Compliance Manager Pomocník na poli informační bezpečnosti

Nestíháte sledovat všechny novely právních předpisů a dalších norem, které se týkají činnosti vaší společnosti? Potřebujete efektivně delegovat úkoly kolegům a zároveň mít přehled o jejich splnění? Není vám jasné, jaká další opatření přijmout, abyste snížili informační rizika a dodrželi maximální compliance?

Nejen s těmito úkoly vám dokáže pomoci nástroj Compliance Manager (Správce dodržování předpisů) od společnosti Microsoft.

Compliance Manager pomáhá spravovat požadavky vaší organizace na dodržování předpisů snadněji a pohodlněji – od přehledu rizik ochrany dat až po udržování souladu aktuálního stavu s předpisy a certifikacemi a podávání zpráv auditorům.

Prvním krokem při práci s Compliance Managerem je výběr vhodné šablony – šablona zahrnuje různé právní předpisy a jiné normy, se kterými chcete nastavit compliance (soulad). Jelikož dnes téměř každá společnost řeší informační bezpečnost, oblíbenou volbou je norma ISO 27001 v kombinaci s GDPR a případně dalšími normami. ISO 27001 je jedna z nejdůležitějších norem týkajících se informační bezpečnosti; vychází z dlouhodobě používaných best practice. Compliance Manager rovněž zohlední, zda jsou s touto normou v souladu i nastavené služby M365. Výhodou je možnost nakombinovat si dle potřeby vlastní šablonu, lze ale využít i vzory předpřipravené v prostředí Compliance Managera.

Podle nastavené šablony vám následně program nabídne vyčerpávající přehled jak technických (např. šifrování e-mailů, využití Intune, Microsoft Defender, ochrana sítě, ochrana proti ransomware, antivirové řešení), tak organizačních opatření (např. sepis postupu pro reakci na bezpečnostní incidenty, postupy při zřizování přístupů uživatelům, strategie zálohování). V případě nastavení šablony ISO 27001:2013 M365 jde např. o následující oblasti:

• Zásady zabezpečení informací
• Organizace zabezpečení informací
• Kontext organizace
• Zabezpečení lidských zdrojů
• Řízení přístupů 
• Zabezpečení operací   
• Zabezpečení komunikace
• Správa incidentů zabezpečení
• Aspekty zabezpečení informací o správě kontinuity podnikání

Někdy se tato opatření vzájemně mohou nahradit, ve většině případů se ale doplňují. Seznam těchto opatření může sloužit i jako „nápověda“, pokud si nejste jistí, jaká všechna opatření by bylo vhodné implementovat. Nástroj graficky rozlišuje, která opatření jsou již přijata, která jsou ve fázi testování a která na přijetí stále čekají. Podle toho vypočítá i celkové % skóre compliance.

Mezi další užitečné funkce programu patří možnost automaticky vygenerovat prohlášení o aplikovatelnosti dle výše zmíněné normy ISO 270001 a také delegace úkolů v rámci společnosti jiným odpovědným zaměstnancům.

Díky všem výše zmíněným funkcím a přehlednosti je Compliance Manager vynikajícím pomocníkem při přípavě na audit nebo inspekci.

Ukázka z prostředí Compliance managera:

Pro toho, kdo s informační bezpečností teprve začíná, může být orientace ve velkém množství nabízených opatření zpočátku složitá. Stejně tak může být obtížné určit priority informační bezpečnosti. Proto společnost Softwareone nabízí zpracování posouzení, ve kterém naši experti dle vašich požadavků:

• Zhodnotí aktuální stav informační bezpečnosti ve vaší společnosti – za pomoci analýzy prostřednictvím Compliance Managera;
• Doporučí klíčové oblasti a opatření, kterým je nutno se věnovat co nejdříve;
• Pomohou s nastavením technických opatření včetně licenčních doporučení;
• Zpracují dokumentaci zahrnující vhodná organizační opatření;
• Poradí jak co nejefektivněji využívat Compliance Managera a všechny jeho funkce;
• Svá doporučení zahrnou do auditní zprávy, která představuje výstup celého posouzení.