RODZINA NORM ISO SERII STAN OBECNY I PERSPEKTYWY
|
|
- Jadwiga Kania
- 8 lat temu
- Przeglądów:
Transkrypt
1 Studia i Materiały. Miscellanea Oeconomicae Rok 16, Nr 2/2012 Wydział Zarządzania i Administracji Uniwersytetu Jana Kochanowskiego w Kielcach Z a r ządzanie i f i n a n s e Jerzy Zamojski 1 RODZINA NORM ISO SERII STAN OBECNY I PERSPEKTYWY Krótka historia powstania i rozwoju rodziny norm ISO serii Pod koniec lat osiemdziesiątych dwudziestego wieku Royal Dutch/Shell Group wprowadziła u siebie pierwszą w historii politykę zarządzania bezpieczeństwem informacji. Na jej bazie w roku 1989 brytyjski rządowy Departament Przemysłu i Handlu DTI (ang. Department of Trade and Industry), a dokładniej jego Commercial Computer Security Centre (znane jako CCSC), stworzyło kodeks postępowania użytkowników w zakresie bezpieczeństwa informacji. Była to pierwsza publikacja adresowana do osób i firm spoza koncernu Shell. CCSC stworzyło także przy wsparciu brytyjskiego rządowego Communications Electronics Security Group (CESG) Zieloną księgę skłaniającą do opracowania brytyjskiego systemu oceny i certyfikacji produktów UK ITSEC (ang. IT Security Evaluation and Certification). Powstał on na przełomie 1991 i 1992 roku. W oparciu o dorobek DTI i przy jego współpracy Brytyjski Instytut Normalizacyjny (BSI) stworzył document nazwany: BSI Delivering Information Solutions to Customers Public Document 003, czyli w skrócie BSI-DISC PD003 DTI Code of Practice for Information Security Management (Kodeks działań w zakresie zarządzania bezpieczeństwem informacji). Profesor Edward Humphreys, z the UK National Computing Centre (NCC), wraz ze specjalistami do spraw zarządzania bezpieczeństwem informacji z Shell, BOC Group, British Telecom, Marks and Spencer, Midland Bank i Nationwide odegrali kluczową rolę w wydaniu tego dokumentu. Ich wysiłki były istotnie wspierane przez takie firmy jak BP, British Aerospace, British Steel, Bull, Cadbury Schweppes, Cameron 1 Dr Jerzy Zamojski, adiunkt, Uniwersytet Jana Kochanowskiego w Kielcach. 169
2 Markby Hewitt, Chelsea Building Society, Ciba Geigy, Digital Equipment Corporation, Reuters i TSB Bank. DTI przemianowane później na BERR (ang. Department for Business Enterprise and Regulatory Reform) nadal wspiera rozwój norm ISO serii Zaś struktura documentu PD003 legła u podstawy późniejszych norm BS 7799 i ISO/IEC W latach dziewięćdziesiątych Brytyjski Instytut Normalizacyjny nadal pracował nad zagadnieniem normalizacji w zakresie zarządzania bezpieczeństwem informacji (ang. ISMS Information Security Management Systems). Ich dziełem stały się dwie kluczowe normy. W roku 1995 opublikowana została norma BS 7799, którą w roku 1998 przemianowano na BS (part 1) Information Security Management Code of Practice for Information Security Management Systems. W tym bowiem roku opublikowana została jej druga część: BS Information Security Management Systems Specification with guidance for use. Normy te stały się podstawami dla pierwszych norm ISO/IEC dotyczących zarządzania bezpieczeństwem informacji. BS stało się w roku 2000 normą międzynarodową ISO/IEC 17799, zaś nieco zmieniona norma BS została przekształcona w ISO/IEC Szczególny rozwój normalizacji w tym zakresie rozpoczął się w roku 2007 i trwa do tej pory. W dalszej części przedstawię więc obecnie obowiązujące oraz planowane do wprowadzenia w nieodległej przyszłości normy ISO/IEC serii Linię czasu dla rozwoju norm ISO serii ilustruje rysunek 2. Rodzina norm ISO/IEC serii ISO/IEC 27000:2009 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Przegląd i terminologia. Określa podstawowe słownictwo, zasady i pojęcia dla norm ISO/IEC serii W istotny sposób porządkuje terminologię rozsianą do tej pory po szeregu innych norm. Jej polski odpowiednik PN ISO/IEC 27000:2012 został opublikowany w końcu sierpnia 2012 roku. Norma zawiera podstawowe informacje pozwalające zrozumieć oraz prawidłowo wdrożyć system zarządzania bezpieczeństwem informacji. W normie zaznaczono, że podejście procesowe do systemu prezentowane w rodzinie norm bazuje na wykorzystaniu koła Deminga (PDCA) 3. ISO/IEC 27001:2009 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania. Określa ramy systemu zarządzania bezpieczeństwem informacji poprzez zdefiniowanie podstawowych wymagań w zakresie: opracowania i realizacji polityki bezpieczeństwa informacji, prowadzenia przeglądów zarządzania i auditów wewnętrznych, identyfikacji i klasyfikacji informacji, 2 Opracowano w oparciu o oraz org/thepast.htm 3 oraz terminologia-systemow-zarzadzania-bezpieczenstwem-informacji-pn-isoiec
3 zarządzania ryzykiem, postępowania z incydentami, weryfikacji skuteczności stosowanych zabezpieczeń Deklaracja Stosowania, opracowania i testowania planów ciągłości działania 4. Terminologia Przegląd i terminologia Zapewnia podstawę, terminy i definicje możliwe do stosowania w rodzinie norm SZBI Wymagania ogólne Wymagania Wymagania dotyczące jednostek certyfikacyjnych Wytyczne ogólne Praktyczne zasady Wytyczne do wdrożenia Pomiary Zarządzanie ryzykiem Wytyczne do audytu Wytyczne specyficzne dla systemów Organizacje ochrony zdrowia Firmy telekomunikacyjne Rysunek 1. Wykaz norm z rodziny Systemu Zarządzania Bezpieczeństwem Informacji wraz z relacjami je łączącymi. Źródło: PN ISO/IEC 27000:2012 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Przegląd i terminologia. /2012/10/terminologia -systemow-zarzadzania-bezpieczenstwem-informacji-pn-isoiec
4 Późne lata 80te Royal Dutch/Shell Group wprowadza politykę zarządzania bezpieczeństwem informacji 1989 Kodeks postępowania wydany przez brytyjjski Departament Handlu i Przemysłu DTI 1993 BSI-DISC PD003 Kodeks Postępowania DTI 1995 Publikacja normy BS BS7799 staje się BS Publikacja BS Zmieniona BS BS staje się ISO/IEC BS staje się ISO/IEC Zmieniona ISO/IEC Zmiana nazwy ISO/IEC na ISO/IEC Publikacja ISO/IEC i ISO/IEC Publikacja ISO/IEC i ISO/IEC Publikacja norm ISO/IEC 27000, ISO/IEC i ISO/IEC Publikacja norm ISO/IEC i ISO/IEC Publikacja norm ISO/IEC 27007, ISO/IEC 27008, ISO/IEC 27031, ISO/IEC , ISO/IEC Zmieniona norma ISO/IEC Publikacja norm ISO/IEC 27010, ISO/IEC 27013, ISO/IEC 27032, ISO/IEC , ISO/IEC Rysunek 2. Linia czasu dla rodziny norm ISO serii Źródło: 172
