Funkcjonowanie i doskonalenie systemów zarządzania bezpieczeństwem informacji w znowelizowanej normie ISO 27001
|
|
- Alina Drozd
- 7 lat temu
- Przeglądów:
Transkrypt
1 Sławomir Wawak 1 1 Uniwersytet Ekonomiczny w Krakowie Funkcjonowanie i doskonalenie systemów zarządzania bezpieczeństwem informacji w znowelizowanej normie ISO Operation and improvement of information security management systems in the revised ISO Słowa kluczowe (3-4): bezpieczeństwo informacji, ISO 27001, nowelizacja, ocena Key words (3-4): information security, ISO 27001, revision, evaluation Streszczenie Bezpieczeństwo informacji staje się coraz ważniejszym aspektem zarządzania organizacją. System zarządzania bezpieczeństwem informacji pozwala na efektywne podejście do tej kwestii. Pierwsza wersja normy ISO jest oceniana dobrze. Po ośmiu latach funkcjonowania konieczna stała się jednak jej aktualizacja. Nowelizacja wprowadza nowe wymagania, a także poprawia niedoskonałości pierwszej wersji. W artykule omówiono funkcjonowanie pierwszej wersji normy, zmiany wprowadzone przez nowelizację, a także wskazano na konieczne zmiany w przedsiębiorstwach aktualizujących certyfikat. Abstract Information security becomes increasingly important aspect of enterprise management. Information security management system enables top management to efficiently approach this issue. The first version of ISO is being highly evaluated. However, after eight years some updates were necessary. The 2013 revision introduces new requirements and improves the shortcomings of 2005 version. The article discusses effects of eight year of ISO availability, changes introduced by the revision, and points out the necessary changes in the enterprises updating their ISO certificates. Wprowadzenie Rosnące znaczenie bezpieczeństwa informacji skłania przedsiębiorstwa do poszukiwania sposobów zabezpieczenia danych własnych, jak i powierzonych przez klientów. Początkowe nastawienie na zabezpieczenia informatyczne i techniczne okazało się niewystarczające wobec stwierdzenia prób wykorzystania słabości organizacyjnych dla wyłudzenia informacji. Poszukiwania systemowego rozwiązania problemu doprowadziło do powstania zbiorów dobrych praktyk, a w dalszej kolejności standardów. Rozwój norm opisujących systemy zarządzania
2 stworzył dobrą bazę dla opisania wymagań stawianych systemom zarządzania bezpieczeństwem informacji. W 2014 roku ISO dokonało podsumowania efektów wdrażania wymagań normy ISO 27001:2005 w latach Jednocześnie w 2013 roku ukazała się nowelizacja tej normy. Stanowi to dobrą okazję dla oceny funkcjonowania dotychczasowego standardu, prezentacji nowych wymagań, a także wskazania obszarów zmian dla przedsiębiorstw, które wdrożyły poprzednią wersję. Zadania te stanowią jednocześnie cele niniejszego opracowania. Publikacja została sfinansowana ze środków przyznanych Wydziałowi Zarządzania Uniwersytetu Ekonomicznego w Krakowie, w ramach dotacji na utrzymanie potencjału badawczego. 1. Funkcjonowanie standardu ISO/IEC 27001:2005 Norma ISO/IEC 27001:2005 została opracowana na podstawie wcześniejszych doświadczeń związanych ze stosowaniem zabezpieczeń w przemyśle, których początkiem było opublikowanie w 1992 roku przez Departament Handlu i Przemysłu Wielkiej Brytanii A code of practice for Information Security Management. W trzy lata później dokument ten został zaktualizowany, rozszerzony i opublikowany jako brytyjska norma BS W 1999 roku opublikowano pierwszą nowelizację normy, a już rok później, korzystając z szybkiej ścieżki, wydano jako standard międzynarodowy ISO/IEC 17799:2000. Norma ISO/IEC prezentowała zabezpieczenia organizacji i systemów informatycznych pogrupowane w obszary zabezpieczeń; wskazywała także na możliwe sposoby ich wdrażania i monitorowania skuteczności. W roku 2002 BSI wydało drugi arkusz normy BS 7799, który dotyczył konstrukcji systemu zarządzania bezpieczeństwem informacji (SZBI). Rozszerzał zatem dotychczasowe unormowania o zasady budowania i wdrażania spójne z założeniami systemów zarządzania jakością oraz zarządzania środowiskowego (ISO/IEC 9001:2000 i ISO/IEC 14001:1999). Stał się on, wspomnianą wcześniej, normą międzynarodową ISO/IEC w 2005 roku. Natomiast norma ISO/IEC otrzymała nowy numer ISO/IEC Rodzina norm ISO początkowo składała się z dwu norm, aby w ciągu kilku następnych lat rozrosnąć się do kilkunastu. W latach opublikowano następujące normy tej rodziny: ISO/IEC 27000:2009 Technologia informacyjna, techniki bezpieczeństwa, przegląd i terminologia, ISO/IEC 27001:2005 Technologia informacyjna, techniki bezpieczeństwa, system zarządzania bezpieczeństwem informacji, wymagania, ISO/IEC 27002:2005 Technologia informacyjna, techniki bezpieczeństwa,
3 praktyczne zasady zarządzania bezpieczeństwem informacji, ISO/IEC 27003:2010 Technologia informacyjna, techniki bezpieczeństwa, wskazówki wdrażania systemów zarządzania bezpieczeństwem informacji (SZBI), ISO/IEC 27004:2009 Technologia informacyjna, techniki bezpieczeństwa, pomiary, ISO/IEC 27005:2008 Technologia informacyjna, techniki bezpieczeństwa, zarządzanie ryzykiem w bezpieczeństwie informacji, ISO/IEC 27006:2007 Technologia informacyjna, techniki bezpieczeństwa, wymagania dla instytucji audytujących i certyfikujących w zakresie systemów zarządzania bezpieczeństwem informacji. Ponadto po roku 2010 publikowano kolejne normy odnoszące się do specyfiki sektorów (np. telekomunikacji), komunikacji pomiędzy organizacjami, wybranych obszarów zabezpieczeń, wytycznych dla audytu, a także ekonomiki przedsiębiorstwa. W latach wydano łącznie certyfikaty ISO 27001, z czego ponad 35% w Europie (rys. 1). Największy sukces norma odniosła w Japonii, w której miało miejsce ponad 31% ogólnej liczby wdrożeń. W tym samym czasie certyfikowano ponad 232 tys. wdrożeń ISO 9001 i 173 tys. ISO świat Europa Polska Rys. 1. Liczba wydanych certyfikatów ISO Źródło: opracowanie na podstawie The ISO Survey 2014.
