Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Save this PDF as:
 WORD  PNG  TXT  JPG

Wielkość: px
Rozpocząć pokaz od strony:

Download "Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw"

Transkrypt

1 Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11

2 Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces analizy i oceny ryzyka Ryzyko prawdopodobieństwo wystąpienia zagrożenia, które, wykorzystując podatność(ci) aktywu, może doprowadzić do jego uszkodzenia lub zniszczenia. Aktyw wszystko to, co ma wartość dla organizacji Elementy szacowania ryzyka Poniżej zaprezentowane są elementy składowe ryzyk, które są brane pod uwagę w procesie szacowania ryzyka. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwa łańcucha dostaw oraz stosowane zabezpieczenia. Wzajemne relacje pomiędzy poszczególnymi elementami obrazuje poniższy schemat: Rysunek 1. Struktura analizy ryzyka (opracowanie własne) Szacowanie ryzyka 2/11

3 Strona 3 z 11 Kroki szacowania ryzyka Krok 1 Identyfikacja aktywów Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata, naruszenie, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla zapewnienia ciągłości biznesu i jego bezpieczeństwa. Wyniki najlepiej wyrażać w konkretnych wartościach finansowych, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości względną ocenę istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest określenie znaczenia poszczególnych wystąpień. Tabela 1. Bardzo duża Znacząca Średnia Pomijalna Istotność aktywu utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie ciągłości procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie procesu biznesowego gdzie pozycja Bardzo duża oznacza najwyższą istotność, a Pomijalna najniższą istotność. Krok 2 Identyfikacja zagroŝeń Chcąc zabezpieczyć nasze aktywa, należy wiedzieć, przed czym chcemy je zabezpieczać, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie Szacowanie ryzyka 3/11

4 Strona 4 z 11 przede wszystkim rzeczywistych zagrożeń tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, kradzieże, napady, uszkodzenia, braki wymaganych dokumentów, ludzie i ich kompetencje, wiedza, umiejętności, błędy itp), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty - tam gdzie nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych), ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza o mniej istotne elementy może spowodować, że w momencie jej zakończenia już będzie nieaktualna. Krok 3 Określenie prawdopodobieństwa Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości. Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych wdrożeniach w firmach rynku MSP (małe i średnie przedsiębiorstwa), jest stosowanie skali nie większej niż 3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie: Tabela 2. Wysokie Średnie Pomijalne Prawdopodobieństwo wystąpienia zagrożenia występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością lub jest bardzo prawdopodobne wystąpiło w ostatnim roku lub zdarza się nieregularnie lub jest prawdopodobne nie wystąpiło ani razu w ciągu ostatniego roku lub jest nieprawdopodobne gdzie prawdopodobieństwo Wysokie oznacza najwyższe prawdopodobieństwo, a Pomijalne najniższe. Szacowanie ryzyka 4/11

5 Strona 5 z 11 Krok 4 Określenie podatności Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień wprost przeciwnie - jest podatny na spalenie. Konkretne urządzenie jest zagrożone wystąpieniem awarii, ponieważ pracuje 24 h na dobę (podatność ciągła praca) lub w trudnych warunkach (podatność trudne warunki pracy: zapylenie, inne). Po co określać podatności? Jeśli z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna burza to przy wskazanej podatności niedrożna kanalizacja deszczowa otrzymujemy wyraźną sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji. Krok 5 Określenie wpływu zagroŝenia a poziom zabezpieczeń Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na aktyw oraz określenie poziomu wdrożonych zabezpieczeń. Tabela 3. Krytyczny Średni Pomijalny Nie dotyczy Wpływ/skutek wystąpienia zagrożenia wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utrata wizerunku firmy, brak możliwości realizacji zadań wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny Wystąpienie zagrożenia nie ma wpływu na aktywo gdzie wpływ Krytyczny oznacza najwyższą wartość (największy wpływ), a Nie dotyczy najniższą wartość (najmniejszy wpływ); Szacowanie ryzyka 5/11