5 ISO/IEC 27002:2005 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji. Wydanie w czerwcu 2005 jest tożsame z funkcjonującą ISO 17799: lipca 2007 ISO wydało erratę dotyczącą zmiany w treści całego dokumentu na Od stycznia 2007 dostępny jest również polski odpowiednik PN- ISO/IEC 17799: Trwają prace nad jej nowelizacją. Której publikacja oczekiwana jest w roku ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation guidance. Norma zawiera wytyczne do budowy systemów zarządzania bezpieczeństwem informacji pomocne przy wdrożeniu normy ISO/IEC Obejmuje szeroki zakres działań od planowania i definiowania systemu, poprzez analizę ryzyka i plan wdrożenia w życie wytycznych normy. Brak jest polskiego odpowiednika. ISO/IEC 27004:2009 Information technology Security techniques Information security management Measurement. Obejmuje pomiary zarządzania bezpieczeństwem informacji, ogólnie znane jako wskaźniki bezpieczeństwa. Celem normy jest pomóc organizacjom w systematycznym doskonaleniu ich systemów zarządzania bezpieczeństwem informacji. Brak jest polskiego odpowiednika tej normy. ISO/IEC 27005:2008 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji. Norma jest oparta na wydanej w roku 2006 normie brytyjskiej BS i obejmuje swym zakresem problemy związane z zarządzaniem ryzykiem. Jest ściśle powiązana z normami ISO/IEC i Polskim odpowiednikiem jest norma PN ISO/IEC 27005:2010. ISO/IEC 27006:2011 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems. Przedstawiono w niej wymagania i podano wytyczne dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji (SZBI) jako uzupełnienie wymagań zawartych w normach ISO/IEC i ISO/IEC W Polsce dostępna jest tylko starsza wersja tej normy (edycja z roku 2007) w postaci normy PN ISO/IEC 27006:2009. ISO/IEC 27007:2011 Information technology Security techniques Guidelines for information security management systems auditing. norma definiuje dobre praktyki dla przeprowadzania audytów wewnętrznych i certyfikacyjnych systemów zarządzania bezpieczeństwem informacji. Jest oparta na standardzie ISO 19011:2002, który poza audytami systemów środowiskowych i jakości, służył także do audytów SZBI. Norma ta jest ściśle powiązana z normami ISO/IEC i Brak jest polskiej wersji normy. ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security management systems controls
6 Stanowi uzupełnienie normy ISO/IEC 27007, jednak w przeciwieństwie do niej, koncentruje się na problemie kontroli systemu. Brak jest polskiej wersji normy. ISO/IEC 27010:2012 Information technology Security techniques Information security management for inter-sector and inter-organisational communications. Norma zawiera wytyczne dotyczące bezpieczeństwa informacji i komunikacji między współdziałającymi przemysłami w tych samych branżach, w różnych sektorach przemysłu i rządów, zarówno w czasach kryzysu i ochrony infrastruktury krytycznej jak i do wzajemnego uznawania w normalnych warunkach pracy do spełnienia wymagań prawnych, regulacyjnych i zobowiązań umownych. Brak jest polskiej wersji tej normy. ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC Normę tę stanowiącą przewodnik wdrożenia SZBI dla telekomunikacji, opracowały wspólnie ITU-T oraz ISO/IEC JTC1/SC27 i opublikowały zarówno jako ITU-T X.1051 jak i ISO/IEC Pierwotną normę opublikowaną po angielsku w roku 2004, a po hiszpańsku, francusku i rosyjsku w 2005, ITU-T zaproponowało wzbogacić o dwie nowe części: 1. Wytyczne zarządzania bezpieczeństwem stosowane dla małych i średnich organizacji telekomunikacyjnych [X.sgsm]: przewodnik do wdrożenia systemu zarządzania bezpieczeństwem informacji w oparciu o X.1051 (ISO/IEC 27011); 2. Zarządzanie aktywami Wytyczne [X.amg]: Przewodnik dobrych praktyk w zakresie zarządzania aktywami dla organizacji telekomunikacyjnych. ISO/IEC JTC1/SC27 dostosowała zaś normę do nowych wersji norm ISO/IEC i Tak poprawioną normę wydano ponownie w roku Brak jest polskiej wersji. ISO/IEC 27013:2012 Information technology Security techniques Guidance on the integrated implementation of ISO/IEC and ISO/IEC Ta norma została wydana w październiku 2012 roku. Ta najnowsza, na dziś dzień, norma koncentruje się na integracji norm ISO/IEC I ISO/IEC (specyfikacja zarządzania usługami IT). Zapewnia pomoc zarówno przy dostosowaniu do siebie obydwu systemów posiadanych przez firmę, jak i pomoc przy wdrożeniu drugiego systemu, gdy już jeden się posiada. Można także wdrażać oba jednocześnie od zera. Brak, rzecz jasna, polskiej wersji normy. ISO/IEC 27031:2011 Information technology Security techniques Guidelines for information and communications technology readiness for business continuity. Norma sugeruje strukturę lub ramy (metody i procesy) dla każdego typu organizacji - prywatnych, rządowych, jak i pozarządowych. Identyfikuje i specyfikuje wszystkie istotne aspekty, w tym kryteria, dostosowanie i szczegóły realizacji, w celu poprawy gotowości ICT 6 w ramach organizacji ISMS, przyczyniając się do zapewnienia ciągłości biznesowej. Zakres tej normy obejmuje wszystkie zdarzenia i incydenty (a nie tylko informacje związane z ochroną), które mogą mieć wpływ na infrastrukturę ICT oraz systemów. Dlatego rozszerza praktykę 6 ICT- teleinformatyka - akronim od angielskiego Information and Communication Technologies. 174
7 bezpieczeństwa przetwarzania informacji o incydentach i zarządzania nimi, w obszarze planowania gotowości i usług ICT. ISO/IEC 27032:2012 Information technology Security techniques Guidelines for cybersecurity. To nowa norma opublikowana w lipcu Oficjalnie, ISO/IEC dotyczy cyberbezpieczeństwa lub bezpieczeństwa cyberprzestrzeni, zdefiniowanego jako zachowanie poufności, integralności i dostępności informacji w cyberprzestrzeni. Z kolei cyberprzestrzeń jest zdefiniowana jako złożone środowisko wynikające z interakcji ludzi, oprogramowania i usług w Internecie, za pomocą urządzeń, technologii i sieci podłączonych do niego, które nie istnieją w formie fizycznej. Nieoficjalnie, norma ta dotyczy różnych aspektów bezpieczeństwa w Internecie. ISO/IEC Information technology Security techniques Network security (części 1-3 zostały już opublikowane, zaś części 4-6 są na etapie draftu) ISO/IEC jest wieloczęściową normą, która pochodzi od istniejącej pięcioczęściowej normy ISO/IEC Zostały one jednak w istotny sposób pozmieniane tak, aby pasowały do serii norm ISO Celem normy ISO/IEC jest dostarczenie szczegółowych wytycznych dotyczących aspektów bezpieczeństwa w zakresie zarządzania, funkcjonowania i korzystania z sieci informatycznych i ich wzajemnych połączeń. Te osoby w organizacji, które są odpowiedzialne za bezpieczeństwo informacji w ogóle, i bezpieczeństwo sieci, w szczególności, powinna być w stanie dostosować informacje zawarte w tym standardzie do ich specyficznych wymagań. 