4 Procentowy przyrost w ujęciu rocznym jest znacznie wyższy w przypadku normy ISO (14%) niż w przypadku ISO 9001 (ok. 1%). Można zatem przyjąć, że popularność standardu rośnie. Wzrost ten jest jednak wolniejszy niż zakładano na początku. Norma nie stała się naturalnym rozszerzeniem ISO Jej zastosowanie ogranicza się do dużych i średnich instytucji, a także wybranych sektorów gospodarki. W Polsce do 2013 roku wydano 307 certyfikatów. Dynamika liczby certyfikatów jest w Polsce nieznacznie wyższa niż średnia europejska i światowa (rys. 2). Spowolnienie gospodarcze spowodowało, znaczne zmniejszenie liczby wydanych certyfikatów w Polsce w latach 2010 i Niebezpiecznie rośnie także liczba nieprzedłużonych certyfikatów. W 2011 r. sięgnęła ona 12% ogólnej liczby wdrożeń. Ze względu na opóźnienie w raportowaniu, nie opublikowano dotychczas danych za lata 2012 i Nie jest zatem jasne, czy rezygnacje wynikały ze spowolnienia gospodarczego czy też nieprzydatności standardu świat Europa Polska Rys. 2. Dynamika wdrażania ISO [2007 = 100] Źródło: opracowanie na podstawie The ISO Survey System zarządzania bezpieczeństwem informacji zyskał popularność przede wszystkim w sektorze IT, gdzie zanotowano 57% wdrożeń (rys. 3). W czołowej piątce znalazły się także sektory usług innych, budownictwa, transportu i ko-
5 munikacji oraz wyposażenia elektrycznego i oświetlenia. Łącznie mają one 78% udziału w ogólnej liczbie certyfikowanych systemów ISO Norma ISO/IEC 27001:2005 została opracowana na bazie struktury stosowanej w normach systemów zarządzania. Jednak ze względu na wyłączenie kluczowej jej części (listy zabezpieczeń) do załącznika, w treści wyraźna była asymetria bardzo rozbudowany rozdział 4 opisujący zasady wdrażania, eksploatacji i monitorowania systemu, a obok w szczątkowej formie rozdziały 5 8. Treść tych rozdziałów odpowiadała rozdziałowi 5 i 8 normy ISO Szczegółowe wymagania w zakresie wdrażania systemu ograniczały elastyczność stosowania standardu. Próby wdrożenia go przez Autora w instytucjach administracji samorządowej wykazały, że część zabezpieczeń nie ma tu zastosowania lub powinna być stosowana w ograniczonym zakresie. Pozostałe 22% Wyposażenie elektryczne i optyczne 3% Transport i komunikacja 4% Budownictwo 4% Technologie informacyjne 57% Usługi inne 10% Rys. 3. Sektory gospodarki najczęściej wdrażające ISO (świat) Źródło: opracowanie na podstawie The ISO Survey Ponadto brakowało wytycznych do wdrażania systemów zarządzania bezpieczeństwem informacji. Zostały one opublikowane dopiero w latach kolejnych. Część z nich występuje wyłącznie w języku angielskim. Braki dotyczyły również podejść do zarządzania ryzykiem. Nadmiernie szczegółowe podejście metod pre-
6 zentowanych w normie referencyjnej ISO powodowało, że niepotrzebnie komplikowano identyfikację czynników ryzyka. Przy tym brak wytycznych dla audytorów powodował, że kurczowo trzymali się oni zaleceń tej normy. Wprowadzenie wymagania zarządzania ryzykiem spowodowało w praktyce powielenie funkcji działań zapobiegawczych. Wprawdzie zachowanie tych działań utrzymywało formalną kompatybilność z innymi standardami, jednak w wielu organizacjach nie podejmowano ich lub jedynie symulowano ich stosowanie. W praktyce identyfikacja czynników ryzyka w pełni zastępowała potrzebę prowadzenia działań zapobiegawczych. Ogólna ocena normy ISO/IEC 27001:2005 jest pozytywna. Wprowadziła ona systemowe podejście do zarządzania bezpieczeństwem informacji. Dzięki temu przedsiębiorstwa mają możliwość szybkiego podniesienia poziomu bezpieczeństwa informacji. Jednocześnie należy zauważyć, że ta norma nie opisuje zaawansowanych technik. Ma ona raczej charakter podstawowy. 2. Zmiany wprowadzone przez nowelizację Zmiany wprowadzone przez nowelizację można zakwalifikować do trzech grup. Pierwszą grupę stanowią zmiany istotnie wpływające na ideę funkcjonowania systemu. Zaliczyć do nich można: wprowadzenie pojęcia kontekstu organizacji, wprowadzenie zainteresowanych stron w miejsce interesariuszy, doprecyzowanie wymagań dla kierownictwa, rozszerzenie wymagań w zakresie celów bezpieczeństwa informacji, położenie większego nacisku na skuteczność planów postępowania z czynnikami ryzyka, rozszerzenie postępowania z czynnikami ryzyka o szanse, rozszerzenie zakresu oceny systemu, wprowadzenie wymagań dotyczących komunikacji. Drugą grupę stanowią zmiany metod stosowanych w standardzie. Należą do niej: rezygnacja z działań zapobiegawczych, uelastycznienie podejścia do dokumentacji, uproszczenie podejścia do szacowania ryzyka. Ostatnią grupę stanowią drobne zmiany, których wpływ na funkcjonowanie systemu jest ograniczony: 1 ISO :2004 Technologia informacyjna, techniki bezpieczeństwa, zarządzanie bezpieczeństwem ICT, cześć 1: koncepcje i modele zarządzania bezpieczeństwem ICT, ISO, Geneva 2004
