Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Vaše jistota na trhu IT www.i.cz NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 Vítězslav Šidlo, ICZ a.s. 2.4.2007, Hradec Králové.

Podobné prezentace


Prezentace na téma: "Vaše jistota na trhu IT www.i.cz NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 Vítězslav Šidlo, ICZ a.s. 2.4.2007, Hradec Králové."— Transkript prezentace:

1 Vaše jistota na trhu IT NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO Vítězslav Šidlo, ICZ a.s , Hradec Králové

2 Vaše jistota na trhu IT ►Srozumitelnost hodnocení rizik ►Vazba ISMS na řízení rizik organizace ►Zapojení vedení

3 Vaše jistota na trhu IT Kontext ►Systém řízení bezpečnosti informací podle ČSN ISO/IEC Systémy managementu bezpečnosti informací – Požadavky ►Zavedení vybraných opatření podle ČSN ISO/IEC Soubor postupů pro management bezpečnosti informací ►Zavedení začíná prvním provedením fáze Plan

4 Vaše jistota na trhu IT Soustavné zlepšování opakováním cyklu PDCA

5 Vaše jistota na trhu IT Náklady na ISMS ►jednorázové („investiční“) ►trvalé – provozní ►na procesy řízení ►na bezpečnostní opatření

6 Vaše jistota na trhu IT Hodnocení rizik a lidé, rozhodující o riziku ►O zvládání rizika ●snížení opatřeními ●přenesení ●vyhnutí se ●akceptace ►…rozhoduje vedení organizace ►Některé výsledky hodnocení rizik jsou v rozporu s (něčí) intuicí ►Chtějí mít představu o „podstatě“ rizika ►Chtějí vědět, proč je riziko ohodnoceno v dané výši

7 Vaše jistota na trhu IT Metoda hodnocení (analýzy) rizik ►Srozumitelná, zejména v hrozbách ●konkrétní příklady napomáhají porozumění, ale mohou zkreslit představu o míře hrozby ►Možnost sledování vztahu (backtracking) ●riziko -> hrozba, dopad, ●případně dopad -> hodnota, zranitelnost ●závislosti aktiv

8 Vaše jistota na trhu IT ISMS a řízení rizik organizace ►Rizika z bezpečnosti informací jsou jedněmi z rizik v organizaci ►Rizika na úrovni organizace jsou hodnocena ●méně podrobně – obsáhlejší kategorie ●obvykle v méně stupňových škálách

9 Vaše jistota na trhu IT ISMS a řízení rizik organizace ►Různí lidé, různé jazyky ►ISMS ●informatici, odbor bezpečnosti… ●hodnota aktiva, hrozba, zranitelnost => riziko ►Řízení rizik ●interní audit (s finančním „původem“),… ●dopad, pravděpodobnost události => úroveň rizika

10 Vaše jistota na trhu IT ISMS a řízení rizik organizace 1.Metodika pro sloučení rizik pro přenos do řízení rizik organizace 2.Stupnice rizik by měla být ●stejná ●převoditelná 3.Pravidla zvládání (zejména akceptace) co nejvíce stejná ►Určeno při volbě metodiky hodnocení rizik v ISMS, před první AR

11 Vaše jistota na trhu IT Zapojení vedení organizace ►„Bezpečnost informací = bezpečnost IT = věc útvaru IT“ ►Dopad na všechny pracovníky ►Podíl na řešení ●personální útvar ●správa budov ●ostraha ●metodické odbory ●spisovna ●útvar IT

12 Vaše jistota na trhu IT Zapojení vedení organizace ►„Hybatelem“ nemůže být útvar IT ►Vedení schvaluje opatření (zdroje) ►Vedení akceptuje rizika

13 Vaše jistota na trhu IT Zapojení vedení organizace ►Přesvědčit vedení ●upozornění na rizika ●penetrační testy ●„externí expert“ ►Alespoň jeden zainteresovaný člen vedení ►Komunikovat v jazyce, kterému vedení rozumí

14 Vaše jistota na trhu IT Děkuji za vaši pozornost Vítězslav Šidlo ICZ a.s. Divize bezpečnost

15 Vaše jistota na trhu IT Volba rozsahu ISMS ►Vymezení ●geografické ●organizační ●procesní ►Oblasti mimo hranice ISMS nesmí ovlivňovat bezpečnost oblasti uvnitř hranic ISMS

16 Vaše jistota na trhu IT Volba rozsahu ISMS ►Pro menší rozsah ●zůstává stejný systém řízení, zmenšuje se jen objem některých prací (analýza rizik, volba opatření, interní audit) ●jednodušší implementace bezpečnostních opatření ►Zvážit ●zjednodušení bude významné jen při dostatečně malém rozsahu ►vs. ●jasná hranice ●úsilí při rozšíření

17 Vaše jistota na trhu IT Děkuji za vaši pozornost Vítězslav Šidlo ICZ a.s. Divize bezpečnost


Stáhnout ppt "Vaše jistota na trhu IT www.i.cz NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 Vítězslav Šidlo, ICZ a.s. 2.4.2007, Hradec Králové."

Podobné prezentace


Reklamy Google