NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001

Prezentace na téma: "NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001"— Transkript prezentace:

1 NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Vítězslav Šidlo, ICZ a.s. , Hradec Králové

2 Srozumitelnost hodnocení rizik Vazba ISMS na řízení rizik organizace
Zapojení vedení

3 Kontext Systém řízení bezpečnosti informací podle ČSN ISO/IEC Systémy managementu bezpečnosti informací – Požadavky Zavedení vybraných opatření podle ČSN ISO/IEC Soubor postupů pro management bezpečnosti informací Zavedení začíná prvním provedením fáze Plan

4 Soustavné zlepšování opakováním cyklu PDCA

5 Náklady na ISMS jednorázové („investiční“) trvalé – provozní
na procesy řízení na bezpečnostní opatření

6 Hodnocení rizik a lidé, rozhodující o riziku
O zvládání rizika snížení opatřeními přenesení vyhnutí se akceptace …rozhoduje vedení organizace Některé výsledky hodnocení rizik jsou v rozporu s (něčí) intuicí Chtějí mít představu o „podstatě“ rizika Chtějí vědět, proč je riziko ohodnoceno v dané výši

7 Metoda hodnocení (analýzy) rizik
Srozumitelná, zejména v hrozbách konkrétní příklady napomáhají porozumění, ale mohou zkreslit představu o míře hrozby Možnost sledování vztahu (backtracking) riziko -> hrozba, dopad, případně dopad -> hodnota, zranitelnost závislosti aktiv

8 ISMS a řízení rizik organizace
Rizika z bezpečnosti informací jsou jedněmi z rizik v organizaci Rizika na úrovni organizace jsou hodnocena méně podrobně – obsáhlejší kategorie obvykle v méně stupňových škálách

9 ISMS a řízení rizik organizace
Různí lidé, různé jazyky ISMS informatici, odbor bezpečnosti… hodnota aktiva, hrozba, zranitelnost => riziko Řízení rizik interní audit (s finančním „původem“),… dopad, pravděpodobnost události => úroveň rizika

10 ISMS a řízení rizik organizace
Metodika pro sloučení rizik pro přenos do řízení rizik organizace Stupnice rizik by měla být stejná převoditelná Pravidla zvládání (zejména akceptace) co nejvíce stejná Určeno při volbě metodiky hodnocení rizik v ISMS, před první AR

11 Zapojení vedení organizace
„Bezpečnost informací = bezpečnost IT = věc útvaru IT“ Dopad na všechny pracovníky Podíl na řešení personální útvar správa budov ostraha metodické odbory spisovna útvar IT

12 Zapojení vedení organizace
„Hybatelem“ nemůže být útvar IT Vedení schvaluje opatření (zdroje) Vedení akceptuje rizika

13 Zapojení vedení organizace
Přesvědčit vedení upozornění na rizika penetrační testy „externí expert“ Alespoň jeden zainteresovaný člen vedení Komunikovat v jazyce, kterému vedení rozumí

14 Děkuji za vaši pozornost
Vítězslav Šidlo ICZ a.s. Divize bezpečnost

15 Volba rozsahu ISMS Vymezení
geografické organizační procesní Oblasti mimo hranice ISMS nesmí ovlivňovat bezpečnost oblasti uvnitř hranic ISMS

16 Volba rozsahu ISMS Pro menší rozsah Zvážit vs.
zůstává stejný systém řízení, zmenšuje se jen objem některých prací (analýza rizik, volba opatření, interní audit) jednodušší implementace bezpečnostních opatření Zvážit zjednodušení bude významné jen při dostatečně malém rozsahu vs. jasná hranice úsilí při rozšíření

17 Děkuji za vaši pozornost
Vítězslav Šidlo ICZ a.s. Divize bezpečnost