METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ
|
|
- Tomasz Jabłoński
- 7 lat temu
- Przeglądów:
Transkrypt
1 ZINTEGROWANY SYSTEM ZARZĄDZANIA 1/14 PSZ METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ
2 ZINTEGROWANY SYSTEM ZARZĄDZANIA 2/14 I. Definicje Ryzyko potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji. Zagrożenie to wydarzenie, które powoduje, że ryzyko materializuje się w postaci wymiernej straty poprzez wystawienie aktywów na utratę, ujawnienie, zniszczenie lub zmianę. Podatność to słabość aktywu, która jest wykorzystywana przez zagrożenie w celu spowodowania strat w aktywach. Szacowanie ryzyka proces analizy i identyfikowania ryzyka oraz jego ocena. SZBI System Zarządzania Bezpieczeństwem Informacji. UMBB. BI Bezpieczeństwo/-a Informacji. II. Wstęp Niniejsza metoda analizy ryzyka opracowana została w oparciu o wymagania normy ISO oraz wytyczne zawarte w normie ISO III. Postępowanie 1. Klasyfikacja informacji: a. Wyznaczyć klasy informacji funkcjonujące w UMBB wraz ze wskazaniem ich wrażliwości. b. Wrażliwość Klasy (WG) informacji jest wyznaczana, jako funkcja atrybutów poufności, integralności i dostępności danych. WG = P + I + D Skala atrybutów bezpieczeństwa (P - poufności, I - integralności, D - dostępności) jest umieszczona w załączniku nr 2 w tabeli nr Inwentaryzacja aktywów (zasobów): a. Zinwentaryzować aktywa wchodzące w skład SZBI. Należy rozważyć takie kategorie aktywów, jak sieć LAN, sieć WAN, protokoły sieciowe, aplikacje, bazy danych i oprogramowanie informatyczne, sprzęt komputerowy, serwery, sprzęt i nośniki danych, pliki elektroniczne i dokumenty papierowe, lokalizacja i pomieszczenia, personel. b. Wskazać osoby odpowiedzialne za nadzorowanie, utrzymanie, korzystanie i bezpieczeństwo grup zasobów w SZBI. c. Określić, jakie klasy informacji przetwarzane są przez poszczególne grupy zasobów. 3. Analiza ryzyka bezpieczeństwa informacji: a. Określić zagrożenia, które mogą dotyczyć danej grupy zasobów (przykłady zagrożeń przedstawiono załączniku nr 3 w tabeli nr 6). b. Określić podatności związane z daną grupą (przykłady podatności przedstawiono w załączniku nr 3 w tabeli nr 5). c. Określić zabezpieczenia związane z danym ryzykiem (przykłady zabezpieczeń przedstawiono w załączniku nr 3 w tabeli nr 7). d. Określić wskaźnik efektywności zabezpieczenia (WEZ)
3 ZINTEGROWANY SYSTEM ZARZĄDZANIA 3/14 WEZ = SZ x SWZ gdzie: SZ skuteczność zabezpieczenia, SWZ stopień wdrożenia zabezpieczenia. Skuteczność zabezpieczenia (SZ) i stopień wdrożenia zabezpieczenia (SWZ) ustalany jest wg skal przedstawionych w załączniku nr 2 w tabeli nr 4. e. Określić prawdopodobieństwo PR wystąpienia zagrożenia zgodnie z skalą (załącznik nr 2 tabela nr 2). f. g. Oszacować skutki biznesowe S (zgodnie ze skalą zawartą w załączniku nr 2 w tabeli nr 3) jakie mogą wyniknąć na skutek naruszenia bezpieczeństwa (atrybutów poufności, integralności i dostępności) dla organizacji biorąc pod uwagę, aktualnie wdrożone zabezpieczenia. S = SP + SF + SW gdzie: SF skutek finansowy, SP skutek prawny, SW skutek wizerunkowy. h. Wyliczyć wartość ryzyka WR związanego z danym zagrożeniem określona wzorem: WR = (WA x PR x S) / (WEZ) 4. Etapy oceny i postępowania z ryzykiem bezpieczeństwa informacji a. Uszeregować ryzyka (stworzyć ranking ryzyk) oraz wskazać ryzyka nieakceptowane. b. Kryterium akceptacji ryzyk wyznaczyć za pomocą pułapu ryzyka akceptowalnego, który odcina pewien zbiór zagrożeń o najwyższym ryzyku, poddawany doskonaleniu w ramach planu postępowania z ryzykiem tworzonego w danym roku. Ustalenie progu akceptowalności jest wykonane przy wykorzystaniu poniższego wzoru opartego na regule Pareto. KA = (MAX_WR MIN_WR) x 0,8 + MIN_WR gdzie: MAX_WR wartość najwyższego ryzyka MIN_WR wartość najmniejszego ryzyka Zgodnie z powyższym wzorem kryterium akceptowalności jest obliczane z wartości ryzyk przy wcześniejszym odrzuceniu ekstremów. Uwaga! Analiza Pareto nie jest decydująca przy wyborze ryzyk nieakceptowalnych - ostateczna decyzja należy do Kierownictwa Urzędu.