7 możliwość zastąpienia cyklu PDCA inną koncepcją doskonalenia, ściślejsze powiązanie zabezpieczeń z postępowaniem z czynnikami ryzyka, wprowadzenie pojęcia właściciela czynnika ryzyka zastępującego właściciela aktywów. W pierwszej wersji normy organizacja była zobowiązana do określenia zakresu systemu jedynie opierając się na specyfice działalności, lokalizacji, posiadanych aktywach i technologiach. Identyfikacja ograniczała się zatem do czynników wewnętrznych. Takie podejście mogło być niewystarczające w sytuacji, gdy na bezpieczeństwo informacji istotny wpływ ma otoczenie. Dlatego nowelizacja wprowadza wymaganie oceny zarówno wewnętrznych, jak i zewnętrznych czynników. W tym celu należy wykorzystać normę ISO 31000, która wymienia następujące czynniki [ISO 31000: , s. 15]: zewnętrzne: o społeczne i kulturowe, polityczne, prawne, regulacyjne, finansowe, ekonomiczne, ekologiczne, wynikające z funkcjonowania na konkurencyjnym rynku, na poziomie międzynarodowym, krajowym, regionalnym i lokalnym, o kluczowe czynniki i tendencje mające wpływ na cele organizacji, o relacje, postrzeganie oraz wartości zewnętrznych interesariuszy, wewnętrzne: o zarządzanie, struktura organizacyjna, role, odpowiedzialność, o polityki, cele, strategie, do których osiągnięcia organizacja dąży, o potencjał w zakresie zasobów i wiedzy, o relacje, postrzeganie i wartości wewnętrznych interesariuszy, o kulturę organizacyjną, o system informacyjny, przepływ informacji i procesy podejmowania decyzji, o standardy, wytyczne i modele wdrożone przez organizację, o forma i zakres umów. ISO/IEC 27001:2013 podchodzi do tej kwestii jeszcze szerzej i wymaga rozszerzenia pojęcia interesariuszy do zainteresowanych stron. To ich potrzeby i oczekiwania mają być zidentyfikowane i zrozumiane w ramach określania kontekstu organizacji. Dopiero na podstawie tych analiz możliwe jest ustalenie zakresu systemu zarządzania bezpieczeństwem informacji. Zmianie uległo podejście do roli najwyższego kierownictwa organizacji. Poprzednio ograniczało się ono do wykazania zaangażowania przez ustanowienie polityki, celów, określenie ról, itp. Nowelizacja podkreśla rolę przywództwa, któ-
8 rego miarą mają być wyniki osiągane przez organizację w zakresie realizacji polityk i celów. Należy zatem spodziewać się zmiany praktyki audytu prowadzonego przez firmy certyfikujące i położenie większego nacisku na uzyskiwane efekty podczas rozmów z zarządami organizacji. Nowelizacja zwiększa nacisk na realne funkcjonowanie, a nie tylko dokumentowanie istnienia systemu. Jednym ze środków służących temu jest wprowadzenie wymagania opracowania celów bezpieczeństwa informacji i planowanie ich osiągania. Oznacza to, że organizacje muszą planować i wdrażać zmiany w systemie. Nie jest jednak jasne w jaki sposób powinna postępować organizacja, która zrealizowała swoje cele, a ze względów ekonomicznych czy organizacyjnych nie ma zamiaru lub potrzeby dalej rozwijać systemu. Dotychczas cele były ustalane w polityce oraz dla poszczególnych zabezpieczeń. Miały one charakter statyczny. Znacznie większy nacisk został położony w nowelizacji na planowanie postępowania z czynnikami ryzyka. Obszar ten był dotychczas opisany tylko w kontekście identyfikacji czynników oraz zapewnienia ciągłości działania. Rozszerzone wymagania uwzględniają zarówno czynniki ryzyka, jak i szanse. Obowiązkiem organizacji jest wdrożenie procesu postępowania z czynnikami ryzyka i szansami, który będzie integralną częścią SZBI. Oceniając funkcjonowanie systemu organizacja powinna także oceniać skuteczność identyfikowania i eliminowania czynników ryzyka oraz wykorzystywania szans. Nowelizacja wprowadza także wymagania w zakresie komunikacji. Oczekuje się, że organizacja opracuje zasady lub plan komunikacji, który będzie uwzględniał rodzaje przekazywanych informacji, częstotliwość, adresatów, procesy oraz osoby odpowiedzialne. Nowelizacja wprowadza także szereg mniejszych zmian. Najbardziej widoczną jest rezygnacja z działań zapobiegawczych na rzecz zarządzania ryzykiem. Zmiana ta jest skutkiem powielania się zakresu obu podejść. Działania zapobiegawcze ze względu na nieokreślone źródło informacji o potencjalnych niezgodnościach powodowały problemy w praktycznym zastosowaniu. Metodologia zarządzania ryzykiem jest znacznie bardziej rozbudowana w zakresie identyfikacji czynników ryzyka, ich szacowania, a także podejmowania działań. Podobne zmiany wprowadzane są w pozostałych normach systemów zarządzania. Zrezygnowano z pojęć dokumentów i zapisów. W ich miejsce pojawia się wymóg dokumentowania informacji. To dużo elastyczniejsze podejście pozwala szerzej wykorzystać systemy informatyczne, które w wielu firmach były źródłem większości zapisów w systemie zarządzania bezpieczeństwem informacji. Jednocześnie obowiązek oceny potrzeby i sposobu dokumentowania został przerzucony na kierownictwo przedsiębiorstw. To zarządy będą musiały wykazać, że przyjęte
