V dnešním digitálním prostředí jsou robustní opatření v oblasti kybernetické bezpečnosti prvořadá pro každou organizaci, která se snaží chránit data a udržovat důvěru zákazníků. Audity kybernetické bezpečnosti a informačních systémů jsou nezbytné pro zajištění přítomnosti a správnosti bezpečnostních kontrol, aby software splňoval požadavky na shodu a bezpečnostní standardy IT.
Co je kybernetická bezpečnost?
Kybernetická bezpečnost je způsob ochrany systémů, sítí a dat před digitálními útoky, neoprávněným přístupem a poškozením. Zahrnuje implementaci technologií, procesů a kontrol za účelem ochrany integrity, důvěrnosti a dostupnosti informací v rámci sítě, aplikací a provozní bezpečnosti. Cílem je obrana proti kybernetickým hrozbám, jako jsou útoky pomocí malwaru, ransomwaru, phishingu a útoky typu denial of service, které mohou narušit operace, zcizit citlivá data nebo způsobit organizacím jiné významné škody.
Podle platformy Forbes advisor: "V roce 2023 došlo k 72% nárůstu počtu případů narušení bezpečnosti dat v porovnání s rokem 2021, který držel předchozí rekord."
Proč jsou potřebné audity kybernetické bezpečnosti?
Provádění pravidelných auditů a posuzování zranitelnosti jsou klíčové pro zlepšení kybernetické bezpečnosti. Tyto audity umožňují organizacím identifikovat slabé stránky, zajistit soulad s předpisy a udržet pevnou obranu proti potenciálním hrozbám.
- Identifikace a zmírnění rizik: Audity kybernetické bezpečnosti hodnotí účinnost bezpečnostních opatření, identifikují potenciální zranitelnosti a doporučují zlepšení ke snížení rizik.
- Zajištění shody: Řada průmyslových odvětví podléhá předpisům, které vyžadují zvláštní opatření v oblasti kybernetické bezpečnosti. Audity pomáhají zajistit shodu s uznávanými normami, jako je ISO 27001, a zabraňují tak možným pokutám a právním důsledkům.
- Ochrana pověsti a důvěry: Narušení bezpečnosti může poškodit pověst organizace a důvěru zákazníků. Pravidelné audity pomáhají udržovat silnou pozici v oblasti zabezpečení a ukazují klientům a partnerům, že kybernetickou bezpečnost berete vážně.
- Zlepšení reakce na incidenty: Audity zahrnují kontrolu plánů a postupů reakce na incidenty a zajišťují, že vaše organizace bude moci rychle a efektivně reagovat na narušení bezpečnosti.
- Prevence neočekávaných nákladů: Proaktivní identifikování a řešení bezpečnostních nedostatků prostřednictvím auditů může zabránit vysokým nákladům při narušení a souvisejícím výdajům na odškodnění, právní poplatky a pokuty.
-
$4,88 milionů
Globální průměrné náklady na narušení bezpečnosti dat (zpráva IBM, 2024)
-
2365
Kybernetické útoky byly identifikovány v roce 2023 (Identity Theft Resource Center, 2023)
Co je SOC 2?
Service and Organization Controls 2 (SOC 2) je rámec navržený institutem American Institute of Certified Public Accountants (AICPA) pro správu zabezpečení dat. Konkrétně se zaměřuje na organizace, které zpracovávají data zákazníků a musí zajistit, že při nakládání s nimi splňují určitá kritéria. SOC 2 se zaměřuje na pět kritérií důvěryhodných služeb (TSC):
- Zabezpečení: Zajištění ochrany systémů před neoprávněným přístupem.
- Důvěrnost: Zajištění ochrany údajů označených jako důvěrné.
- Dostupnost: Zajištění dostupnosti systémů pro provoz a použití podle závazku.
- Soukromí: Zajištění správného shromažďování, používání, uchovávání a zveřejňování osobních údajů.
- Integrita zpracování: Zajištění přesného, úplného a včasného zpracování dat v systémech.
Soulad se standardem SOC 2 se ověřuje prostřednictvím auditu třetí strany, který hodnotí účinnost kontrol organizace v rámci TSC. Zprávy SOC 2 jsou zásadní pro servisní organizace při prokazování shody se standardy zabezpečení dat.
Co je ISO 27001?
ISO 27001 (také ISO/IEC 27001:2022) je mezinárodní norma pro systémy řízení bezpečnosti informací (ISMS) vypracovaná Mezinárodní organizací pro normalizaci (ISO) a Mezinárodní elektrotechnickou komisí (IEC). Poskytuje systematické pokyny pro vývoj, zavádění, udržování a zlepšování systémů ISMS.
- Vyhodnocení rizik: Identifikace rizik pro bezpečnost informací a určení způsobu jejich řízení nebo zmírnění.