4 ZINTEGROWANY SYSTEM ZARZĄDZANIA 4/14 c. Plan postępowania z ryzykiem Określić warianty postępowania z ryzykiem. Wyniki analizy ryzyka bezpieczeństwa informacji dla każdego z ryzyk (punktów krytycznych) podlegają ocenie przez Kierownictwo Urzędu, które decyduje o podjęciu działań mających na celu minimalizację ryzyk związanych z każdym z ryzyk (punktów krytycznych). Opracować Plan Postępowania z ryzykiem bezpieczeństwa informacji zgodny z szablonem w punkcie 4 załącznika nr 4. Dla każdego z wyznaczonych działań minimalizujących ryzyko określa się termin realizacji oraz osobę odpowiedzialną za jego ukończenie. 5. Raport z szacowania ryzyka bezpieczeństwa informacji Wyniki analizy i oceny ryzyka w tym informacja na temat poziomu ryzyka akceptowalnego w UMBB a także decyzje w zakresie podjęcia działań minimalizujących ryzyko, zamieszczone są w formalnym raporcie akceptowanym przez Kierownictwo Urzędu. Zakres informacji zawartych w raporcie obejmuje co najmniej dane wskazane w Załączniku 4. Opracował: Zatwierdził: Prezydent Miasta Bielska-Białej Jacek Krywult Załączniki: Załącznik nr 1 Klasy informacji Załącznik nr 2 Skale Załącznik nr 3 Przykłady zagrożeń, podatności i zabezpieczeń Załącznik nr 4 - Raport z analizy ryzyka bezpieczeństwa informacji
5 ZINTEGROWANY SYSTEM ZARZĄDZANIA 5/14 Załącznik nr 1 Klasy informacji KLASA INFORMACJI mówi o stopniu ochrony, jaki informacja powinna mieć zapewniony. Wyróżniamy następujące klasy informacji: Informacja ogólnodostępna (IO) to informacja, która bez ograniczeń może być przekazywana przez pracowników pomiędzy sobą oraz ujawniana na zewnątrz (np. BIP). Nie wymaga oznakowania. Informacja objęta ochroną Urzędu (IW) informacja, które może być przetwarzana tylko przez określonych pracowników Urzędu. Nośniki zawierające takie informacje muszą być oznaczone: Dokument wewnętrzny. Nadzór nad nimi sprawują Naczelnicy Wydziałów w ramach bieżących prac zarządczych. Są to informacje wynikające np. z ustawy prawo zamówień publicznych, dotyczące danych pracowników, zawierające dane przedsiębiorców, wynikające z umów z jednostkami zewnętrznymi. Informacja stanowiąca tajemnicę skarbową (TS) informacja, stanowiąca indywidualne dane zawarte w deklaracji oraz innych dokumentach składanych przez podatników, płatników lub inkasentów (art. 293 ordynacji podatkowej). Udostępniana jest na wniosek Urzędów Skarbowych lub innych organów uprawnionych. Nośniki zawierające takie informacje muszą być oznaczone: Tajemnica skarbowa. Informacja podlegająca ochronie z tyt. Ustawy o ochronie danych osobowych (DO) sposób postępowania z informacją określony jest Zarządzeniem Prezydenta Miasta w sprawie organizacji ochrony danych osobowych oraz zasad postępowania przy ich przetwarzaniu w Urzędzie Miejskim w Bielsku-Białej.
6 ZINTEGROWANY SYSTEM ZARZĄDZANIA 6/14 Załącznik nr 2 Skale Tabela nr 1. Atrybuty bezpieczeństwa Poufność (P) 1 informacja jest ogólnodostępna, 2 3 udostępnienie informacji osobom nieupoważnionym powoduje straty, nie wiąże się z odpowiedzialnością karną organów organizacji, udostępnienie informacji osobom nieupoważnionym powoduje straty i wiąże się z odpowiedzialnością karną organów organizacji. Integralność (I) nieautoryzowana zmiana informacji nie wpływa na możliwość funkcjonowania organizacji ani zgodność z wymaganiami prawnymi, nieautoryzowana zmiana informacji uniemożliwia poprawną pracę organizacji i nie jest związana z naruszeniem przepisów prawnych, nieautoryzowana zmiana informacji uniemożliwia poprawne funkcjonowanie organizacji i powoduje naruszenie przepisów prawnych. Dostępność (D) 1 informacja może być dostępna z opóźnieniem powyżej 2 dni roboczych, 2 informacja musi być dostępna co najwyżej z opóźnieniem od 1 do 2 dni roboczych, 3 informacja musi być dostępna w każdej chwili. Tabela nr 2. Prawdopodobieństwo Prawdopodobieństwo (PR) 1 zagrożenie jest mało realne, aby mogło wystąpić (nie miało nigdy miejsca), zagrożenie nie miało miejsca w przeszłości i istnieje niewielkie 2 prawdopodobieństwo, że wystąpi w przyszłości, zagrożenie występuje w innych organizacjach i może wystąpić w tej organizacji jak 3 w każdej innej o podobnym charakterze, zagrożenie może wystąpić, gdyż miało miejsce w przeszłości i należy sądzić, 4 że wystąpi co najmniej raz w ciągu roku, zagrożenie jest bardzo realne i może