6 Strona 6 z 11 Tabela 4. Wysoki Średni Niski Nie dotyczy Poziom zabezpieczeń występujące zabezpieczenie chroni skutecznie przed wskazanymi zagrożeniami występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne. praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne Wystąpienie zagrożenia nie ma wpływu na aktywo gdzie poziom Wysoki oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a Nie dotyczy najniższą wartość (najniższy poziom zabezpieczeń); Krok 6 Określenie ryzyka szczątkowego Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów. W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania. Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność. Ryzyko aktywu jest obliczane wg następującego wzoru: gdzie: R a = Σ(W a x Pw z ) R a ryzyko aktywu W a wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności), rozumiany jako; W a =Σ p (W *W pd ) gdzie: Szacowanie ryzyka 6/11

7 Strona 7 z 11 Σ p suma wg podatności W - wpływ zagrożenia na biznes Pw z prawdopodobieństwo wystąpienia zagrożenia Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie wg nas zostały zapewnione dzięki wdrożonym zabezpieczeniom są to ryzyka szczątkowe. Ryzyko szczątkowe natomiast obliczane jest wg następującego wzoru: R sa = W sa x Pw z gdzie: R sa ryzyko szczątkowe W sa wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń); W a =Σ p (W/Z *W pd ); gdzie: Z poziom zabezpieczeń przed wpływem zagrożenia W efekcie uzyskujemy ryzyka szczątkowe aktywów, dla których kierownictwo organizacji określa i akceptuje poziom ryzyka akceptowalnego jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne. Szacowanie ryzyka 7/11

8 Strona 8 z Wynik szacowania ryzyka Ryzyka szczątkowe aktywów Ryzyko szczątkowe Poziom ryzyka akceptowalnego Aktyw 1 Aktyw 2 Aktyw 3 Aktyw 4 Aktyw 5 Aktyw 6 Aktyw 7 Aktyw 8 Aktywa Określenie poziomu ryzyka akceptowalnego w zasadzie kończy etap szacowania ryzyka, kolejnym krokiem jest przygotowanie planów, mających na celu obniżenie ryzyk szczątkowych aktywów, których ryzyko szczątkowe jest większe od ustalonej wartości ryzyka akceptowalnego. Zestawienie aktywów wg ryzyka (bez zabezpieczeń) wyznacza nam listę aktywów najbardziej ryzykownych dla organizacji tzw. stan 0. Na podstawie tej listy powinno się dobierać odpowiednie zabezpieczenia (uwzględniając istniejące), natomiast na podstawie ryzyk szczątkowych przygotować plan postępowania z ryzykiem. Sposób realizacji Żeby wyniki analizy ryzyka były kompletne i obejmowały wszystkie rozpatrywane zagadnienia w organizacji, powinny być przygotowywane przy współudziale osób reprezentujących wszystkie obszary funkcjonowania organizacji, będące w analizowanym zakresie, np: Zarządzanie firmą Spedycja Szacowanie ryzyka 8/11

9 Strona 9 z 11 Finansowo-Księgowy Zasoby ludzkie IT Ochrona fizyczna Administracja Dział Prawny itp. Osoby reprezentujące poszczególne obszary (właściciele aktywów) są odpowiedzialne za przygotowanie cząstkowym analiz ryzyka, obejmujących aktywa w swoim obszarze i przekazanie ich do wskazanej osoby, która po scaleniu uzyska wyniki analizy dla całej organizacji. Podsumowanie Podsumowując, zadaniem procesu szacowania ryzyk aktywów jest wskazanie aktywów najbardziej zagrożonych w firmie (miejsc o relatywnie wysokim prawdopodobieństwie zmaterializowania się zagrożenia), dzięki czemu wiemy, którymi aktywami należy się zająć w pierwszej kolejności i wdrożyć dla nich zabezpieczenia (fizyczne, techniczne lub organizacyjne). Wdrożenie zabezpieczeń może wiązać się z koniecznością przeznaczenia dodatkowych funduszy na ten cel. Wyniki szacowania są podstawą do uzasadnienia kierownictwu, dlaczego należy wydać pieniądze i dlaczego zabezpieczamy właśnie te, a nie inne aktywa. Poniższy schemat prezentuje całościowy proces zarządzania ryzykiem, gdzie identyfikacja aktywów i zmian, oraz szacowanie ryzyka są jego częścią. Szacowanie ryzyka 9/11