8 Norma ta zawiera szczegółowe wytyczne w sprawie realizacji kontroli bezpieczeństwa sieci, które zostały wprowadzone w normie ISO/IEC Ma ona zastosowanie w obszarach bezpieczeństwa urządzeń sieciowych i zarządzania ich bezpieczeństwem, aplikacji sieciowych oraz usług i użytkowników sieci. Skierowana jest do architektów i projektantów bezpieczeństwa sieci, a także menedżerów i urzędników. Liczba części normy może ulec zmianie. ISO/IEC :2009: network security overview and concepts. Zmieniła i zastąpiła normę ISO/IEC część 1. Stanowi plan działań i ogólny opis koncepcji i zasad leżących u podstaw pozostałych części normy ISO/IEC ISO/IEC :2012 Guidelines for the design and implementation of network security. Zmieniła i zastąpiła normę ISO/IEC część 2. Jej zakres to: planowanie, projektowanie, wdrażanie i dokumentowanie bezpieczeństwa sieci. Jej celem jest określenie, w jaki sposób organizacje powinny osiągnąć odpowiednią jakość architektury zabezpieczeń technicznych sieci, a także projektów i wdrożeń, które zapewnią bezpieczeństwo sieci odpowiednie dla ich środowisk biznesowych, 7 ISO/IEC 18028: Information technology - Security techniques - IT network security Pięcioczęsciowa norma (ISO/IEC do ) zawierająca ogólnie przyjęte wytyczne dotyczące aspektów bezpieczeństwa zarządzania, funkcjonowania i użytkowania sieci informatycznych. Norma rozszerza zakres wytycznych określonych w normie ISO/IEC i ISO/IEC koncentrując się w szczególności na zagrożeniach bezpieczeństwa sieci. (za 8 Cytat z normy ISO/IEC
8 stosując spójne podejście do planowania, projektowania i wdrażania bezpieczeństwa sieci, jako ich istotne wspomaganie przez zastosowanie modeli lub ram. ISO/IEC :2010 Reference networking scenarios threats, design techniques and control issues. Celem normy jest określenie szczególnych zagrożeń, technik projektowania i problemów związanych z kontrolą dla typowych struktur sieciowych. ISO/IEC : Securing communications between networks using security gateways (DRAFT). Ma być rewizją normy ISO/IEC część 3 i ewentualnie także normy ISO/IEC część 4. Zawiera przegląd bramek bezpieczeństwa poprzez opis różnych ich architektur. Jej celem ma być zapewnienie wskazówek, w jaki sposób zidentyfikować i przeanalizować zagrożenia dla bezpieczeństwa sieci związane z bramkami bezpieczeństwa, określenie wymagań bezpieczeństwa sieci za bramkami bezpieczeństwa na podstawie analizy zagrożeń. Ma służyć wprowadzeniu technik projektowania sieci zgodnego z architekturą techniczną zabezpieczeń w celu usunięcia zagrożeń i aspektów kontrolnych związane z typowymi scenariuszami sieciowymi. Ma wspierać rozwiązywanie problemów związanych z wdrażaniem, eksploatacją, monitorowaniem i przeglądem bezpieczeństwa sieci z bramkami bezpieczeństwa. ISO/IEC : Securing communications across networks using Virtual Private Networks (VPNs) (DRAFT). Ma zastąpić normę ISO/IEC część 5. Jej celem jest określenie szczególnych zagrożeń, technik projektowania i problemów kontroli zabezpieczania połączeń, które są ustalone z wykorzystaniem VPN 9. Dostarcza wytycznych dla zabezpieczenia zdalnego dostępu w sieciach publicznych. Ma pomóc administratorom sieci, którzy planują skorzystać z tego rodzaju połączenia, lub którzy już je używają i potrzebują porady, w jaki sposób go skonfigurować i obsługiwać bezpiecznie. ISO/IEC : Securing IP network access using wireless (DRAFT). Jej celem jest określenie szczególnych zagrożeń, technik projektowania i problemów kontroli zabezpieczania sieci bezprzewodowych i sieci radiowych. Norma ta jest planowana do wprowadzenia w roku ISO/IEC Information technology Security techniques Application security (część 1 już została opublikowana, a reszta jest planowana). Celem normy jest zapewnienie tego, że programy komputerowe przyniosą oczekiwany oraz niezbędny poziom bezpieczeństwa w celu wsparcia organizacji systemu zarządzania bezpieczeństwem informacji. Ta wieloczęściowa norma zawiera wytyczne dotyczące określenia, projektowania lub wyboru i przeprowadzania kontroli bezpieczeństwa informacji, poprzez zestaw procesów zintegrowanych w organizacji w ramach Cyklu Rozwoju Systemów Życia (SDLC). Jest zorientowana na proces. Obejmuje aplikacje opracowane wewnętrznie, przez dostawcę zewnętrznego, a także outsourcing lub offshoring 10, oraz rozwiązania hybrydowe. Dotyczy ono 9 VPN - Prywatne sieci wirtualne. 10 Offshoring przeniesienie wybranych procesów biznesowych przedsiębiorstwa poza granicę kraju przy zachowaniu tej samej grupy klientów. Dotyczy on procesów takich jak produkcja, usługi lub 176
9 wszystkich aspektów związanych z wyznaczaniem wymogów bezpieczeństwa informacji tak, aby chronić informacje dostępne przez aplikację, a także zapobiegać bezprawnemu użyciu aplikacji. ISO/IEC :2011 Information technology Security techniques Application security Overview and concepts. Jest częścią wprowadzającą dla pozostałych. Jej celem jest dostarczenie ogólnych wytycznych, które będą wspierane z kolei, poprzez bardziej szczegółowe metody i standardy w zakresie zarządzania bezpieczeństwem aplikacji. Stosuje podejście procesowe do określenia, projektowania, rozwoju, testowania, wdrożenia i utrzymania funkcji zabezpieczeń i kontroli w systemach aplikacyjnych. Na przykład definiuje bezpieczeństwo aplikacji nie jako stan zabezpieczenia w systemie aplikacji, ale jako proces, który organizacja może wykonywać w celu stosowania kontroli i pomiarów odnośnie do swoich wniosków, w obszarze zarządzania ryzykiem ich stosowania. ISO/IEC Organization normative framework (draft). Wyjaśnia relacje i współzależności pomiędzy procesami w normatywnych ramach organizacji. Publikacja planowana w roku 2015 ISO/IEC Application security management process (pre-draft). To norma planowana dopiero na rok 2017, więc bardzo mało jeszcze o niej wiadomo. ITGovernance podaj, że celem normy będzie zapewnienie bezpieczeństwa procesu w aplikacjach służących do zarządzania, opisując dany proces bezpieczeństwa informacji w projekcie rozwoju aplikacji, jego relacjach i zależnościach. 11 ISO/IEC Application security validation (pre-draft). To także norma planowana dopiero na rok ITGovernance podaje, że celem normy będzie walidacja i certyfikacja bezpieczeństwa aplikacji oraz proces oceny systemu aplikacji przez podanie jej wymogów bezpieczeństwa. ISO/IEC Protocols and application security control data structure (draft). Norma ta jest planowana na rok Część 5 definiuje kontrolę bezpieczeństwa aplikacji (ASC) struktury danych, zapewniając wymagania, opisy, reprezentacje graficzne oraz schematy XML dla modelu danych. Schemat XML, oparty jest na normie ISO/TS Celem tej części jest ułatwienie wdrażania normy ISO/IEC w ramach zabezpieczeń aplikacji i komunikacji oraz wymiany ASC, poprzez zdefiniowanie formalnej struktury ASC oraz niektórych innych składników ram. Umożliwi ona utworzenie bibliotek wielorazowych funkcji bezpieczeństwa aplikacji, które mogą być przekazywane zarówno wewnątrz jak i między organizacjami. ISO/IEC Security guidance for specific applications (draft). Ta norma również jest planowana na rok Norma będzie podawać przykłady kontroli bezpieczeństwa aplikacji (ASC) dostosowanych do specyficznych wymagań. ISO/IEC 27035:2011 Information technology Security techniques Information security incident management. Różne są powody niedoskonałości kontroli zamówienia, a jego celem jest obniżenie kosztów. Przeniesienie może nastąpić poprzez inwestycję lub zlecenie międzynarodowego podwykonawstwa
