Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Daniel Kardoš Ing. Daniel Kardoš

ZveřejnilKateřina Marešová

Podobné prezentace

Prezentace na téma: "Daniel Kardoš Ing. Daniel Kardoš"— Transkript prezentace:

1 Daniel Kardoš Ing. Daniel Kardoš
Úvod do systému řízení ochrany zdravotnických informací podle ČSN ISO IEC 27001 Ing. Daniel Kardoš ISMS

2 Co chráníme? Informační aktiva (identifikace aktiv): Data Hardware
Software Informační systémy (Vyhláška o dlouhodobém řízení (z. o ISVS 365/2000 Sb.)) – zařazeno neharmonicky Personál Image

3 Co je bezpečnost informací
Daniel Kardoš Co je bezpečnost informací Důvěrnost – zajištění toho, že informace je dostupná pouze osobám s autorizovaným přístupem, integrita - zabezpečení správnosti a kompletnosti informací a metod zpracování, dostupnost – zajištění toho, že informace a s nimi spjatá aktiva jsou dostupné autorizovaným uživatelům podle jejich potřeby. ISMS

4 Oblasti ochrany informací
Daniel Kardoš Oblasti ochrany informací Dokument politiky bezpečnosti informací, Identifikace a klasifikace aktiv včetně stanovení odpovědnosti a opatření, vzdělávání a školení v oblasti bezpečnosti informací, hlášení bezpečnostních incidentů, řízení kontinuity podnikatelských činností. ISMS

5 Oblasti ISO 27001 – příloha A Politika bezpečnosti informací.
Organizace bezpečnosti informací. Řízení aktiv. Bezpečnost lidských zdrojů. Fyzická bezpečnost a bezpečnost prostředí. Řízení komunikací a řízení provozu. Řízení přístupu. Akvizice, vývoj a údržba informačních systémů. Zvládání bezpečnostních incidentů. Řízení kontinuity činnosti organizace. Soulad s požadavky.

6 1) Politika bezpečnosti informací
Daniel Kardoš 1) Politika bezpečnosti informací Definice bezp. info, cíle, rozsah a důležitostí, prohlášení vedení organizace, stručný výklad zásad: legislativních a smluvních požadavků, vzdělávání v oblasti bezpečnosti, zásady prevence a detekce virů, zásady plánování kontinuity, důsledky porušení bezpečnostních zásad, odpovědnost za řízení, hlášení bezpečnostních incidentů, odkazy na související směrnice. ISMS

7 2) Organizace bezpečnosti informací
Daniel Kardoš 2) Organizace bezpečnosti informací Interní organizace Cíl: Řídit bezpečnost informací v organizaci.Infrastruktura bezpečnosti informací. Externí subjekty Cíl: Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty. ISMS

8 3) Řízení aktiv Odpovědnost za aktiva Klasifikace informací
Cíl: Nastavit a udržovat přiměřenou ochranu aktiv organizace. Klasifikace informací Cíl: Zajistit, aby informace získaly odpovídající úroveň ochrany. Vhodná - Nutná jednotnost v rámci resortu zdravotnictví Jakost bezpečnost ekologie 1-07 Moderní obec 3-07 Moderní obec 6-07 Moderní obec 8-07 Moderní obec 10-07 Stránky této konference Sweb.cz / nemocis Stránky ministerstva zdravotnictví

9 4) Bezpečnost lidských zdrojů
Před, během a po vzniku pracovního vztahu srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace vědomi bezpečnostních hrozeb a problémů s nimi spojených, svých odpovědností a povinností a aby byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby.Podmínky výkonu pracovní činnosti ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řádným způsobem

10 5) Fyzická bezpečnost a bezpečnost prostředí
Zabezpečené oblasti Cíl: Předcházet neautorizovanému fyzickému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace. Bezpečnost zařízení Cíl: Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností organizace.

11 6) Řízeni komunikací a řízení provozu
Provozní postupy a odpovědnosti. Řízení dodávek služeb třetích stran. Plánování a přejímání systémů Ochrana proti škodlivým programům a mobilním kódům. Podle odhadů existuje asi 350 virů, červů a dalšího škodlivého kódu pro mobilní telefony. Zálohování. Správa bezpečnosti sítě. Bezpečnost při zacházení s médii. Výměna informací. Služby elektronického obchodu. Monitorování.