10 Strona 10 z Zarządzanie ryzykiem Po wprowadzeniu zabezpieczeń ponownie szacujemy ryzyko (aktualizacji podlega poziom zabezpieczeń) i ponownie otrzymujemy listę aktywów i ich ryzyk, które kierownictwo akceptuje, lub też nie akceptuje i należy określić kolejne zabezpieczenia. Jak często naleŝy przeprowadzać proces szacowania ryzyka? Dobre praktyki sugerują przeprowadzanie przeglądu zarządzania nie rzadziej niż raz w roku, a ponieważ wejściem na przegląd jest również raport z analizy ryzyka stąd w ten sposób określono niezbędną minimalną częstotliwość aktualizacji ryzyk. Z drugiej jednak strony norma wskazuje konieczność aktualizacji analizy po każdej zmianie, która może mieć wpływ na funkcjonujący system zarządzania. Wsparcie informatyczne Podczas przeprowadzania procesu szacowania ryzyka ułatwieniem jest wykorzystanie oprogramowania wspomagającego szacowanie ze względu na ilość danych, które należy wziąć pod uwagę. Przykładem takiego oprogramowania jest Certus Risk Analyzer firmy Centrum Doskonalenia Zarządzania Meritum, dostępny w wersji demo (tzn. bez możliwości zapisu wyników pracy) pod adresem którego zasady funkcjonowania są oparte o omawianą w tym opracowaniu metodykę. Szacowanie ryzyka 10/11

11 Strona 11 z 11 Literatura 1. PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji, PKN, PN ISO/IEC 17799:2005 Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, ISO 28000:2007 Specification for security management systems for the supply chain, ISO ISO/IEC TR część 1 do 4 Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, PKN, 5. The Security Risk Management Guide, Microsoft Corporation, Threat and Risk Assessment Working Guide, Government of Canada, Communications Security Establishment, 1999; Szacowanie ryzyka 11/11

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Reforma ochrony danych osobowych RODO/GDPR

Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach

Bardziej szczegółowo

Maciej Byczkowski ENSI 2017 ENSI 2017

Maciej Byczkowski ENSI 2017 ENSI 2017 Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji Kod szkolenia: Tytuł szkolenia: HL947S Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji Information Security Risk Management and Business Continuity Dni: 2 Opis:

Bardziej szczegółowo

I. O P I S S Z K O L E N I A

I. O P I S S Z K O L E N I A Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka

Bardziej szczegółowo

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r. Zarządzanie ryzykiem w ochronie informacji niejawnych KSIBIT Warszawa 22 lipca 2014 r. Agenda spotkania Zamiast wstępu Wymagania prawne Zalecenia uzupełniające Pojęcia i terminy Metodyka szacowania ryzyk

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA

Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA Szczecin 2013 1 Wprowadzenie W celu przeprowadzenia oceny ryzyka zawodowego

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeostwie IT

Zarządzanie ryzykiem w bezpieczeostwie IT Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005

Bardziej szczegółowo

Kompleksowe Przygotowanie do Egzaminu CISMP

Kompleksowe Przygotowanie do Egzaminu CISMP Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs

Bardziej szczegółowo

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu Załącznik nr do zarządzenia nr 156 Rektora UMK z 15 listopada 011r. Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu 1 1. Polityka zarządzania ryzykiem, zwana dalej Polityką,

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością Ryzyko w działalności przedsiębiorstw przemysłowych Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością Plan Prezentacji Cel artykułu Dlaczego działalność przemysłowa wiąże się z ryzykiem?

