Zarządzanie ryzykiem w bezpieczeostwie IT

Wielkość: px
Rozpocząć pokaz od strony:

Download "Zarządzanie ryzykiem w bezpieczeostwie IT"

Transkrypt

1 Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, ABIWAY 1 /34

2 Agenda Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 2 /34

3 Agenda Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 3 /34

4 Informowanie o ryzyku Monitorowanie i przegląd ryzyka Proces zarządzania ryzykiem wg ISO Ustanowienie kontekstu SZACOWANIE RYZYKA ANALIZA RYZYKA Identyfikacja ryzyka Estymowanie ryzyka Ocena ryzyka Szacowanie satysfakcjonujące TAK NIE Postpowanie z ryzykiem Postępowanie satysfakcjonujące TAK Akceptowanie ryzyka ABIWAY 4 /34 NIE

5 Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK Postępowanie satysfakcjonujące T/N Postępowanie z ryzykiem T/N NIE NIE Wyznaczenie kontekstu Kryteria oceny ryzyka, skutków, akceptowania ryzyka Zakres i granice Organizacja zarządzania ryzykiem w bezpieczeostwie IT TAK Akceptowanie ryzyka Identyfikacja ryzyka ABIWAY 5 /34

6 Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK T/N NIE Postępowanie z ryzykiem Identyfikacja ryzyka Identyfikacja przyczyn i sposobu materializacji niepożądanych incydentów. Obejmuje identyfikowanie aktywów, zagrożeo, podatności i potencjalnych następstw zidentyfikowanych incydentów. Estymacja ryzyka Estymacja prawdopodobieostwa incydentu oraz jego skutków. Analiza ta odbywa się w kontekście istniejących zabezpieczeo oraz Postępowanie satysfakcjonujące TAK T/N NIE Ocena ryzyka Porównanie wyznaczonych poziomów ryzyka z ustalonymi kryteriami i nadanie priorytetów ryzykom. Akceptowanie ryzyka ABIWAY 6 /34

7 Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK Postępowanie satysfakcjonujące T/N Postępowanie z ryzykiem T/N NIE NIE Postępowanie z ryzykiem Opracowanie i wdrożenie planu zarządzania ryzykiem z uwzględnieniem kryteriów oceny ryzyka. TAK Akceptowanie ryzyka ABIWAY 7 /34

8 Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK Postępowanie satysfakcjonujące T/N Postępowanie z ryzykiem T/N NIE NIE Akceptowanie ryzyka Ryzyka pozostałe po procesie postępowania z ryzykiem i opracowaniu planu postępowania z ryzykiem, określane jako ryzyka szczątkowe, są akceptowane. Formalny charakter!!! TAK Akceptowanie ryzyka ABIWAY 8 /34

9 Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK Postępowanie satysfakcjonujące T/N Postępowanie z ryzykiem T/N NIE NIE Informowanie o ryzyku Wymiana lub dystrybucja informacji o ryzyku do uczestników procesu zarządzania ryzykiem na każdym etapie procesu zarządzania ryzykiem. TAK Akceptowanie ryzyka ABIWAY 9 /34

10 Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka T/N NIE Monitorowanie i przegląd czynników ryzyka Monitorowanie i przegląd elementów ryzyka i ich czynników TAK Postępowanie satysfakcjonujące Postępowanie z ryzykiem T/N NIE Monitorowanie, przegląd i doskonalenie zarządzania ryzykiem Ciągłe monitorowanie, przeglądanie oraz dostosowywanie do potrzeb TAK Akceptowanie ryzyka ABIWAY 10 /34

11 Agenda Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 11 /34

12 Informowanie o ryzyku Monitorowanie i przegląd ryzyka Porównanie ISO27005 z ISO Ustanowienie kontekstu Ustanowienie kontekstu SZACOWANIE RYZYKA ANALIZA RYZYKA Szacowanie satysfakcjonujące Postępowanie satysfakcjonujące Identyfikacja ryzyka Estymowanie ryzyka Ocena ryzyka TAK Postpowanie z ryzykiem TAK NIE NIE Akceptowanie ryzyka Szacowanie ryzyka ABIWAY 12 /34 Komunikacja i konsultacje Identyfikacja ryzyka Analiza ryzyka Ocena ryzyka Postępowanie z ryzykiem Monitorowanie i przegląd

