Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Save this PDF as:
 WORD  PNG  TXT  JPG

Wielkość: px
Rozpocząć pokaz od strony:

Download "Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie"

Transkrypt

1 Załącznik nr 1 do zapytania ofertowego z dn r. SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie 1. Dokonanie oceny zgodności funkcjonujących zasad i procedur dotyczących zarządzania bezpieczeństwem informacji, w tym przetwarzania danych osobowych, z obowiązującymi aktami prawnymi, w szczególności: a) 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113 i 1744), b) ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) i wydanymi do niej rozporządzeniami wykonawczymi, c) normami bezpieczeństwa: - Norma PN-ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji Wymagania, - Norma PN-ISO/IEC Technika informatyczna - Zarządzanie usługami, d) wymaganiami technologicznymi w systemach informatycznych zapewniającymi bezpieczeństwo zasobów sprzętowych i informacyjnych; e) wytycznymi Ministerstwa Cyfryzacji oraz Ministerstwa Rodziny, Pracy i Polityki Społecznej dotyczące dokumentacji z zakresu bezpieczeństwa informacji dla Wojewódzkich Urzędów Pracy i Powiatowych Urzędów Pracy. 2. Przeprowadzenie audytu bezpieczeństwa informacji we wszystkich obszarach funkcjonowania Wojewódzkiego Urzędu Pracy w Lublinie, w szczególności w zakresie: a) organizacyjnym, obejmującym m.in.: - regulacje w obszarze zarządzania bezpieczeństwem informacji, - dokumentacje, w tym z zakresu ochrony danych osobowych, - odpowiedzialność za bezpieczeństwo informacji i koordynację prac związanych z zarządzaniem bezpieczeństwem informacji, b) fizycznym i środowiskowym, w tym: - weryfikacja granic obszaru bezpiecznego, - weryfikacja zabezpieczeń wejścia/wyjścia, - weryfikacja systemów zabezpieczeń pomieszczeń i urządzeń, - weryfikacja bezpieczeństwa okablowania strukturalnego, - weryfikacja systemów chłodzenia, - weryfikacja systemów alarmowych; c) teleinformatycznym, z uwzględnieniem: - weryfikacja i analiza bezpieczeństwa dostępu do wewnętrznej infrastruktury sieciowej IT, - weryfikacja i analiza jakościowa odporności infrastruktury IT na bezautoryzacyjne rozpoznanie jego składowych, w tym weryfikacja podatności serwisów DNS, Strona 1 z 8

2 - weryfikacja systemów oraz protokołów zarządzania i monitorowania infrastruktury IT, - weryfikacja jakościowa ochrony przed oprogramowaniem szkodliwym poprzez próby propagacji testowego oprogramowania szkodliwego (zarówno z zewnątrz jak i od wewnątrz infrastruktury IT), - weryfikacja środków technicznych kontroli dostępu do systemów operacyjnych, w tym zabezpieczeń przed możliwością nieautoryzowanych instalacji oprogramowania, - weryfikacja i analiza danych przetwarzanych przez systemy logowania, - weryfikacja podatności logicznych środków kontroli dostępu wewnątrz infrastruktury IT, - weryfikacja poufności i integralności przetwarzania danych w systemach bazodanowych, w szczególności danych osobowych, - weryfikacja identyfikacji oraz autentykacji stosowanych w mechanizmach autoryzacji dostępu do zasobów IT, - weryfikacja podatności systemów i sieci na ataki takie jak sniffing, spoofing, man-inthe-middle, - weryfikacja na podstawie otwartości portów, podatności związanych z autoryzacją dostępu zdalnego do zasobów IT i ocena związanych z tym ryzyk, - weryfikacja bezautoryzacyjnego dostępu do informacji o rodzaju i wersji wykorzystywanego oprogramowania systemowego i usługowego, - weryfikacja arbitralnego i bezautoryzacyjnego zarządzania cyklem zmian systemów operacyjnych na urządzeniach infrastruktury IT, - rozpoznanie i ocena mechanizmów zarządzania aktualizacjami - w tym obecność systemów automatyzujących propagację poprawek bezpieczeństwa, - weryfikacja podatności na bezautoryzacyjne połączenia systemów VoIP, - weryfikacja podatności hostów na ataki w warstwie systemowej (przy wykorzystaniu exploitów), - weryfikacja podatności hostów na możliwość uzyskania nieautoryzowanego dostępu do zasobów plikowych, - weryfikacja poufności przesyłu danych przetwarzanych na udostępnionych zasobach plikowych, - weryfikacja podatności ustawień hostów na możliwość uzyskania nieautoryzowanego zdalnego dostępu do kontroli treści przesyłanych przez przeglądarki www, - weryfikacja bezautoryzacyjnej dostępności do danych o czasie pracy, krytycznych systemów, - weryfikacja obecności domyślnych kont użytkowników oraz haseł, - weryfikacja bezpieczeństwa informacji zawartych w komunikatach systemów, - weryfikacja obecności podatnych algorytmów szyfrowania, - weryfikacja wycieku danych z plików graficznych, archiwów, plików edytowalnych, - weryfikacja podatności systemów i aplikacji www w wewnętrznej infrastrukturze IT, - weryfikacja poufności przesyłania danych do wydruku, - analiza i ocena dodatkowych systemów bezpieczeństwa tj. dodatkowego oprogramowania antywirusowego, oprogramowania weryfikującego integralność systemów i gwarantującego audytowalność infrastruktury IT, Strona 2 z 8

