеки вихідних кодів |
Багато ризиків безпеки неможливо заздалегідь передбачити, оскільки інфраструктура та оточення організації змінюються. З'являються нові партнери, сервіси, інтерфейси. З'являються нові уразливості у відкритих та пропрієтарних додатках. Тому потрібен ситуативний аналіз ризиків.
Ситуативний аналіз ризиків |
Мережеві файрволи, файрволи веб-додатків, VPN, NAC, системи виявлення вторгнень IDS/IPS (NIDS/NIPS), системи контролю цілісності, системи DLP (запобігання витоків даних), системи управління користувачами та доступом (IAM), системи SIEM, тощо — все це вимагає регулярного моніторингу.
Моніторинг систем безпеки |
Нормативні та операційні документи з безпеки вимагають постійного вдосконалення. Це потрібно для того, щоб, з одного боку, підвищувати рівень безпеки організації, але, з іншого боку, знижувати незручності, які виникають через правила та систем безпеки.
Підтримка політики та процедур безпеки |
На жаль, навіть при найбільш просунутій системі управління безпекою організація не застрахована на 100% від інцидентів безпеки. Необхідно вчасно виявляти ці інциденти та правильно на них реагувати. У нас великий практичний досвід не тільки в усуненні наслідків інцидентів, але й в кібер-криміналістиці, тобто, в переслідуванні та покаранні кібер-злочинців.
Управління інцидентами |
Найбільш практична сторона управління безпекою полягає в імітації дій комп'ютерних злочинців та інших шкідливих суб'єктів, для випробування систем і людей на міцність та отримання реальної картини безпеки. Ми є лідерами у проведенні тестування на проникнення та забезпечуємо найвищий рівень якості цього виду оцінки безпеки.
Сканування вразливостей та пентести |
Інструменти GRC (Governance, Risk management, and Compliance) вимагають постійної уваги та розвитку з метою забезпечення поточної відповідності вимогам безпеки, виконання управління ризиками на всіх рівнях та отримання зручних звітів щодо поточного стану безпеки організації на стратегічному рівні.
Підтримка звітності GRC |
Щомісячні або щоквартальні звіти вищому керівництву про інциденти безпеки, якщо такі є, а також про загальний стан і прогрес інформаційної безпеки.
Регулярна звітність вищому керівництву |
Дізнайтеся більше про нас.
Новини та рекомендації
- Будь ласка, прочитайте наш кейс з впровадження ENX TISAX® у компанії, яка розробляє автомобільні системи. Ми пишаємося тим, що завершили один з перших проектів сертифікації ENX TISAX® у Східній Європі. Після цього ми використовували наш досвід в інших реалізаціях ENX TISAX®. Ми були першими та залишаємося кращими!
- Також вам рекомендовано Онлайн-майстер оцінки відповідності ISO 27001. Перевірте за 10 хвилин, наскільки ваша компанія відповідає ISO 27001, а також що та скільки часу вам потрібно для досягнення повної відповідності та сертифікації.
- Рекомендуємо нашу допомогу з впровадження ISO/IEC 27001, ISO/IEC 27002, ISO/TS 16949, ASPICE (Automotive Software Performance Improvement and Capability dEtermination) та GDPR (General Data Privacy Regulation). Надішліть форму нижче для отримання безкоштовної консультації.