13 Agenda Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 13 /34

14 Monitorowanie, komunikacja i przegląd ryzyka Organizacja procesu zarządzania ryzykiem Kierownictwo Ustanawianie kontekstu Identyfikacja ryzyka Zespół ds. ryzyka: - wiodący w procesach - właściciele aktywów Koordynator Zespołu ds. ryzyka Analiza ryzyka Pracownicy, Audytorzy Ocena ryzyka Postępowanie z ryzykiem Właściciel ryzyka ABIWAY 14 /34

15 Agenda Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 15 /34

16 Poziom szczegółowości inwentaryzacji aktywów TOP Aktywa podstawowe AKTYWA WSPIERAJĄCE Wydział IT Zespół 1 Zespół 2 Zespół 3 Procesy zarządzania usługami IT Dostawcy zewnętrzni Dostawca 1 Dostawca 2 Infrastruktura IT AP OS NET Rooms DOWN ABIWAY 16 /34

17 Poziom szczegółowości inwentaryzacji aktywów Identyfikacja aktywów na poziomie szczegółowości zapewniający wystarczające informacje na potrzeby szacowania ryzyka. Im szczegółowszy wykaz aktywów tym precyzyjniejsza i łatwiejsza estymacja ryzyka. W praktyce do opisania aktywów organizacji na potrzeby szacowania ryzyka wystarczy czteropoziomowy, hierarchiczny model opisu. Podstawowy wykaz aktywów dla przeciętnej organizacji, wykonany na niskim poziome szczegółowości obejmuje kilkaset pozycji. Z każdą kolejną iteracją procesu zarządzania ryzykiem szczegółowośd inwentaryzacji powinna postępowad i wchodzid na wyższy poziom szczegółowości. ABIWAY 17 /34

18 Agenda Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 18 /34

19 Relacja pomiędzy aktywami wartośd wartośd Relacja jej charakter powinien byd zdefiniowany. K wartośd Charakter relacji jest podstawą do określania wpływu. Relacja powinna byd opisana wartością. Lokalizacje K Sprzęt K Wspierające W Podstawowe P Informacje Wartośd może byd wyrażona ilościowo lub jakościowo. Wartośd może byd wyrażona ilościowo lub jakościowo. Oprogramowanie K Personel Procesy Usługi K Struktura organizacyjna ABIWAY 19 /34

20 Agenda Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 20 /34

21 Model zależności pomiędzy elementami bezpieczeostwa Środowisko Z Z - zagrożenie P - podatnośd ZB - zabezpieczenie R - ryzyko RS - ryzyko Z Z Z Z Z ABIWAY 21 /34

22 Model zależności pomiędzy elementami bezpieczeostwa Zagrożenia wykorzystują Podatności chronią przed zwiększają zwiększają narażają Zabezpieczenia minimalizują Ryzyko Aktywa realizowane przez analiza wskazuje zwiększa posiadają Wymagania (w zakresie ochrony) Wartośd ABIWAY 22 /34

23 Scenariusz ryzyka wg Risk IT Typ zagrożenia: Złośliwe działanie Wypadek Błąd Awaria Siła natury Zewnętrzne wymagania Zdarzenie Ujawnienie tajemnicy Przerwa w działaniu Modyfikacja Kradzież Zniszczenie Złe zaprojektowanie Zasady i regulacje Niewłaściwe użycie Aktywa/zasoby Ludzie i organizacja Procesy Infrastruktura Infrastruktura IT Informacje Aplikacje Czynnik sprawczy: Wewnętrzny (pracownik, współpracownik) Zewnętrzny (partner biznesowy, konkurent) Scenariusz ryzyka Czas Okres trwania Czas wystąpienia Czas wykrycia ABIWAY 23 /34

24 Przykładowy scenariusz bezpieczeostwa IT Zalecany zestaw informacji składających się na scenariusz ryzyka w bezpieczeostwie IT: Incydenty Zabezpieczenia Audyt Mierniki efektywnośd zabezpieczeo Opis zagrożenia Opis podatności Wskazanie aktywu Scenariusz ryzyka Atrybut bezpieczeostwa który zostanie naruszony (poufnośd / integralnośd / dostępnośd) Wartośd aktywu Opis konsekwencji (szkody i straty biznesowe) Identyfikacja strat ABIWAY 24 /34