3 - weryfikacja podatności systemu sieci wewnętrznej na zakłócenie/zablokowanie dostępności do usług i określenie zasięgu oraz zlokalizowanie fizycznego źródła ataku, - weryfikacja systemów AV na podatność DOS (zasada fail-secure), - weryfikacja poufności i czasu podtrzymania danych autoryzacyjnych aplikacji www. 3. Przeprowadzenie testów penetracyjnych przeprowadzonych ze stacji roboczej podłączonej do systemu informatycznego z zewnątrz (testy black box) mających na celu zidentyfikowanie jego podatności na włamanie oraz kompromitacje, w zakresie: a) zebranie dostępnych wiadomości o obiekcie metodą pasywną poprzez: - wykorzystanie baz danych i narzędzi on-line: whois, dns, robtex,etc., - wykorzystanie serwisu indeksującego Google, Bing, - wyszukiwanie informacji o ostrzeżeniach błędach, - wyszukiwanie informacji o dostępnych zasobach i plikach, - pozyskiwanie danych z pamięci cache serwisu Google (w tym pasywne pozyskiwanie metadanych), b) przeskanowanie wszystkich portów i dostępnych usług na testowanych adresach systemu: - identyfikacja aktywnych hostów i otwartych portów, - podjęcie próby identyfikacji dostępnych usług i ich wersji (weryfikacja wyników skanowania, co najmniej dwoma innymi jeszcze metodami), c) próba identyfikacji testowanego systemu i jego struktury: - próba określenia typu i wersji systemu operacyjnego, - analiza informacji zawartych w banerach usług, - analiza możliwych typów zapytań www, - analiza informacji zawartych w nagłówkach odpowiedzi aplikacji www, - analiza informacji zawartych w odpowiedziach aplikacji www, d) próba wykrycia luk i podatności konfiguracyjnych: - analiza metadanych plików, - próba enumeracji zasobów danych, - próba przeprowadzenia ataku słownikowego na hasła użytkowników, - próba ujawnienia wycieków danych (obecność popularnych plików, analiza, informacje o błędach, niewłaściwe nazewnictwo zasobów, wycieki kodu aplikacji), - próby wywołania błędów aplikacji (manipulacja przesyłanymi danymi, w tym:) o przesyłanie niepoprawnych danych o przesyłanie nadmiarowych danych o manipulacja parametrami oraz danymi nagłówkowymi zapytań e) praktyczne sprawdzenie wykrytych podatności: - próba exploitacji z użyciem bazy posiadanych exploitów, - próba przeprowadzenia ataku DOS, - weryfikacja nieautoryzowanego dostępu do testowanego systemu, - weryfikacja informacji wrażliwych, uzyskanych w odpowiedziach systemu, - weryfikacja reakcji zabezpieczeń testowanego systemu, na przeprowadzane próby ataku, - socjotechnicznych wpływ czynnika ludzkiego, polegającym na: Strona 3 z 8

