ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Transkrypt

1 ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r.

2 O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie Papierów Wartościowych w Warszawie Działamy od 18-stu lat! Zrealizowaliśmy ponad 2500 projektów dla ponad 1000 Klientów Podnosimy poprzeczkę! Posiadamy wdroŝone systemu ISO 9001:2001, ISO (jako pierwsi w POLSCE) Mamy czytelną strategię rozwoju! Naszym celem jest rozszerzenie działalności na rynki europejskie, a takŝe realizacja duŝych kontraktów dla duŝych klientów z wykorzystaniem dedykowanych narzędzi informatycznych. Pracujemy razem z Klientem! Ścisła współpraca z Klientem w celu maksymalizacji transferu wiedzy. Łączymy tradycyjny konsulting z nowoczesnymi rozwiązaniami informatycznymi.

3 AGENDA Krótko o Systemie Zarządzania Bezpieczeństwem Informacji ISO w Polsce ISO 9001 a ISO kroki do ISO Proces wdroŝenia Systemu Bezpieczeństwa Informacji Rola bezpieczeństwa dzisiaj i jutro

4 Zarządzanie bezpieczeństwem na świecie i w Polsce Japonia Wlk. Bryt. Indie Tajwan Niemcy Chiny Węgry Australia USA Korea Włochy Polska Holandia Hong Kong Singapur Czechy Malezja Brazylia Źródło: ISMS International User Group

5 Ludzie Bezpieczeństwo osobowe Usługi System Zarządzania Bezpieczeństwem Informacji Bezpieczeństwo fizyczne SZBI Bezpieczeństwo informatyczne

6 Systemowe podejście do bezpieczeństwa informacji INTEGRALNOŚĆ POUFNOŚĆ Bezpieczeństwo informacji DOSTĘPNO PNOŚĆ

7 System ISO w Polsce

8 Wspólne podstawy ISO 9001 i ISO Wymagania ZINTEGROWANY SYSTEM ZARZĄDZANIA Wymagania ISO 9001 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Odpowiedzialność kierownictwa System zarządzania jakością Odpowiedzialność kierownictwa Zarządzanie zasobami ludzkimi Zarządzanie zasobami Nadzorowanie infrastruktury Realizacja zadania Nadzorowanie dokumentacji Pomiary, analiza i doskonalenie Nadzorowanie firm współpracujących Nadzorowanie i doskonalenie systemu Ustanowienie ISO Zgodność z wymaganiami prawa i własnymi standardami WdroŜenie i eksploatacja Monitorowanie i przegląd Utrzymanie i doskonalenie

9 Krok 1: Analiza ryzyka przeprowadzenie klasyfikacji informacji identyfikacja sprzętu, oprogramowania oraz miejsc przetwarzania informacji analiza zagroŝeń oraz podatności na podstawie wyników z audytu opracowanie metody analizy ryzyka przeprowadzenie analizy ryzyka przeprowadzenie analizy ciągłości działania organizacji opracowanie planu zarządzania (minimalizacji) ryzyka

10 Zarządzanie ryzykiem Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najwaŝniejszych informacji/danych/zasobów organizacji OCENA RYZYKA UTRATY INFORMACJI OPRACOWANIE PLANU ZARZĄDZNIA RYZYKIEM MONITOROWANIE PLANU ZARZĄDZANIA RYZYKIEM WDROśENIE PLANU ZARZĄDZANIA RYZYKIEM

11 Krok 2: Opracowanie niezbędnych zasad postępowania Powołanie grup roboczych do tworzenia projektów dokumentów ISO/IEC Polityka bezpieczeństwa 2. Organizacja bezpieczeństwa 3. Klasyfikacja i kontrola zasobów 4. Bezpieczeństwo osobowe 5. Bezpieczeństwo fizyczne i środowiskowe 6. Zarządzanie systemami i sieciami 7. Kontrola dostępu do systemu 8. Pozyskiwanie, rozwój i utrzymanie systemu 9. Zarządzanie incydentami bezpieczeństwa 10.Zarządzanie ciągłością działania 11.Zgodność z wymaganiami prawa i własnymi standardami Tworzenie dokumentów polityki procedury instrukcje zasady, etc. Weryfikacja i zatwierdzenie dokumentów Wykorzystanie narzędzia informatycznego