25 Agenda Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 25 /34

26 Ilościowy pomiar wartości ryzyka Ilościowa metoda pomiaru ryzyka obejmuje: Zinwentaryzowania aktywów Opracowanie listy zagrożeo dotyczący aktywów Budowę scenariuszy ryzyka Wyliczenia: SLE, ARO, ALE Aktywa Zagrożenie Wartośd aktywu ARO : Roczna częstotliwośd występowania ABIWAY 26 /34

27 Pojedyncza oczekiwana strata ang. Single Lose Expectancy SLE = AV($) x EF (%) SLE - Pojedyncza oczekiwana strata na skutek wystąpienia konkretnego, pojedynczego zdarzenia AV[PLN] wartość aktywu EF [%] - współczynnik narażenia liczony jako procent wartości aktywów. Typy strat do rozważenia: 1. fizyczne zniszczenia, 2. kradzież zasobów, 3. utrata danych, 4. kradzież informacji, 5. pośrednie kradzieże aktywów, 6. opóźnienia w procesach. ZAŁOŻENIA Jeżeli strata jest ograniczona do jednego typu, można określid wpływ na aktywa poprzez procentowe szacowanie utraty wartości zasobu. Jeżeli typ straty nie jest znany wartośd współczynnika narażenia EF równa się 100% ABIWAY 27 /34

28 Roczna częstotliwośd występowania ang. Annual Rate of Occurrance ARO Prawdopodobieostwo występowania niechcianych zdarzeo Liczba ekspozycji lub incydentów, których można się spodziewad w danym roku Wszystkie zidentyfikowane zagrożenia należy opisad współczynnikiem ARO Współczynnik wyrażany liczbą ekspozycji lub incydentów w danym roku, które prawdopodobnie wystąpią w danym roku Współczynnik trudny do oszacowania. Określa się go wykorzystując: I. analizę historyczną, II. analizę aktualnie prowadzonych zmian lub przyszłych zmian w środowisku. Współczynnik ten często jest szacowany jako pojedyncze wystąpienia zdarzenia na przestrzeni wielu lat, dając w wyniku wartośd ułamkową. Jeśli szacuje się wystąpienie zdarzenia raz na 50 lat, to nie oznacza, że wystąpi ono dopiero za 50 lat. Zdarzenie równie dobrze może wystąpid jutro. ABIWAY 28 /34

29 Roczna oczekiwana strat ang. Annual Lose Expectancy ALE Wyraża poziom ryzyka Współczynnik liczony dla pojedynczego ryzyka Przybliża roczny finansowy wpływ (stratę) wywołany danym ryzykiem ALE = SLE x ARO ABIWAY 29 /34

30 Ilościowy pomiar wartości ryzyka Przykład wykorzystania metody w oparciu o SLE, ARO, ALE Aktywa: OS systemu DBX-Ring Zagrożenie: Uszkodzenie OS w wyniku działania wirusa Wartośd aktywu: wartośd aktywów mierzona utratą przychodu z powodu braku dostępu do systemu centralnego DBXRing przez pracowników ARO : 1 wystąpienie zdarzenia w ciągu ostatnich 2 lat ARO = 0,5 ABIWAY 30 /34

31 Roczna oczekiwana strata SLE = (liczba pracowników) x (średni zysk na godzinę w przeliczeniu na pracownika) x (czas utraty dostępu) Liczba użytkowników = PLN/1h średni zysk z pracownika (użytkownika) na godzinę SLE = 200 x 50 x 3= = PLN Czas utraty dostępu 3 h ABIWAY 31 /34

32 Roczna oczekiwana strata Wyliczenie wartości rocznej oczekiwanej straty ALE = ARO x SLE = 0,5 x = PLN/rok Postępowanie z ryzykiem: minimalizacja ryzyka Koszt oprogramowania, które minimalizuje ryzyko wynosi PLN rocznie. Oznacza to, że organizacja inwestując PLN w oprogramowanie zaoszczędzi 5000 PLN rocznie. ABIWAY 32 /34

