Nástroj pro systematické řízení informačních aktiv a bezpečnostních rizik podle ISO 27001 / 27005 — přizpůsobitelný na míru potřebám vaší organizace.
K čemu nástroj slouží, pro koho je určen a jaký problém řeší.
ISMS Risk Manager je aplikace pro systematické řízení informačních aktiv a bezpečnostních rizik. Nahrazuje ruční práci v Excelu a přináší strukturovaný, auditovatelný proces — od evidence aktiv přes hodnocení rizik až po plány jejich ošetření.
Pokrývá celý životní cyklus řízení rizik dle ISO 27001 a ISO 27005 a odpovídá požadavkům zákona o kybernetické bezpečnosti. Aplikace funguje lokálně (ISMS.exe) — žádná data neopouštějí síť firmy.
Jedenáct vzájemně provázaných modulů pokrývá celý proces řízení rizik včetně dodavatelů a souladu se ZoKB/NIS2.
Přesný popis škál, vzorců a hranic — přesně tak, jak jsou implementovány v aplikaci.
| Hod. | Stupeň | Popis |
|---|---|---|
| 0 | Není relevantní | Hrozba/zranitelnost není relevantní pro aktivum. |
| 1 | Nízká | Málo pravděpodobná; četnost max. 1× za 5 let. |
| 2 | Střední | Málo pravděpodobná až pravděpodobná; četnost 1–5 let. |
| 3 | Vysoká | Pravděpodobná až velmi pravděpodobná; 1 měs. – 1 rok. |
| 4 | Kritická | Téměř jistá; četnost více než 1× za měsíc. |
| Hod. | Stupeň | Popis |
|---|---|---|
| 0 | Není relevantní | Není relevantní pro aktivum. |
| 1 | Nízký | Žádné nebo zanedbatelné dopady; aktiva ZKB nejsou dotčena. |
| 2 | Střední | Malé škody; dotčení na úrovni bezpečnostní události. |
| 3 | Vysoký | Značné škody; bezpečnostní incident nejnižší závažnosti. |
| 4 | Kritický | Velké škody; bezpečnostní incident vyšší závažnosti. |
Pro každou oblast se bere maximum ze součinů (hodnota oblasti × váha vazby) přes všechna navázaná primární aktiva. Celková kritičnost je součet čtyř maxim (max. hodnota = 64):
Přehled celkového stavu hodnocení rizik na jedné obrazovce.
Agregovaný přehled všech blížících se a prošlých termínů z celé aplikace — dodavatelé, plány ošetření, rizika. Nemusí se dohledávat zvlášť v každém modulu.
Správa klíčových procesů a služeb organizace.
Primární aktiva jsou klíčové procesy, služby nebo informace, jejichž narušení by mělo přímý dopad na chod organizace. Pro každé aktivum se hodnotí čtyři oblasti dopadu na škále 0–4 — tyto hodnoty pak vstupují do výpočtu kritičnosti všech navázaných podpůrných aktiv.
Aktivum „Zákaznický portál" (D=4, Z=3, U=3, I=2) je navázáno na podpůrné aktivum „Webový server" s vahami w=(3,3,4,2):
7 kategorií aktiv s reprezentativními příklady. Každé podpůrné aktivum lze navázat na primární aktiva s vahami, které určují jeho kritičnost.
Srdce aplikace — systematické hodnocení všech kombinací podpůrných aktiv a katalogu hrozeb a zranitelností.