Bardziej szczegółowo

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury 2Business Consulting Group Bezpieczeństwo informacji Systemy/Procedury Bezpieczeństwo informacji Potrzeba ochrony know how i kompetencji Proste Know How l Informacja łatwa do ochrony l Niewiele punktów

Bardziej szczegółowo

Cel i zakres. Podstawowe pojęcia

Cel i zakres. Podstawowe pojęcia Cel i zakres Celem opracowania metodyki zarządzania ryzykiem w ramach Zintegrowanego Systemu Zarządzania (ZSZ) jest ustanowienie sposobu: - identyfikacji, - oceny - oraz postępowania z ryzykiem w procesach

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM

POLITYKA ZARZĄDZANIA RYZYKIEM POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1.1.Ilekroć w dokumencie jest mowa o: 1) ryzyku należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację

Bardziej szczegółowo

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r. Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r. w sprawie: Polityki Zarządzania Ryzykiem w Akademii Wychowania Fizycznego Józefa

Bardziej szczegółowo

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których

Bardziej szczegółowo

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1) Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Filozofia prezentacji wymagań i zabezpieczeń zgodnie z załącznikiem A Nagłówek rozdziały

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji Strona1 Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji Spis treści I Wstęp... 2 II. W jakim celu określa się wartośd aktywów?... 2 III. Wartościowanie aktywów... 3 IV. Powiązanie istotności

Bardziej szczegółowo

Bezpieczeństwo informacji. jak i co chronimy

Bezpieczeństwo informacji. jak i co chronimy Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC

Bardziej szczegółowo

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram

Bardziej szczegółowo

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji Narzędzie informatyczne i metodyka postępowania, z wzorcami i szablonami, opracowanymi na podstawie wiedzy, doświadczenia i dobrych

Bardziej szczegółowo

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami a zarządzanie ryzykiem Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu

Bardziej szczegółowo

BAKER TILLY POLAND CONSULTING

BAKER TILLY POLAND CONSULTING BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie

Bardziej szczegółowo

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem Na podstawie art. 66 ust. 2 ustawy z dnia 27 lipca 2005 r. - Prawo o szkolnictwie

Bardziej szczegółowo

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r. Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r. w sprawie wprowadzenia i funkcjonowania w Uniwersytecie Kazimierza Wielkiego Systemu zarządzania ryzykiem

Bardziej szczegółowo

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH Załącznik do zarządzenia Rektora UJK nr 69/2017 z dnia 30 czerwca 2017 r. P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH 1 Podstawowe definicje

Bardziej szczegółowo

PROCEDURY ZARZĄDZANIARYZYKIEM

PROCEDURY ZARZĄDZANIARYZYKIEM Załącznik do zarządzenia 366/AKW/2015 Prezydenta Miasta Kędzierzyn-Koźle z dnia 17 lipca 2015 r. w sprawie ustalenia i wprowadzenia obowiązku stosowania procedury zarządzania ryzykiem w Urzędzie Miasta

Bardziej szczegółowo

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje Załącznik do Zarządzenia nr 70/2015 Rektora UEP z dnia 27 listopada 2015 roku Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu 1 Definicje Określenia użyte w Polityce zarządzania

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia

Bardziej szczegółowo

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji

Bardziej szczegółowo

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4.

Bardziej szczegółowo

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Spis treści. Analiza Ryzyka Instrukcja Użytkowania Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia 20.06.2011 roku

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania w Lublinie z dnia 20.06.2011 roku Dom Pomocy Społecznej Betania Al. Kraśnicka 223, 20-718 Lublin tel./fax 081 526 49 29 NIP 712-19-36-365, REGON 000979981 Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z

Bardziej szczegółowo

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF 1 STRESZCZENIE Konspekt powstał na podstawie wykładu z przedmiotu

Bardziej szczegółowo

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska

Bardziej szczegółowo

ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem

ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW w sprawie zarządzanie ryzykiem Na podstawie art. 68 ust. 2 pkt 7 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. 2009 r. Nr 157,

Bardziej szczegółowo

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych

Bardziej szczegółowo

Imed El Fray Włodzimierz Chocianowicz

Imed El Fray Włodzimierz Chocianowicz Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE Załącznik Nr 2 do Zarządzenia Nr 15/2013/2014 Dyrektora Szkoły Podstawowej Nr 2 im. św. Wojciecha w Krakowie z dnia 21. stycznia 2014 r. POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW.