9 metody dokumentowania są właściwe, odpowiednie dla firmy, a także z punktu widzenia zainteresowanych stron. Wprowadzenie właściciela czynnika ryzyka w miejsce właściciela aktywów jest krokiem ku pełniejszemu zastosowaniu podejścia systemowego. Może także zachęcić do reorganizacji i optymalizacji struktury organizacyjnej. Rezygnacja z obowiązku identyfikowania zasobów, zagrożeń i podatności spowodowała, że dotychczas stosowane pojęcie właściciela aktywów nie miałoby zastosowania. Zmiany te są wynikiem rezygnacji z metodologii prezentowanej w ISO :2004 na rzecz nowocześniejszego podejścia obecnego w normie ISO 31000:2009. Podsumowując omawiane zmiany, warto zwrócić uwagę na zmodyfikowaną strukturę standardu (tabela 1). Rozdziały 4-10 zostały uszeregowane zgodnie z podejściem procesowym. Jednocześnie w tytułach rozdziałów podkreślono kluczowe zadania realizowane przez system zarządzania bezpieczeństwem informacji. Struktura jest spójna z nowymi założeniami dla norm systemów zarządzania, które znajdują odzwierciedlenie także w ISO 9001:2015. Tabela 1. Porównanie struktury omawianych norm ISO 27001:2005 ISO 27001: Wprowadzenie 0 Wprowadzenie 1 Zakres normy 1 Zakres normy 2 Powołania normatywne 2 Powołania normatywne 3 Terminy i definicje 3 Terminy i definicje 4 System zarządzania bezpieczeństwem informacji 5 Przywództwo 4 Kontekst organizacji 5 Odpowiedzialność kierownictwa 6 Planowanie 6 Wewnętrzne audyty SZBI 7 Wsparcie 7 Przeglądy SZBI realizowane przez kierownictwo 9 Ocena wyników 8 Działania operacyjne 8 Doskonalenie SZBI 10 Doskonalenie Źródło: opracowanie na podstawie norm PN-ISO/IEC 27001:2007 i PN-ISO/IEC 27001:2014. Znacznej zmianie uległa także struktura zabezpieczeń proponowanych przez załącznik A normy (tabela 2). Zwiększono liczbę grup zabezpieczeń, zmodyfikowano układ zabezpieczeń, zrezygnowano ze zbyt szczegółowych wymagań, które stanowiły przeszkodę we wdrażaniu systemu w niektórych organizacjach. Podobnie jak w poprzedniej wersji normy, wszystkie zabezpieczenia są szczegółowo omawiane w ISO/IEC 27002, która stanowi niezbędny przewodnik dla wdrażania systemu. Tabela 2. Porównanie struktury zabezpieczeń omawianych norm
10 ISO 27001:2005 ISO 27001:2013 A.5 Polityka bezpieczeństwa A.5 Polityki bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.7 Bezpieczeństwo zasobów ludzkich A.8 Bezpieczeństwo zasobów ludzkich A.8 Zarządzanie aktywami A.9 Bezpieczeństwo fizyczne i środowiskowe A.9 Kontrola dostępu A.10 Zarządzanie systemami i sieciami A.10 Kryptografia A.11 Kontrola dostępu A.11 Bezpieczeństwo fizyczne i środowiskowe A.12 Pozyskanie, rozwój i utrzymanie systemów informacyjnych A.13 Bezpieczeństwo komunikacji A.12 Bezpieczna eksploatacja A.13 Zarządzanie incydentami związanymi z A.14 Pozyskiwanie, rozwój i utrzymanie systemów bezpieczeństwem informacji A.14 Zarządzanie ciągłością działania A.15 Relacje z dostawcami A.15 Zgodność A.16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania A.18 Zgodność Źródło: opracowanie na podstawie norm PN-ISO/IEC 27001:2007 i PN-ISO/IEC 27001:2014. Głównym efektem wdrożenia wymienionych zmian powinno być porzucenie biurokratycznego podejścia do systemu na rzecz aktywnego jego kształtowania. Nowe wymagania wprowadzają możliwość rozliczania zarządu z efektów funkcjonowania systemu, wymuszają aktywne planowanie jego rozwoju, uwzględniają rolę kierownictwa w planowaniu (szczególnie w zakresie identyfikacji szans), a także zmuszają do oceny skuteczności całego systemu. Zmiany te są korzystne z punktu widzenia badaczy bezpieczeństwa informacji, ale jednocześnie znacząco podnoszą wymagania wobec przedsiębiorstw. Praktyczne efekty zmian ujawnią się, gdy utrze się praktyka audytowania. Dopiero bowiem wymagania firm certyfikujących mogą realnie wymusić wprowadzenie tych zmian. 3. Niezbędne zmiany w certyfikowanych przedsiębiorstwach Przedsiębiorstwa, które uzyskały certyfikat zgodności z ISO/IEC 27001:2005 muszą podjąć działania na rzecz spełnienia nowych wymagań. Mimo, że norma została opublikowana w 2013 r., w Polsce dotychczas niewiele organizacji zdecydowało się na zmiany. Wynikało to między innymi z braku polskiego tłumaczenia. To pojawiło się w grudniu 2014 r. Należy więc oczekiwać, że w 2015 roku znacząca liczba przedsiębiorstw będzie wprowadzać zmiany w swoich systemach. Do najpoważniejszych zmian stojących przed przedsiębiorstwami należy zaliczyć określenie kontekstu organizacji. Organizacje muszą jednoznacznie określić przyczyny stosowania standardu i korzyści, jakich oczekują. Powinny wska-
11 zać znaczenie bezpieczeństwa informacji oraz określić metody zwiększenia zaangażowania kierownictwa oraz poziomu motywacji załogi. Modyfikacja metodologii oceny ryzyka w kierunku stałego procesu służącego postępowaniu z czynnikami ryzyka zwiększy obciążenie stanowisk pracy związanych z zarządzaniem systemem. W dotychczasowym ujęciu szacowanie ryzyka było działaniem okazjonalnym. Teraz ma stać się jednym z kryteriów podejmowania decyzji o funkcjonowaniu firmy. Wprowadzenie nowego poziomu celów bezpieczeństwa informacji może się okazać początkowo trudne ze względu na brak planów doskonalenia systemu w wielu przedsiębiorstwach. Należy jednak zauważyć, że norma nie wymaga, aby każda komórka organizacyjna miała własne cele w tym zakresie. Można zatem przyjąć, że początkowo wystarczy określenie jednego lub kilku głównych kierunków zmian. Więcej pracy przysporzy także rozszerzenie obowiązków w zakresie monitorowania, pomiaru, analizy i oceny systemu. Konieczność oceny skuteczności zapobiegania czynnikom ryzyka oraz wykorzystywania szans będzie wymagała zwiększenia odpowiedzialności spoczywającej na właścicielach czynników ryzyka i osobach odpowiedzialnych za wykorzystanie szans. Pewnych trudności