Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek tomkubinek@volny.cz www.fcs-ov.cz
2
ISO 17799 ISMS ISO14000 ITIL COBIT TR13335 Bezpečnost je potřeba řešit komplexně … Který bezpečnostní standard ale použít ?
3
Používání bezpečnostních standardů v ČR Vítěz
4
Řešení v kontextu ostatních standardů ISO IEC 27001 ISO IEC 17799 ISO IEC14000 ISO IEC 9000 ISO IEC 18000 ISO IEC 20000
5
Bezpečnost v oblasti lidských zdrojů (dle ISO IEC 17799:2005) Před vznikem pracovního vztahu –Stanovení rolí a odpovědnosti –Prověrka –Stanovení podmínek výkonu pracovní činnosti V průběhu pracovního vztahu –Odpovědnost vedoucích zaměstnanců –Upevňování bezpečnostního vědomí –Disciplinární řízení Při ukončení nebo změně pracovního vztahu –Stanovení odpovědností při ukončení pracovního vztahu –Navrácení zapůjčených předmětů –Odebrání přístupových práv
6
Definování bezpečnosti Datové struktury organizace pravidla zaměstnanci Aktiva organizace Přístupová práva Další aktiva organizace
7
Před vznikem pracovního vztahu Stanovení rolí a odpovědností –Dodržování stanovených bezpečnostních zásad –Ochrana aktiv před neautorizovaným přístupem –Odpovědnost za činnost –Hlášení bezpečnostních událostí a rizik Prověrka –Reference, životopis a totožnost –Vzdělání –Případné detailnější ověření Stanovení podmínek výkonu pracovní činnosti –Závazek ochrany informací a mlčenlivosti (i mimo pracovní dobu) –Stanovení práv a povinností, –Stanovení odpovědnosti za klasifikaci a správu aktiv, nakládání s osobními údaji –Dohoda o ochraně důvěrných informací Datové struktury organizace Další aktiva organizace
8
V průběhu pracovního vztahu Odpovědnost vedoucích zaměstnanců –Znalost toho, co, jak a v souladu s čím má být požadováno –Motivace Povědomí, vzdělávání a školení v oblasti bezpečnosti –Školení před udělením přístupu k aktivům a službám –Pravidelná školení pro zvyšování bezp. vědomí Disciplinární řízení –Formalizovaný postup –Odpovídající povaze přestupku –Spravedlivé zacházení Datové struktury organizace Další aktiva organizace
9
Při ukončení nebo změně pracovního vztahu Stanovení odpovědností při ukončení pracovního vztahu –Definovat a přidělit odpovědnosti za odchod zaměstnance –Dohody o ochraně důvěrných informací platné i po skončení vztahu Navrácení zapůjčených předmětů –Navrácení všech zapůjčených předmětů v majetku organizace –Změny vztahu řešit stejně jako ukončení Odebrání přístupových práv –Odejmutí, nebo změna přístupových práv –Zvážení důvodu změny vztahu (ukončení vztahu ze strany organizace) Datové struktury organizace Další aktiva organizace
10
Bezpečnost v popisu pracovní náplně zaměstnance Povinnost znát a dodržovat stanovené bezpečnostní zásady Povinnost vykonávat bezpečnostní činnosti a postupy Odpovědnost za svou činnost Závazek ochrany informací a mlčenlivosti (i mimo pracoviště a pracovní dobu)
11
Pravidla definování přístupových oprávnění Přístupová práva definovat v návaznosti na náplň práce zaměstnance a jeho roli Zpřístupnit jen ta aktiva, která zaměstnanec potřebuje k výkonu práce Dokumentovat přístupová práva pro každou roli Pravidelně přezkoumávat a aktualizovat přístupová práva Datové struktury organizace Další aktiva organizace
12
Role vlastníka aktiva Vlastníkem aktiva se rozumí fyzická osoba, které byla svěřena odpovědnost za dané aktivum. Vlastník aktiva odpovídá za: –zajištění odpovídající klasifikace informací a aktiv souvisejících s prostředky pro zpracování informací; –přesné vymezení a pravidelné přezkoumání omezení přístupu a klasifikace aktiv, v souladu s platnou politikou řízení přístupu. Vlastnictví může být přiděleno na: –proces; –přesně vymezený soubor činností; –aplikaci; –přesně vymezený soubor dat.
13
Příklady personálních procesů s vazbou na IT Přijetí zaměstnance Změna pracovní pozice zaměstnance Ukončení pracovního vztahu
17
Děkuji za pozornost
Podobné prezentace
