NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001

Slides:

Advertisements

Podobné prezentace

Personální řízení v malých podnicích

Advertisements

P r o s t ě j o v v datech Olomoucký kraj obyvatel

 Role poradenských firem v oblasti čerpání SF EU 27. dubna 2006 Jiří Halouzka Ředitel v oddělení poradenských služeb

Software Development Conference 2007 Vztah dodavatele a odběratele Zdeněk Borůvka.

Konference "Bezpečnost v podmínkách organizací a institucí ČR"

Zvládání rizik vyplývajících z pracovního stresu ve společnosti EDUCACONSULT M&J Consulting Pardubice, Česká republika

HISTORICKÝ VÝVOJ 1900 Výrobková normalizace, vojenský průmysl

13. Koordinace projektů Realizace změn Koordinace projektů

Změny požadavků podle nové normy

11 Procesy a procesní řízení 22 Další charakteristiky procesu má svého vlastníka (osoba odpovídající za zlepšování procesu) má svého zákazníka (interního.

Facility management ČSN EN

Strategie informační bezpečnosti

Efektivní informační bezpečnost

1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.

Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.

Management kontinuity činností organizace

Řízení přístupových práv uživatelů

Benchmarking Benchmarking je metoda řízení kvality, která zapojené

SW podpora krizového řízení Duben 2006 Tomáš Fröhlich, DiS. ISSS 2007.

Analýza dopadu zákona č. 300/2008 Sb. do území JUDr. Kateřina Černá Ing. Václav Koudele.

Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR

Sdružení poradců Požadavky ISO/DIS 14001:2014 Sdružení poradců

Auditorské postupy Činnosti před uzavřením smlouvy

Hodnocení, realizace a kontrolní etapa. Hodnotí se tři skupiny kriterií: A)Prospěšnost – žádoucnost 1. Jak navržená strategie pomáhá dosažení cílů? 2.

Informační strategie. řešíte otázku kde získat konkurenční výhodu hledáte jistotu při realizaci projektů ICT Nejste si jisti ekonomickou efektivností.

Jaromír Skorkovský ESF MU KAMI

ITIL Information Technology Infrastructure Library.

Naši klienti  V současnosti naše systémy užívá 45 zdravotnických zařízení  Naši klienti jsou  rozmístěni v rámci celé ČR (všechny regiony)  tvoří cca.

E M A S - Systém environmentálního řízení a auditu Zavádění EMAS na MŽP Porada OVSS

ISMS v KSRZIS (Koordinační středisko pro rezortní zdravotnické informační systémy) František Henkl.

Zkušenosti se zaváděním systému řízení v KSRZIS podle:

Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.

ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ

Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.

Daniel Kardoš Ing. Daniel Kardoš

Aktivita č. 6 Návrh a zavedení systému řízení kvality Workshop Výsledky analytického šetření.

Hodnocení škol a ředitelů zřizovatelem – Zlínským krajem

Pojmové vymezení. Proč pojmové vymezení? Spousta firem deklaruje svou projektovou orientaci Ve skutečnosti pouze používají několik metodik pro podporu.

Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.

Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.

Reinženýring cesta ke zvyšování výkonnosti státní správy s využitím procesního řízení Ing. Martin Čulík Notes CS a.s. Konference ISSS 2003 Hradec Králové.

ESET - služby informační bezpečnosti Filip Navrátil, Sales Engineer, ESET software spol. s

Analýza rizik Miroslav Čermák.

Zásady řešení informační bezpečnosti

1 NÁSTROJE V OBLASTI ŘÍZENÍ ANEB ÚSPĚŠNOST BEZ NÁSTROJŮ ? ÚSPĚŠNOST S NÁSTROJI ? Ing. Pavel Sladký M: Semináře, konzultace, motivační a certifikační.

Zvýšení kvality řízení KÚPK aktivita A3 Informační strategie Analýza Workshop

Vaše jistota na trhu IT Vybudování a provozování e-spisovny Josef Sedláček ICZ a.s.

Nebezpečí webových aplikací Tomáš Strýček Invex Forum Brno

Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.

Řešení informační bezpečnosti v malých a středních firmách Pavel Šnajdr – Informační management 2 Diplomová práce.

Risk Analysis Consultants s.r.o

Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.

Zásady SLP, ČSN EN ISO 15189:2003 SLP – správná laboratorní práce

Bezpečnostní politika

Systém řízení moderního podniku Management system of modern company

RNDr. Jana Kotovicová, Ph.D. MZLU v Brně prezidentka

ŽIVELNÍ POHROMY A PROVOZNÍ HAVÁRIE Název opory – Direktivy SEVESO, zákon o prevenci závažných havárií a jejich význam Operační program Vzdělávání pro konkurenceschopnost.

Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek

PRINCeGON – metodika řízení projektů Ministerstva vnitra

Sdružení poradců Požadavky ISO 9001:2015 a ISO 14001:2015

Zlepšení podmínek pro vzdělávání na středních školách Operačního programu Vzdělávání pro konkurenceschopnost Název a adresa školy: Integrovaná střední.

Systémová podpora procesů transformace systému péče o ohrožené děti a rodiny Klíčové aktivity realizované v Pardubickém kraji Pardubice, dne

PROCESNÍ MODELOVÁNÍ AGEND VEŘEJNÉ SPRÁVY Rámcový návrh projektu.

Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.

SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.

PROJEKT: Hodnocení průmyslových rizik

Rezervy, podmíněné závazky a podmíněná aktiva

Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA

PROJEKTOVÝ MANAGEMENT

farmakovigilanční audit

Transkript prezentace:

NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001 Vítězslav Šidlo, ICZ a.s. 2.4.2007, Hradec Králové www.i.cz

Srozumitelnost hodnocení rizik Vazba ISMS na řízení rizik organizace Zapojení vedení www.i.cz

Kontext Systém řízení bezpečnosti informací podle ČSN ISO/IEC 27001 Systémy managementu bezpečnosti informací – Požadavky Zavedení vybraných opatření podle ČSN ISO/IEC 17799 Soubor postupů pro management bezpečnosti informací Zavedení začíná prvním provedením fáze Plan www.i.cz

Soustavné zlepšování opakováním cyklu PDCA www.i.cz

Náklady na ISMS jednorázové („investiční“) trvalé – provozní na procesy řízení na bezpečnostní opatření www.i.cz

Hodnocení rizik a lidé, rozhodující o riziku O zvládání rizika snížení opatřeními přenesení vyhnutí se akceptace …rozhoduje vedení organizace Některé výsledky hodnocení rizik jsou v rozporu s (něčí) intuicí Chtějí mít představu o „podstatě“ rizika Chtějí vědět, proč je riziko ohodnoceno v dané výši www.i.cz

Metoda hodnocení (analýzy) rizik Srozumitelná, zejména v hrozbách konkrétní příklady napomáhají porozumění, ale mohou zkreslit představu o míře hrozby Možnost sledování vztahu (backtracking) riziko -> hrozba, dopad, případně dopad -> hodnota, zranitelnost závislosti aktiv www.i.cz

ISMS a řízení rizik organizace Rizika z bezpečnosti informací jsou jedněmi z rizik v organizaci Rizika na úrovni organizace jsou hodnocena méně podrobně – obsáhlejší kategorie obvykle v méně stupňových škálách www.i.cz

ISMS a řízení rizik organizace Různí lidé, různé jazyky ISMS informatici, odbor bezpečnosti… hodnota aktiva, hrozba, zranitelnost => riziko Řízení rizik interní audit (s finančním „původem“),… dopad, pravděpodobnost události => úroveň rizika www.i.cz

ISMS a řízení rizik organizace Metodika pro sloučení rizik pro přenos do řízení rizik organizace Stupnice rizik by měla být stejná převoditelná Pravidla zvládání (zejména akceptace) co nejvíce stejná Určeno při volbě metodiky hodnocení rizik v ISMS, před první AR www.i.cz

Zapojení vedení organizace „Bezpečnost informací = bezpečnost IT = věc útvaru IT“ Dopad na všechny pracovníky Podíl na řešení personální útvar správa budov ostraha metodické odbory spisovna útvar IT www.i.cz

Zapojení vedení organizace „Hybatelem“ nemůže být útvar IT Vedení schvaluje opatření (zdroje) Vedení akceptuje rizika www.i.cz

Zapojení vedení organizace Přesvědčit vedení upozornění na rizika penetrační testy „externí expert“ Alespoň jeden zainteresovaný člen vedení Komunikovat v jazyce, kterému vedení rozumí www.i.cz

Děkuji za vaši pozornost Vítězslav Šidlo vitezslav.sidlo@i.cz +420 244 100 608 ICZ a.s. Divize bezpečnost www.i.cz www.i.cz

Volba rozsahu ISMS Vymezení geografické organizační procesní Oblasti mimo hranice ISMS nesmí ovlivňovat bezpečnost oblasti uvnitř hranic ISMS www.i.cz

Volba rozsahu ISMS Pro menší rozsah Zvážit vs. zůstává stejný systém řízení, zmenšuje se jen objem některých prací (analýza rizik, volba opatření, interní audit) jednodušší implementace bezpečnostních opatření Zvážit zjednodušení bude významné jen při dostatečně malém rozsahu vs. jasná hranice úsilí při rozšíření www.i.cz

Děkuji za vaši pozornost Vítězslav Šidlo vitezslav.sidlo@i.cz +420 244 100 608 ICZ a.s. Divize bezpečnost www.i.cz www.i.cz