4 o sprawdzeniu sposobu przechowywania haseł przez użytkowników, o weryfikacji ochrony powierzonego sprzętu i dokumentacji, o weryfikacji wiedzy pracowników na temat zasad ochrony danych osobowych oraz bezpieczeństwa teleinformatycznego; f) analizy szacowania ryzyka w oparciu o normę PN-ISO/IEC 27005, uwzględniającego: - inwentaryzację aktywów podlegających szacowaniu ryzyka, - określenie zagrożeń dla wyznaczonych aktywów, - określenie podatności dla wyznaczonych aktywów, - określenie prawdopodobieństw dla wyznaczonych aktywów, - oszacowanie ryzyka pod kątem skutków naruszenia bezpieczeństwa informacji; 4. Przygotowanie polityki systemu zarządzania bezpieczeństwem informacji stanowiącej podstawę dalszych działań związanych z wdrożeniem systemu zarządzania bezpieczeństwem informacji Polityka systemu zarządzania bezpieczeństwem informacji zawierać będzie w szczególności: Określenie podstaw dla systemu zarządzania bezpieczeństwem informacji, w tym podstaw prawnych i normatywnych Określenie celu wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji Deklarację kadry zarządzającej Określenie ogólnej odpowiedzialności w obszarze zarządzania bezpieczeństwem informacji Wskazanie ogólnych zasad i metod zarządzania bezpieczeństwem informacji Zapewnienie alokacji zasobów niezbędnych do wdrożenia i eksploatacji systemu zarządzania bezpieczeństwem informacji Zapewnienie realizacji działań w celu optymalizacji systemu zarządzania bezpieczeństwem informacji. 5. Przygotowanie deklaracji stosowania definiującej sposób realizacji zaleceń normy PN-ISO/IEC 27001:2013 w odniesieniu do wymagań Zamawiającego i określającej dalsze prace związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji. Wskazanie zabezpieczeń podlegających wdrożeniu oraz zabezpieczeń wykluczonych z wdrożenia Odniesienie do planu postępowania z ryzykiem Uzasadnienie zabezpieczeń wykluczonych z wdrożenia Wskazanie dokumentów zawierających opis zabezpieczeń podlegających wdrożeniu 6. Opracowanie dokumentacji dotyczącej zarządzania systemem bezpieczeństwa informacji: Określenie i sformalizowanie zasad zarządzania w szczególności poprzez wskazanie osób odpowiedzialnych oraz wskazanie podejścia do zapewnienia zasobów niezbędnych do efektywnego zarządzania bezpieczeństwem i zarządzania usługami. Strona 4 z 8

5 Opracowanie procedur przeprowadzania audytów, zawierających wskazanie częstotliwości audytów, sposobu przygotowywania i zatwierdzania ich planów, sposobu ich przeprowadzania oraz dokumentowania i raportowania ich wyników. Opracowanie procedury działań korygujących w przypadku niezgodności z wymaganiami systemu zarządzania. Opracowanie procedury wprowadzania działań zapobiegawczych w przypadku wystąpienia sytuacji mogącej prowadzić do niezgodności z wymaganiami systemu zarządzania. Opracowanie procedury przeglądu systemu zarządzania, w szczególności określającej częstotliwość przeglądów, zakres i sposób ich przeprowadzania, materiały źródłowe niezbędne do przeprowadzenia przeglądu, tryb wdrażania wniosków. Opracowanie procedury nadzoru nad dokumentami wchodzącymi w skład systemu zarządzania. W szczególności zostaną określone zasady wersjonowania, zatwierdzania, dystrybucji, przechowywania, archiwizowania i niszczenia dokumentów. Opracowanie procedury nadzoru nad zapisami, określającej zasady przechowywania, archiwizowania oraz niszczenia zapisów. 7. Opracowanie dokumentacji dotyczącej zabezpieczeń systemu zarządzania bezpieczeństwem informacji: Optymalizacja posiadanych przez Zamawiającego dokumentów określających zasady zarządzania bezpieczeństwem informacji, o ile wyniki analizy ryzyka wykażą potrzebę takiej optymalizacji; Opracowanie dokumentów określających zasady zarządzania bezpieczeństwem informacji, których brak stwierdzono po przeprowadzeniu analizy ryzyka. 8. W opracowaniu winny być wzięte pod uwagę następujące zagadnienia: Wymagania w zakresie zabezpieczeń teleinformatycznych, Zasady bezpiecznego przetwarzania informacji przez pracowników Zamawiającego, Stosowanie zasady czystego biura i czystego ekranu, Zabezpieczenie stacji roboczych, Zasady klasyfikacji informacji i postępowania z informacjami klasyfikowanymi, Zasady zarządzania dostępem do informacji, w tym nadawania, modyfikacji, odbierania uprawnień oraz przeglądu uprawnień, Zasady zarządzania dostępem do usług informatycznych, w tym usług sieciowych, Zarządzanie mechanizmami uwierzytelniającymi, w tym hasłami, Zasady publikacji informacji, Zasady wymiany danych z podmiotami zewnętrznymi, Zasady wewnętrznej wymiany danych, Zasady postępowania z nośnikami informacji, w tym składowanie i wymiana nośników oraz niszczenie informacji zapisanych na nośnikach, Zasady wprowadzania zmian w przetwarzaniu informacji, w szczególności z wykorzystaniem systemów informatycznych, z uwzględnieniem testowania bezpieczeństwa wprowadzanych rozwiązań, Strona 5 z 8