33 Biografia Temat: Wartośd aktywów w analizie ryzyka ciągłości działania usług IT ISO/IEC 27001:2005 ISO/IEC 27005:2008 ISO/IEC TR :1996 (ISC)2 CISSP CBK ISACA ABIWAY 33 /34

34 Dziękuję za uwagę Marek Abramczyk Dyrektor Zarządzający ABIWAY ABIWAY 34 /34

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Zdrowe podejście do informacji

Zdrowe podejście do informacji Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Imed El Fray Włodzimierz Chocianowicz

Imed El Fray Włodzimierz Chocianowicz Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia

Bardziej szczegółowo

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury 2Business Consulting Group Bezpieczeństwo informacji Systemy/Procedury Bezpieczeństwo informacji Potrzeba ochrony know how i kompetencji Proste Know How l Informacja łatwa do ochrony l Niewiele punktów

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

I. O P I S S Z K O L E N I A

I. O P I S S Z K O L E N I A Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka

Bardziej szczegółowo

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego Problem wdrażania IT w organizacji Wskaźnik powodzeń dużych

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r. Zarządzanie ryzykiem w ochronie informacji niejawnych KSIBIT Warszawa 22 lipca 2014 r. Agenda spotkania Zamiast wstępu Wymagania prawne Zalecenia uzupełniające Pojęcia i terminy Metodyka szacowania ryzyk

Bardziej szczegółowo

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11 Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces

Bardziej szczegółowo

Ochrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki

Ochrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki Artur Górecki Prezes Zarządu STANDARDER Sp. z o.o. wdrażanie procedur ochrony danych osobowych wdrażanie Tajemnicy Przedsiębiorstwa i ochrony

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

ZARZĄDZANIE RYZYKIEM CYBERNETYCZNYM NASZE ROZWIĄZANIA

ZARZĄDZANIE RYZYKIEM CYBERNETYCZNYM NASZE ROZWIĄZANIA ZARZĄDZANIE RYZYKIEM CYBERNETYCZNYM NASZE ROZWIĄZANIA ODPOWIEDZIALNOŚĆ PRAWNA WOBEC OSÓB TRZECICH ZA NARUSZENIE BEZPIECZEŃSTWA SIECI KOMPUTEROWEJ ODPOWIEDZIALNOŚĆ PRAWNA WOBEC OSÓB TRZECICH ZA UTRATĘ DANYCH

Bardziej szczegółowo

ISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

ISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved. ISO 9001 + 3 kroki w przód = ISO 27001 ISO Polska - Rzeszów 22 stycznia 2009r. O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie

Bardziej szczegółowo

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski : bezpieczeństwo IT w wybranych standardach niemieckich i francuskich Maciej Kaniewski 1/19 IT Baseline Protection Manual IT Grundschutz = zabezpieczenie podstawowe Opracowany przez Federalny Urząd ds.

Bardziej szczegółowo

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka zatwierdzona przez Zarząd dnia 14 czerwca 2010 roku zmieniona przez Zarząd dnia 28 października 2010r. (Uchwała nr 3/X/2010) Tekst jednolity

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1) Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Filozofia prezentacji wymagań i zabezpieczeń zgodnie z załącznikiem A Nagłówek rozdziały

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES PROTECT DNA OF YOUR BUSINESS BUSINESS CONTINUITY INCIDENT AND RISK MANAGEMENT REAL TIME ENTERPRISE III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES Warszawa 11.05.2011 Projekt współfinansowany przez

Bardziej szczegółowo

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

HARMONOGRAM SZKOLENIA

HARMONOGRAM SZKOLENIA Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Jak zbudować standard (bezpieczeństwa) doskonały?

Jak zbudować standard (bezpieczeństwa) doskonały? 1 Jak zbudować standard (bezpieczeństwa) doskonały? Konferencja IT Security Trends Kliknij, aby edytować styl wzorca 28 listopada Warszawa Plan wystąpienia 2 Standard bezpieczeństwa co to takiego? Dojrzałość

Bardziej szczegółowo

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski bezpieczeństwa informacji w jednostce Marcin Dublaszewski Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek? Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006 ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005

Bardziej szczegółowo

Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o.

Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o. Rola Zintegrowanego Zarządzania Ryzykiem w organizacji Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o. Agenda 1. Ryzyko

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością Ryzyko w działalności przedsiębiorstw przemysłowych Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością Plan Prezentacji Cel artykułu Dlaczego działalność przemysłowa wiąże się z ryzykiem?

Bardziej szczegółowo

System Kontroli Wewnętrznej w Banku BPH S.A.

System Kontroli Wewnętrznej w Banku BPH S.A. System Kontroli Wewnętrznej w Banku BPH S.A. Cel i elementy systemu kontroli wewnętrznej 1. System kontroli wewnętrznej umożliwia sprawowanie nadzoru nad działalnością Banku. System kontroli wewnętrznej

Bardziej szczegółowo

Audyt systemów informatycznych w świetle standardów ISACA

Audyt systemów informatycznych w świetle standardów ISACA Audyt systemów informatycznych w świetle standardów ISACA Radosław Kaczorek, CISSP, CISA, CIA Warszawa, 7 września 2010 r. 1 Zawartość prezentacji Wstęp Ryzyko i strategia postępowania z ryzykiem Mechanizmy

Bardziej szczegółowo

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r. Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r. w sprawie wprowadzenia i funkcjonowania w Uniwersytecie Kazimierza Wielkiego Systemu zarządzania ryzykiem

Bardziej szczegółowo

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

Egzamin ITIL Foundation

Egzamin ITIL Foundation Egzamin ITIL Foundation Przykładowy arkusz egzaminacyjny A, wersja 5.1 Test wielokrotnego wyboru (tylko jedna odpowiedź jest prawidłowa) Instrukcja 1. Należy udzielić odpowiedzi na wszystkie 40 pytań.

Bardziej szczegółowo

Graficzną prezentację danych dotyczących bezpieczeństwa. usługa system ludzie błąd zabezpieczeń. Sprawdzić Działać Planować Policzyć Wykonać Uzgodnić

Graficzną prezentację danych dotyczących bezpieczeństwa. usługa system ludzie błąd zabezpieczeń. Sprawdzić Działać Planować Policzyć Wykonać Uzgodnić PYTANIE ODP1 ODP2 ODP3 ODP4 ODP5 ODP6 1 2 Zarządzanie bezpieczeństwem wymaga jako minimum Wymagania dotyczące powinny być określone w oparciu o: Udziału akcjonariuszy Udziału klientów Udziału stron trzecich

Bardziej szczegółowo

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015

Szkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015 Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im

Bardziej szczegółowo

Magazyn części zamiennych Żerków Czerwiec 2011

Magazyn części zamiennych Żerków Czerwiec 2011 Magazyn części zamiennych Żerków Czerwiec 2011 Magazyn części zamiennych a koszt działalności Jedyny dobry powód utrzymywania zapasów to koszty mniejsze niż w przypadku braku zapasów Zapasy oznaczają zamrożoną

Bardziej szczegółowo

Szkolenie Zarządzanie Ryzykiem. Informator

Szkolenie Zarządzanie Ryzykiem. Informator UNIWERSYTET MARII CURIE-SKŁODOWSKIEJ W LUBLINIE Projekt Nowoczesny model zarządzania w UMCS umowa nr UDA-POKL.04.01.01-00-036/11-00 Pl. Marii Curie-Skłodowskiej 5, 20-031 Lublin, www.nowoczesny.umcs.lublin.pl

Bardziej szczegółowo

Outsourcing procesów. dr Arkadiusz Wargin CTPartners S.A. Analiza projektu B2B Kielce, 18 października 2012

Outsourcing procesów. dr Arkadiusz Wargin CTPartners S.A. Analiza projektu B2B Kielce, 18 października 2012 2012 Outsourcing procesów dr Arkadiusz Wargin CTPartners S.A. Analiza projektu B2B Kielce, 18 października 2012 Agenda Firma przez pryzmat architektury korporacyjnej Outsourcing główne etapy Etap przygotowania

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008 Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź z dnia 09.05. 2008 w sprawie : wprowadzenia procedury Identyfikacji zagrożeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Miasta Czeladź

Bardziej szczegółowo

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Dz.U. 2011.159.948 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Na podstawie art. 49 ust. 9 ustawy z dnia 5 sierpnia 2010