mogą przysporzyć także nowe wymagania związane z identyfikacją wszystkich zainteresowanych stron, integracją z procesami biznesowymi oraz komunikacją. Jednak w przypadku dobrze zarządzanych firmy, które jednocześnie posiadają certyfikat ISO/IEC 9001, może się okazać, że wymagania te są już spełnione. Ze względu na zmianę listy zabezpieczeń oraz zmianę zasad pomiaru ich skuteczności, znaczącej zmianie ulegną deklaracje stosowania zabezpieczeń. Ten podstawowy dokument SZBI będzie musiał zostać napisany w dużej mierze od nowa, co będzie działaniem pracochłonny. Dodatkowym utrudnieniem może być zmiana zakresu systemu spowodowana identyfikacją nowych zainteresowanych stron i rozszerzeniem kontekstu. Do małych i łatwych do wprowadzenia zmian zaliczyć należy: wprowadzenie udokumentowanej informacji w miejsce dokumentów i zapisów, modyfikację polityki bezpieczeństwa informacji, uproszczenia w prowadzeniu oceny ryzyka, zmiany w zakresach odpowiedzialności, zwiększenie roli najwyższego kierownictwa, działania w zakresie świadomości bezpieczeństwa informacji, zmiany w procesie audytu,
12 zmiany w procesie przeglądu zarządzania, zmiany w zakresie działań korygujących, rozszerzenie możliwości w zakresie doskonalenia systemu. Należy oczekiwać, że wymagania te są aktualnie w dużej mierze spełnione przez przedsiębiorstwa posiadające certyfikowany system ISO/IEC 27001:2005. Konieczne jest jedynie dostosowanie dokumentacji lub nieznaczne zmodyfikowanie procesów. Podsumowanie Decyzje zarządów przedsiębiorstw o wdrażaniu systemów zarządzania bezpieczeństwem informacji zgodnych z ISO/IEC dowodzą potrzeby istnienia tego standardu. Należy oczekiwać, że jego popularność będzie rosła w miarę wzrostu zrozumienia znaczenia bezpieczeństwa informacji w przedsiębiorstwach. Organizacje, które nie stosują podejścia systemowego w tym zakresie często popadają w skrajności, od polityki nie mam nic do ukrycia do paranoicznego ukrywania podstawowych informacji przed własnymi pracownikami. Standard wskazuje obszary wymagające troski, a jednocześnie umożliwia sprawne funkcjonowanie organizacji. Nowelizacja wprowadza nowe wymagania wymuszające aktywne budowanie systemu w miejsce podejścia biurokratycznego. Jednocześnie eliminuje niedoskonałości pierwszej wersji normy. Jej wprowadzenie należy ocenić pozytywnie. Jednak ostateczną ocenę należy odłożyć do czasu, gdy większa grupa przedsiębiorstw zaktualizuje swoje certyfikaty. Bibliografia [1] ISO 31000:2009, Risk Management, Principles and Guidelines, ISO, Geneva 2009 [2] PN-ISO/IEC 27001:2007, Technika informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Polski Komitet Normalizacyjny, Warszawa 2007 [3] PN-ISO/IEC 27001:2014, Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania, Polski Komitet Normalizacyjny, Warszawa 2014 [4] The ISO Survey of Management System Standard Certifications ( ), ISO, Geneva 2014 [5] Wawak S., Bezpieczeństwo informacyjne w kontekście relacji organizacji, w pr. zbior. pod red. J.S. Kardasa Budowanie relacji w zarządzaniu zasobami ludzkimi, Wydawnictwo Studio Emka, Warszawa 2009
13
WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoZmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka
Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoZmiany wymagań normy ISO 14001
Zmiany wymagań normy ISO 14001 Międzynarodowa Organizacja Normalizacyjna (ISO) opublikowała 15 listopada br. zweryfikowane i poprawione wersje norm ISO 14001 i ISO 14004. Od tego dnia są one wersjami obowiązującymi.
Bardziej szczegółowoKLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami
SYSTEM ZARZĄDZANIA JAKOŚCIĄ ISO Jakość samą w sobie trudno jest zdefiniować, tak naprawdę pod tym pojęciem kryje się wszystko to co ma związek z pewnymi cechami - wyrobu lub usługi - mającymi wpływ na
Bardziej szczegółowoCharakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000
Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000 Normy ISO serii 9000 Zostały uznane za podstawę wyznaczania standardów zarządzania jakością Opublikowane po raz
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoISO 9001:2015 przegląd wymagań
ISO 9001:2015 przegląd wymagań dr Inż. Tomasz Greber (www.greber.com.pl) Normy systemowe - historia MIL-Q-9858 (1959 r.) ANSI-N 45-2 (1971 r.) BS 4891 (1972 r.) PN-N 18001 ISO 14001 BS 5750 (1979 r.) EN
Bardziej szczegółowoRyzyko w świetle nowych norm ISO 9001:2015 i 14001:2015
Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015 Rafał Śmiłowski_04.2016 Harmonogram zmian 2 Najważniejsze zmiany oraz obszary Przywództwo Większy nacisk na top menedżerów do udziału w systemie
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa
Strona 1 1. Księga Środowiskowa Księga Środowiskowa to podstawowy dokument opisujący strukturę i funkcjonowanie wdrożonego w Urzędzie Systemu Zarządzania Środowiskowego zgodnego z wymaganiami normy PN-EN
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoPodstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe
Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski
Bardziej szczegółowoPierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO 50001 w Dzierżoniowie. Warszawa 8 maja 2013 r.
Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO 50001 w Dzierżoniowie Warszawa 8 maja 2013 r. Efektywne zarządzanie energią jest jednym z warunków krytycznych do osiągnięcia
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoNajważniejsze zmiany wprowadzone w normie ISO 9001: Wprowadzenie JAKOŚĆ, CERTYFIKACJA, NORMALIZACJA, ZARZĄDZANIE
Najważniejsze zmiany wprowadzone w normie ISO 9001:2015 mgr inż. Romana Zając Instytut Techniki Górniczej KOMAG Streszczenie: Najistotniejsza norma z obszaru systemu zarządzania jakością w 2015 roku została
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoSystemy zarządzania jakością
Systemy zarządzania jakością cechy, funkcje, etapy wdrażania systemu Prezentacja na spotkanie 3 System zarządzania jakością - czym jest a czym nie jest? System zarządzania jakością jest: zbiorem reguł,
Bardziej szczegółowoProces certyfikacji ISO 14001:2015
ISO 14001:2015 Informacje o systemie W chwili obecnej szeroko pojęta ochrona środowiska stanowi istotny czynnik rozwoju gospodarczego krajów europejskich. Coraz większa liczba przedsiębiorców obniża koszty
Bardziej szczegółowoSzkolenie pt. Wprowadzenie do nowelizacji normy ISO 9001:2015
Strona 1 Szkolenie pt. Wprowadzenie do nowelizacji normy ISO 9001:2015 Strona 2 1. Wprowadzenie Zgodnie z regulaminem Międzynarodowej Organizacji Normalizacyjnej (ISO) normy dla systemów zarządzania (MSS)
Bardziej szczegółowoKomunikat nr 115 z dnia 12.11.2012 r.
Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania
Bardziej szczegółowoNormy ISO serii 9000. www.greber.com.pl. Normy ISO serii 9000. Tomasz Greber (www.greber.com.pl) dr inż. Tomasz Greber. www.greber.com.
Normy ISO serii 9000 dr inż. Tomasz Greber www.greber.com.pl www.greber.com.pl 1 Droga do jakości ISO 9001 Organizacja tradycyjna TQM/PNJ KAIZEN Organizacja jakościowa SIX SIGMA Ewolucja systemów jakości
Bardziej szczegółowoZmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 2015-04-16
Zmiany w istniejących systemach zarządzania środowiskowego zbudowanych wg normy ISO 14001:2004, wynikające z nowego wydania ISO 14001 (wybrane przykłady) Grzegorz Ścibisz Warszawa, 16. kwietnia 2015 Niniejsza
Bardziej szczegółowoISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania
ISO 9000/9001 Jarosław Kuchta Jakość Oprogramowania Co to jest ISO International Organization for Standardization największa międzynarodowa organizacja opracowująca standardy 13700 standardów zrzesza narodowe
Bardziej szczegółowoNowa norma ISO 14001:2015. Poradnik w odcinkach Identyfikacja wymagań i ocena zgodności
Wprowadzenie Po kilku odcinkach poświęconych terminologii wracamy do zmienionych wymagań normy ISO 14001:2015. Tym razem omówimy kwestie związane z identyfikacją wymagań zewnętrznych dotyczących organizacji
Bardziej szczegółowoI. O P I S S Z K O L E N I A
Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka
Bardziej szczegółowoStandard ISO 9001:2015
Standard ISO 9001:2015 dr inż. Ilona Błaszczyk Politechnika Łódzka XXXIII Seminarium Naukowe Aktualne zagadnienia dotyczące jakości w przemyśle cukrowniczym Łódź 27-28.06.2017 1 Struktura normy ISO 9001:2015
Bardziej szczegółowoCo się zmieni w nowej wersji normy ISO 9001
TÜV Rheinland Polska Co się zmieni w nowej wersji normy ISO 9001 Podsumowanie zmian www.tuv.pl Aktualizacja normy ISO 9001:2015 Publikacja nowej wersji normy ISO 9001:2015 jest oczekiwana we wrześniu 2015
Bardziej szczegółowoSzkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015
Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im
Bardziej szczegółowoZarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji
Kod szkolenia: Tytuł szkolenia: HL947S Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji Information Security Risk Management and Business Continuity Dni: 2 Opis:
Bardziej szczegółowoISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoKOLEJ NA BIZNES 2017 KOLEJ NA BIZNES PRZEJŚCIE Z IRIS Rev.2.1 NA ISO/TS 22163:2017
KOLEJ NA BIZNES 2017 KOLEJ NA BIZNES 2017 PRZEJŚCIE Z IRIS Rev.2.1 NA ISO/TS 22163:2017 1 10 LAT IRIS PODSTAWOWE FAKTY Wydany w maju 2006 Opublikowano 3 wersje i sprzedano 7 300 podręczników Zakupiono
Bardziej szczegółowoJak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia
Bardziej szczegółowoISO 9001:2015 ORAZ ISO 14001:2015 REWIZJA NORM CZY JESTEŚ PRZYGOTOWANY?
ISO 9001:2015 ORAZ ISO 14001:2015 REWIZJA NORM CZY JESTEŚ PRZYGOTOWANY? JAKI JEST CEL REWIZJI 2015? W czasach nieustannych wyzwań natury gospodarczej, technologicznej i środowiskowej, firmy muszą stale
Bardziej szczegółowoBezpieczeństwo informacji. jak i co chronimy
Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC
Bardziej szczegółowoROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska
ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY dr inż. Zofia Pawłowska 1. Ład organizacyjny jako element społecznej odpowiedzialności 2. Podstawowe zadania kierownictwa w zakresie BHP wynikające
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoStandardy zarządzania jakością dla producentów żywności aktualne zagadnienia. dr inż. Ilona Błaszczyk Politechnika Łódzka
Standardy zarządzania jakością dla producentów żywności aktualne zagadnienia dr inż. Ilona Błaszczyk Politechnika Łódzka 1 Zagadnienia: - Nowelizacja normy ISO 9001 (DIS Stage) - Rewizja normy ISO 22000:2005
Bardziej szczegółowoISO 14000 w przedsiębiorstwie
ISO 14000 w przedsiębiorstwie Rodzina norm ISO 14000 TC 207 ZARZADZANIE ŚRODOWISKOWE SC1 System zarządzania środowiskowego SC2 Audity środowiskowe SC3 Ekoetykietowanie SC4 Ocena wyników ekologicznych SC5
Bardziej szczegółowoZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:
ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:2018-02 DR INŻ. AGNIESZKA WIŚNIEWSKA DOCTUS SZKOLENIA I DORADZTWO e-mail: biuro@doctus.edu.pl tel. +48 514
Bardziej szczegółowoSTANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013
Wersja Jednostka realizująca Typ Poziom Program Profil Blok Grupa Kod Semestr nominalny Język prowadzenia zajęć Liczba punktów ECTS Liczba godzin pracy studenta związanych z osiągnięciem efektów Liczba
Bardziej szczegółowoPRZEWODNIK PO NOWEJ NORMIE
Skuteczna strategia przejścia ISO 9001:2015 KIEROWNICTWO - OSOBY ODPOWIEDZIALNE ZA SYSTEM - AUDYTORZY 2 ISO 9001:2015 KIEROWNICTWO OSOBY ODPOWIEDIALNE ZA SYSTEM AUDYTORZY JAKIE SĄ NAJWAŻNIEJSZE ZMIANY
Bardziej szczegółowoINFORMACJE PODSTAWOWE
INFORMACJE PODSTAWOWE 15 września 2015 r. oficjalnie opublikowana została nowa norma ISO 14001, na mocy której wdrożono strukturę wysokiego poziomu HLS ( high level structure ). Struktura HLS ma na celu
Bardziej szczegółowoISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.