6 Wytyczne w zakresie utrzymania dokumentacji zabezpieczeń i systemów informatycznych, Zasady zgłaszania podatności w mechanizmach przetwarzających informacje, Zasady postępowania w przypadku incydentu naruszenia bezpieczeństwa informacji, Zasady kontroli bezpieczeństwa informacji, Zasady zarządzania oprogramowaniem, Zasady zarządzania kopiami zapasowymi, Zasady zarządzania kopiami archiwalnymi, Zasady konserwacji i serwisu zabezpieczeń technicznych i systemów informatycznych Zasady monitorowania bezpieczeństwa infrastruktury informatycznej, Zasady przygotowania urządzeń IT do ponownego użycia, Zasady wycofywania urządzeń IT z użycia, Zasady bezpiecznego korzystania z urządzeń mobilnych, Zasady bezpiecznej pracy zdalnej, Zasady ochrony przed złośliwym oprogramowaniem, Zasady zarządzania mechanizmami kryptograficznymi, Zasady monitorowania przepisów prawnych związanych z zabezpieczeniem przetwarzanych informacji oraz wprowadzania zmian wynikających z obowiązków prawnych, Wytyczne w zakresie ochrony fizycznej i technicznej, Wytyczne w zakresie monitorowania przepisów prawnych związanych z ochroną informacji, Wytyczne w zakresie bezpiecznej współpracy z podmiotami zewnętrznymi, Wytyczne w zakresie bezpiecznego świadczenia usług związanych z przetwarzaniem informacji, Wytyczne w zakresie bezpieczeństwa osobowego w procesach rekrutacji i zarządzania personelem, Dokumenty w zakresie ciągłości działania: o Strategia ciągłości przetwarzania informacji, o Plan ciągłości działania dla sytuacji uniemożliwienia przetwarzania informacji, o Plan komunikacji kryzysowej na wypadek braku możliwości przetwarzania informacji, o Zasady przeglądu i aktualizacji planu, o Zasady testowania planu ciągłości działania; 9. Opracowanie procedur zarządzania usługami Procedury zarządzania usługami obejmować będą: Projektowania i wdrażania nowych lub zmodyfikowanych usług, Zarządzania poziomem usług, Raportowania usług, Zarządzania dostępnością usług, Zapewnienia ciągłości świadczenia usług, Budżetowania i rozliczania usług, Strona 6 z 8

7 Zarządzania pojemnością, Zarządzania relacjami, Zarządzania incydentami, Zarządzania problemami, Zarządzania konfiguracją, Zarządzania wydaniami; 10. Sporządzenie i dostarczenie raportu z audytu w wersji elektronicznej edytowalnej oraz 3 egzemplarzy w wersji papierowej; opracowany raport audytu wraz z opisem dowodów, zawierać ma m.in.: a) ocenę stopnia spełnienia wymogów wymienionych w 20 Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2016 r. poz. 113 i 1744), b) ocenę stopnia spełnienia wymogów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922) i wydanych do niej rozporządzeń wykonawczych, c) ocenę spełnienia skuteczności stosowanych zabezpieczeń, d) wskazanie obszarów wymagających doskonalenia, e) dowody na obecność wykrytych podatności oraz popierające zawarte w raporcie z audytu teleinformatycznego analizy i stwierdzenia, f) określenie zakresu i priorytetu działań naprawczych. Raport z audytu zostanie omówiony z kadrą kierowniczą Urzędu w dniu podpisania protokołu odbioru zamówienia, lub w innym uzgodnionym terminie poprzedzającym podpisanie protokołu odbioru, nie wcześniej jednak niż przed zakończeniem prac. 11. Opracowanie dokumentacji wymienionej w 1 pkt 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), tj. : a) Polityki Bezpieczeństwa, b) Instrukcji Zarządzania Systemem Informatycznym, - wraz z wymaganymi procedurami i instrukcjami, takimi jak np. Instrukcja alarmowa, stanowiącymi załączniki do dokumentów wymienionych w lit. a) i b), bądź odrębne dokumenty; c) dostosowanie dokumentacji określonej w lit. a) i b) do potrzeb Wojewódzkiego Urzędu Pracy w Lublinie z uwzględnieniem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, 12. Opracowanie dokumentacji dla Wojewódzkiego Urzędu Pracy w Lublinie w związku z wdrożeniem rozporządzenia Parlamentu Europejskiego i Rady (UE) Strona 7 z 8