wystąpić w każdej chwili lub kilkakrotnie 5 w ciągu roku. Tabela nr 3. Szacowanie skutków biznesowych Skutek prawny (SP) wystąpienie zagrożenia nie doprowadzi w przewidywalnym horyzoncie czasu do naruszenia przepisów prawa, wystąpienie zagrożenia nie doprowadzi do natychmiastowego naruszenia przepisów prawa, jednak w przypadku niepodjęcia odpowiednich działań naprawczych naruszenie prawa jest nieuniknione, bezpośrednią konsekwencją wystąpienia zagrożenia jest naruszenie przepisów prawa. Skutek finansowy (SF) 1 wystąpienie zagrożenia spowoduje straty finansowe w przedziale PLN, 2 wystąpienie zagrożenia spowoduje straty finansowe w przedziale PLN,
7 ZINTEGROWANY SYSTEM ZARZĄDZANIA 7/14 3 wystąpienie zagrożenia spowoduje straty finansowe w przedziale do PLN, 4 wystąpienie zagrożenia spowoduje straty finansowe powyżej PLN. Skutek wizerunkowy (SW) 1 wystąpienie zagrożenia nie ma wpływu na wizerunek organizacji, 2 3 wystąpienie zagrożenia ma mało znaczący negatywny wpływ na wizerunek organizacji, wystąpienie zagrożenie powoduję istotny lub duży negatywny wpływ na wizerunek organizacji. Tabela nr 4. Wskaźnik efektywności zabezpieczenia (WEZ) Skuteczność zabezpieczenia (SZ) 1 zabezpieczenie organizacyjne (proceduralne), 2 zabezpieczenie techniczne obsługiwane ręcznie, 3 zabezpieczenie techniczne automatyczne. Stopień wdrożenia zabezpieczenia (SWZ) 1 nie stosuje się zabezpieczeń, 2 zabezpieczenie funkcjonuje nieformalnie, 3 zabezpieczenie wprowadzono formalnie, ale jest niedoskonałe, 4 zabezpieczenie wprowadzono formalnie, jest doskonałe i skuteczne.
8 ZINTEGROWANY SYSTEM ZARZĄDZANIA 8/14 Załącznik nr 3 Przykłady zagrożeń, podatności i zabezpieczeń Tabela nr 5. Przykładowe podatności Grupa podatności Podatność Dokumentacja/procedury brak opracowanych planów ciągłości działania brak aktualizacji planów ciągłości działania brak procedur testowania planów ciągłości działania brak dokumentacji systemów brak dokumentacji wymaganej prawem brak dokumentów polityki bezpieczeństwa informacji i SZBI brak dzienników operatorów brak kontroli zmian brak listy osób upoważnionych do dostępu do określonej informacji brak procedur dostępu do pomieszczeń brak procedur eksploatacji elektronicznych systemów zabezpieczeń brak procedur eksploatacyjnych brak procedur wymiany danych i oprogramowania brak procedury monitorowania użycia urządzeń do przetwarzania informacji brak rejestrów zdarzeń dla celów audytu brak ustanowionych mechanizmów monitorowania naruszeń bezpieczeństwa brak wymagań bezpieczeństwa w procesach rozwojowych (umowach) brak zabezpieczenia dokumentów przechowywanych niedostateczne procedury kontroli zmian niedostateczne procedury rekrutacji Łączność brak zabezpieczenia linii telekomunikacyjnych brak zabezpieczenia transmisji wrażliwych informacji transmitowanie haseł w jawnej postaci Oprogramowanie brak aktualizacji oprogramowania (usługi sieciowe i systemy operacyjne) brak autoryzacji użytkowanych kodów mobilnych brak kontroli pobieranego oprogramowania brak lub niedostateczne mechanizmy 'patch management' brak lub niewystarczające procedury testowania oprogramowania brak mechanizmów identyfikacji i uwierzytelniania brak mechanizmów monitorowania brak sformułowanych wymagań bezpieczeństwa dla tworzonych aplikacji niedostateczne zarządzanie hasłami (hasła łatwe do odgadnięcia, przechowywanie haseł w jawnej postaci, niedostateczna częstotliwość zmiany haseł), niekontrolowane kopiowanie niewłaściwe skonfigurowane aplikacje, usługi lub systemy operacyjne
9 ZINTEGROWANY SYSTEM ZARZĄDZANIA 9/14 Grupa podatności Organizacja Personel Sieć Sprzęt Środowisko i infrastruktura Podatność skomplikowany interfejs użytkownika użytkowanie usług powszechnie uznanych za niegwarantujące bezpieczeństwa znane błędy (dziury) w oprogramowaniu znane podatności baz danych (replikacja) organizacja brak regularnych audytów brak testowania urządzeń zasilających brak wykonywania zadań wynikających z dokumentów określających politykę bezpieczeństwa informacji i ISMS brak wykonywanych regularnie procedur nadzoru brak wymagań bezpieczeństwa na stanowiskach pracy brak wyznaczonych osób odpowiedzialnych za aktywa niewłaściwy przydział uprawnień dostępu praca pracowników podmiotów zewnętrznych bez nadzoru przechowywanie kopii w miejscu wytworzenia absencja personelu brak audytorów