IP firmy 7.12. 2012. Informační politika a firmy „Strategie vytváření podmínek, cílů a priorit v oblasti informačních procesů zejména zdokonalováním informačních.

Slides:



Advertisements
Podobné prezentace
Podívejme se nejen na mobilní bezpečnost v širším kontextu Michal Rada Iniciativa Informatiky pro Občany.
Advertisements

KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne
Konference "Bezpečnost v podmínkách organizací a institucí ČR"
managementu znalostí podle
Zvládání rizik vyplývajících z pracovního stresu ve společnosti EDUCACONSULT M&J Consulting Pardubice, Česká republika
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Strategie informační bezpečnosti
Audit IT procesů ve FNOL
Daniel Kardoš Ing. Daniel Kardoš
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.
Management kontinuity činností organizace
Mechanismy evaluace kulturních služeb
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Outsourcing jako strategický nástroj řízení nejen v komerční sféře
Auditorské postupy Činnosti před uzavřením smlouvy
Hodnocení, realizace a kontrolní etapa. Hodnotí se tři skupiny kriterií: A)Prospěšnost – žádoucnost 1. Jak navržená strategie pomáhá dosažení cílů? 2.
Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.
Jaromír Skorkovský ESF MU KAMI
ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.
Zkušenosti se zaváděním systému řízení v KSRZIS podle:
JEDEN CÍL, SPOLEČNÁ CESTA Ministerstvo vnitra České republiky & Ministerstvo vnitra Ing. Jaroslav Svoboda
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.
Daniel Kardoš Ing. Daniel Kardoš
1 Hodnocení informační bezpečnosti Požadavek vyjádření míry bezpečnosti informačního systému nebo jeho IT složek Kritéria hodnocení bezpečnosti –Obecné.
BIS Legislativa Roman Danel VŠB – TU Ostrava.
Komponent 3 Situační analýza 3.1 Komunikační strategie 3.2 Zlepšování přístupnosti a obsahu informací na Internetu 3.3 Model vzdělávání Podpůrné dokumenty.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
Zásady řešení informační bezpečnosti
Aleš Chudý IW BG Lead Microsoft Corporation. Lidé jsou klíčové aktivum firem Nové trendy práce Software jako platforma Strategická iniciativa (horizont.
Zvýšení kvality řízení KÚPK aktivita A3 Informační strategie Analýza Workshop
Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.
ICT VE ŠKOLE LIDSKÉ ZDROJE listopad 2006 (c) Radek Maca.
Security and Protection of Information Conference IDET 2001 © 2001 RISK ANALYSIS CONSULTANTSSPECIALISTÉ NA BEZPEČNOST INFORMACÍ ISO 17799: standard třetího.
Systémy řízení jakosti - úvodní cvičení
Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Kvalita a bezpečnost IT ve zdravotnictví
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
OCHRANA DAT – JEDNODUŠE A ZCELA BEZPEČNĚ! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.,
Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.
Risk Analysis Consultants s.r.o
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Ochrana síťového prostoru malé firmy Plošné útoky, rizika & řešení Jaroslav Šeps, ŠETRnet s.r.o.
Ing. Daniel Kardoš Systém ManagementDesk – nástroj řízení kvality a bezpečnosti podle ISO 9 001, ISO , ISO , ISO a ISO Ing.
Prof. Molnár1 Podnikové informační systémy Outsourcing IS/IT a ASP Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku
Zásady SLP, ČSN EN ISO 15189:2003 SLP – správná laboratorní práce
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
Bezpečnostní politika
Kybernetická bezpečnost ve veřejné zprávě Bohdan Lajčuk Chomutov
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
Personální audit - cesta k efektivitě využívání lidských zdrojů.
Bezpečnost a ochrana dat. SODATSW spol. s r.o. SODATSW od roku 1997 pomáhá svými unikátními řešeními zvyšovat ochranu informací je výrobcem softwarových.
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha
Inovativní služby v oblasti informační bezpečnosti Ing. Jan Drtil.
IS jako nástroj moderního personálního managementu Vít Červinka
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Cloud computing v praxi
Elektronický obchod z pohledu České republiky
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Budování Integrovaného informačního systému Národního památkového ústavu Petr Volfík, NPÚ ÚP
Koncepce bezpečnosti v infrastruktuře systémů veřejné správy
Bezpečnost práce s dokumenty
Bezpečnostní souvislosti v NIX-ZD
Transkript prezentace:

IP firmy

Informační politika a firmy „Strategie vytváření podmínek, cílů a priorit v oblasti informačních procesů zejména zdokonalováním informačních technologií, kterou se má dosáhnout zlepšení kvality života občanů, úrovně státní správy a podnikatelské sféry na úrovni národní (státní), regionální nebo celosvětové.“ (VLASÁK, 2001: ) Zavádění ICT + politika sdělování a komunikování určitých konkrétních informací => i pro firmy Název prezentace v zápatí2

IS organizací Roste tlak na zpřístupnění dokumentů Potřeba přístupu bez ohledu na geografickou vzdálenost Zabezpečení nikdy 100% – viz „neprolomitelná“ šifra Riziko je pravděpodobnost, s jakou bude daná hodnota aktiva zničena či poškozena hrozbou ve formě konkrétního útoku, který zapůsobí přes zranitelnost systému. (volně dle Požár, s )

Competitive Intelligence Podrobně v předmětu Informační průmysl Konkurenční zpravodajství Etické získávání informací o konkurenci a chránění o sobě Vyhledávání skrytých, ale dostupných informací, mnoho publikováno ze zákona (ochrana spotřebitele) Využití pro rozhodnutí o strategickém vývoji firmy s ohledem na prostředí (konkurence, státní regulace atp.) Více k CI v ČR – doporučuji článek T. Uhrína na Portálu CI o tom, jaké informace o firmách jsou cílem a jak se k nim dostat (legálně)článek T. Uhrína

Základní postupy v CI Ofenzivní (aktivní) zpravodajství) Odhalení strategie konkurence a využití ve prospěch vlastní organizace Informace marketingové, o technologiích, o konkurenci atd. Obranné zpravodajství Fyzickou bezpečnost Personální bezpečnost Bezpečnost HW i SW Bezpečnost dat, Know How, technologických procesů Bezpečnost komunikačních systémů a cest Ochranu obchodních aktivit Aktivní ochranu proti dezinformacím apod.

Informační audit „Je komunikace mezi pracovníky a pracovními týmy optimální? Jsou dostupné informační zdroje optimálně využity? Je firemní image (prezentace směrem navenek i dovnitř) v souladu s firemní identitou (zejména požadavky na prezentaci)? Je internetová prezentace optimální vzhledem k jejímu očekávanému přínosu? apod.“ (Dombrovská, Očko, Zeman) => hodnocení efektivity využití informací, informačních zdrojů a informačních technologií

Informační audit Často omezován na zhodnocení IS/IT => základ, ale nestačí Nutné řešit vnitřní i vnější informační procesy v celé organizaci Mnoho různých metodik, obvyklý postup: sběr dat => analýza => vyhodnocení Některé metodiky důraz na využití informačních zdrojů, jiné organizaci zpracování informací Na závěr nutné uvedení řešení nedostatků

Risk management Ocenění rizik (Risk Assessment) "proces vyhodnocení hrozeb, které působí na informační systém s cílem definovat úroveň rizika, kterému je systém vystaven. Cílem je zjištění, jsou-li bezpečnostní opatření dostatečná, aby snížila pravděpodobnost vzniku škody na přijatelnou úroveň." (Požár, 2005, s. 37) Efektivita -> ALE (Annual Loss Expectancy) p = pravděpodobnost, že během jednoho roku nastane ohrožení C = ztráta, jestliže k ohrožení dojde i = pořadí ohrožení n = celkový počet ohrožení za rok Risk management součástí informačního auditu