12 Przykładowa struktura dokumentacji koncepcja DGA POLITYKA BEZPIECZEŃSTWA INFORMACJI (ZGODNA ZE STRATEGIĄ BIZNESOWĄ PRZEDSIĘBIORSTWA) ZASADY POSTĘPOWANIA Z INFORMACJĄ ZASADY ZARZĄDZANIA RYZYKIEM STRATEGIA CIĄGŁOŚCI DZIAŁANIA WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA ZASOBAMI LUDZKIMI WYMAGANIA ZWIĄZANE Z ZARZĄDZANIEM INCYDENTAMI BEZPIECZEŃSTWA WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI WYMAGANIA ZWIĄZANE Z BEZPIECZEŃSTWEM FIZYCZNYM DOKUMENTY NIśSZEGO RZĘDU PROCEDURY I INSTRUKCJE

13 Krok 3: Budowanie świadomości pracowników Przeprowadzenie szkolenia dla najwyŝszego kierownictwa - wyniki diagnozy wstępnej, koncepcja - zasady i korzyści w zakresie bezpieczeństwa informacji - zadania najwyŝszego kierownictwa Przeprowadzenie szkolenia grupy roboczej - wymagania ISO/IEC dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) - szczegółowy plan działań w zakresie bezpieczeństwa informacji Przeprowadzenie szkoleń dla wszystkich pracowników - wprowadzenie do wymagań normy ISO/IEC rola pracowników w systemie zarządzania bezpieczeństwem informacji - zasady i korzyści wynikające z wdroŝenia SZBI Przeprowadzenie szkoleń dla audytorów wewnętrznych

14 Role w zarządzaniu bezpieczeństwem informacji Pełnomocnik ds. Systemu Bezpieczeństwa Informacji Organizuje pracę i wyznacza zadania osobom odpowiedzialnym za bezpieczeństwo informacji w organizacji Jest przedstawicielem Zarządu w pracach pozwalających na utrzymanie systemu organizacja analizy ryzyka, audytów wewnętrznych, utrzymanie dokumentacji zawierającej wymagania bezpieczeństwa

15 Role w zarządzaniu bezpieczeństwem informacji Forum Bezpieczeństwa Informacji Forum składające się z kilku osób, moŝe być częścią istniejącej struktury organizacyjnej Forum stanowią dyrektorzy kluczowych obszarów bezpieczeństwa, szefowie IT, kierownicy mający przełoŝenie na pewnie obszary bezpieczeństwa Forum realizuje część zadań operacyjnych związanych z zarządzaniem bezpieczeństwem oraz raportuje do Zarządu

16 Proces wdroŝenia Systemu Bezpieczeństwa Informacji Diagnoza systemu i analiza potrzeb Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie planu Zarządzania Ryzykiem Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Zarządzania Ryzykiem SZBI ISO Certyfikacja systemu

17 Przesłanki do wdroŝenia wymagań normy ISO/IEC organizacje na całym świecie wdraŝają systemy bezpieczeństwa korzystając z tego samego dokumentu odniesienia ISO/IEC w rezultacie systemy te mogą być do siebie porównywane i w ten sposób doskonalone system opiera się o cykliczną analizę ryzyka co zapewnia jego ciągłe dostosowywanie do potrzeb i problemów organizacji system bezpieczeństwa zbudowany na podstawie ISO/IEC moŝna poddać certyfikacji i uzyskać rozpoznawane na całym świecie świadectwo zgodności.

18 zapraszamy do naszych biur Doradztwo Gospodarcze DGA S.A. Biuro w Poznaniu Biuro w Warszawie ul. Towarowa Poznań ul. Emilii Plater Warszawa telefon.: , telefon.: , faks: faks: dgasa@dga.pl dgawawa@dga.pl Wojciech Nowak Manager ds. Rozwiązań Biznesowych wojciech.nowak@dga.pl Zapraszam do zadawania pytań