Bardziej szczegółowo

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Dziennik Ustaw Nr 159 9338 Poz. 948 948 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Na podstawie art. 49 ust. 9 ustawy

Bardziej szczegółowo

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka Kategoria : informacja jawna Bezpieczeństwo w Urzędzie Miasta Strona 1 Cele stosowania zabezpieczeń i zabezpieczenia A.5 Polityki A.5.1 Kierunki określane przez kierownictwo Cel: Zapewnienie przez kierownictwo

Bardziej szczegółowo

Bezpieczeńtwo informacji

Bezpieczeńtwo informacji Bezpieczeńtwo informacji Czy chronisz istotne aktywa twojej firmy? Normy dotyczące bezpieczeństwa informacji to nowoczesne standardy zachowania poufności, integralności i dostępności informacji. Bezpieczeńtwo

Bardziej szczegółowo

PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT WERSJA

PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU> Załącznik nr 4.4 do Umowy nr 35-ILGW-253-.../20.. z dnia... MINISTERSTWO FINANSÓW DEPARTAMENT INFORMATYKI PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT WERSJA numer wersji

Bardziej szczegółowo

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych

Bardziej szczegółowo

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski

Bardziej szczegółowo

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych

Bardziej szczegółowo

13. Zarządzanie incydentami w zakresie bezpieczeństwa informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości

13. Zarządzanie incydentami w zakresie bezpieczeństwa informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości Zarządzanie incydentami i ciągłością działania oraz zgodność wg z ISO/IEC 27001 i ISO/IEC 27002:2005 dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji

Bardziej szczegółowo

BANK SPÓŁDZIELCZY w Łosicach

BANK SPÓŁDZIELCZY w Łosicach Załącznik Nr 1 do Uchwały Zarządu nr 1/V/2013 z dnia 10.05.2013 r. BANK SPÓŁDZIELCZY w Łosicach I N F O R M A C J A w zakresie adekwatności kapitałowej na dzień 31.12.2012 (Filar III) Łosice, maj 2013

Bardziej szczegółowo

System zarządzania ryzykiem a system kontroli wewnętrznej

System zarządzania ryzykiem a system kontroli wewnętrznej System zarządzania ryzykiem a system kontroli wewnętrznej Warszawa 10 Marca 2016 Robert Pusz Dyrektor Działu Ryzyka i projektu Solvency II System zarządzania ryzykiem System zarządzania ryzykiem obejmuje

Bardziej szczegółowo

Plany zarządzania ryzykiem powodziowym

Plany zarządzania ryzykiem powodziowym Plany zarządzania ryzykiem powodziowym Dyrektywa Powodziowa 2007/60/WE Główne zadanie: minimalizowanie ryzyka i zarządzanie nim ochrona przed powodzią Zmiana w podejściu: zarządzanie ryzykiem powodziowym

Bardziej szczegółowo

Polityka zarządzania ryzykiem operacyjnym w Banku Spółdzielczym w Końskich

Polityka zarządzania ryzykiem operacyjnym w Banku Spółdzielczym w Końskich Załącznik nr 2 do Uchwały Zarządu Nr 14/IV/14 z dnia 20 lutego 2013 Załącznik do Uchwały Nr 8/I/14 Rady Nadzorczej z dnia 21 lutego 2014 Polityka zarządzania ryzykiem operacyjnym w Banku Spółdzielczym

Bardziej szczegółowo

www.ergohestia.pl Ryzyka cybernetyczne

www.ergohestia.pl Ryzyka cybernetyczne Ryzyka cybernetyczne W dobie technologicznego rozwoju i danych elektronicznych zabezpieczenie się przed szkodami cybernetycznymi staje się konieczne. Według ekspertów ryzyka cybernetyczne będą w najbliższych

Bardziej szczegółowo

Robert Meller, Nowoczesny audyt wewnętrzny

Robert Meller, Nowoczesny audyt wewnętrzny Robert Meller, Nowoczesny audyt wewnętrzny Spis treści: O autorze Przedmowa CZĘŚĆ I. PODSTAWY WSPÓŁCZESNEGO AUDYTU WEWNĘTRZNEGO Rozdział 1. Podstawy audytu 1.1. Historia i początki audytu 1.2. Struktura

Bardziej szczegółowo

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r.