8 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, z uwzględnieniem zwłaszcza: a) działań niezbędnych do płynnego wdrożenia przepisów rozporządzenia, wraz z ich uzasadnieniem, b) nowych dokumentów, które muszą zostać opracowane, c) wskazanie dokumentów, które należy dostosować i zakresu ich dostosowania, d) wskazanie niezbędnych i pożądanych regulacji wewnętrznych, które winny być podjęte, e) sporządzenie harmonogramu wdrożenia nowych przepisów obejmującego okres od r. do r.; 13. Szkolenie pracowników z zakresu bezpieczeństwa informacji i ochrony danych osobowych, obejmujące: a) omówienie zasad bezpieczeństwa informacji, wynikających z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym, b) omówienie zagrożeń bezpieczeństwa informacji, c) zapoznanie ze skutkami naruszeń zasad bezpieczeństwa informacji, d) przedstawienie stosowania środków zapewniających bezpieczeństwo informacji, e) przedstawienie zasad zgłaszania i reagowania na incydenty. 14. Warunki realizacji zamówienia: 1. Szczegółowe parametry zamówienia: ilość pracowników: 217, ilość lokalizacji: 4, ilość serwerów: 14 ilość stacji komputerowych: 330, ilość stacji komputerowych bez dostępu do sieci wewnętrznej urzędu: 27; 2. Zadania opisane w pkt. 1, 2, 5 należy przeprowadzić w siedzibie Zamawiającego. Strona 8 z 8

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax Powiatowy Urząd Pracy 44-200 Rybnik ul. Jankowicka 1 tel. 32/4226095, 4260036, fax 4223962 e-mail: kancelaria@pup-rybnik.pl www.pup-rybnik.pl OR.0420-73/16/AB Rybnik, dn. 28.10.2016 r. Wykonawcy wg rozdzielnika

Bardziej szczegółowo

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Specyfikacja audytu informatycznego Urzędu Miasta Lubań Specyfikacja audytu informatycznego Urzędu Miasta Lubań I. Informacje wstępne Przedmiotem zamówienia jest wykonanie audytu informatycznego dla Urzędu Miasta Lubań składającego się z: 1. Audytu bezpieczeństwa

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Opis przedmiotu zamówienia

Opis przedmiotu zamówienia Załącznik nr 1 do zaproszenia Opis przedmiotu zamówienia I. 1. 2. 3. AUDYT BEZPIECZEŃSTWA PRZETWARZANIA INFORMACJI, AUDYT BEZPIECZEŃSTWA TELEINFORMATYCZNEGO, AUDYT LEGALNOŚCI OPROGRAMOWANIA W POWIATOWYM

Bardziej szczegółowo

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax Powiatowy Urząd Pracy 44-200 Rybnik ul. Jankowicka 1 tel. 32/4226095, 4260036, fax 4223962 e-mail: kancelaria@pup-rybnik.pl www.pup-rybnik.pl OR.0420.78.2017.AB Rybnik, dn. 17.11.2017 r. Wykonawcy wg rozdzielnika

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Audytowane obszary IT

Audytowane obszary IT Załącznik nr 1 do OPZ Zakres audytu wewnętrznego Audytowane obszary IT Audyt bezpieczeństwa wewnętrznego odbywać się będzie w 5 głównych obszarach 1) Audyt konfiguracji systemów operacyjnych na wybranych

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem

Bardziej szczegółowo

Zapytanie ofertowe nr OR

Zapytanie ofertowe nr OR Kąty Wrocławskie dnia 17.03.2017 Zapytanie ofertowe nr OR.135.1.2017-1 Szanowni Państwo, Urząd Miasta i Gminy w Kątach Wrocławskich zaprasza Państwa do złożenia oferty cenowej na wykonanie audytu w zakresie

Bardziej szczegółowo

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie

Bardziej szczegółowo

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,

Bardziej szczegółowo

Załącznik nr 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy. UMOWA. zawarta w dniu w Rybniku pomiędzy:

Załącznik nr 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy. UMOWA. zawarta w dniu w Rybniku pomiędzy: Załącznik nr 1 Istotne dla Zamawiającego postanowienia, które zostaną wprowadzone w treści umowy. UMOWA zawarta w dniu w Rybniku pomiędzy: Powiatowym Urzędem Pracy w Rybniku, ul. Jankowicka 1, 44-200 Rybnik

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych. 1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki

Bardziej szczegółowo

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji. Zapytanie ofertowe nr CUPT/DO/OZ/AW/26/36/AB/13 Szanowni Państwo, Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa

Bardziej szczegółowo

Deklaracja stosowania

Deklaracja stosowania PSZ.0141.3.2015 Deklaracja stosowania Wymagania PN-ISO/IEC 27001:2014-12 5 Polityki bezpieczeństwa informacji 5.1 Kierunki bezpieczeństwa informacji określane przez kierownictwo 5.1.1 Polityki bezpieczeństwa

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak

Bardziej szczegółowo

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia Załącznik nr 6 do SIWZ ZP/195/025/U/12 Załącznik nr 1 do umowy Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia 1 SPIS TREŚCI

Bardziej szczegółowo

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI> Załącznik nr 23 do Umowy nr... z dnia... MINISTERSTWO FINANSÓW DEPARTAMENT INFORMATYKI DOKUMENTACJA BEZPIECZEŃSTWA styczeń 2010 Strona 1 z 13 Krótki opis dokumentu Opracowano na