Bardziej szczegółowo

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej. Samoocena może dotyczyć zarówno procesów zachodzących w jednostce, jak i poszczególnych elementów systemu jakie uwzględnia kontrola zarządcza. W procesie samooceny biorą udział pracownicy jednostki bezpośrednio

Bardziej szczegółowo

Zdrowe podejście do informacji

Zdrowe podejście do informacji Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE Strona1 ZAŁĄCZNIK NR 2 do Zarządzenia Nr DOK.0151.2.7.2016 Dyrektora MGOKSIR z dnia 30.08.2016r. POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE zwana dalej:

Bardziej szczegółowo

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU P OLITECHNIK A W AR S Z AWSKA FILIA W PŁOCKU ul. Łukasiewicza 17, 09-400 Płock SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU Opracowano na podstawie załącznika do

Bardziej szczegółowo

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka w sprawie określenia zasad funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin - wydanie drugie Zasady funkcjonowania systemu kontroli zarządczej

Bardziej szczegółowo

mgr inż. Iwona Matysiak mgr inż. Roksana Banachowicz dr inż. Dorota Brzezińska

mgr inż. Iwona Matysiak mgr inż. Roksana Banachowicz dr inż. Dorota Brzezińska Analiza systemów zabezpieczeń przeciwpożarowych i przeciwwybuchowych podczas rozładunku, magazynowania oraz transportu wewnętrznego biomasy do Zielonego Bloku w Połańcu dr inż. Dorota Brzezińska mgr inż.

Bardziej szczegółowo

Załącznik nr 5 do Regulaminu kontroli zarządczej. Tytuł procedury: ZARZĄDZANIE RYZYKIEM SPIS TREŚCI

Załącznik nr 5 do Regulaminu kontroli zarządczej. Tytuł procedury: ZARZĄDZANIE RYZYKIEM SPIS TREŚCI Tytuł procedury: Odpowiada Ustawie o finansach publicznych Dz.U. 2009 nr 157 poz. 1240 oraz Komunikatowi nr 23 Ministra finansów z 16.12.2009 w sprawie standardów kontroli. Standard nr 7 Identyfikacja

Bardziej szczegółowo

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM

POLITYKA ZARZĄDZANIA RYZYKIEM Załącznik nr 1 do Zarządzenia nr 42/2010 Starosty Nowomiejskiego z dnia 10 grudnia 2010r. POLITYKA ZARZĄDZANIA RYZYKIEM 1 Niniejszym dokumentem ustala się zasady zarządzania ryzykiem, mające przyczynić

Bardziej szczegółowo

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

System Zachowania Ciągłości Funkcjonowania Grupy KDPW System Zachowania Ciągłości Funkcjonowania Grupy KDPW Dokument Główny Polityka SZCF (wyciąg) Warszawa, dnia 21 czerwca 2013 r. Spis treści 1. Wprowadzenie... 3 2. Założenia ogólne SZCF... 3 2.1. Przypadki

Bardziej szczegółowo

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów Prowadzący: Artur Cieślik MBA, IRCA lead auditor ISO/IEC 27001, redaktor naczelny IT Professional

Bardziej szczegółowo

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku w sprawie wprowadzenia procedury identyfikacji zagrożeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Gminy Mrozy Na podstawie

Bardziej szczegółowo

Kwestionariusz samooceny kontroli zarządczej

Kwestionariusz samooceny kontroli zarządczej Kwestionariusz samooceny kontroli zarządczej załącznik Nr 6 do Regulaminu kontroli zarządczej Numer pytania Tak/nie Odpowiedź Potrzebne dokumenty Środowisko wewnętrzne I Przestrzeganie wartości etycznych

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Procedura identyfikacja i ocena aspektów środowiskowych Operatora Gazociągów Przesyłowych GAZ-SYSTEM S.A. Instrukcja