ISO 9001 + 3 kroki w przód = ISO 27001 ISO Polska - Rzeszów 22 stycznia 2009r. O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie
Bardziej szczegółowoZarządzanie bezpieczeństwem i higieną pracy wg. normy ISO 45001
SYMPOZJUM CCJ "DOSKONALENIE SYSTEMÓW ZARZĄDZANIA" Zarządzanie bezpieczeństwem i higieną pracy wg. normy ISO 45001 Andrzej DZIEWANOWSKI KOŚCIELISKO, 19-22 października 2015 r. 1 Układ prezentacji 1. BHP
Bardziej szczegółowoSPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY. Europejski program bezpieczeństwa lotniczego
KOMISJA EUROPEJSKA Bruksela, dnia 7.12.2015 r. COM(2015) 599 final SPRAWOZDANIE KOMISJI DLA PARLAMENTU EUROPEJSKIEGO I RADY Europejski program bezpieczeństwa lotniczego PL PL 1. KOMUNIKAT KOMISJI Z 2011
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoPEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I ŚRODOWISKOWEGO wg ISO 9001 oraz ISO 14001
INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I ŚRODOWISKOWEGO wg ISO 9001 oraz ISO 14001 S t r o n a 2 z 5 Serdecznie
Bardziej szczegółowoCzy certyfikacja systemów zarządzania może być. odpowiedzialności przedsiębiorstw? 2012-06-15. Certyfikacja systemów zarządzania a CSR
Czy certyfikacja systemów zarządzania może być Tytuł poświadczeniem prezentacji społecznej odpowiedzialności przedsiębiorstw? 1 2012-06-15 Certyfikacja systemów zarządzania a CSR Systemy zarządzania Systemy
Bardziej szczegółowoCEL SZKOLENIA: DO KOGO SKIEROWANE JEST SZKOLENIE:
Audytor Wewnętrzny systemu HACCP oraz standardów IFS w wersji 6 (International Food Standard version 6) i BRC w nowej wersji 7 (Global Standard for Food Safety issue 7) - AWIFSBRC CEL SZKOLENIA: zrozumienie
Bardziej szczegółowo14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy
14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy 14.1. Co to jest monitorowanie bezpieczeństwa i higieny pracy? Funkcjonowanie systemu zarządzania bezpieczeństwem i higieną
Bardziej szczegółowoMetodyka wdrożenia. System Jakości ISO 9001
Metodyka wdrożenia System Jakości ISO 9001 Metodyka wdrożenia Proponowana przez nas metodyka wdrażania systemu zarządzania jakością według normy ISO 9001 bazuje na naszych wieloletnich doświadczeniach
Bardziej szczegółowoBezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Bardziej szczegółowoBudowanie skutecznych systemów zarządzania opartych na normach ISO
UKatalog Szkoleń: Budowanie skutecznych systemów zarządzania opartych na normach ISO UBlok I Podejście procesowe: Zarządzanie procesowe (2 dni) Definicje procesu, zarządzanie procesami, podział i identyfikowanie
Bardziej szczegółowo5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy
5. Planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy 5.1. Jakie znaczenie ma planowanie działań w systemie zarządzania bezpieczeństwem i higieną pracy? Planowanie jest ważnym elementem
Bardziej szczegółowoINFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA ŚRODOWISKOWEGO wg PN-EN ISO 14001:2015
INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA ŚRODOWISKOWEGO wg PN-EN ISO 14001:2015 S t r o n a 2 z 5 Serdecznie zapraszamy Państwa na szkolenie
Bardziej szczegółowoEtapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008
1 2 Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008 Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008 3 Agenda 4 Jaki powinien być System Zarządzania wg norm serii
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoPraktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS 10500. Anti-bribery Management System. Joanna Bańkowska Dyrektor Zarządzający BSI
Praktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS 10500 Anti-bribery Management System Joanna Bańkowska Dyrektor Zarządzający BSI 12 luty 2014 Copyright 2012 BSI. All rights reserved.
Bardziej szczegółowoCentrum zarządzania bezpieczeństwem i ciągłością działania organizacji
Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji Narzędzie informatyczne i metodyka postępowania, z wzorcami i szablonami, opracowanymi na podstawie wiedzy, doświadczenia i dobrych
Bardziej szczegółowoSzkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01
Szkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01 Program szkolenia: Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania Audyt wewnętrzny to dziedzina wymagająca
Bardziej szczegółowoZakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 22, 2005 Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, 00 908 Warszawa STRESZCZENIE: Artykuł zawiera przegląd
Bardziej szczegółowoZINTEGROWANY SYSTEM ZARZĄDZANIA JAKOŚCIĄ
Janusz Bronisław Berdowski EUROPEJSKA UCZELNIA INFORMATYCZNO-EKONOMICZNA W WARSZAWIE ZINTEGROWANY SYSTEM ZARZĄDZANIA JAKOŚCIĄ Od jakości nie ma odwrotu, gdyż na rynku globalnym nie walczy się tylko ceną
Bardziej szczegółowo2.3 Jakie procesy zarządzanie bezpieczeństwem i higieną pracy można zidentyfikować i opisać w przedsiębiorstwie?