- Bezpečnostní kontroly: Provádění kontrol pro řešení zjištěných rizik.
- Neustálé zlepšování: Pravidelný přezkum a aktualizace systému ISMS tak, aby odolal vyvíjejícím se bezpečnostním hrozbám.
Certifikaci ISO 27001 je možné získat prostřednictvím akreditovaného certifikačního orgánu po úspěšném auditu. Získání certifikace ISO 27001 ukazuje zainteresovaným stranám a zákazníkům, že organizace je odhodlaná a dokáže bezpečně spravovat informace.
Jaké jsou podobnosti mezi SOC 2 a ISO 27001?
- Cíl: Oba rámce mají za cíl zvýšit bezpečnost informací v rámci organizace a zajistit klientům, partnerům a zúčastněným stranám, že je s jejich daty nakládáno bezpečně.
- Požadavek na audit: Norma SOC 2 i norma ISO 27001 vyžadují externí audity prováděné nezávislými třetími stranami za účelem ověření shody.
- Řízení rizik: Obě normy zdůrazňují význam řízení rizik, včetně identifikace a zmírnění rizik souvisejících s bezpečností informací.
Jaké jsou rozdíly mezi SOC 2 a ISO 27001?
- Rozsah a zaměření: SOC 2 se zaměřuje na servisní organizace, které zpracovávají data zákazníků, přičemž zdůrazňuje zabezpečení dat, důvěrnost a soukromí v těchto službách. Naproti tomu ISO 27001 je komplexnější a platí pro každou organizaci bez ohledu na velikost nebo odvětví. Zahrnuje širší soubor kontrol bezpečnosti informací, jako je kontinuita podnikání, dodržování právních předpisů a řízení rizik.
- Certifikace nebo atestace: ISO 27001 vede k certifikaci akreditovaným orgánem, kterou může organizace veřejně uvádět. Výsledkem SOC 2 je zpráva o atestaci poskytovaná certifikovaným účetním (CPA), která je obvykle sdílena s konkrétními klienty nebo zúčastněnými stranami.
- Globální zaměření nebo soustředění na USA: ISO 27001 je mezinárodní, globálně uznávaná norma, zatímco SOC 2 se spíše běžně uznává ve Spojených státech, zejména v kontextu „softwaru jako služby“ (SaaS) a dalších poskytovatelů služeb.
Shrnutí: Ačkoli obě normy SOC 2 i ISO 27001 mají za cíl zajistit robustní bezpečnost informací, SOC 2 se více zaměřuje na sektor poskytovatelů služeb v USA s důrazem na zpracování dat, zatímco ISO 27001 je mezinárodní norma s širším využitím a zaměřením na komplexní systémy ISMS.
Jak byla služba ALTURE®️ auditována a certifikována?
Řídicí prostředí ovlivňuje účinnost bezpečnostních opatření v rámci organizace. Za účelem vyhodnocení tohoto stavu byly návrh a implementace řídicího systému služby ALTURE®️ přezkoumány a testovány nezávislými auditory z řad třetích stran, kteří hovořili se zaměstnanci společnosti Atlas Copco odpovědnými za zabezpečení, sledovali jejich práci a zkoumali snahy vedení o zlepšení kontrol. Tyto vhledy do organizace řídily testování se zaměřením na princip bezpečnosti dat.
Rámce a kritéria normy ISO 27001 a SOC 2 (jak typu I, tak typu II) nasměrovaly společnost Atlas Copco k lepším postupům. Identifikováním rizik a hrozeb je můžeme lépe předvídat a přijímat proaktivní opatření, která zabrání jejich vzniku. Jasná dokumentace a dobře definované řídicí systémy také zajistí, aby všechny zúčastněné strany následovaly osvědčené postupy. Splněním požadavků auditu služba ALTURE®️ optimalizuje výrobu s nejvyšším standardem kybernetické bezpečnosti a udržuje důležitá data dobře chráněná.
Relevantní dokumenty
- Certificate of Registration ISO27001 254.1 kB, PDF
Ohledně auditních zpráv SOC 2 typu I a typu II se prosím obraťte na zástupce společnosti Atlas Copco.
Často kladené dotazy (FAQ)
Kdo provedl nezávislé externí audity služby ALTURE ®️?
- Nezávislými auditory služby ALTURE®️ jsou společnosti KPMG AB a KPMG IT Certification Ltd.
Jaké jsou rozdíly mezi zprávami SOC 2 typu I a SOC typu II?
- SOC typu I nastiňuje kontrolní systémy servisní organizace a implementaci vyhovujících procesů v určitém časovém okamžiku.
- SOC typu II hodnotí návrh, provozní účinnost a shodu v delším časovém horizontu, obvykle přibližně 6 až 12 měsíců.