Bardziej szczegółowo

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik

Bardziej szczegółowo

Reforma ochrony danych osobowych RODO/GDPR

Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa

Bardziej szczegółowo

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach Samodzielny Publiczny Szpital Kliniczny Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach 41-800 Zabrze, ul. 3-go Maja 13-15 http://www.szpital.zabrze.pl ; mail: sekretariat@szpital.zabrze.pl

Bardziej szczegółowo

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Certified IT Manager Training (CITM ) Dni: 3. Opis: Kod szkolenia: Tytuł szkolenia: HK333S Certified IT Manager Training (CITM ) Dni: 3 Opis: Jest to trzydniowe szkolenie przeznaczone dla kierowników działów informatycznych oraz osób, które ubiegają się

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Opis przedmiotu zamówienia

Opis przedmiotu zamówienia Nasz znak OR.272.15.2014 Załącznik nr 5 Opis przedmiotu zamówienia Przedmiotem zamówienia jest: Uruchomienie punktu potwierdzania profilu zaufanego na potrzeby projektu pn. Urzędy na miarę potrzeb i oczekiwań

Bardziej szczegółowo

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach Wdrożony Zintegrowany System Zarządzania obejmuje swoim zakresem wszystkie komórki organizacyjne Urzędu Dobczyce, dnia 15 listopada 2013 roku Rozdział Opis normy/wymaganie Sposób realizacji A.5 Polityka

Bardziej szczegółowo

Szczegółowe informacje o kursach

Szczegółowe informacje o kursach Szczegółowe informacje o kursach Adresaci: Cele: Dyrektorzy szkół/placówek oświatowych. ADMINISTRATOR DANYCH OSOBOWYCH (ADO) Przekazanie uczestnikom informacji dotyczących wymagań prawnych stawianym jednostkom

Bardziej szczegółowo

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata. Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata. Dokument przedstawia opis stosowanych przez Archivodata środków i procedur bezpieczeństwa, służących zabezpieczeniu

Bardziej szczegółowo

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4) W dzisiejszej części przedstawiamy dalsze informacje związane z polityką bezpieczeństwa, a dokładnie przeczytacie Państwo o sposobie przepływu danych pomiędzy poszczególnymi systemami; na temat określenia

Bardziej szczegółowo

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. Usprawnienie procesu zarządzania konfiguracją Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. 1 Typowy model w zarządzaniu IT akceptacja problem problem aktualny stan infrastruktury propozycja

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem Warszawa, 2017-04-21 1. BEZPIECZEŃSTWO PRZETWARZANIA INFORMACJI W SYSTEMACH INFORMATYCZNYCH Bezpieczeństwo informacji

Bardziej szczegółowo

Maciej Byczkowski ENSI 2017 ENSI 2017

Maciej Byczkowski ENSI 2017 ENSI 2017 Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte

Bardziej szczegółowo

1. Zakres modernizacji Active Directory

1. Zakres modernizacji Active Directory załącznik nr 1 do umowy 1. Zakres modernizacji Active Directory 1.1 Opracowanie szczegółowego projektu wdrożenia. Określenie fizycznych lokalizacji serwerów oraz liczby lokacji Active Directory Określenie

Bardziej szczegółowo

Zakres wymagań dotyczących Dokumentacji Systemu

Zakres wymagań dotyczących Dokumentacji Systemu Załącznik nr 2 do Umowy nr CUI/.../.../.../2014 z dnia r. Zakres wymagań dotyczących Dokumentacji Systemu 1. Uwagi i wymagania ogólne 1. Dokumentacja musi zostać dostarczona w wersji elektronicznej edytowalnej

Bardziej szczegółowo

Czy wszystko jest jasne??? Janusz Czauderna Tel

Czy wszystko jest jasne??? Janusz Czauderna Tel 1 Czy wszystko jest jasne??? Janusz Czauderna Tel. 505 328 100 jczauderna@volvox.pl Jednostki finansów publicznych Kontrola Zarządcza Krajowe Ramy Interoperacyjności Jednostki finansów publicznych, niektóre

Bardziej szczegółowo

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r. ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie

Bardziej szczegółowo

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka Kategoria : informacja jawna Bezpieczeństwo w Urzędzie Miasta Strona 1 Cele stosowania zabezpieczeń i zabezpieczenia A.5 Polityki A.5.1 Kierunki określane przez kierownictwo Cel: Zapewnienie przez kierownictwo

Bardziej szczegółowo

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55 Aby uzyskać szczegółowe instrukcje do opracowania dokumentu należy otworzyć poniższe hiperłącze: 400 - B.V Środowisko komputerowych systemów informatycznych.pdf 1. Czy chcesz przeprowadzić pełny czy skrócony

