Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Vaše jistota na trhu IT www.i.cz NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 Vítězslav Šidlo, ICZ a.s. 2.4.2007, Hradec Králové.

Podobné prezentace


Prezentace na téma: "Vaše jistota na trhu IT www.i.cz NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 Vítězslav Šidlo, ICZ a.s. 2.4.2007, Hradec Králové."— Transkript prezentace:

1 Vaše jistota na trhu IT www.i.cz NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 Vítězslav Šidlo, ICZ a.s. 2.4.2007, Hradec Králové

2 Vaše jistota na trhu IT www.i.cz ►Srozumitelnost hodnocení rizik ►Vazba ISMS na řízení rizik organizace ►Zapojení vedení

3 Vaše jistota na trhu IT www.i.cz Kontext ►Systém řízení bezpečnosti informací podle ČSN ISO/IEC 27001 Systémy managementu bezpečnosti informací – Požadavky ►Zavedení vybraných opatření podle ČSN ISO/IEC 17799 Soubor postupů pro management bezpečnosti informací ►Zavedení začíná prvním provedením fáze Plan

4 Vaše jistota na trhu IT www.i.cz Soustavné zlepšování opakováním cyklu PDCA

5 Vaše jistota na trhu IT www.i.cz Náklady na ISMS ►jednorázové („investiční“) ►trvalé – provozní ►na procesy řízení ►na bezpečnostní opatření

6 Vaše jistota na trhu IT www.i.cz Hodnocení rizik a lidé, rozhodující o riziku ►O zvládání rizika ●snížení opatřeními ●přenesení ●vyhnutí se ●akceptace ►…rozhoduje vedení organizace ►Některé výsledky hodnocení rizik jsou v rozporu s (něčí) intuicí ►Chtějí mít představu o „podstatě“ rizika ►Chtějí vědět, proč je riziko ohodnoceno v dané výši

7 Vaše jistota na trhu IT www.i.cz Metoda hodnocení (analýzy) rizik ►Srozumitelná, zejména v hrozbách ●konkrétní příklady napomáhají porozumění, ale mohou zkreslit představu o míře hrozby ►Možnost sledování vztahu (backtracking) ●riziko -> hrozba, dopad, ●případně dopad -> hodnota, zranitelnost ●závislosti aktiv

8 Vaše jistota na trhu IT www.i.cz ISMS a řízení rizik organizace ►Rizika z bezpečnosti informací jsou jedněmi z rizik v organizaci ►Rizika na úrovni organizace jsou hodnocena ●méně podrobně – obsáhlejší kategorie ●obvykle v méně stupňových škálách

9 Vaše jistota na trhu IT www.i.cz ISMS a řízení rizik organizace ►Různí lidé, různé jazyky ►ISMS ●informatici, odbor bezpečnosti… ●hodnota aktiva, hrozba, zranitelnost => riziko ►Řízení rizik ●interní audit (s finančním „původem“),… ●dopad, pravděpodobnost události => úroveň rizika

10 Vaše jistota na trhu IT www.i.cz ISMS a řízení rizik organizace 1.Metodika pro sloučení rizik pro přenos do řízení rizik organizace 2.Stupnice rizik by měla být ●stejná ●převoditelná 3.Pravidla zvládání (zejména akceptace) co nejvíce stejná ►Určeno při volbě metodiky hodnocení rizik v ISMS, před první AR

11 Vaše jistota na trhu IT www.i.cz Zapojení vedení organizace ►„Bezpečnost informací = bezpečnost IT = věc útvaru IT“ ►Dopad na všechny pracovníky ►Podíl na řešení ●personální útvar ●správa budov ●ostraha ●metodické odbory ●spisovna ●útvar IT

12 Vaše jistota na trhu IT www.i.cz Zapojení vedení organizace ►„Hybatelem“ nemůže být útvar IT ►Vedení schvaluje opatření (zdroje) ►Vedení akceptuje rizika

13 Vaše jistota na trhu IT www.i.cz Zapojení vedení organizace ►Přesvědčit vedení ●upozornění na rizika ●penetrační testy ●„externí expert“ ►Alespoň jeden zainteresovaný člen vedení ►Komunikovat v jazyce, kterému vedení rozumí

14 Vaše jistota na trhu IT www.i.cz Děkuji za vaši pozornost Vítězslav Šidlo vitezslav.sidlo@i.cz +420 244 100 608 ICZ a.s. Divize bezpečnost www.i.cz

15 Vaše jistota na trhu IT www.i.cz Volba rozsahu ISMS ►Vymezení ●geografické ●organizační ●procesní ►Oblasti mimo hranice ISMS nesmí ovlivňovat bezpečnost oblasti uvnitř hranic ISMS

16 Vaše jistota na trhu IT www.i.cz Volba rozsahu ISMS ►Pro menší rozsah ●zůstává stejný systém řízení, zmenšuje se jen objem některých prací (analýza rizik, volba opatření, interní audit) ●jednodušší implementace bezpečnostních opatření ►Zvážit ●zjednodušení bude významné jen při dostatečně malém rozsahu ►vs. ●jasná hranice ●úsilí při rozšíření

17 Vaše jistota na trhu IT www.i.cz Děkuji za vaši pozornost Vítězslav Šidlo vitezslav.sidlo@i.cz +420 244 100 608 ICZ a.s. Divize bezpečnost www.i.cz


Stáhnout ppt "Vaše jistota na trhu IT www.i.cz NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 Vítězslav Šidlo, ICZ a.s. 2.4.2007, Hradec Králové."

Podobné prezentace


Reklamy Google