Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS 7999-2 ČSN ISO//IEC 27001 ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře.

Slides:



Advertisements
Podobné prezentace
Obecné požadavky na výstavbu
Advertisements

Integrovaný systém řízení (ISŘ)
Presentation Title.
© Radek Maca Státní informační politika ve vzdělávání SIPVZ w w w. e - g r a m. c z ICT plán školy možný přístup k jeho zpracování odbor 55 SIPVZ MŠMT.
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Daniel Kardoš Ing. Daniel Kardoš
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
Město Šlapanice průkopník moderního řízení ve veřejné správě 20. února Národní konference kvality ve veřejné správě.
Management kontinuity činností organizace
Řízení přístupových práv uživatelů
Legislativa a dokumenty Informační systémy ve státní správě a samosprávě.
Analýza dopadu zákona č. 300/2008 Sb. do území JUDr. Kateřina Černá Ing. Václav Koudele.
3. přednáška, Informační systémy veřejné správy (ISVS) Situace v ČR Úvod do eGovernmentu Výběrová přednáška.
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Integrovaný systém managementu v Nemocnici Břeclav, p. o.
Akreditační systém v ČR – kvalita produktů IT
Auditorské postupy Činnosti před uzavřením smlouvy
Ochrana citlivých zdravotnických dat pacientů systémem řízení bezpečnosti informací podle normy ČSN/BS :2004 Ing. Daniel Kardoš.
Naši klienti  V současnosti naše systémy užívá 45 zdravotnických zařízení  Naši klienti jsou  rozmístěni v rámci celé ČR (všechny regiony)  tvoří cca.
Zkušenosti se zaváděním systému řízení v KSRZIS podle:
Systém managementu jakosti QMS
Příručka jakosti Ing. Zdeněk Aleš, Ph.D.
Systém managementu jakosti
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.
Daniel Kardoš Ing. Daniel Kardoš
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
Zásady řešení informační bezpečnosti
4 Normovaný systém managementu kvality podle ISO 9001
Atestace Fáres Shima ředitel odboru atestací Konference ISSS, 24. – 25. březen 2003, KC Aldis Hradec Králové.
Systémy řízení jakosti - úvodní cvičení
Management jakosti jako úhelný kámen provozu klinické laboratoře
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Management systému řízení kvality
Informační bezpečnost jako rámec ochrany osobních údajů v orgánech veřejné správy Hradec Králové
Sdílení dat ve veřejné správě Hradec Současný stav  V právním řádu neexistuje předpis, kterým by byla upravena jednotná pravidla pro sdílení.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Technická normalizace ◦ Informace o vybraných normách  E-byznys (V České republice je to: ÚNMZ - Úřad pro technickou normalizaci,
Proces řízení kvality projektu Jaromír Štůsek
Zpracoval: Ing. Tomáš Vašica, Elektronické schvalování v praxi Moravskoslezského kraje Zpracoval: Ing. Tomáš Vašica Datum:
Zásady SLP, ČSN EN ISO 15189:2003 SLP – správná laboratorní práce
STÁTNÍ INFORMAČNÍ POLITIKA E-Government a elektronický podpis Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Zjednodušení orientace na portálech veřejné správy Jaroslav Svoboda - Ministerstvo vnitra ČR Iva Zelenková - Ministerstvo informatiky ČR Konference ISSS,
Technické řešení PostSignum QCA
Novelizace zákona č. 365/2000 Sb., o ISVS Hradec
1 14.Postakviziční integrace-jaké kroky se mají učinit po podpisu kupní smlouvy Kateřina Čepeláková, E-72 Šk.rok:2009/2010.
Elektronické podatelny právo a praxe ISSS Hradec Králové Jan Hobza
ZÁKLADY SYSTÉMŮ MANAGEMENTU 1. ČÁST
BUDOVÁNÍ SYSTÉMŮ MANAGEMENTU
ISSS 2003 PORTÁL VEŘEJNÉ SPRÁVY Ing. Dana Bérová Ministerstvo informatiky.
Hodnocení kvality a bezpečí zdravotních služeb
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Stalo se … příběh jednoho „průšvihu“ Ing.Tomáš Boubelík PhDr.Iva Moravcová Mgr.Oldřich Smola.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
Základní registr územní identifikace a nemovitostí Zbyněk Havelda Úřad pro veřejné informační systémy Seminář sdružení Nemoforum.
Firemní data mimo firmu: z pohledu zákoníku práce JUDr. Josef Donát, LLM, ROWAN LEGAL ISSS 2014, Hradec Králové.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Certifikace informačních systémů veřejné správy (ISVS) ve smyslu zákona č. 365/2000 Sb. - atest-
PREZENTUJÍCÍ Registry ve veřejné správě Mgr. David Marek
Přechod na ISO 9001:2015 v DIAMO, s. p.
SAFETY 2017 Význam a zásady fyzické bezpečnosti při ochraně (nejen) utajovaných informací. Hradec Králové duben
Systém managementu jakosti
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Městská část Praha 6 Postup příprav GDPR Ing. Jan Holický, MBA
Finanční kontrola v příspěvkových organizacích kraje
Obecné nařízení o ochraně osobních údajů
Systém managementu SSHR
Systém managementu SSHR
Transkript prezentace:

Zkušenosti se zaváděním systému řízení ochrany informací podle ČSN BS ČSN ISO//IEC ve městě Vsetín Stanislava Konečná Vedoucí odboru kanceláře starosty

1.Zavádění systému řízení jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO s cílem zvýšit spokojenost zákazníka (občana) 2.Směrnice číslo QS 42-03, provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT. 3.Analytická studie řízení ICT 4.Interní směrnice číslo QS Ochrana informací 5.Právní normy 6.Podmínky zavádění systému ochrany informací v souladu s požadavky normy ISO ČSN Závěr

Plánuj – stanov cíle a procesy nezbytné k dosažení výsledků v souladu s požadavky zákazníka a s politikou organizace Dělej – uplatňuj procesy Kontroluj – monitoruj a měř procesy ve vztahu k politice, cílům a požadavkům na produkt a podávej zprávy o výsledcích Jednej – prováděj opatření pro neustálé zlepšování výkonnosti procesu 1.Zavádění systému řízení jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO s cílem zvýšit spokojenost zákazníka (občana) (Neustálé zlepšování systému managementu jakosti - aplikována metoda PDCA)

2.Interní směrnice číslo QS 42-03, provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT Účelem této směrnice bylo: a)určit zásady provozování IS a ICT b)stanovit jednotný a jednoznačný systém vedení, řízení, identifikace HW a SW prostředků a systém pravidel pro kontrolu užívání těchto prostředků c)stanovit odpovědnost za obsah, kvalitu a zveřejňování informací d)stanovit odpovědnost za správnost datových sad Cílem této směrnice bylo: a)zajistit soulad užívání ICT s platnými právními předpisy ČR b)zajistit soulad s příslušnými licenčními ujednáními a respektováním autorských a průmyslových práv dodavatelů SW produktů S postupem času praxe ukázala, že tento vnitřní předpis není zcela dostačující.

3.Analytická studie řízení ICT Zpracování analytické studie podle principu systémové integrace nad informačním systémem úřadu Cílem této studie bylo: a)posouzení míry, kterou informační systémy podporují systém managementu jakosti dle ISO 9001 a systému enviromentálního managementu dle ISO b)navrhnout postup, jak vytvořit kvalitní, jednotný, komplexní a integrovaný systém úřadu, který bude v souladu s mezinárodními normami Doporučení: a)provést novelizaci směrnice o provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT v souladu se zákonem č. 365/2000 Sb., standardy ISVS a oborovými normami  ČSN/BS – Pravidla pro fungování systému řízení informační bezpečnosti  ČSN/ISO – proces životního cyklu softwaru a informačního systému b)vytvořit a dodržovat směrnici (směrnice) pokrývající všechny součásti informatiky v souladu se zákonem č. 365/3000 Sb., standardy ISVS a oborovými normami ČSN/ISO a ČSN/BS

4.Interní směrnice číslo QS Ochrana informací Účelem této organizační směrnice bylo: a)určit zásady ochrany informací b)stanovit jednotný a jednoznačný systém odpovědnosti, vedení a řízení fektivních bezpečnostních praktik c)zajistit ochranu důvěrnosti, integrity a dostupnosti informací, při komunikaci uvnitř Městského úřadu Vsetín i mezi organizacemi a občany Předmětem ochrany jsou: a)jakékoliv nosiče údajů a informací, (např. písemné materiály, magnetická média, optická datová média, paměti počítačů, osobních záznamníků apod.) b)všechny formy přenosů údajů a informací (přenosy poštovní, kurýrní, osobní, telefonické, telegrafické, faxové, datové apod. Cílem této směrnice bylo zajistit soulad ochrany informací a)s platnými právními předpisy České republiky, b)příslušnými licenčními ujednáními c)respektování zákonných práv občanů, organizací a pracovníků úřadu na ochranu informací.

Postup při zavádění systému řízení ochrany informací podle ČSN BS )Prezentace a seznámení s podmínkami systému řízení bezpečnosti informací 2)Školení k zavádění systému řízení 3)Zřízení fóra bezpečnosti informací 4)Stanovení požadavků na systém řízení bezpečnosti informací Prosazení systému řízení Implementace Dokumentace Kontrola dokumentace Záznamy

5)Stanovení detailních opatření - popis činností a postupů Identifikace rizik a bezpečnostní politika Organizace bezpečnosti informací Klasifikace a kontrola aktiv Personální bezpečnost Fyzická bezpečnost a bezpečnost prostředí Správa komunikací a řízení provozu Řízení přístupů Vývoj a údržba systémů Řízení kontinuity činností organizace Soulad s požadavky

6)Zpracování kompletních seznamů všech informačních aktiv Seznam informačních aktiv (dle jednotlivých odborů) Seznam softwarových aktiv s rizikem klasifikovaných do stupně N Seznam fyzických aktiv s rizikem klasifikovaným do stupně N 7)Zpracování dokumentace Kniha bezpečnostních incidentů Kniha bezpečnostních slabin Kniha chybného programového vybavení Záznam bezpečnostního incidentu Záznam bezpečnostní slabiny(BS) Záznam chybného programového vybavení (CHPV)

8)Úprava navazujících interních směrnice a vnitřních předpisů Související interní směrnice a vnitřní předpisy QS provozování informačních systémů, používání počítačových programů a ostatních prostředků ICT. QS Personální záležitosti a zajištění kvalifikace QS Vyřazování a likvidace majetku QS Nakupování a výběr dodavatelů QS Řízení neshod P 11 /03 Zabezpečení budovy MěÚ Vsetín, Svárov č P 14 /03 Pronájem zasedacích místností a společenských prostor P 19 /05 Zveřejňování usnesení Zastupitelstva a Rady města Vsetína

5.Právní normy: zákon č. 365/2000 Sb. o informačních systémech veřejné zprávy a o změně některých zákonů v platném znění zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů v platném znění zákon č. 106/1999 Sb., o svobodném přístupu k informacím v platném znění zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon) zákon č. 148/1998 Sb. o ochraně utajovaných skutečností zákon č. 227/2000 Sb. o elektronickém podpisu usnesení vlády č. 624/01 (pravidla zásady a způsob zabezpečování kontroly počítačových programů) standard ISVS pro atestace shody informačních systémů veřejné správy se standardy ISVS nařízení vlády č. 495/2004 Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů vyhláška č. 496/2004 Sb. k elektronickým podatelnám

6.Podmínky zaváděním systému ochrany informací v souladu s požadavky normy ISO ČSN 27001: Určit směr a vyjádřit podporu bezpečnosti informací ze strany vedení Řídit bezpečnost informací v organizaci Nastavit a udržovat přiměřenou ochranu aktiv organizace Zajistit, aby informace získaly odpovídající úroveň ochrany Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran proběhla řádným způsobem Předcházet neautorizovanému fyzickému přístupu do vymezených prostor, předcházet poškození a zásahům do provozních budov a informací organizace Předcházet ztrátě, poškození, krádeži nebo kompromitaci aktiv a přerušení činností organizace Zajistit, aby si zaměstnanci, smluvní a třetí strany byli vědomi bezpečnostních hrozeb a problémů s nimi spojených, svých odpovědností a povinností a aby byli připraveni podílet se na dodržování politiky bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby

7.Závěr Zavedení systému na MěÚ Vsetín trvalo cca 1 rok. Průběžně se realizují jednotlivé kroky k ochraně informací, stanovené vnitřními předpisy opakované proškolování zaměstnanců instalace nových bezpečnostních zařízení vypracování směrnice k poskytování informací odpovídající vybavení kanceláří seznámení se způsobem nakládání s osobními údaji, se kterými zaměstnanci, funkcionáři, studenti vykonávající praxi či externí osoby přijdou při výkonu veřejné správy do styku výběr nových zaměstnanců kontrola dodržování vnitřních předpisů a přijímání opatření k nápravě atd. interní audity systému řízení Zavádění nových metod řízení sebou přináší nemalé problémy při zapojení pracovníků úřadu, je potřeba počítat s neochotou pracovníků. Doporučení – vhodná motivace pracovníků.