2.3 Jakie procesy zarządzanie bezpieczeństwem i higieną pracy można zidentyfikować i opisać w przedsiębiorstwie? Zastosowanie podejścia procesowego sprowadza się do trzech podstawowych etapów (Rys. 5),
Bardziej szczegółowoWprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt )
Ośrodek Kwalifikacji Jakości Wyrobów SIMPTEST Sp. z o.o. Sp. k. ul. Przemysłowa 34 A, 61-579 Poznań, tel. 61-833-68-78 biuro@simptest.poznan.pl www.simptest.poznan.pl 1 Seminarium nt. Zarządzanie ryzykiem
Bardziej szczegółowoKONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.
KONTROLA ZARZĄDCZA Podstawa prawna Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2013 r. poz. 885, ze zm.) Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny
Bardziej szczegółowoSzkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01
Szkolenie System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania normy ISO 27001:2013 aspekty związane z wdrażaniem SZBI W-01 Program szkolenia: System Zarządzania Bezpieczeństwem Informacji (SZBI):
Bardziej szczegółowoZintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego
Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,
Bardziej szczegółowoAudyt energetyczny jako wsparcie Systemów Zarządzania Energią (ISO 50001)
Audyt energetyczny jako wsparcie Systemów Zarządzania Energią (ISO 50001) ROMAN KOŁODZIEJ IV Konferencja Naukowo-Techniczna,,Utrzymanie ruchu w przemyśle spożywczym Szczyrk, 26 kwietnia 2012 r. 1 PLAN
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoSYSTEMY ZARZĄDZANIA ŚRODOWISKOWEGO
Auditor wewnętrzny Systemu Zarządzania Środowiskowego 26 27.11.2012 Szczecin SYSTEMY ZARZĄDZANIA ŚRODOWISKOWEGO 1 Co to jest System Zarządzania Środowiskowego (SZŚ)? 2 Zarządzanie: - sposób realizacji
Bardziej szczegółowoPoznań 23 listopada 2016 r. A u t o r : dr inż. Ludwik Królas
Ośrodek Kwalifikacji Jakości Wyrobów SIMPTEST Sp. z o.o. Sp. k. ul. Przemysłowa 34 A, 61-579 Poznań, tel. 61-833-68-78 biuro@simptest.poznan.pl www.simptest.poznan.pl 1 Seminarium nt. Zarządzanie ryzykiem
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoZarządzanie bezpieczeństwem i higieną pracy
Ewa Górska Zarządzanie bezpieczeństwem i higieną pracy EWOLUCJA POGLĄDÓW NA ZAGADNIENIA BEZPIECZEŃSTWA PRACY Hand from root of finger to fingertip Hand frim wist to fingertip Arm from elbow to fingertip
Bardziej szczegółowo1
Wprowadzenie 0.1 Postanowienia ogólne Wprowadzenie 0.1 Postanowienia ogólne Wprowadzenie 0.1 Postanowienia ogólne 0.2 Podejście procesowe 0.2 Zasady zarządzania jakością 0.2 Zasady zarządzania jakością
Bardziej szczegółowoBAKER TILLY POLAND CONSULTING
BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie
Bardziej szczegółowoPLAN DZIAŁANIA KT 270. ds. Zarządzania Środowiskowego
Strona 2 PLAN DZIAŁANIA KT 270 ds. Zarządzania Środowiskowego STRESZCZENIE Komitet Techniczny ds. Zarządzania Środowiskowego został powołany 27.02.1997 r. w ramach Polskiego Komitetu Normalizacyjnego.
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoINFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA JAKOŚCIĄ wg ISO 9001:2015
INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA JAKOŚCIĄ wg ISO 9001:2015 S t r o n a 2 z 5 Serdecznie zapraszamy Państwa na szkolenie Pełnomocnik
Bardziej szczegółowoKontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów
Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów Monika Kos, radca ministra Departament Polityki Wydatkowej Warszawa, 13 stycznia 2015 r. Program prezentacji
Bardziej szczegółowoPRZEWODNIK PO NOWEJ NORMIE
Skuteczna strategia przejścia ISO 14001:2015 ŚCISŁE KIEROWNICTWO SPECJALIŚCI DO SPRAW ŚRODOWISKOWYCH - AUDYTORZY 2 JAKI JEST CEL REWIZJI 2015? Głównym celem rewizji jest udostępnienie zbioru uniwersalnych
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku
Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach
Bardziej szczegółowoSYSTEMOWE ZARZĄDZANIE ŚRODOWISKIEM
Wykład 11. SYSTEMOWE ZARZĄDZANIE ŚRODOWISKIEM 1 1. Istota i funkcje zarządzania środowiskowego: Racjonalne zagospodarowanie środowiska wymaga, aby rozwój działalności rozpatrywać w kontekście trzech sfer:
Bardziej szczegółowoAktualizacja ISO. ISO Revisio ISO 9001:2015. Istota nowelizacji. Jak podchodzić do zmian?
ISO Revisio ISO 9001:2015 Istota nowelizacji Jak podchodzić do zmian? ISO 9001 w skrócie Jak działa ISO 9001? ISO 9001 można wykorzystywać we wszystkich organizacjach (bez względu na ich typ i wielkość)
Bardziej szczegółowoInstrukcja. ocena aspektów środowiskowych PE-EF-P01-I01
Instrukcja ocena aspektów środowiskowych PE-EF-P01-I01 Warszawa, lipiec 2013 r. Metryka regulacji Obszar biznesowy: Kategoria: Właściciel: Forma i data zatwierdzenia: Data wejścia w życie: Zakres stosowania:
Bardziej szczegółowoSpołeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz
2012 Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne Maciej Bieńkiewicz Społeczna Odpowiedzialność Biznesu - istota koncepcji - Nowa definicja CSR: CSR - Odpowiedzialność przedsiębiorstw
Bardziej szczegółowoKsięga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA
Strona: 1 z 6 1. Zaangażowanie kierownictwa Najwyższe kierownictwo SZPZLO Warszawa Ochota przejęło pełną odpowiedzialność za rozwój i ciągłe doskonalenie ustanowionego i wdrożonego zintegrowanego systemu
Bardziej szczegółowoPOD O EJŚ J CIE I P ROC O ESOW
Wykład 7. PODEJŚCIE PROCESOWE W ZARZĄDZANIU JAKOŚCIĄ 1 1. Procesy i ich znaczenie w działalności organizacji: Proces jest to zaprojektowany ciąg logiczny następu- jących po sobie czynności (operacji),
Bardziej szczegółowo