Každá buňka matice představuje kombinaci podpůrného aktiva a hrozby / zranitelnosti. Hodnotitel zadá dva parametry — pravděpodobnost a dopad — a aplikace okamžitě vypočte výsledné riziko:
| ID | Název hrozby | Kategorie |
|---|---|---|
| RH-01 | Porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení | Lidské |
| RH-02 | Poškození nebo selhání technického anebo programového vybavení | Infrastruktura |
| RH-03 | Zneužití identity | Kybernetické |
| RH-04 | Užívání programového vybavení v rozporu s licenčními podmínkami | Právní/Compl. |
| RH-05 | Škodlivý kód | Kybernetické |
| RH-06 | Narušení fyzické bezpečnosti | Fyzické |
| RH-07 | Přerušení poskytování služeb elektronických komunikací, družicových služeb nebo dodávek elektrické energie nebo jiných důležitých služeb | Infrastruktura |
| RH-08 | Narušení dostupnosti primárních nebo podpůrných aktiv umístěných mimo území České republiky | Infrastruktura |
| RH-09 | Zneužití nebo neoprávněná modifikace informací | Data |
| RH-10 | Ztráta, odcizení nebo poškození aktiva | Fyzické |
| RH-11 | Nedodržení smluvního závazku ze strany dodavatele | Třetí strany |
| RH-12 | Pochybení ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení | Lidské |
| RH-13 | Zneužití vnitřních prostředků, sabotáž | Lidské |
| RH-14 | Dlouhodobé přerušení poskytování služeb elektronických komunikací, družicových služeb, dodávky elektrické energie nebo jiných důležitých služeb | Infrastruktura |
| RH-15 | Zaměstnanci s nedostatečnou odbornou úrovní znalostí | Lidské |
| RH-16 | Cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik | Kybernetické |
| RH-17 | Zneužití vyměnitelných technických nosičů dat | Data |
| RH-18 | Napadení (odposlech, modifikace, podvržení) elektronické komunikace, družicových služeb nebo jiných důležitých služeb | Kybernetické |
| RH-19 | Závislost na dodavateli | Třetí strany |
| RH-20 | Zneužití cizí státní moci pro přístup k aktivům | Právní/Compl. |
| RH-21 | Zpřístupnění nebo předání aktiv na základě žádosti jiného státu | Právní/Compl. |
| ID | Název zranitelnosti | Kategorie |
|---|---|---|
| RZ-01 | Nedostatečná údržba aktiv | Procesy |
| RZ-02 | Zastaralost aktiv | Procesy |
| RZ-03 | Nedostatečná ochrana perimetru | Infrastruktura |
| RZ-04 | Nedostatečné bezpečnostní povědomí uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení | Lidské |
| RZ-05 | Nedostatečné zálohování | Procesy |
| RZ-06 | Nevhodné nastavení přístupových oprávnění | Přístup. práva |
| RZ-07 | Nedostatečné postupy a procesy pro detekování kybernetických bezpečnostních událostí a identifikování kybernetických bezpečnostních incidentů | Procesy |
| RZ-08 | Nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit činnost, která může mít vliv na bezpečnost regulované služby | Lidské |
| RZ-09 | Nedostatečné stanovení bezpečnostních pravidel a postupů, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení | Procesy |
| RZ-10 | Nedostatečná ochrana aktiv | Fyzické |
| RZ-11 | Nevhodně navržená bezpečná architektura | Infrastruktura |
| RZ-12 | Nedostatečná míra nezávislé kontroly | Procesy |
| RZ-13 | Neschopnost včasného odhalení pochybení ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení | Lidské |
| RZ-14 | Nedostatek zaměstnanců s potřebnou odbornou úrovní znalostí | Lidské |
| RZ-15 | Umístění aktiva mimo fyzickou kontrolu (například na území cizího státu) | Fyzické |
| RZ-16 | Umístění aktiva na území státu, o jehož právním prostředí nemá povinná osoba dostatečné povědomí | Právní/Compl. |
| RZ-17 | Zranitelnosti odhalené při skenování zranitelností a penetračním testování | Kybernetické |
Celkem 38 položek katalogu: 21 hrozeb (RH) + 17 zranitelností (RZ).
Přehled hodnocených rizik s audit trailom, workflow snapshotů a strukturované plány nápravy.
Dva režimy AI asistenta — analýza konkrétního scénáře a průběžný přehled aktuálních hrozeb.
Místo hodnocení konkrétního scénáře AI průběžně sleduje veřejné feedy zranitelností (CISA KEV, NIST NVD) a sestaví briefing na míru organizaci — podle jejích aktiv, dodavatelů a použitých produktů. Výsledek lze promítnout přímo do matice nebo uložit jako snapshot.
Rozsáhlý modul vzniklý ve třech fázích — evidence, klasifikace, regulační soulad a periodické hodnocení dodavatelů.
Modul se otevírá jako tab „Profil" v detailu podpůrného aktiva — zobrazí se pouze u aktiv kategorie „Dodavatelé". Pokrývá identifikaci firmy, kontakty, smluvní rámec, bezpečnostní klauzule a soulad s regulacemi NIS2 a ZoKB.
Filtry v seznamu: typ služby, strategický dodavatel, regulační režim, stav smlouvy, stav certifikátů.
Průvodce samoidentifikací umístěný v Nastavení — zjistí, zda je organizace regulovaná a jaký režim povinností se na ni vztahuje.
Funkce aktuálně v testu / přípravě. Rozhraní a rozsah se mohou před finálním vydáním ještě změnit — proto k nim zatím nejsou žádné screenshoty.
Argumenty, proč je ISMS Risk Manager správná volba pro řízení kybernetické bezpečnosti ve firmě.
ISMS Risk Manager — systematická kybernetická bezpečnost připravená pro vaši organizaci.