10 w obszarze incydentów. Ta norma ma temu zaradzić poprzez skutecznie powiązanie funkcji detektywistycznych i naprawczych kontroli, tak aby zminimalizować negatywne skutki, zebrać dowodów sądowe (jeśli dotyczy) i wyciągnąć wnioski w zakresie poprawy monitowania ISMS. Dotyczy zwłaszcza stosowania bardziej skutecznych kontroli prewencyjnych. Incydenty związane z bezpieczeństwem informacji powszechnie obejmują eksplorację poprzednio nieujętych lub niekontrolowanych luk, stąd zarządzanie luką (np. stosując odpowiednie poprawki zabezpieczeń do systemów informatycznych i rozwiązywania problemów w zakresie kontroli w ramach procedur) jest częścią działań zapobiegawczych, a także częścią działań naprawczych. Obecnie proces składa się z 5 kluczowych elementów: 1. Przygotowania się do radzenia sobie z incydentami np. poprzez przygotowanie polityki zarządzania incydentami i ustanowienie właściwego zespołu do radzenia sobie z incydentami; 2. Identyfikacji i zgłaszania incydentów bezpieczeństwa informacji; 3. Oceny incydentów i podejmowania decyzji o tym, jak mają one być procedowane np. załatać lukę i wrócić do pracy szybciej, lub zebrać dowody sądowe, nawet jeśli opóźni to uszczelnienie systemu; 4. Reagować na incydenty tj. zbierać je, badać i znajdować ich rozwiązania; 5. Wyciągnąć wnioski oznacza to więcej niż tylko określenie rzeczy, które można było zrobić lepiej. Ten etap obejmuje faktycznie dokonywanie zmian, które skutecznie poprawiają procesy. Planowanych jest kilka dodatkowych części tej normy. ISO/IEC 27037:2012 Information technology Security techniques Guidelines for identification, collection, acquisition, and preservation of digital evidence. Ta norma opublikowana została w październiku Zawiera wytyczne dotyczące identyfikacji, gromadzenia, obsługi i ochrony cyfrowych dowodów sądowych tj. danych cyfrowych, które mogą mieć wartość dowodową do wykorzystania w sądzie. To zbiór dobrych praktyk, zwłaszcza w zakresie zachowania integralności dowodów cyfrowych. Wprowadzenie tej normy ma istotne znaczenie dla współpracy międzynarodowej w zakresie przestępstw w cyberprzestrzeni. ISO 27799:2008 Informatyka w ochronie zdrowia Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC Ta norma została opublikowana przez Komitet Techniczny ISO TC 215 odpowiedzialny za informatykę w służbie zdrowia, a nie przez odpowiedzialny za wszystkie pozostałe normy z rodziny ISO serii połączony komitet techniczny ISO i IEC JTC1. Mimo to jest integralną częścią norm ISO serii Norma określa wytyczne służące potwierdzeniu, interpretacji i wdrożeniu normy ISO/IEC w obszarze informatyki w służbie zdrowia. Uzupełnia tę normę o szczegółowe wymagania dla informacji zdrowotnych. Prezentuje najlepsze praktyki w tym zakresie. Realizacja tej normy zapewni minimalny wymagany poziom zabezpieczenia, który jest odpowiedni dla tego typu organizacji. Odnosi się bowiem do informacji dotyczących zdrowia we wszystkich jego aspektach, bez względu na przyjętą formę informacji (słowa i liczby, nagrania dźwiękowe, rysunki, wideo i obrazów medycznych). Doty- 178
11 czy także wszystkich (nie tylko elektronicznych) form przechowywania i przesyłu informacji. Polski odpowiednik tej normy został wydany w roku Normy planowane ISO/IEC Information technology Security techniques Governance of information security. Norma ta ma rozszerzać problem zarządzania bezpieczeństwem informacji zwłaszcza w takich obszarach jak strategia, polityka i cele SZBI. Niewykluczone, że norma ta pojawi się jeszcze w roku ISO/IEC TR Information technology Security techniques Information security management guidelines for financial services. To zbiór wytycznych sektorowych dla różnych typów instytucji świadczących usługi finansowe. Ma im pomóc przy wdrażaniu normy ISO/IEC Być może norma ta pojawi się jeszcze w roku ISO/IEC TR IT Security Security techniques Information security management Organizational economics. Norma ta ma zmniejszyć problem związane z uzasadnianiem menedżerom wydatków związanych z bezpieczeństwem informacji. Celem jest prawidłowe oszacowanie koniecznych kosztów związanych ze stworzeniem i funkcjonowaniem systemu zarządzania bezpieczeństwem informacji. Publikacja normy jest planowana na koniec 2013 roku. ISO/IEC Information technology Security techniques Security in cloud computing. To norma obejmująca zagadnienia zarządzania bezpieczeństwem informacji w chmurze obliczeniowej (ang. Cloud computing). Ma być zgodna z planowaną niebawem normą ISO/IEC Projektanci uznali wymagania normy ISO/IEC za wystarczające i nie będzie nowych, specjalnych certyfikatów dla firm świadczących tego typu usługi. Ponieważ nowelizacja ISO/IEC planowana jest na rok 2013, to tej normy należy spodziewać się nieco później. ISO/IEC Information technology Security techniques Code of practice for data protection controls for public cloud computing services. Norma ta będzie stanowić wytyczne dotyczące elementów prywatności oraz aspektów publicznych chmur obliczeniowych. Towarzyszyć im będzie poprzez ISO/IEC obejmujące szersze aspekty bezpieczeństwa informacji. Norma nie jest przeznaczona do kopiowania lub modyfikowania ISO/IEC w odniesieniu do chmur obliczeniowych, ale przypuszczalnie doda nowe cele kontroli odnoszące się do ochrony prywatności i danych osobowych w chmurze. Publikacja zapewne po nowelizacji ISO/IEC ISO/IEC TR Information technology Security techniques Information security management guidelines based on ISO/IEC for process control systems specific to the energy industry. Ta norma ma pomóc branży energetycznej w interpretowaniu i stosowaniu ISO/IEC 27002, w celu zabezpieczenia ich elektronicznych systemów kontroli procesu. ISO/IEC IT Security Security techniques Information security for supplier relationships. Będzie to wieloczęściowa norma zawierająca wytyczne w zakresie oceny i ograniczania ryzyka bezpieczeństwa wynikającego z zamówień 179