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r. Zarządzanie ryzykiem teoria i praktyka Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r. Zarządzanie ryzykiem - agenda Zarządzanie ryzykiem - definicje Ryzyko - niepewne

Bardziej szczegółowo

ZARZĄDZENIE Dyrektora Samodzielnego Publicznego Zakładu Opieki Zdrowotnej im. dr Kazimierza Hołogi w Nowym Tomyślu nr 17 z dnia 23.10.2013 r.

ZARZĄDZENIE Dyrektora Samodzielnego Publicznego Zakładu Opieki Zdrowotnej im. dr Kazimierza Hołogi w Nowym Tomyślu nr 17 z dnia 23.10.2013 r. ZARZĄDZENIE Dyrektora Samodzielnego Publicznego Zakładu Opieki Zdrowotnej im. dr Kazimierza Hołogi w Nowym Tomyślu nr 17 z dnia 23.10.2013 r. w sprawie: wprowadzenia Procedury zarządzania ryzykiem w Samodzielnym

Bardziej szczegółowo

Znakowanie, zarządzanie i dystrybucja produktów w oparciu o standardy GS1

Znakowanie, zarządzanie i dystrybucja produktów w oparciu o standardy GS1 Znakowanie, zarządzanie i dystrybucja produktów w oparciu o standardy GS1 Szkolenia obejmuje przegląd najważniejszych i najczęściej stosowanych standardów GS1 wraz z praktycznymi informacjami na temat

Bardziej szczegółowo

Ocena ryzyka kontraktu. Krzysztof Piłat Krajowy Rejestr Długów Biuro Informacji Gospodarczej

Ocena ryzyka kontraktu. Krzysztof Piłat Krajowy Rejestr Długów Biuro Informacji Gospodarczej Ocena ryzyka kontraktu Krzysztof Piłat Krajowy Rejestr Długów Biuro Informacji Gospodarczej Plan prezentacji Główne rodzaje ryzyka w działalności handlowej i usługowej przedsiębiorstwa Wpływ udzielania

Bardziej szczegółowo

Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych

Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych Corporate governance wpływ na efektywność i minimalizację ryzyka procesów biznesowych Seminarium Podkomisji ds. Audytu i Kontroli Wewnętrznej Polskiej Izby Ubezpieczeń 21 maja 2015 Beata Szeląg Agenda

Bardziej szczegółowo

Zrozumieć zintegrowany rozwój filary zintegrowanego i zrównoważonego rozwoju miast

Zrozumieć zintegrowany rozwój filary zintegrowanego i zrównoważonego rozwoju miast Zrozumieć zintegrowany rozwój filary zintegrowanego i zrównoważonego rozwoju miast Integracja systemu zarzadzania rozwojem Integracja : Od wizji rozwoju, planów zagospodarowania, przez sredniookresowe

Bardziej szczegółowo

1. Zarządzanie bezpieczeństwem informacji wymaga jako minimum Udziału w nim wszystkich pracowników organizacji

1. Zarządzanie bezpieczeństwem informacji wymaga jako minimum Udziału w nim wszystkich pracowników organizacji 1. Zarządzanie bezpieczeństwem informacji wymaga jako minimum Udziału w nim wszystkich pracowników organizacji 2. Wymagania dotyczące bezpieczeństwa powinny być określone w oparciu - szacowanie ryzyka

Bardziej szczegółowo

POLITYKA INFORMACYJNA

POLITYKA INFORMACYJNA Załącznik do Uchwały nr 17/2013 Rady Nadzorczej Banku Spółdzielczego w Nieliszu z/s w Stawie Noakowskim z dnia 20.06.2013 r. I zmiana uchwała Rady Nadzorczej nr 27/2014 z dnia 30.12.2014r. Bank Spółdzielczy

Bardziej szczegółowo

Polityka Informacyjna Domu Inwestycyjnego Investors S.A. w zakresie adekwatności kapitałowej

Polityka Informacyjna Domu Inwestycyjnego Investors S.A. w zakresie adekwatności kapitałowej Polityka Informacyjna Domu Inwestycyjnego Investors S.A. w zakresie adekwatności kapitałowej Warszawa, dnia 21 grudnia 2011 roku 1 Data powstania: Data zatwierdzenia: Data wejścia w życie: Właściciel:

Bardziej szczegółowo

Informacja o strategii i celach zarządzania ryzykiem

Informacja o strategii i celach zarządzania ryzykiem Załącznik nr 1 Informacja o strategii i celach zarządzania ryzykiem 1) Strategia i procesy zarządzania rodzajami ryzyka. Podejmowanie ryzyka zmusza Bank do koncentrowania uwagi na powstających zagrożeniach,

Bardziej szczegółowo

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP. 2011 IMMUSEC Sp. z o.o.