Pomůcky zabezpečení ISO normy ČSN ISO/IEC Systém řízení bezpečnosti informací, ČSN ISO/IEC Kritéria pro hodnocení bezpečnosti IT, ČSN ISO/IEC TR Směrnice pro řízení bezpečnosti IT, ISO/IEC TR Guidelines for the management of IT Security, Management guidance on network security Hodnocení důvěryhodnosti systému TCSEC - Trusted Computer System Evaluation Criteria, tzv. Orange Book ITSEC - Information Technology Security Evaluation Criteria + evaluační manuál ITSEM CTCPEC - Canadian Trusted Computer Product Evaluation Criteria Metodiky a softwarová řešení CRAMM Cobra DRAMBORA

Kroky procesu řešení bezpečnosti 1. Cíle a strategie řešení informační bezpečnosti. 2. Analýza rizik informačního systému. 3. Bezpečnostní politika organizace. 4. Bezpečnostní standardy. 5. Implementace informační bezpečnosti. 6. Monitoring a audit. BS-7799 British Standard Institute a ISO/IEC pro řízení informační bezpečnosti a certifikace systému ISMS)

Bezpečnostní politika firmy Závazný písemný dokument schválený nejvyšším vedením pro celou organizaci a všem zaměstnancům známý Postupy pro předcházení a řešení bezpečnostních problémů – zaměstnanec má postupovat „podle příručky“ nejlepším možným řešením (nemělo by dojít k jeho chybě) Vznik dlouhý a složitý – obsah musí být dlouhodobě platný, tím obecný (např. neřeší postupný postup skartace, ale že proběhne a pro co) OECD vytvořila seznam doporučených principů Guidelines for the security of information systems

Pro zavedení musí být upraveno (Požár, s. 101) „Požadavky na bezpečnost počítačů (HW bezpečnost, zabezpečení přístupu, dostupnost dat a informací, jejich důvěrnost, viry, zásady pro uživatele). Správa dat (požadavky na správu dat, definice pojmů, zásady bezpečnosti dat neelektronické formě). Provoz s uvedením zásad, zodpovědnosti za provoz IS, zálohování a obnova SW, hodnocení rizik, vývoj aplikací a audit s pojištěním. Řízení přístupu s uvedením zásad, odpovědnost za řízení přístupu, fyzická a logická bezpečnost, problematika virů a červů. BP počítačové sítě zásady bezpečnosti a účelu sítě, pravidla provo­zu na síti. Bezpečnost datových přenosů odpovědnost za provoz sítí, logická bezpečnost. Osobní odpovědnost správců dat hardwarová a softwarová bez­pečnost, zneužití počítačových prostředků, hlášení bezpečnostních incidentů. Právní a etické otázky trestné činy, copyrighty, ochrana osobních dat, etické otázky aj. Vzory dokumentů.“

Zdroje DOMBROVSKÁ, Michaela, Petr OČKO a Petr ZEMAN. Informační audit – cesta k rozvoji znalostní organizace. Ikaros [online]. 2005, roč. 9, č. 9 [cit ]. ISSN Dostupné z: znalostni-organizace POŽÁR, Josef. Informační bezpečnost. Plzeň: Aleš Čeněk, 2005, 309 s. Vysokoškolská učebnice (Vydavatelství a nakladatelství Aleš Čeněk). ISBN SAPÍK, Milan. Konkurenční zpravodajství. Internet Centrum [online]. [cit ]. Dostupné z: hujeri.ic.cz/4- INFM/IMG_Competitive_intelligence_v1.ppt UHRÍN, Tibor. Jak používat volně dostupné nástroje k základnímu sledování konkurenta: nástin problematiky (v ČR) a příklady. Portál CI [online] [cit ]. Dostupné z: nastroje-k-zakladnimu-sledovani-konkurenta-nastin-problematiky-v-cr- a-priklady

Děkuji za pozornost.