12 i korzystania z informacji lub usług związanych z IT dostarczanym przez inne organizacje. Obejmować będzie: cele strategiczne, cele i potrzeby biznesowe w zakresie bezpieczeństwa informacji oraz zagrożenia bezpieczeństwa informacji i techniki ograniczania ryzyka. Norma wspierać ma także outsourcing usług IT. ISO/IEC : Overview and concepts. Zakres i cel części 1 to wprowadzenie do wszystkich części tej normy, oraz zapewnienie ogólnych informacji i kluczowych terminów oraz pojęć. ISO/IEC : Common requirements. Zakres i cel części 2 to określenie ogólnych wymagań bezpieczeństwa informacji koniecznych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i poprawy relacji z dostawcami, w ramach ogólnych zagrożeń biznesowych oraz z perspektywy zarówno nabywcy jak i dostawcy. Wymogi będą w niej służyć jako punkty odniesienia, z punktu widzenia bezpieczeństwa informacji, dla tworzenia i zarządzania indywidualnymi umowami odnoszącymi się do współpracy z dostawcami i mogą być różne dla różnych rodzajów outsourcingu. Zakres tej normy ma obejmować bowiem różne rodzaje outsourcingu, także z obszaru chmury obliczeniowej. ISO/IEC : Guidelines for ICT supply chain security. Zakres i cel części 3 obejmie aspekty zarządzania ryzykiem w całej ICT (technologie informacyjne i komunikacyjne) realizowane w ramach łańcuch dostaw i obejmie sprzęt, oprogramowanie i usługi z perspektywy dostawców i klientów. Obejmie ona globalnych i zróżnicowanych geograficznie dostawców poprzez integrację z systemem zarządzania ryzykiem i procesami cyklem życia oprogramowania, a wszystko w oparciu o normy ISO/IEC 15288, i ISO/IEC : Outsourcing (pre-draft). Ta norma odnosząca się do outsourcingu jest jeszcze na bardzo wczesnym etapie i nie jest znany jej dokładny zakres. ISO/IEC : Guidelines for security of cloud services (pre-draft). Ta norma także jest na bardzo wczesnym poziomie rozwoju. Chmura obliczeniowa może być postrzegana jako outsourcing przetwarzania informacji do zewnętrznych dostawców działających w owej chmurze. Zakres i cel części 5 zapewni wytyczne dla bezpieczeństwa informacji usług w chmurze obliczeniowej, w całym łańcuchu dostaw z perspektywy zarówno nabywcy jak i dostawcy takich usług. Tak więc wiąże się z zarządzaniem ryzykiem bezpieczeństwa informacji związanych z usługami w chmurze w całym cyklu życia. ISO/IEC Information technology Security techniques Specification for digital redaction. Dane cyfrowe są czasami ujawniane osobom trzecim, a nawet sporadycznie publikowane dla opinii publicznej, z powodów takich jak ujawnienie dokumentów urzędowych w ramach wolności dostępu do informacji ustawowych lub jako dowód w sporach handlowych. Jednak, w przypadku gdy zostanie to uznane za zasadne, aby nie ujawniać pewnych poufnych danych w plikach (np. takich jak imiona i nazwiska lub dane teleadresowe ludzi, którzy muszą pozostać anonimowi, różne inne informacje osobiste lub zastrzeżone) to dane takie muszą być bezpiecznie usunięte z plików przed ich wydaniem. Redakcja oznacza więc umowny termin dla procesu usuwania niektórych wrażliwych danych z oryginalnych plików. Ryzyko z tym związanie obejmuje podjęcie 180
13 złych decyzji odnośnie materiałów podlegających redakcji, niewłaściwego doboru technik i przeprowadzania procesu usuwania, a także doboru niewłaściwych osób do realizacji tego zadania. Norma ta ma pomóc takie błędy ograniczyć. ISO/IEC Information technology Security techniques Selection, deployment and operations of Intrusion Detection [and Prevention] Systems (IDPS). IDS (Intrusion Detection Systems) są w dużej mierze zautomatyzowanymi systemami identyfikacji ataku i włamania do sieci lub systemu dokonanego przez hakerów, a ich celem jest wszczęcie alarmu. IPS (Intrusion Prevention Systems) podejmują automatycznie dalsze kroki, w celu ochrony zaatakowanego systemu (np. poprzez odcięcie określonych portów sieciowych poprzez firewall by zablokować ruch hakera w sieci). IDPS odnosi się do obu rodzajów działań. Norma ma pomóc organizacjom we wdrożeniu tego typu systemów. W roku 2013 ma zmienić i zastąpić normę ISO/IEC 18043:2006. ISO/IEC Information technology Security techniques Storage security. Standard ma na celu zwrócenie uwagi na wspólne zagrożenia dla bezpieczeństwa informacji związane z ochroną poufności, integralności i dostępności informacji w obszarze technik ich przechowywania. Ma zachęcać firmy do wzmożenia kontroli bezpieczeństwa informacji w miejscach ich magazynowania. Dotyczy to także lokalnych kopii zapasowych czy odzyskiwania danych gromadzonych w chmurze obliczeniowej. Ważnym tematem tej normy jest niszczenie danych. ISO/IEC Information technology Security techniques Guidelines for the analysis and interpretation of digital evidence. Podstawowym celem informatyki śledczej opisanych w normach ISO/IEC 27037, 27041, i jest promowanie dobrych praktyk, metod i procesów śledztw kryminalnych Podstawowym celem tej normy jest zapewnienie dla kryminalistyki właściwych procesów związanych z dochodzeniami w oparciu o dowody cyfrowe. Wiarygodność, zaufanie i uczciwość to podstawowe wymagania dla wszystkich tych metod śledczych, natomiast norma ta promuje aspekty pewność badania cyfrowych dowodów, tak by proces ich analizy był niepodważalny. ISO/IEC Information technology Security techniques Guidelines for the analysis and interpretation of digital evidence. To kolejna norma przeznaczona dla celów śledczych. Będzie ustanawiać pewne podstawowe zasady, które mają zapewnić, to że narzędzia, techniki i metody mogą być odpowiednio dobrane i okazały się być adekwatne do celu w razie potrzeby. Ma też dostarczyć odpowiednich informacji decydentom odnośnie poprawności metod i środków zdobywania dowodów. ISO/IEC Information technology Security techniques Digital evidence investigation principles and processes. To zbiór dobrych praktyk do zastosowanie w kryminalistyce realizowanej w cyberprzestrzeni. Podsumowanie Rodzina norm ISO serii rozwija się bardzo dynamicznie, a w obszarze jej zainteresowań pojawiają się zarówno nowe aspekty techniczne jak np. chmury 181