wewnętrznych w zakresie bezpieczeństwa informacji brak zastępstw brak stosowania polityki czystego biurka i ekranu brak wylogowania się przy opuszczaniu miejsca pracy brak szkoleń w zakresie bezpieczeństwa brak alternatywnych dróg połączenia brak kopii zapasowych/archiwalnych niewłaściwe wycofywanie nośników z użycia niewłaściwe zabezpieczenie okablowania pojedynczy punkt uszkodzenia (brak rezerwy) brak elektronicznej kontroli dostępu, brak fizycznej ochrony budynków, drzwi, okien brak gwarantowanego zasilania brak mechanicznych i budowlanych systemów zabezpieczeń brak monitorowania przez wyspecjalizowane jednostki SP brak planów wymiany infrastruktury brak systemów sygnalizacji napadu i włamania lokalizacja na terenie zagrożonym powodzią stan techniczny budynku stan techniczny instalacji grzewczych, systemu ogrzewania stan techniczny instalacji odgromowych stan techniczny instalacji zasilania usytuowanie budynku wrażliwość na wilgotność wrażliwość na zanieczyszczenie (kurz) wrażliwość na zmiany napięcia wrażliwość na zmiany temperatury
10 ZINTEGROWANY SYSTEM ZARZĄDZANIA 10/14 Tabela nr 6. Przykładowe zagrożenia Norma PN-ISO/IEC 27005:2010 załącznik C i D lub poniższa tabela. Grupa Zasobu Bazy danych Pliki w postaci elektronicznej Dane w postaci papierowej Systemy wspomagające Sieci Oprogramowanie Sprzęt i nośniki danych Kradzież Zagrożenie Modyfikacja lub usunięcie danych Nieuprawniony dostęp Uszkodzenie Kradzież Nieuprawniony dostęp Uszkodzenie Kradzież Nieuprawniony dostęp Uszkodzenie lub zniszczenie Wyciek wrażliwych danych Zagubienie Awaria urządzenia Brak klimatyzacji Brak zasilania Niedziałanie urządzenia Zniszczenie instalacji Awaria urządzenia Nieuprawniony dostęp fizyczny Niezabezpieczona sieć Podsłuch Przeciążenie ruchu Uszkodzenie sieci Wadliwe działanie lub brak działania Rozprzestrzenianie wirusów itp. Awaria sprzętu Awaria urządzenia lub jego podzespołów Awarie prądowe Awarie przez kurz Awarie ze względu na temperaturę Błędy działania Błędy konserwacji Błędy personelu obsługującego Kradzież Nieautoryzowane kopiowane/zmiana/usunięcie Nieprawdziwa informacja lub funkcjonowanie strony intranetowej Niewłaściwe wykorzystanie Zniszczenie Zużycie części Zużycie nośników
11 ZINTEGROWANY SYSTEM ZARZĄDZANIA 11/14 Grupa Zasobu Budynki/Pomieszczenia Personel zewnętrzny - firmy współpracujące Personel własny (pracownicy) Zagrożenie Awaria ze względu na temperaturę lub wilgotność Kradzież lub nieupoważniony dostęp do informacji Pożar Umyślna szkoda Wahania napięcia prądu Zalanie Błąd personelu obsługującego Kradzież Nieautoryzowany dostęp Niedobór (brak) personelu Niemożliwość respektowania swoich potrzeb Podsłuch lub szpiegostwo Szkoda umyślna lub nieumyślna Ujawnienie informacji chronionych Użycie oprogramowania w niewłaściwy sposób Błąd personelu obsługującego Kradzież Nieautoryzowany dostęp Niedobór (brak) personelu Podsłuch lub szpiegostwo Szkoda umyślna lub nieumyślna Ujawnienie informacji chronionych Użycie oprogramowania w niewłaściwy sposób
12 ZINTEGROWANY SYSTEM ZARZĄDZANIA 12/14 Tabela nr 7. Przykładowe zabezpieczenia Grupa Zabezpieczeń Zabezpieczenie Polityka Bezpieczeństwa Informacji, Dokumentacja systemu BI, Księga Zintegrowanego Systemu Zarządzania, Procedura PSZ-4/1 Analiza ryzyka bezpieczeństwa informacji Procedura PSZ-4/2 Postępowanie z incydentem Procedura PSZ-4/3 Zarządzanie ciągłością działania, Scenariusze awaryjne w Planie ciągłości działania Procedura PSZ-4/4 - Utrzymanie i monitorowanie bezpieczeństwa informacji Procedura PSZ-4/5 Postępowanie z informacją, Procedura PSZ-1/3 Nadzór nad zapisami Proceduralne Instrukcje: ISZ-4/4/IT/1 Zasady bezpiecznego korzystania z systemów informatycznych przez użytkowników, ISZ-4/4/BF/1 Zarządzanie dostępem do pomieszczeń, ISZ-4/4/BF/2 Zasady pracy w strefach, ISZ-4/4/BF/3 Kontrola dostępu przez wykonawców zewnętrznych, ISZ-4/4/BO/1 Zasady postępowania przy zmianie stanowiska pracy klasyfikacja informacji, Instrukcje IT INF-1/4/1 Bezpieczeństwo serwerów, INF-1/4/2 Bezpieczeństwo komputerów przenośnych, INF-1/4/3 Bezpieczeństwo stacji roboczych, INF-1/4/4 Bezpieczeństwo sieci, INF-1/5/1 Monitorowanie systemów informatycznych INF-1/5/2 Przekazywanie urządzeń i nośników do ponownego wykorzystania, zbywania lub wycofania z użycia, NF- 1/5/3 Dobór haseł, INF-1/5/4 Bezpieczeństwo