12 7) Řízení přístupu Požadavky na řízení přístupu.
Řízení přístupu uživatelů. Odpovědnosti uživatelů. Řízení přístupu k síti. Řízení přístupu k operačnímu systému. Řízení přístupu k aplikacím a informacím. Mobilní výpočetní zařízení a práce na dálku.

13 8) Akvizice, vývoj a údržba informačních systémů
Bezpečnostní požadavky informačních systém´ů. Správné zpracovávání v aplikacích. Kryptografická opatření. Bezpečnost systémových souborů. Bezpečnost procesu vývoje a údržby. Řízení technických zranitelností.

14 9) Zvládání bezpečnostních incidentů
Hlášení bezpečnostních událostí a slabin Cíl: Zajistit nahlášení bezpečnostních událostí a slabin informačního systému způsobem, který umožní včasné zahájení kroků vedoucích k nápravě. Zvládání bezpečnostních incidentů a kroky k nápravě Cíl: Zajistit odpovídající a účinný přístup ke zvládání bezpečnostních incidentů..

15 10) Řízení kontinuity činnosti organizace
Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací Cíl: Bránit přerušení činností organizace a chránit kritické procesy organizace před následky závažných chyb a katastrof. Plány kontinuity činností organizace musí být pravidelně testovány a aktualizovány, aby se zajistila jejich aktuálnost a efektivnost.

16 11) Soulad s požadavky Soulad s právními normami:
identifikace odpovídajících právních norem, zákony na ochranu duševního vlastnictví, ochrana záznamů organizace, ochrana osobních údajů a jejich důvěrnost. Soulad s bezpečnostními politikami, normami a technická shoda Hlediska auditu informačních systémů Přístup k nástrojům určeným pro audit

17 Děkuji za pozornost Ing. Daniel Kardoš Dkardos@seznam.cz
Tel:

Stáhnout ppt "Daniel Kardoš Ing. Daniel Kardoš"

Podobné prezentace

Pojmy Dlouhodobé řízení ISVS (tj. souhrnně všech, u kterých OVS vykonává funkci správce) OVS zpracovává IK a PD, předmětem posuzování AS je IK, PD za určitých.

Pojmy Dlouhodobé řízení ISVS (tj. souhrnně všech, u kterých OVS vykonává funkci správce) OVS zpracovává IK a PD, předmětem posuzování AS je IK, PD za určitých.
Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.

Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
Konference Bezpečnost v podmínkách organizací a institucí ČR

Konference "Bezpečnost v podmínkách organizací a institucí ČR"
Změny požadavků podle nové normy

Změny požadavků podle nové normy
ČSN EN ISO 19011:2003 Mezinárodní norma

ČSN EN ISO 19011:2003 Mezinárodní norma
1 www.pvt.cz E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února 2013 9. Národní konference kvality ve veřejné správě.

Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.
Management kontinuity činností organizace

Management kontinuity činností organizace
Řízení přístupových práv uživatelů

Řízení přístupových práv uživatelů
Informační technologie pro IZS a krizové řízení

Informační technologie pro IZS a krizové řízení
SW podpora krizového řízení Duben 2006 Tomáš Fröhlich, DiS. ISSS 2007.

SW podpora krizového řízení Duben 2006 Tomáš Fröhlich, DiS. ISSS 2007.
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR

Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Akreditační systém v ČR – kvalita produktů IT

Akreditační systém v ČR – kvalita produktů IT
Auditorské postupy Činnosti před uzavřením smlouvy

Auditorské postupy Činnosti před uzavřením smlouvy
Porovnání legislativního zajištění minimální kvality řízení informačních systémů ve veřejné správě a ve zdravotnictví Ing. Daniel Kardoš Řízení kvality.

Porovnání legislativního zajištění minimální kvality řízení informačních systémů ve veřejné správě a ve zdravotnictví Ing. Daniel Kardoš Řízení kvality.
Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS 7799-2:2004 Ing. Daniel Kardoš.

Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS :2004 Ing. Daniel Kardoš.
ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.

ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.
Zkušenosti se zaváděním systému řízení v KSRZIS podle:

Zkušenosti se zaváděním systému řízení v KSRZIS podle:
Příručka jakosti Ing. Zdeněk Aleš, Ph.D.

Příručka jakosti Ing. Zdeněk Aleš, Ph.D.
Systém managementu jakosti

Systém managementu jakosti

Podobné prezentace

Reklamy Google