14 obliczeniowe, jak i nowe szczegółowe wymagania dla określonych dziedzin wiedzy (np. służba zdrowia czy kryminalistyka). Obszar życia wirtualnego zarówno instytucji państwowych, firm i organizacji, jak i osób prywatnych staje się coraz większy. Rośnie też lawinowo problem zagrożeń z tym związanych. Wirtualny świat jest bowiem bardzo atrakcyjny dla wszystkich pragnących w niego wejść i wykorzystać go dla swych celów, ale ma też swą mroczną stronę obfitującą w liczne niebezpieczeństwa, z których często nie zdają sobie sprawy uczestnicy tego świata. Aspekt informacyjny norm z tego zakresu jest więc także nie do przecenienia. Bibliografia: 1. The ISO Directory zbiór informacji o systemach zarządzania bezpieczeństwem informacji informacje o normach opublikowanych przez Polski Komitet Normalizacyjny schemat rodziny norm ISO serii System Zarządzania Bezpieczeństwem Informacji historia ewolucji standardów Zakład Systemów Jakości i Zarządzania WAT oficjalna strona Międzynarodowej Organizacji Normalizacyjnej ISO. Abstrakt W artykule przedstawiono historię powstania i rozwoju rodziny norm ISO serii (Systemy Zarządzania Bezpieczeństwem Informacji). Publikacja zawiera pełen wykaz obowiązujących norm z tej rodziny (stan na listopad 2012), oraz możliwie pełny zbiór norm planowanych, wraz z zakładanymi terminami ich wprowadzenia. Każda z norm została w niej skrótowo opisana. Podane zostały polskie odpowiedniki norm ISO opublikowane przez PKN. The family of ISO series current situation and future prospects The article presents the story of the rise and development of the family of ISO series (Information Security Management System). The publication contains a complete list of the standards of this family (as of November 2012), as well as a full set of standards planned, together with the assumed dates of their introduction. Each of the standards has been briefly described. The Polish equivalents of ISO standards published by the Polish Committee For Standardisation (PKN) have also been provided. PhD Jerzy Zamojski, assistant professor, Jan Kochanowski University in Kielce. 182
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoWykorzystanie mechanizmów norm serii ISO 27000 do potwierdzania zgodności z wymogami ochrony danych osobowych
Wykorzystanie mechanizmów norm serii ISO 27000 do potwierdzania zgodności z wymogami ochrony danych osobowych Joanna Bańkowska Dyrektor Zarządzający BSI Jakość danych w systemach informacyjnych zakładów
Bardziej szczegółowoSystem zarządzania bezpieczeństwem łańcucha dostaw a system zarządzania jakością
Eliza Jarysz-Kamińska 1 System zarządzania bezpieczeństwem łańcucha dostaw a system zarządzania jakością Wstęp Norma ISO 28000:2007 posiada liczne podobieństwa do innych systemów zarządzania jak np.: Systemu
Bardziej szczegółowoCentrum zarządzania bezpieczeństwem i ciągłością działania organizacji
Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji Narzędzie informatyczne i metodyka postępowania, z wzorcami i szablonami, opracowanymi na podstawie wiedzy, doświadczenia i dobrych
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoPodstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych
Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoWYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE. t. 14, z. 4(37) 2016 ISSN s CYBERBEZPIECZEŃSTWA
Z E S Z Y T Y N A U K O W E WYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE t. 14, z. 4(37) 2016 ISSN 1641 9707 s. 83 97 Jerzy KRAWIEC 1 NORMALIZACYJNE ASPEKTY CYBERBEZPIECZEŃSTWA Model
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoZarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.
Zarządzanie bezpieczeństwem w Banku Spółdzielczym Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Definicja problemu Ważne standardy zewnętrzne Umiejscowienie standardów KNF i
Bardziej szczegółowoHistoria standardów zarządzania bezpieczeństwem informacji
Bezpieczeństwo informacji BIULETYN TEMATYCZNY Nr 1 / wrzesień 2005 Historia standardów zarządzania bezpieczeństwem informacji www.security.dga.pl Spis treści Wstęp 3 Co to jest system zarządzania bezpieczeństwem
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoBezpieczeństwo informacji. jak i co chronimy
Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC
Bardziej szczegółowoZarządzanie relacjami z dostawcami
Zarządzanie relacjami z dostawcami Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK). Certyfikowany audytor systemów
Bardziej szczegółowoSzkolenie na licencji Instytutu IAM
Szkolenie na licencji Instytutu IAM Szkolenia na licencji Instytutu IAM Szkolenie z jest niezbędnym krokiem w rozwoju zdolności przedsiębiorstwa do wypracowania najwyższej jakości wobec klientów i interesariuszy.
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoZintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego
Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,
Bardziej szczegółowoUsługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie
Usługowy model zarządzania w oparciu o ITIL v3 wprowadzenie do biblioteki ITIL na prostym przykładzie Plan prezentacji Krótka definicja ITIL i kilka pojęć Umowy i kontrakty SLA, OLA, UC Podstawowe publikacje
Bardziej szczegółowoDotyczy PN-EN ISO 14001:2005 Systemy zarządzania środowiskowego Wymagania i wytyczne stosowania
POPRAWKA do POLSKIEJ NORMY ICS 13.020.10 PN-EN ISO 14001:2005/AC listopad 2009 Wprowadza EN ISO 14001:2004/AC:2009, IDT ISO 14001:2004/AC1:2009, IDT Dotyczy PN-EN ISO 14001:2005 Systemy zarządzania środowiskowego
Bardziej szczegółowoSTANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013
Wersja Jednostka realizująca Typ Poziom Program Profil Blok Grupa Kod Semestr nominalny Język prowadzenia zajęć Liczba punktów ECTS Liczba godzin pracy studenta związanych z osiągnięciem efektów Liczba
Bardziej szczegółowoFormuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A.
Orange 23 lutego 2016 r. Warszawa Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A. Zbigniew Sujecki Administrator Bezpieczeństwa Informacji
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w urzędach pracy
Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,
Bardziej szczegółowoZakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 22, 2005 Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, 00 908 Warszawa STRESZCZENIE: Artykuł zawiera przegląd
Bardziej szczegółowoJak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia
Bardziej szczegółowoOchrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.
Ochrona zasobów Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe. Zagrożenia celowe Pasywne: monitorowanie, podgląd, Aktywne: powielanie programów,
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoMarcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).
GDPR/RODO w chmurze Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK). Certyfikowany audytor systemów informatycznych
Bardziej szczegółowoUstawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych.
Ustawa o krajowym systemie cyberbezpieczeństwa - ciągłość świadczenia usług kluczowych. r.pr. Paweł Gruszecki, Partner, Szef Praktyki Nowych Technologii i Telekomunikacji, Kochański Zięba & Partners Sp.
Bardziej szczegółowoStandardy typu best practice. Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl
Standardy typu best practice Artur Sierszeń asiersz@kis.p.lodz.pl http://bzyczek.kis.p.lodz.pl Standardy w audycie Do standardów opracowanych przez odpowiednie organizacje dotyczących audytu należą: ISO
Bardziej szczegółowoROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.
