Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR

Podobné prezentace


Prezentace na téma: "Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR"— Transkript prezentace:

1 Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
8. ročník semináře „Řízení kvality a bezpečnosti informačních systémů“ Poslanecká sněmovna Praha 1 – Malá Strana

2 Základní rozsah chráněných aktiv
Osobní a citlivé údaje cca 6,5 mil klientů (+ registr všech pojištěnců zdravotního pojištění). Život a zdraví cca 4,5 tis zaměstnanců. Hmotný a nehmotný majetek v řádu několika mld Kč (cca 200 objektů a pracovišť v rámci celé ČR) – nároky na fyzickou bezpečnost. Rozsáhlý IS (požadavek na trvalou dostupnost atd.) – nároky na ICT bezpečnost. Rozsáhlá právní agenda – klienti, vlastní činnost (ČR, EU) – nároky na administrativní bezpečnost.

3 Důvody pro implementaci jednotného řízení bezpečnostních rizik
Ochrana informací je vyžadována zákonem 101/2000 Sb. O ochraně osobních údajů - zpracování citlivých osobních údajů. Efektivnější vynakládání finančních prostředků na bezpečnost. Systematický vs. intuitivní přístup pro řízení bezpečnosti. Nastavení odpovědností a procesů v oblasti bezpečnosti. Zajistit jednotný přístup k bezpečnosti na všech úrovních řízení organizace.

4 Strategické milníky v řízení bezpečnostních rizik
2003 – rozhodnutí Správní rady o systematickém a jednotném řízení personální, administrativní, fyzické a ICT bezpečnosti (řízení bezpečnostních rizik) 2005 – zřízení samostatného organizačního útvaru – Odbor bezpečnosti 2006 – zahájení přípravné fáze zavádění jednotné bezpečnostní politiky 2008 – zřízení Komise pro řízení bezpečnosti ? – vydání Bezpečnostní politiky VZP ČR (plán 05/2008)

5 Jednotlivé kroky přípravné fáze zavádění jednotné bezpečnostní politiky (2006 -2007)
Návrh postup pro zavedení systému řízení personální, administrativní, fyzické a ICT bezpečnosti – systém řízení bezpečnostních rizik. Návrh bezpečnostní politiky. Návrh metodiky pro analýzu bezpečnostních rizik. Analýza bezpečnostních rizik. Návrh metodiky pro klasifikaci aktiv a pracovišť. Návrh časového a komunikačního plánu pro zavádění bezpečnostní politiky.

6 Základní pilíře systému řízení bezpečnostních rizik
Bezpečnost je součástí strategických a obchodních cílů. Všichni zaměstnanci jsou odpovědni za zajišťování bezpečnosti aktiv. Komise pro řízení bezpečnosti. Odbor bezpečnosti. Odbor informační bezpečnosti (zřízení 06/2008).

7 Kritické hrozby ohrožující systém řízení bezpečnostních rizik
Nedostatečná (nesystémová, diferencovaná) podpora vrcholového vedení. Nemožná nebo komplikovaná vymahatelnost práva. Nemožná nebo velmi omezená možnost změny chování všech zaměstnanců. Nedostatečná kooperace mezi zainteresovanými útvary Pokládání nepříjemných otázek – „jakou přidanou hodnotu dostanu za vynaložené prostředky“; „jaký bude finanční dopad, když nastane hrozba XY – můžeme míru rizika akceptovat?“ atd.

8 !!! Pro zamyšlení !!! 85% nejzávažnějších podvodů způsobili vlastní zaměstnanci – z toho 55% byli zástupci vrcholového vedení, 30% „řadoví“ zaměstnanci většina ztrát na aktivech firem pocházela z oblasti účetnictví, zpronevěry a korupce (ztráty v řádech mld USD) Přeceňování ICT bezpečnosti. Zdroj: Ernst & Young

9 Děkuji za pozornost… Ing. Petr Soukenka ředitel Odboru bezpečnosti VŠEOBECNÁ ZDRAVOTNÍ POJIŠŤOVNA ČR


Stáhnout ppt "Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR"

Podobné prezentace


Reklamy Google