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP. 2011 IMMUSEC Sp. z o.o. Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora Jakub Syta, CISA, CISSP Warszawa 28 luty 2011 1 Oberwanie chmury Jak wynika z badania Mimecast Cloud Adoption Survey, 74

Bardziej szczegółowo

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika

Bardziej szczegółowo

Zasady Polityki informacyjnej Mercedes-Benz Bank Polska S.A. Przyjęta na posiedzeniu Zarządu w dniu 17 czerwca 2015 roku załącznik do Uchwały 29/2015

Zasady Polityki informacyjnej Mercedes-Benz Bank Polska S.A. Przyjęta na posiedzeniu Zarządu w dniu 17 czerwca 2015 roku załącznik do Uchwały 29/2015 1/6 Spis treści A. Ustalenia ogólne... 1 B. Zakres ogłaszanych przez Bank informacji... 2 C. Zasady i terminy udzielania odpowiedzi udziałowcom oraz klientom... 5 D. Częstotliwość ogłaszania informacji...

Bardziej szczegółowo

Ustanawianie SZBI. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001

Ustanawianie SZBI. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001 Ustanawianie SZBI Decyzję o ustanowieniu SZBI podejmuje Kierownictwo Organizacji. W wyniku tej decyzji zostaje opracowany i przedstawiony do akceptacji Kierownictwa Program Implementacji SZBI, który powinien

Bardziej szczegółowo

ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r.

ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r. ZARZĄDZENIE nr 32/2015 r. Dyrektora Zespołu Szkół Ogólnokształcących nr 2 im. Króla Jana III Sobieskiego w Legionowie z dnia 23 kwietnia 2015 r. w sprawie wprowadzenia Polityki zarządzania ryzykiem Na

Bardziej szczegółowo

Kopia zapasowa i analiza zagrożeń

Kopia zapasowa i analiza zagrożeń Jarosław Kuchta Kopia zapasowa i analiza zagrożeń Instalacja kopii zapasowej w WS2008 Kopia zapasowa i analiza zagrożeń 2 Narzędzie zarządzania kopią zapasową Kopia zapasowa i analiza zagrożeń 3 Kopia

Bardziej szczegółowo

Etyczne działanie może zapewnić sukces na rynku!

Etyczne działanie może zapewnić sukces na rynku! Outsourcing zarządzania flotą poprzez oferowanie bezpiecznych rozwiązań Etyczne działanie może zapewnić sukces na rynku! Leo Walraven SCVP Audit (LeasePlan Corporation) 29 Listopad 2012 Wstęp Leo Walraven

Bardziej szczegółowo

UNIA EUROPEJSKA Europejski Fundusz Rozwoju Regionalnego

UNIA EUROPEJSKA Europejski Fundusz Rozwoju Regionalnego Podstawowa dokumentacja konkursowa Podstawowa dokumentacja konkursowa Regionalny Program Operacyjny Województwa Zachodniopomorskiego na lata 2007-2013 Szczegółowy opis priorytetów RPO WZ Przewodnik do

Bardziej szczegółowo

Kiedy audyt jest audytem a kiedy nie? PURECONFERENCES, WARSZAWA 9/10/2014

Kiedy audyt jest audytem a kiedy nie? PURECONFERENCES, WARSZAWA 9/10/2014 Kiedy audyt jest audytem a kiedy nie? PURECONFERENCES, WARSZAWA 9/10/2014 Audyt, ocena ryzyka, kontrola Kilka zdań o Instytucie Bezpieczeństwa i Informacji; Kilka zdań o prelegencie; Kilka zdań o wystąpieniu;

Bardziej szczegółowo