Bardziej szczegółowo

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,

Bardziej szczegółowo

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Kategoria : informacja publiczna dostępna Bezpieczeństwo Strona 1 Cele stosowania zabezpieczeń i zabezpieczenia A.5 Polityki bezpieczeństwa A.5.1 Kierunki bezpieczeństwa określane przez kierownictwo Cel:

Bardziej szczegółowo

Opis Przedmiotu Zamówienia

Opis Przedmiotu Zamówienia Załącznik nr 1 do SIWZ Opis Przedmiotu Zamówienia Świadczenie usługi audytu w ramach Projektu Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (P1)

Bardziej szczegółowo

ZAPROSZENIE DO SKŁADANIA OFERT

ZAPROSZENIE DO SKŁADANIA OFERT Numer sprawy: BAK.WZP.230.2.2015.14 Warszawa, dnia 6 marca 2015 r. ZAPROSZENIE DO SKŁADANIA OFERT 1. Zamawiający: Skarb Państwa - Urząd Komunikacji Elektronicznej zwany dalej Zamawiającym lub UKE, z siedzibą

Bardziej szczegółowo

Kompleksowe Przygotowanie do Egzaminu CISMP

Kompleksowe Przygotowanie do Egzaminu CISMP Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs

Bardziej szczegółowo

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów: Rozdział I Szczegółowy opis przedmiotu umowy Załącznik nr 1 do Umowy Architektura środowisk SharePoint UMWD 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów: a) Środowisko

Bardziej szczegółowo

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r. Sprawa numer: BAK.WZP.26.18.2016.30 Warszawa, dnia 16 sierpnia 2016 r. Zaproszenie do udziału w ustaleniu wartości zamówienia publicznego 1. Zamawiający: Skarb Państwa - Urząd Komunikacji Elektronicznej

Bardziej szczegółowo

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW. z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Dziennik Ustaw Nr 159 9338 Poz. 948 948 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Na podstawie art. 49 ust. 9 ustawy

Bardziej szczegółowo

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego

ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Dz.U. 2011.159.948 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego Na podstawie art. 49 ust. 9 ustawy z dnia 5 sierpnia 2010

Bardziej szczegółowo

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? Przedstawiony pakiet usług ma za cel wspomaganie systemu zarządzania bezpieczeństwem informacyjnym, obejmującego strukturę zarządzania bezpieczeństwem IT oraz

Bardziej szczegółowo

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM Rok szkolny 2013/2014 1 Obowiązki Administratorów Systemu Do obowiązków Administratorów

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Kwestionariusz samooceny kontroli zarządczej

Kwestionariusz samooceny kontroli zarządczej Kwestionariusz samooceny kontroli zarządczej załącznik Nr 6 do Regulaminu kontroli zarządczej Numer pytania Tak/nie Odpowiedź Potrzebne dokumenty Środowisko wewnętrzne I Przestrzeganie wartości etycznych

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

CERTYFIKACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI ISMS Z WYKORZYSTANIEM KOMPUTEROWO WSPOMAGANYCH TECHNIK AUDITOWANIA CAAT

CERTYFIKACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI ISMS Z WYKORZYSTANIEM KOMPUTEROWO WSPOMAGANYCH TECHNIK AUDITOWANIA CAAT CERTYFIKACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI ISMS Z WYKORZYSTANIEM KOMPUTEROWO WSPOMAGANYCH TECHNIK AUDITOWANIA CAAT Monika STOMA, Agnieszka DUDZIAK, Wiesław PIEKARSKI Streszczenie: W pracy

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego

z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego Projekt z dnia 9 stycznia 2017 r. ROZPORZĄDZENIE MINISTRA ROZWOJU I FINANSÓW 1) z dnia 2017 r. w sprawie funkcjonowania schematu płatniczego Na podstawie art. 132zv ustawy z dnia 19 sierpnia 2011 r. o

Bardziej szczegółowo

Szczegółowy zakres przedmiotu zamówienia. I. Opieka nad serwerami TAK/NIE

Szczegółowy zakres przedmiotu zamówienia. I. Opieka nad serwerami TAK/NIE Szczegółowy zakres przedmiotu zamówienia Załącznik nr 7 do SIWZ I. Opieka nad serwerami TAK/NIE 1 Prace konserwacyjne przynajmniej dwa razy do roku (prócz rakcji na awarie) Całodobowy monitoring pracy

Bardziej szczegółowo

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca

Bardziej szczegółowo

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

Ochrona Informacji i innych aktywów Zamawiającego

Ochrona Informacji i innych aktywów Zamawiającego Ochrona Informacji i innych aktywów Zamawiającego 1 Postanowienia wstępne 1. W trakcie realizacji Umowy Wykonawca może mieć dostęp do informacji, systemów informatycznych oraz innych aktywów Zamawiającego

Bardziej szczegółowo

Amatorski Klub Sportowy Wybiegani Polkowice

Amatorski Klub Sportowy Wybiegani Polkowice Polityka Bezpieczeństwa Informacji w stowarzyszeniu Amatorski Klub Sportowy Wybiegani Polkowice (Polkowice, 2017) SPIS TREŚCI I. Wstęp... 3 II. Definicje... 5 III. Zakres stosowania... 7 IV. Miejsce w

Bardziej szczegółowo

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji: 2 Plan studiów podyplomowych Systemy Zarządzania Bezpieczeństwem Informacji Edycja II w roku akademickim 2015/2016 Semestr I Lp. ECTS F. zaj. F. zal. Godz. 1. Istota informacji we współczesnych organizacjach

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ Załącznik nr 2 do zasad kontroli zarządczej II poziomu w powiatowych jednostkach organizacyjnych L.p. KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ TAK NIE NIE W PEŁN I

Bardziej szczegółowo

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu

Bardziej szczegółowo

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie

Bardziej szczegółowo

Bezpieczeństwo systemów informacyjnych

Bezpieczeństwo systemów informacyjnych Franciszek Wołowski Janusz Zawiła-Niedêwiecki Bezpieczeństwo systemów informacyjnych Praktyczny przewodnik zgodny z normami polskimi i międzynarodowymi Poradnik jest skierowany w pierwszej kolejności do

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach

Bardziej szczegółowo

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA ZESPÓŁ SZKÓŁ PLASTYCZNYCH W DĄBROWIE GÓRNICZEJ CZĘŚĆ OGÓLNA Podstawa prawna: 3 i 4 rozporządzenia Ministra Spraw

Bardziej szczegółowo

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta

Bardziej szczegółowo

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006 ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005

Bardziej szczegółowo

Informację sporządzoną według poniższego wzoru należy przesłać do dnia 27 czerwca 2014 r. do godz. 15.00 na adres p.swiader@uke.gov.

Informację sporządzoną według poniższego wzoru należy przesłać do dnia 27 czerwca 2014 r. do godz. 15.00 na adres p.swiader@uke.gov. Zaproszenie do sporządzenia informacji niezbędnych do ustalenia wartości zamówienia publicznego na: Audyt bezpieczeństwa oraz przygotowanie do certyfikacji Systemu PLI CBD Szanowni Państwo, Urząd Komunikacji

Bardziej szczegółowo

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH Dr Artur Romaszewski Uniwersytet Jagielloński - Collegium Medicum Wydział Nauk o Zdrowiu Zakład Medycznych Systemów Informacyjnych Dr hab. med. Wojciech Trąbka Uniwersytet Jagielloński - Collegium Medicum

Bardziej szczegółowo

Monitorowanie systemów IT

Monitorowanie systemów IT Monitorowanie systemów IT Zmiany w Ustawie o Ochronie Danych Osobowych Adam Wódz CISSP QSA ASV Business Unit Director Security Solution Cybercom Poland Agenda Co i kiedy zmieni się w ustawie o ochronie

Bardziej szczegółowo

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów Prowadzący: Artur Cieślik MBA, IRCA lead auditor ISO/IEC 27001, redaktor naczelny IT Professional

Bardziej szczegółowo

Rozdział I Zagadnienia ogólne

Rozdział I Zagadnienia ogólne Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych

Bardziej szczegółowo

ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE

ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE Urząd Gminy Kęty Dokument Systemu Zarządzania Bezpieczeństwem Informacji ZARZĄDZANIE INCYDENTAMI DZIAŁANIA KORYGUJĄCE ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik

Bardziej szczegółowo

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa

Bardziej szczegółowo

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.

Bardziej szczegółowo

Data utworzenia 2014-01-07. Numer aktu 1. Akt prawa miejscowego NIE

Data utworzenia 2014-01-07. Numer aktu 1. Akt prawa miejscowego NIE ZARZĄDZENIE Nr 1/2014 MARSZAŁKA WOJEWÓDZTWA MAŁOPOLSKIEGO z dnia 7 stycznia 2014 roku w sprawie zmiany Zarządzenia Nr 40/2013 Marszałka Województwa Małopolskiego z dnia 30 kwietnia 2013 roku w sprawie

Bardziej szczegółowo

HARMONOGRAM SZKOLENIA

HARMONOGRAM SZKOLENIA Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) , 25 maja 2018 roku zaczną być stosowane przepisy Ogólnego rozporządzenia o ochronie danych osobowych (RODO), które w zupełnie inny niż dotychczas sposób regulują zasady przetwarzania, tychże danych. Nowa

Bardziej szczegółowo