Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Úvod do systému řízení ochrany zdravotnických informací podle ČSN ISO IEC 27001 Ing. Daniel Kardoš.

Podobné prezentace


Prezentace na téma: "Úvod do systému řízení ochrany zdravotnických informací podle ČSN ISO IEC 27001 Ing. Daniel Kardoš."— Transkript prezentace:

1 Úvod do systému řízení ochrany zdravotnických informací podle ČSN ISO IEC Ing. Daniel Kardoš

2 Co chráníme? Informační aktiva (identifikace aktiv):  Data  Hardware  Software –Informační systémy (Vyhláška o dlouhodobém řízení (z. o ISVS 365/2000 Sb.)) – zařazeno neharmonicky –Personál –Image

3 Co je bezpečnost informací  Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem,  integrit a - zabezpečení správnosti a kompletnosti informací a metod zpracování,  dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby.

4 Oblasti ochrany informací  Dokument politiky bezpečnosti informací,  Identifikace a klasifikace aktiv včetně stanovení odpovědnosti a opatření,  vzdělávání a školení v oblasti bezpečnosti informací,  hlášení bezpečnostních incidentů,  řízení kontinuity podnikatelských činností.

5 Oblasti ISO – příloha A 1. Politika bezpečnosti informací. 2. Organizace bezpečnosti informací. 3. Řízení aktiv. 4. Bezpečnost lidských zdrojů. 5. Fyzická bezpečnost a bezpečnost prostředí. 6. Řízení komunikací a řízení provozu. 7. Řízení přístupu. 8. Akvizice, vývoj a údržba informačních systémů. 9. Zvládání bezpečnostních incidentů. 10. Řízení kontinuity činnosti organizace. 11. Soulad s požadavky.

6 1) Politika bezpečnosti informací  Definice bezp. info, cíle, rozsah a důležitostí,  prohlášení vedení organizace,  stručný výklad zásad:  legislativních a smluvních požadavků,  vzdělávání v oblasti bezpečnosti,  zásady prevence a detekce virů,  zásady plánování kontinuity,  důsledky porušení bezpečnostních zásad,  odpovědnost za řízení,  hlášení bezpečnostních incidentů,  odkazy na související směrnice.

7 2) Organizace bezpečnosti informací  Interní organizace –Cíl: Řídit bezpečnost informací v organizaci.Infrastruktura bezpečnosti informací.  Externí subjekty –Cíl: Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty.

8 3) Řízení aktiv  Odpovědnost za aktiva –Cíl: Nastavit a udržovat přiměřenou ochranu aktiv organizace.  Klasifikace informací –Cíl: Zajistit, aby informace získaly odpovídající úroveň ochrany. Vhodná - Nutná jednotnost v rámci resortu zdravotnictví Jakost bezpečnost ekologie 1-07 Moderní obec 3-07 Moderní obec 6-07 Moderní obec 8-07 Moderní obec Stránky této konference - Sweb.cz / nemocis Stránky ministerstva zdravotnictví -

9 4) Bezpečnost lidských zdrojů Před, během a po vzniku pracovního vztahu –srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace –vědomi bezpečnostních hrozeb a problémů s nimi spojených, svých odpovědností a povinností a aby byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby.Podmínky výkonu pracovní činnosti –ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řádným způsobem

10 5) Fyzická bezpečnost a bezpečnost prostředí  Zabezpečené oblasti –Cíl: Předcházet neautorizovanému fyzickému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace.  Bezpečnost zařízení –Cíl: Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností organizace.

11 6) Řízeni komunikací a řízení provozu  Provozní postupy a odpovědnosti. Řízení dodávek služeb třetích stran. Plánování a přejímání systémů  Ochrana proti škodlivým programům a mobilním kódům. Podle odhadů existuje asi 350 virů, červů a dalšího škodlivého kódu pro mobilní telefony.  Zálohování. Správa bezpečnosti sítě. Bezpečnost při zacházení s médii. Výměna informací. Služby elektronického obchodu. Monitorování.

12 7) Řízení přístupu  Požadavky na řízení přístupu.  Řízení přístupu uživatelů.  Odpovědnosti uživatelů.  Řízení přístupu k síti.  Řízení přístupu k operačnímu systému.  Řízení přístupu k aplikacím a informacím.  Mobilní výpočetní zařízení a práce na dálku.

13 8) Akvizice, vývoj a údržba informačních systémů  Bezpečnostní požadavky informačních systém´ů.  Správné zpracovávání v aplikacích.  Kryptografická opatření.  Bezpečnost systémových souborů.  Bezpečnost procesu vývoje a údržby.  Řízení technických zranitelností.

14 9) Zvládání bezpečnostních incidentů  Hlášení bezpečnostních událostí a slabin –Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který umožní včasné zahájení kroků vedoucích k nápravě.  Zvládání bezpečnostních incidentů a kroky k nápravě –Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů..

15 10) Řízení kontinuity činnosti organizace  Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací –Cíl: Bránit přerušení činností organizace a chránit kritické procesy organizace před následky závažných chyb a katastrof. Plány kontinuity činností organizace musí být pravidelně testovány a aktualizovány, aby se zajistila jejich aktuálnost a efektivnost.

16 11) Soulad s požadavky  Soulad s právními normami: –identifikace odpovídajících právních norem, –zákony na ochranu duševního vlastnictví, –ochrana záznamů organizace, –ochrana osobních údajů a jejich důvěrnost.  Soulad s bezpečnostními politikami, normami a technická shoda  Hlediska auditu informačních systémů –Přístup k nástrojům určeným pro audit

17 Děkuji za pozornost Ing. Daniel Kardoš Tel:


Stáhnout ppt "Úvod do systému řízení ochrany zdravotnických informací podle ČSN ISO IEC 27001 Ing. Daniel Kardoš."

Podobné prezentace


Reklamy Google