oprogramowania, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych, Prawne Techniczne INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, niszczenie i usuwanie danych, rejestr wykorzystywanych nośników informacji INF-1/6/2 Ochrona kryptograficzna, INF-1/6/3 Przekazanie sprzętu do i z eksploatacji, do i z naprawy Wymagania prawne Ustawy, rozporządzenia, uchwały, zarządzenia Zarządzenie PM ws. wprowadzenia w Urzędzie Miejskim w B-B "Polityki bezpieczeństwa ochrony danych osobowych" oraz "Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Umowy z dostawcami Ustawa o prawie autorskim i prawach pokrewnych Umowy SLA, Protokół odbioru, karta urządzenia Raport z audytu certyfikacyjnego, Raporty z audytów technicznych, klauzule w umowach ze stroną trzecią Klauzula w umowach o współpracy, wytyczne do umów umowy z firmami Telefonicznymi Obowiązkowe klauzule w umowach z dostawcami np. oprogramowania karty urządzeń Audyt techniczny Konfiguracja dostępu AD, Konfiguracja urządzeń, programów i wygaszacza Instrukcja INF-1/4/4 Bezpieczeństwo sieci, firewall, router, VLAN Przeglądy okablowania, monitorowanie ruchu, Inwentaryzacja Środków trwałych i nietrwałych Telefony alarmowe,
13 ZINTEGROWANY SYSTEM ZARZĄDZANIA 13/14 Organizacyjne Naczelnicy wydziałów - właściciele aktywów, Zarządzenie PM ws. wyznaczenia ABI oraz określenie zadań, obowiązków i odpowiedzialności związanych z ochroną danych osobowych w UM w B-B, Zarządzenie PM ws. organizacji ochrony danych osobowych oraz zasad postępowania przy ich przetwarzaniu w UM w B-B, karty stanowiskowe, Upoważnienie do przetwarzania danych osobowych Bank, Przelewy (Wydział FK) - umowa z bankiem, SSL strona banku, Program MSWiA, CEPiK, SEKAP ALLOY NAVIGATOR, INF-1/5/5 Utrzymanie i kontrola dostępu w systemach informatycznych Nabór pracowników, karty stanowiskowe, wymagania prawne, konkursy Ograniczony dostęp do zasobu Internetu, umowy z firmami Telefonicznymi podpis elektroniczny, SEKAP, VPN, strona www, bip, komunikatory i sieci społecznościowe Zalecenia Kierownictwa z Przeglądów ZSZ umowa z pracownikiem, umowy ze stroną trzecią, Regulamin pracy, karta obiegowa, Ograniczony dostęp do zasobu Internetu, Audit wewnętrzny Zarządzenie PM dot. BIP i publikowania materiałów Oświadczenie o zapoznaniu się z treścią Polityki BI oraz o sposobie postępowania z informacjami w UM w B-B, Instrukcja INF-1/6/1 Tworzenie i przechowywanie kopii bezpieczeństwa danych, chroniona jak każda inna baza, wytyczne do umów, przegląd umów kolenia na wszystkich szczeblach, konferencje z zakresu BI Upoważnienie do przetwarzania danych osobowych Karta użytkownika zasobów informatycznych, Upoważnienie do przetwarzania danych osobowych, podpis użytkownika, Unikalne identyfikatory, Odebranie praw administracyjnych, karty urządzeń, Instrukcja: ISZ-4/4/BF/1 Zarządzanie dostępem do pomieszczeń, Obszary bezpieczne, podział na strefy, drzwi, domofony, elektryczne karty dostępowe Plan ciągłości działania, Procedura PSZ-3/2 Postępowanie w przypadku nadzwyczajnych zagrożeń i awarii ISZ-3/2/3 Instrukcja ewakuacji na wypadek pożaru, Plan ciągłości działania Przeglądy okablowania, monitorowanie ruchu, zasady zwyczajowo przyjęte Konfiguracja urządzeń, Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, ALLOY NAVIGATOR Instrukcja INF-1/5/1 Monitorowanie systemów informatycznych, WSUS
14 ZINTEGROWANY SYSTEM ZARZĄDZANIA 14/14 Załącznik nr 4 - Raport z analizy ryzyka bezpieczeństwa informacji RAPORT Z ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI w Urzędzie Miejskim w Bielsku-Białej z dnia dd.mm.rrrr - data szacowania ryzyka - lista osób uczestnicząca w analizie ryzyka bezpieczeństwa informacji 1. Klasyfikacja informacji ID G01 Nazwa grupy informacji Przykładowe dokumenty P I D WG 2. Zidentyfikowane aktywa ID Zidentyfikowane aktywa (zasoby) 3. Wyniki szacowania ryzyka bezpieczeństwa informacji Nr ryzyka Ryzyko Aktywo (Zasób) Zagrożenie Podatność Wartość ryzyka Akceptacja [TAK/NIE] R Plan postępowania z ryzykiem Nr ryzyka R01 Planowane działanie Osoba odpowiedzialna Termin realizacji 5. Uwagi Kierownictwo Urzędu przeanalizowało wyniki analizy ryzyka bezpieczeństwa informacji, wyznaczyło kryterium akceptowalności ryzyka oraz deklaruje podjęcie działań zmierzających do minimalizacji nieakceptowanych ryzyk. Opracował Zatwierdził......