Procedura identyfikacja i ocena aspektów środowiskowych Operatora Gazociągów Przesyłowych GAZ-SYSTEM S.A. Instrukcja Załącznik nr 4 - Instrukcja ocena aspektów środowiskowych Operatora Gazociągów Przesyłowych GAZ-SYSTEM S.A. Instrukcja ocena aspektów środowiskowych Operatora Gazociągów Przesyłowych GAZ-SYSTEM S.A. Wydanie

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa

Bardziej szczegółowo

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek Załącznik nr 3 do Zarządzenia Nr Or. 0152-38/10 Wójta Gminy Damasławek z dnia 31 grudnia 2010 r. Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek celem procedury jest zapewnienie mechanizmów

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r. Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r. Anna Jaskulska Kontrola zarządcza jest systemem, który ma sprawić, aby jednostka osiągnęła postawione przed nią cele w sposób

Bardziej szczegółowo

HARMONOGRAM SZKOLENIA

HARMONOGRAM SZKOLENIA Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001

Bardziej szczegółowo

Ocena Ryzyka Zawodowego AKTUALIZACJA OCENY RYZYKA ZAWODOWEGO NA STANOWISKACH PRACY W ZESPOLE SZKÓŁ SAMORZĄDOWYCH W PARADYŻU

Ocena Ryzyka Zawodowego AKTUALIZACJA OCENY RYZYKA ZAWODOWEGO NA STANOWISKACH PRACY W ZESPOLE SZKÓŁ SAMORZĄDOWYCH W PARADYŻU Strona: 1 AKTUALIZACJA OCENY RYZYKA ZAWODOWEGO NA STANOWISKACH PRACY W ZESPOLE SZKÓŁ SAMORZĄDOWYCH W PARADYŻU Zredagował: Specjalista ds. bhp Data: 2014.02.03, podpis Zatwierdził Dyrektor Data: 2014.02.03,

Bardziej szczegółowo

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku; Procedura zarządzania w Powiatowym Załącznik do Zarządzenia Nr PCPR.021.19.2015 Dyrektora Powiatowego Centrum Pomocy Rodzinie w Sępólnie Krajeńskim z siedzibą w Więcborku z dnia 28 grudnia 2015r. w sprawie

Bardziej szczegółowo

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego Problem wdrażania IT w organizacji Wskaźnik powodzeń dużych

Bardziej szczegółowo

Zarządzanie ryzykiem projektu

Zarządzanie ryzykiem projektu Zarządzanie ryzykiem projektu Zasada I jeśli coś w projekcie może pójść niezgodnie z planem, to należy oczekiwać, że sytuacja taka będzie miała miejsce. Ryzyko definicja - wszystko to co może pójść źle

Bardziej szczegółowo

REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM

REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM Załącznik do Zarządzenia Nr 11 / 2012 Wójta Gminy Ustronie Morskie z dnia 23 stycznia 2012 roku. REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM Na podstawie 39 regulaminu jednostki oraz działając w oparciu

Bardziej szczegółowo

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku Załącznik Nr 1 do Zarządzenia Nr A-0220-25/11 z dnia 20 czerwca 2011 r. zmieniony Zarządzeniem Nr A-0220-43/12 z dnia 12 października 2012 r. Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Bardziej szczegółowo

Zarządzenie nr 8/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 31 grudnia 2015 roku

Zarządzenie nr 8/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 31 grudnia 2015 roku Zarządzenie nr 8/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 31 grudnia 2015 roku w sprawie wprowadzenia Procedury zarządzania ryzykiem Na podstawie art. 68 ust. 2 pkt 7 i art. 69 ust. 1 pkt 3 ustawy

Bardziej szczegółowo

Zarządzanie ciągłością działania w praktyce zarządzanie kryzysowe w sektorze energetycznym

Zarządzanie ciągłością działania w praktyce zarządzanie kryzysowe w sektorze energetycznym Zarządzanie ciągłością działania w praktyce zarządzanie kryzysowe w sektorze energetycznym Agenda Wprowadzenie Wymagania prawne w sektorze energetycznym Definicje Zasady postępowania w sytuacji kryzysowej

Bardziej szczegółowo

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin zasad funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach

Bardziej szczegółowo

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Centrum Informatyzacji II Konferencja Zabezpieczenie danych osobowych Nowa rola ABI aspekty organizacyjne

Bardziej szczegółowo

ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO. z dnia 26 października 2016 r.

ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO. z dnia 26 października 2016 r. ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO z dnia 26 października 2016 r. w sprawie wprowadzenia Procedury zarządzania ryzykiem w Starostwie Powiatowym w Nowym Dworze Mazowieckim Na podstawie art.

Bardziej szczegółowo

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008 Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź z dnia 09.05. 2008 w sprawie : wprowadzenia procedury Identyfikacji zagrożeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Miasta Czeladź

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Wprowadzenie... 3 Charakterystyka grupy docelowej... 4 Podział grupy docelowej... 4. Podział grupy docelowej wg stanowisk pracy respondentów...

Wprowadzenie... 3 Charakterystyka grupy docelowej... 4 Podział grupy docelowej... 4. Podział grupy docelowej wg stanowisk pracy respondentów... Spis treści Wprowadzenie... 3 Charakterystyka grupy docelowej... 4 Podział grupy docelowej.... 4 Podział grupy docelowej wg stanowisk pracy respondentów.... 4 Wyniki badania... 6 Rozliczanie produkcji

Bardziej szczegółowo

TECHNICZNE ASPEKTY WYKONYWANIA INSPEKCJI NA PRZYKŁADZIE WOJEWÓDZKIEGO INSPEKTORATU OCHRONY ŚRODOWISKA W WARSZAWIE

TECHNICZNE ASPEKTY WYKONYWANIA INSPEKCJI NA PRZYKŁADZIE WOJEWÓDZKIEGO INSPEKTORATU OCHRONY ŚRODOWISKA W WARSZAWIE NA PRZYKŁADZIE WOJEWÓDZKIEGO INSPEKTORATU OCHRONY ŚRODOWISKA W WARSZAWIE Miłosz Jarzyński Naczelnik Wydziału Inspekcji WIOŚ w Warszawie Warszawa - czerwiec 2012 1 Podstawą działania Inspekcji Ochrony Środowiska

Bardziej szczegółowo

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie 1. Kontrola zarządcza w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie, zwanym dalej zespołem, to ogół działań podejmowanych

Bardziej szczegółowo

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym Załącznik Nr 1 do Zarządzenia Nr 13/12/2015 Dyrektora Zespołu Szkolno-Przedszkolnego w Halinowie z dnia 28 grudnia 2015r. Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym w Halinowie. Ilekroć

Bardziej szczegółowo

ZARZĄDZENIE NR 1/2016 WÓJTA GMINY CZERNIKOWO z dnia 4 stycznia 2016r.

ZARZĄDZENIE NR 1/2016 WÓJTA GMINY CZERNIKOWO z dnia 4 stycznia 2016r. ZARZĄDZENIE NR 1/2016 WÓJTA GMINY CZERNIKOWO z dnia 4 stycznia 2016r. w sprawie systemu kontroli zarządczej w Urzędzie Gminy w Czernikowie. Na podstawie art. 33 ust. 3 i 5 ustawy z dnia 8 marca 1990r.

Bardziej szczegółowo

ZASADY ZARZĄDZANIA RYZYKIEM. Rozdział I Postanowienia ogólne

ZASADY ZARZĄDZANIA RYZYKIEM. Rozdział I Postanowienia ogólne ZASADY ZARZĄDZANIA RYZYKIEM Rozdział I Postanowienia ogólne 1. Ustala się zasady zarządzania ryzykiem w Uniwersytecie Przyrodniczym we Wrocławiu, zwanym dalej Uczelnią. 1 2. Ustalone zasady mają przyczynić

Bardziej szczegółowo

Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o.

Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o. Rola Zintegrowanego Zarządzania Ryzykiem w organizacji Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o. Agenda 1. Ryzyko

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo