SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.

Prezentace na téma: "SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka."— Transkript prezentace:

1 SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka Půčková Jenůfa Škopová Ivo Hönigschmied BBUS 2007 Vyšší odborná škola informačních služeb, Praha Institut of Technology, Sligo

2 NeXA, s.r.o. konzultace zavádění ISO 9001, ISO 14001, OHSAS 18001, ISO 27001, ISO 20000 a dalších ekonomické a investiční poradenství metodická podpora a řízení projektů dotační poradenství – ESF zakázkový vývoj SW certifikované systémy ISO 9001,14001, ISO 27001, 10006 prověrka organizace pro přístup k utajovaným informacím stupně D – důvěrné. Představení společnosti

3 ISMS – Information Security Management System Systém řízení bezpečnosti informací komplexní systém s jasnými pravidly podléhající pravidelným a nezávislým auditům. Certifikace dle mezinárodní normy ISO 27001 Analýza rizik Identifikace důležitých informací (informačních aktiv) a ohodnocení možných rizik. Dostupnost, Důvěrnost, Integrita. Systémový přístup Rizika je možné pouze minimalizovat a pravidelně revidovat přijatá opatření. Důraz na uvědomění odpovědnosti uživatele, pravidelná školení a revize aplikovaných opatření. Požadavek na prokázání plnění legislativy Bezpečnost informací

4 Vybrané zákony - legislativní rámec 101/2000 Sb., o ochraně osobních údajů 480/2004 Sb., o některých službách informační společnosti 513/1991 Sb., Obchodní zákoník Samostatná certifikace NBÚ 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Aplikované zákony

5 Klasifikace informací Každý ví, s jakou informací pracuje, a ví, jak s ní nakládat. Pravidelná školení a zvyšování povědomí zaměstnanců Názorná školení s vysvětlením dopadů porušení pravidel. Rozšíření pracovních smluv o doložku o ochraně informací Přenos části odpovědnosti na konkrétního zaměstnance. NDA – Smlouvy o mlčenlivosti Projekty s vyšší mírou odpovědnosti zhotovitele. Nastavení IT systémů, pravidelná revize Aspekty technického vývoje, migrace zaměstnanců, lidská chyba. Evidence tzv. „bezpečnostních incidentů“ Vytvoření prostředí, které podporuje řešení, nikoli skrývání. Monitoring a shromažďování důkazů Nasazení SW nástrojů pro ochranu informací a monitoring činností. Praktické aspekty aplikace I

6 Utajované informace - zákon 412/2005 Sb. Existence utajovaných informací (dříve skutečností) Funkce Národního Bezpečnostního úřadu www.nbu.cz Stupně utajení: V – vyhrazené, D – důvěrné, T – tajné, PT – přísně tajné Přístup k utajované informaci seznamování/ vytváření a uchovávání Soukromý sektor/ úřady státní správy Fyzické/ právnické osoby bezpečnostní způsobilost osob, průmyslová bezpečnost (administrativní bezpečnost, fyzická bezpečnost) bezpečnost informačních/ komunikačních systémů, kryptografická ochrana Přístup k utajovaným informacím

7 Bezpečnostní prověrka NBÚ – stupeň „D – důvěrné“ Prověrky určených osob a statutárního orgánu Tvorba, schválení a správa bezpečnostního projektu Řízení přístupu k informacím, dokladování pohybu / zničení UI, krizové plány. Pravidelné revize dle aktualizací legislativy. Prověření organizace, pravidelná hlášení Ekonomická stabilita společnosti, provázání statutárních orgánů, zahraniční styky a obchodní transakce. Prokázání pravidelných školení a revizí postupů a dokumentace Praktické aspekty aplikace II

8 Prostor pro vaše dotazy Děkuji za pozornost Závěr