Deklaracja stosowania
PSZ.0141.3.2015 Deklaracja stosowania Wymagania PN-ISO/IEC 27001:2014-12 5 Polityki bezpieczeństwa informacji 5.1 Kierunki bezpieczeństwa informacji określane przez kierownictwo 5.1.1 Polityki bezpieczeństwa
Bardziej szczegółowoDeklaracja stosowania
PSZ.0141.3.2018 Wymagania PN-ISO/IEC 27001:2014-12 5 Polityki bezpieczeństwa informacji 5.1 Kierunki bezpieczeństwa informacji określane przez kierownictwo 5.1.1 Polityki bezpieczeństwa informacji Deklaracja
Bardziej szczegółowoZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.
ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoPolityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach
Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach I. Wstęp Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.
Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoRektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP
ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoZabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001
Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001 A.5.1.1 Polityki bezpieczeństwa informacji A.5.1.2 Przegląd polityk bezpieczeństwa informacji A.6.1.1 Role i zakresy odpowiedzialności w bezpieczeństwie
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.
1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowoZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.
ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW I. Podstawa prawna Polityka Bezpieczeństwa została utworzona zgodnie z wymogami zawartymi w ustawie z dnia 29 sierpnia 1997r.
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoA N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN
Dokument nadzorowany w wersji elektronicznej 8.01.2013 r. ZATWIERDZAM zał. nr 11 do PB UMiG Łasin Podpis Administratora Danych Osobowych ORA.142.1.1.2013 A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r
Bardziej szczegółowoRealizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST
Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST III PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 20-21 października
Bardziej szczegółowoZ a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku
Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku o zmianie Zarządzenia nr 50/2013 z dnia 24 maja 2013r. w sprawie polityki bezpieczeństwa i zarządzania
Bardziej szczegółowoZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH
ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 Załącznik Nr do Zarządzenia Dyrektora Zespołu Szkół Technicznych we Włocławku z dnia 31 sierpnia 2018 r. PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoSamodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach
Samodzielny Publiczny Szpital Kliniczny Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach 41-800 Zabrze, ul. 3-go Maja 13-15 http://www.szpital.zabrze.pl ; mail: sekretariat@szpital.zabrze.pl
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoInstrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie
Instrukcja zarządzania RODO w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie 1 1. Wstęp...3 2. Zabezpieczenia fizyczne...3 3. Zabezpieczenia techniczne...3 4. Procedura nadawania uprawnień
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55
Aby uzyskać szczegółowe instrukcje do opracowania dokumentu należy otworzyć poniższe hiperłącze: 400 - B.V Środowisko komputerowych systemów informatycznych.pdf 1. Czy chcesz przeprowadzić pełny czy skrócony
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO ROZDZIAŁ I Postanowienia ogólne 1. 1. Polityka bezpieczeństwa przetwarzania danych osobowych w Stowarzyszeniu
Bardziej szczegółowoKwestionariusz samooceny kontroli zarządczej
Kwestionariusz samooceny kontroli zarządczej załącznik Nr 6 do Regulaminu kontroli zarządczej Numer pytania Tak/nie Odpowiedź Potrzebne dokumenty Środowisko wewnętrzne I Przestrzeganie wartości etycznych
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoPolityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie
Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie
Bardziej szczegółowoPolityka ochrony danych osobowych. Rozdział I Postanowienia ogólne
Polityka ochrony danych osobowych Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych w ramach działalności gospodarczej prowadzonej przez DEIMIC SP. Z o.o. Liliowa 2 87-152
Bardziej szczegółowoSpecyfikacja audytu informatycznego Urzędu Miasta Lubań
Specyfikacja audytu informatycznego Urzędu Miasta Lubań I. Informacje wstępne Przedmiotem zamówienia jest wykonanie audytu informatycznego dla Urzędu Miasta Lubań składającego się z: 1. Audytu bezpieczeństwa
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoData Protection Impact Assessment (DPIA) Metodyka zarządzania ryzykiem w ochronie danych osobowych. Warszawa 2017
Data Protection Impact Assessment (DPIA) Metodyka zarządzania ryzykiem w ochronie danych osobowych Warszawa 2017 Kilka słów o Fundacji Celem Fundacji Bezpieczeństwa Informacji Polska jest podejmowanie
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.
POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O. Spis treści Rozdział I. Cel Polityki bezpieczeństwa danych osobowych...3 Rozdział II. Zakres stosowania
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach
Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice
Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.
Załącznik nr 2 do zarządzenia nr 39/2015 Wójta Gminy Ostaszewo z dnia 27 maja 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo
Bardziej szczegółowoKwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Bardziej szczegółowoZałącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach
Wdrożony Zintegrowany System Zarządzania obejmuje swoim zakresem wszystkie komórki organizacyjne Urzędu Dobczyce, dnia 15 listopada 2013 roku Rozdział Opis normy/wymaganie Sposób realizacji A.5 Polityka
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM
Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoPARTNER.
PARTNER Ochrona danych osobowych w systemach informatycznych Konferencja Nowe regulacje w zakresie ochrony danych osobowych 2 czerwca 2017 r. Katarzyna Witkowska Źródła prawa ochrony danych Ustawa z dnia
Bardziej szczegółowoZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.
ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie
Bardziej szczegółowoZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.
ZARZĄDZENIE NR 0050.117.2011 WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia 15.11.2011 roku. w sprawie : wprowadzenia Polityki Bezpieczeństwa w Urzędzie Gminy Krzyżanowice Na podstawie: 1) art.
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoAmatorski Klub Sportowy Wybiegani Polkowice
Polityka Bezpieczeństwa Informacji w stowarzyszeniu Amatorski Klub Sportowy Wybiegani Polkowice (Polkowice, 2017) SPIS TREŚCI I. Wstęp... 3 II. Definicje... 5 III. Zakres stosowania... 7 IV. Miejsce w
Bardziej szczegółowoPROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM
Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl PROCEDURA ALARMOWA PROCEDURA ALARMOWA Obowiązuje
Bardziej szczegółowoPolityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu
Dokument wprowadzony zarządzeniem 24/2018 Rektora AWF w Poznaniu z dnia 05 czerwca 2018 r. Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu 1. Wstęp
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.
Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
Bardziej szczegółowoZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.
ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia 05. 04. 2017 r. w sprawie: wprowadzenia Procedury zarządzania ryzykiem w bezpieczeństwie
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA
POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA WROCŁAW, 15 maja 2018 r. Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania,
Bardziej szczegółowoWymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ
Spis treści 1. Cel dokumentu... 1 2. Zakres... 1 3. Wykonawcy poruszający się po obiektach PSG.... 1 4. Przetwarzanie informacji udostępnionych przez Spółkę.... 2 5. Wykonawcy korzystający ze sprzętu komputerowego...
Bardziej szczegółowoCentrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.
Zapytanie ofertowe nr CUPT/DO/OZ/AW/26/36/AB/13 Szanowni Państwo, Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa
Bardziej szczegółowoadministratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE
Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta
Bardziej szczegółowoZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku
ZARZĄDZENIE NR 4/17 Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku w sprawie wprowadzenia Procedury alarmowej w celu pełnej kontroli oraz zapobieganiu możliwym zagrożeniom związanym
Bardziej szczegółowoBezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.
Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata. Dokument przedstawia opis stosowanych przez Archivodata środków i procedur bezpieczeństwa, służących zabezpieczeniu
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku
POLITYKA BEZPIECZEŃSTWA INFORMACJI w CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI Kraków, 25 maja 2018 roku Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane
Bardziej szczegółowoPolityka Ochrony Danych Osobowych
Polityka Ochrony Danych Osobowych 1 1 Wstęp...3 2 Ocena skutków (analiza ryzyka)...4 2.1 Opis operacji przetwarzania (inwentaryzacja aktywów)...5 2.2 Ocena niezbędności oraz proporcjonalności (zgodność
Bardziej szczegółowoINTERNATIONAL POLICE CORPORATION
Kurs Inspektora Ochrony Danych oraz warsztatami z DPIA i Rejestracji Incydentów Czas i miejsce szkolenia: Cel szkolenia: Metodyka szkolenia: Czas trwania szkolenia: Uczestnicy otrzymają: Prowadzący szkolenie:...-.........
Bardziej szczegółowoZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach
ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA w HEBAN spółka z ograniczoną odpowiedzialnością spółka komandytowa ul. Kosocicka 7, 30-694 Kraków, KRS 0000351842, NIP 6790083459 Niniejsza polityka bezpieczeństwa, zwana dalej
Bardziej szczegółowoZarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku
Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych Gminnego Ośrodka Kultury w Wodyniach Na
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.
POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O. 24.05.2018....................... [data sporządzenia] Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoREGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM
Załącznik do Zarządzenia Nr 11 / 2012 Wójta Gminy Ustronie Morskie z dnia 23 stycznia 2012 roku. REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM Na podstawie 39 regulaminu jednostki oraz działając w oparciu
Bardziej szczegółowoWymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ
Spis treści 1. Cel dokumentu... 1 2. Zakres... 1 3. Wykonawcy poruszający się po obiektach PSG.... 1 4. Przetwarzanie informacji udostępnionych przez Spółkę.... 2 5. Wykonawcy korzystający ze sprzętu komputerowego...
Bardziej szczegółowoProcedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...
Procedura Alarmowa Administrator Danych... Dnia... w podmiocie o nazwie... w celu pełnej kontroli oraz zapobieganiu możliwym zagrożeniom związanym z ochroną danych osobowych na podstawie art. 36.1. ustawy
Bardziej szczegółowoZał. nr 2 do Zarządzenia nr 48/2010 r.
Zał. nr 2 do Zarządzenia nr 48/2010 r. Polityka bezpieczeństwa systemu informatycznego służącego do przetwarzania danych osobowych w Państwowej Wyższej Szkole Zawodowej w Gnieźnie 1 Niniejsza instrukcja
Bardziej szczegółowoSzczegółowy opis przedmiotu zamówienia:
Załącznik nr 1 do SIWZ Szczegółowy opis przedmiotu zamówienia: I. Opracowanie polityki i procedur bezpieczeństwa danych medycznych. Zamawiający oczekuje opracowania Systemu zarządzania bezpieczeństwem
Bardziej szczegółowoCzy wszystko jest jasne??? Janusz Czauderna Tel
1 Czy wszystko jest jasne??? Janusz Czauderna Tel. 505 328 100 jczauderna@volvox.pl Jednostki finansów publicznych Kontrola Zarządcza Krajowe Ramy Interoperacyjności Jednostki finansów publicznych, niektóre
Bardziej szczegółowo1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?
PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy
Bardziej szczegółowoISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka
Kategoria : informacja jawna Bezpieczeństwo w Urzędzie Miasta Strona 1 Cele stosowania zabezpieczeń i zabezpieczenia A.5 Polityki A.5.1 Kierunki określane przez kierownictwo Cel: Zapewnienie przez kierownictwo
Bardziej szczegółowoINSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Załącznik nr 2 do Zarządzenia nr 6/2017 Dyrektora Szkoły Podstawowej im. Lotników Polskich w Płocicznie - Tartak z dnia 1 września 2017 roku INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Administrator
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.
Strona 1 z 5 LexPolonica nr 44431. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna
Załącznik nr 2 do Zarządzenia Burmistrza Miasta Kościerzyna nr 0050.3/2016 z dnia 8 stycznia 2016 roku INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA Administrator Danych Małgorzata Ziemianin Dnia 24.11.2015 roku w podmiocie o nazwie Publiczne Gimnazjum im. Henryka Brodatego w Nowogrodzie Bobrzańskim Zgodnie z ROZPORZĄDZENIEM
Bardziej szczegółowoDOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE
Załącznik do Zarządzania Prezydenta Miasta Kędzierzyn-Koźle Nr 1624/BIO/2013 z dnia 4 października 2013 r. DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE Spis
Bardziej szczegółowoPolityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.
Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza
Bardziej szczegółowoPolityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi
Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi 1 Wstęp... 2 2 Ocena skutków (analiza ryzyka)... 4 2.1 Opis operacji przetwarzania (inwentaryzacja aktywów)...
Bardziej szczegółowoOpis przedmiotu zamówienia
Załącznik nr 1 do zaproszenia Opis przedmiotu zamówienia I. 1. 2. 3. AUDYT BEZPIECZEŃSTWA PRZETWARZANIA INFORMACJI, AUDYT BEZPIECZEŃSTWA TELEINFORMATYCZNEGO, AUDYT LEGALNOŚCI OPROGRAMOWANIA W POWIATOWYM
Bardziej szczegółowoProcedura Zarządzania Ryzykiem I. PODSTAWOWE POJĘCIA
Załącznik do zarządzenia Nr 1229/KZ/2013 Prezydenta Miasta Kędzierzyn-Koźle z dnia 15.01.2013 r. w sprawie ustalenia i wprowadzenia obowiązku stosowania procedury zarządzania ryzykiem w Urzędzie Miasta
Bardziej szczegółowoURZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH
DB-ABI.142.3.2016 URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH na okres 01.01.2016 r. - 31.12.2016 r. L.p. PRZEDMIOT SPRAWDZENIA
Bardziej szczegółowoProcedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska
Procedura Alarmowa Administrator Danych Dyrektor Ewa Żbikowska Dnia 15.12.2014 r. w podmiocie o nazwie Miejska i Powiatowa Biblioteka Publiczna im. Marii Konopnickiej w Lubaniu w celu pełnej kontroli oraz
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoPOLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE
POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE 1 Wstęp... 2 2 Ocena skutków (analiza ryzyka)... 3 2.1 Opis operacji przetwarzania (inwentaryzacja aktywów)...
Bardziej szczegółowo