KOMISJA EUROPEJSKA Bruksela, dnia 30.1.2018 r. C(2018) 471 final ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia 30.1.2018 r. ustanawiające zasady stosowania dyrektywy Parlamentu Europejskiego i Rady (UE)
Bardziej szczegółowoNormy ISO serii 9000. www.greber.com.pl. Normy ISO serii 9000. Tomasz Greber (www.greber.com.pl) dr inż. Tomasz Greber. www.greber.com.
Normy ISO serii 9000 dr inż. Tomasz Greber www.greber.com.pl www.greber.com.pl 1 Droga do jakości ISO 9001 Organizacja tradycyjna TQM/PNJ KAIZEN Organizacja jakościowa SIX SIGMA Ewolucja systemów jakości
Bardziej szczegółowoZabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001
Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001 A.5.1.1 Polityki bezpieczeństwa informacji A.5.1.2 Przegląd polityk bezpieczeństwa informacji A.6.1.1 Role i zakresy odpowiedzialności w bezpieczeństwie
Bardziej szczegółowoDZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski
DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Strategia i Polityka Bezpieczeństwa Systemów Informatycznych Wykład Aleksander Poniewierski 1 Plan wykładu Informacja w firmie Bezpieczeństwo w firmie Zarządzanie
Bardziej szczegółowoISO 9001:2015 przegląd wymagań
ISO 9001:2015 przegląd wymagań dr Inż. Tomasz Greber (www.greber.com.pl) Normy systemowe - historia MIL-Q-9858 (1959 r.) ANSI-N 45-2 (1971 r.) BS 4891 (1972 r.) PN-N 18001 ISO 14001 BS 5750 (1979 r.) EN
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w organizacji
Mariusz Giemza 1 Zarządzanie bezpieczeństwem informacji w organizacji Wstęp Początek XXI wieku jest czasem wysokiego tempa rozwoju technik informatycznych, umożliwiających zgromadzenie w jednym fizycznym
Bardziej szczegółowoKOLEJ NA BIZNES 2017 KOLEJ NA BIZNES PRZEJŚCIE Z IRIS Rev.2.1 NA ISO/TS 22163:2017
KOLEJ NA BIZNES 2017 KOLEJ NA BIZNES 2017 PRZEJŚCIE Z IRIS Rev.2.1 NA ISO/TS 22163:2017 1 10 LAT IRIS PODSTAWOWE FAKTY Wydany w maju 2006 Opublikowano 3 wersje i sprzedano 7 300 podręczników Zakupiono
Bardziej szczegółowoLuki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej
Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej Michał Kurek, Partner KPMG, Cyber Security Forum Bezpieczeństwo Sieci Technologicznych Konstancin-Jeziorna, 21 listopada
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoZdrowe podejście do informacji
Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony
Bardziej szczegółowoProjekty BPM z perspektywy analityka biznesowego. Wrocław, 20 stycznia 2011
Projekty BPM z perspektywy analityka biznesowego Wrocław, 20 stycznia 2011 Agenda Definicja pojęć: Analiza biznesowa oraz analityk biznesowy Co kryje się za hasłem BPM? Organizacja zarządzana procesowo
Bardziej szczegółowoI. O P I S S Z K O L E N I A
Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoCharakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000
Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Normy ISO serii 9000 Zostały uznane za podstawę wyznaczania standardów zarządzania jakością Opublikowane po raz
Bardziej szczegółowoSzkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01
Szkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01 Program szkolenia: System Zarządzania Bezpieczeństwem Informacji (SZBI):
Bardziej szczegółowoT2A_W03 T2A_W07 K2INF_W04 Ma uporządkowaną, podbudowaną teoretycznie kluczową wiedzę w zakresie realizacji informacyjnych systemów rozproszonych
KIERUNKOWE EFEKTY KSZTAŁCENIA Wydział Informatyki i Zarządzania Kierunek studiów INFORMATYKA (INF) Stopień studiów - drugi Profil studiów - ogólnoakademicki Symbol EFEKTY KSZTAŁCENIA Odniesienie do efektów
Bardziej szczegółowoPodstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe
Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski
Bardziej szczegółowoSzacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów
Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów Prowadzący: Artur Cieślik MBA, IRCA lead auditor ISO/IEC 27001, redaktor naczelny IT Professional
Bardziej szczegółowoZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI
ZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI XVIII Forum Teleinformatyki mgr inż. Michał BIJATA, doktorant, Wydział Cybernetyki WAT Michal.Bijata@WAT.edu.pl, Michal@Bijata.com 28 września 2012 AGENDA Architektura
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoKLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami
SYSTEM ZARZĄDZANIA JAKOŚCIĄ ISO Jakość samą w sobie trudno jest zdefiniować, tak naprawdę pod tym pojęciem kryje się wszystko to co ma związek z pewnymi cechami - wyrobu lub usługi - mającymi wpływ na
Bardziej szczegółowoZarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak.
Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak. Książka stanowi szerokie kompendium wiedzy z zakresu systemów zarządzania. Stanowić ona może cenną pomoc
Bardziej szczegółowoepolska XX lat później Daniel Grabski Paweł Walczak
epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe
Bardziej szczegółowoINŻYNIERIA OPROGRAMOWANIA Jakość w projekcie informatycznym - normy
Wykład 5 (1) Jakość w projekcie informatycznym - normy ISO: Ogólne dot. jakości: ISO 8402 - terminologia ISO 9000 - wytyczne dotyczące wyboru modelu ISO 9001/3 - modele systemu jakości Dot. oprogramowania:
Bardziej szczegółowoNorma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez
KONCEPCJA SYSTEMU JAKOŚCI zgodnie z wymaganiami norm ISO serii 9000 dr Lesław Lisak Co to jest norma? Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez upoważnioną
Bardziej szczegółowoKSIĘGA JAKOŚCI 8. POMIARY, ANALIZA, DOSKONALENIE
1/5. 2/5..1. Postanowienia ogólne. Urząd Miejski planuje i wdraża działania dotyczące pomiarów i monitorowania kierując się potrzebami Klientów oraz zapewnieniem poprawnego działania Systemu Zarządzania
Bardziej szczegółowoOchrona biznesu w cyfrowej transformacji
www.pwc.pl/badaniebezpieczenstwa Ochrona biznesu w cyfrowej transformacji Prezentacja wyników 4. edycji badania Stan bezpieczeństwa informacji w Polsce 16 maja 2017 r. Stan cyberbezpieczeństwa w Polsce
Bardziej szczegółowoCSA STAR czy można ufać dostawcy
CSA STAR czy można ufać dostawcy Agenda CSA i OKTAWAVE Wprowadzenie do modelu cloud computing wg NIST Ryzyka, zagrożenia oraz aspekty prawne w modelu cloud computing. Program certyfikacyjny STAR (Security
Bardziej szczegółowoMatryca efektów kształcenia dla programu studiów podyplomowych ZARZĄDZANIE I SYSTEMY ZARZĄDZANIA JAKOŚCIĄ
Podstawy firmą Marketingowe aspekty jakością Podstawy prawa gospodarczego w SZJ Zarządzanie Jakością (TQM) Zarządzanie logistyczne w SZJ Wymagania norm ISO serii 9000 Dokumentacja w SZJ Metody i Techniki
Bardziej szczegółowoRozporządzenie Wykonawcze Komisji (UE) 2018/151
Cyberpolicy http://cyberpolicy.nask.pl/cp/ramy-prawne/dyrektywa-nis/96,rozporzadz enie-wykonawcze-komisji-ue-2018151.html 2019-01-16, 02:05 Rozporządzenie Wykonawcze Komisji (UE) 2018/151 30 stycznia 2018
Bardziej szczegółowoStandardy zarządzania jakością dla producentów żywności aktualne zagadnienia. dr inż. Ilona Błaszczyk Politechnika Łódzka
Standardy zarządzania jakością dla producentów żywności aktualne zagadnienia dr inż. Ilona Błaszczyk Politechnika Łódzka 1 Zagadnienia: - Nowelizacja normy ISO 9001 (DIS Stage) - Rewizja normy ISO 22000:2005
Bardziej szczegółowoSystem zarządzania innowacjami w normach ISO i CEN
System zarządzania innowacjami w normach ISO i CEN Anna Wyroba V-ce Prezes PCBC SA Praktycznie w każdej organizacji istnieją określone elementy systemu zarządzania innowacjami, przy czym im większa organizacja,
Bardziej szczegółowoOpis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.
Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A. I. Cele Systemu Kontroli Wewnętrznej 1. System Kontroli Wewnętrznej stanowi część systemu zarządzania funkcjonującego w
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku
Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach
Bardziej szczegółowoJak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?
Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole? Polski Komitet Normalizacyjny Dr Grażyna Ożarek I Specjalistyczna Konferencja Bezpieczeństwo Informacyjne w Szkole Warszawa, październik
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoNORMA ISO/IEC 20000 W ZARZĄDZANIU SERWISEM IT
Tomasz SOBESTIAŃCZYK ZESZYTY NAUKOWE WYDZIAŁU NAUK EKONOMICZNYCH NORMA ISO/IEC 20000 W ZARZĄDZANIU SERWISEM IT Zarys treści: Ta publikacja opisuje normę ISO/IEC 20000 jej zalety oraz słabości w zarządzaniu
Bardziej szczegółowoBezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
Bardziej szczegółowoINFORMACJA DLA UCZESTNIKÓW POSTĘPOWANIA
WZP.6151.25.2015 2015-05578 Warszawa, 2015-05-15 Do wszystkich Wykonawców uczestniczących w postępowaniu INFORMACJA DLA UCZESTNIKÓW POSTĘPOWANIA Dotyczy: postępowania o udzielenie zamówienia publicznego
Bardziej szczegółowoBezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?
Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych? Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Agenda Cloud Computing definicja Modele biznesowe Zagrożenia
Bardziej szczegółowoBS 25999: CIĄGŁOŚĆ DZIAŁANIA (BUSINESS CONTINUITY MANAGEMENT) CZY ZNÓW BSI WYTYCZA DROGĘ DLA ŚWIATA BIZNESU?
Studia i Materiały. Miscellanea Oeconomicae Rok 15, Nr 2/2011 Wydział Zarządzania i Administracji Uniwersytetu Jana Kochanowskiego w Kielcach L u d zi e, za r zą d za n i e, g o s p o d a r k a Jerzy Zamojski
Bardziej szczegółowoOchrona danych osobowych w praktyce
Ochrona danych osobowych w praktyce WSB Toruń - Studia podyplomowe Opis kierunku Studia podyplomowe Ochrona danych osobowych w praktyce w WSB w Toruniu W świetle najnowszych zmian ustawy o ochronie danych
Bardziej szczegółowoRozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP. 2011 IMMUSEC Sp. z o.o.
Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora Jakub Syta, CISA, CISSP Warszawa 28 luty 2011 1 Oberwanie chmury Jak wynika z badania Mimecast Cloud Adoption Survey, 74
Bardziej szczegółowoArchitektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011
Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów
Bardziej szczegółowoWykaz norm i innych dokumentów normalizacyjnych serii ISO i ich polskie odpowiedniki
Wykaz norm i innych dokumentów normalizacyjnych serii ISO 14000 i ich polskie odpowiedniki Norma/ dokument ISO* Tytuł ISO 14001:2015 Environmental management systems Requirements with guidance for use
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych
AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Bardziej szczegółowoNowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele
Nowa Strategia Cyberbezpieczeństwa RP na lata 2017-2022 główne założenia i cele Dariusz Deptała Serock, 29-31 maja 2017 r. Strategia Cyberbezpieczeństwa RP- Krajowe Ramy Polityki Cyberbezpieczeństwa Ustawa
Bardziej szczegółowoKto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?
Polsko-Amerykańskie Centrum Zarządzania Polish-American Management Center dr Joanna Kulesza Katedra prawa międzynarodowego i stosunków międzynarodowych WPiA UŁ Kto zapłaci za cyberbezpieczeństwo przedsiębiorstwa?
Bardziej szczegółowoTECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO
TECHNOLOGICZNY OKRĄGŁY STÓŁ EKF MAPA WYZWAŃ DLA SEKTORA BANKOWEGO 2019-2022 Technologiczny okrągły stół EKF jest inicjatywą zainaugurowaną podczas ubiegłorocznego Europejskiego Kongresu Finansowego, z
Bardziej szczegółowoISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006
ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005
Bardziej szczegółowoSzkolenie Wdrożenie Systemu Zarządzania Bezpieczeństwem Danych Osobowych ODO-02
Szkolenie Wdrożenie Systemu Zarządzania Bezpieczeństwem Danych Osobowych ODO-02 Program szkolenia: Wdrożenie Systemu Zarządzania Bezpieczeństwem Danych Osobowych Skuteczne wdrożenie Systemu Zarządzania
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.
Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem
Bardziej szczegółowoTHEME 4: ICT FOR INNOVATIVE GOVERNMENT AND PUBLIC SERVICES
Dzień informacyjny dla 5 konkursu (CIP-ICT PSP-2011-5) Warszawa, 10 lutego 2011 THEME 4: ICT FOR INNOVATIVE GOVERNMENT AND PUBLIC SERVICES TEMAT 4: ICT W innowacyjnej administracji i usługach ugach publicznych
Bardziej szczegółowoBudowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa
Bardziej szczegółowoPLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych
STRESZCZENIE PLAN DZIAŁANIA KT 182 Strona 1 PLAN DZIAŁANIA KT 182 ds. Ochrony Informacji w Systemach Teleinformatycznych 1 ŚRODOWISKO BIZNESOWE KT 1.1 Opis środowiska biznesowego Na działalność gospodarczą
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy
AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji
Bardziej szczegółowoPolskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny
Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoDokument obowiązkowy IAF
IAF MD 4:2008 International Accreditation Forum, Inc. Dokument obowiązkowy IAF Dokument obowiązkowy IAF dotyczący stosowania wspomaganych komputerowo technik auditowania ( CAAT ) w akredytowanej certyfikacji
Bardziej szczegółowo