Zarządzanie bezpieczeństwem informacji w organizacji
|
|
- Szczepan Żurawski
- 6 lat temu
- Przeglądów:
Transkrypt
1 Mariusz Giemza 1 Zarządzanie bezpieczeństwem informacji w organizacji Wstęp Początek XXI wieku jest czasem wysokiego tempa rozwoju technik informatycznych, umożliwiających zgromadzenie w jednym fizycznym miejscu dużego zasobu danych. Właściwe wykorzystywanie i zachowanie tego zasobu staje się priorytetem w zarządzaniu organizacją. Opracowanie danych prowadzi do powstania informacji, która w wyniku tego procesu staje się wartością dla organizacji. Z tego powodu bezpieczeństwo informacji spotyka się z coraz większym zainteresowaniem ze strony wielu organizacji. Informacja traktowana jest też jako bardzo ważny element zasobów biznesowych, dlatego też zauważyć można wzrost działań mających na celu zabezpieczenia jej przed nieautoryzowanym dostępem, zmianami lub kradzieżą. Utrata lub udostępnienie informacji stanowiących tajemnicę lub wartość intelektualną lub handlową wiąże się z utratą reputacji, zakończeniem działalności na rynku, a nawet problemami natury prawnej. Z tego właśnie względu informację należy chronić oraz odpowiednio nią zarządzać. Organizacje zainteresowane wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji zmuszone są przeprowadzić dogłębną analizę swoich zasobów w celu określenia możliwych zagrożeń oraz podatności na te zagrożenia. Analiza ryzyka pozwala ustalić sposób, w jaki można wyeliminować (a przynajmniej zminimalizować) zagrożenia. Jeden ze słynnych na świecie hakerów Kevin Mitnick, w książce pod tytułem Łamałem ludzi nie hasła udowodnił, iż na bezpieczeństwo informacji należy spojrzeć z szerszej perspektywy, nie tylko technicznej, ale i społecznej. Z pomocą przychodzą liczne rozwiązania i narzędzia pozwalające w odpowiedni sposób zabezpieczyć organizację od strony sprzętowej, programowej czy systemowej. Wdrożenie konkretnych zabezpieczeń nie oznacza zapewnienia całkowitego bezpieczeństwa. Organizacja musi określić sposób przetwarzania informacji, monitorowania systemów przechowywania i przetwarzania informacji oraz przeprowadzać szkolenia mające na celu uświadamianie jej pracowników. W proces zapewnienia bezpieczeństwa zasobów informacyjnych powinni się włączyć wszyscy pracownicy (w tym, zgodnie z zasadami zarządzania jakością, najwyższe kierownictwo). W miarę konieczności w procesie tym winny brać udział też inne organizacje, które współpracują z daną organizacją posiadającą wdrożony SZBI. Zarządzanie bezpieczeństwem informacji musi uwzględniać także wymagania prawne obowiązujące w danym kraju. W Polsce do wymagań prawnych zalicza się przede wszystkim: 1. Ustawę z dnia 16 VI 1993 r. o zwalczaniu nieuczciwej konkurencji - art Ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych art Ustawę z dn. 22 stycznia 1999 r. o ochronie informacji niejawnych art Ustawę z dnia 27 lipca 2007 r. o ochronie baz danych - art Ustawę z dnia 6 września 2001 r. o dostępie do informacji publicznej art Mariusz Giemza - dr inż., Katedra Zarządzania Jakością, Uniwersytet Ekonomiczny w Krakowie.
2 30 Mariusz Giemza Dokumenty te narzucają klasyfikację określonych rodzajów informacji. Charakteryzują również wymagania dotyczące oznaczania, przetwarzania i przechowywania danych (zarówno w formie papierowej, jak i elektronicznej). Nowoczesnym rozwiązaniem umożliwiającym w sposób kompleksowy zapewnienie bezpieczeństwa informacji w organizacji jest realizacja wymagań zamieszczonych w normie PN-ISO/IEC 27001:2007 (będąca wprowadzeniem ISO/IEC 27001:2005). Normy z rodziny ISO serii 9000 czy serii są z powodzeniem stosowane w wielu organizacjach, umożliwiają zarządzanie określonym aspekt funkcjonowania. Dlatego kolejna seria norm ISO/IEC o numerze umożliwia opracowanie, wdrożenie i rozwijanie SZBI organizacji. Charakterystyka norm ISO/IEC serii Grupa norm ISO/IEC serii jest najnowszą rodziną norm. Część norm jestjuż opublikowana, natomiast część pozostaje jeszcze w opracowaniu. Dotychc opublikowano następujące normy: 1. ISO/IEC 27000:2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary. W normie mieszczono ogólne informacje dotyczące SZBI, przedstawiono pojęcia i definicje stosowane w SZBI, opisano cykl PDCA w kontekście zapewnienia bezpieczeństwa informacji. 2. PN-ISO/IEC 27001: Technika informatyczna - Techniki bezpieczeństwa - Systemy Zarządzania Bezpieczeństwem Informacji - Wymagania - norma została opublikowana w listopadzie 2005 r. Zastąpiła istniejącą już normę BS :2002, jej celem jest również uzupełnienie normy ISO/IEC 17799:2005 (Standard ma zapewnić specyfikację dla SZBI w organizacji, a także umożliwić przeprowadzenie auditu i certyfikacji. W normie zastosowano podejście procesowe, system jest dostosowany do integracji wymagań norm ISO 9001:2 oraz ISO 14001: ISO/IEC 27002:2005 Information technology - Security techniąues Code of practice for information security management. W normie zamieszczono najlepsze praktyki dotyczące nadzoru obszarów zarządzania bezpieczeństwem informacji w organizacji, takich jak: - polityka bezpieczeństwa, - organizacja ochrony informacji, - zarządzanie aktywami, - bezpieczeństwo zasobów ludzkich, - fizyczne i środowiskowe bezpieczeństwo, - komunikacja i zarządzanie operacji, - kontrola dostępu, - nabywanie systemów informacyjnych, rozwój i utrzymanie, - zarządzanie przypadkami ochrony informacji, - zarządzanie współpracą z klientem. 4. ISO/IEC 27005:2008 Information technology - Security techniąues - Information security risk management. W normie zawarto informacje dotyczące technik
3 Zarządzanie bezpieczeństwem informacji w organizacji 31 pozwalających na zarządzanie ryzykiem, które mogłoby doprowadzić do naruszenia bezpieczeństwa informacji. 5. PN-ISO/IEC 27006: Technika informatyczna - Techniki bezpieczeństwa - Wymagania dla jednostek prowadzących audit i certyfikację Systemów Zarzą dzania Bezpieczeństwem Informacji. W normie przedstawiono wymagania i podano wytyczne dla jednostek prowadzących audit i certyfikację SZBI jako uzupełnienie wymagań zawartych w 1SO/IEC i ISO/IEC ISO/IEC 27011:2008 Information technology - Security techniques - Informa tion security management guidelines for telecommunications organizations based on ISO/IEC W normie zamieszczono wytyczne do wprowadzenia SZBI dla organizacji z sektora telekomunikacji. 7. PN-ISO/IEC 27799: Informatyka w ochronie zdrowia - Wytyczne w zakresie wprowadzenia normy ISO/IEC w sektorze medycznym - norma jest dokumentem opracowanym na potrzeby instytucji branży medycznej, opisuje możliwości wprowadzania systemu ochrony informacji poprzez wdrożenie wymagań normy ISO/IEC Dotychczas opracowane normy ISO serii są spójne z pozostałymi systemami zarządzania wdrażanymi w organizacjach (ISO 9001:2008 oraz ISO 14001:2005). Opracowanie wszystkich norm z rodziny standardów ISO serii pozwoli w odpowiedni sposób podchodzić do kwestii bezpieczeństwem informacji w każdej organizacji. Do norm pozostających w opracowaniu zalicza się natomiast normy 2 : 1. ISO/IEC Technika informatyczna Techniki bezpieczeństwa - Prak tyczne zasady zarządzania bezpieczeństwem informacji - norma zawierać bę dzie wskazówki dotyczące tworzenia, wdrażania Systemu Zarządzania Bezpie czeństwem Informacji. 2. ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Wskaź niki i pomiar w bezpieczeństwie informacji - znaleźć się w niej mają zagadnie nia związane z mierzeniem i raportowaniem efektywności SZBI w odniesieniu zarówno do samego procesu zarządzania bezpieczeństwem, jak i poszczegól nych zabezpieczeń. 3. ISO/IEC Technika informatyczna Techniki bezpieczeństwa - Wy tyczne do auditów Systemów Zarządzania Bezpieczeństwem Informacji - w normie zostaną zdefiniowane dobre praktyki dla przeprowadzania auditów wewnętrznych i certyfikacyjnych SZBI. 4. ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Goto wość ICT do ciągłości działania - norma będzie dotyczyć ciągłości działania. 5. ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Wy tyczne w zakresie cyberbezpieczeństwa - sugerowana nazwa normy jest propo zycją dla opracowania standardu dotyczącego bezpieczeństwa w Internecie. 6. ISO/IEC norma jest propozycją zastąpienia istniejącej normy ISO/IEC 18028:2006 dotyczącej bezpieczeństwa sieci teleinformatycznych. Składać się ma z siedmiu norm: 2
4 32 Mariusz Giemza ISO/IEC l - Information technology Security techniques - Network security Guidelines for network security, - ISO/IEC Information technology - Security techniques - Network security - Guidelines for design and implementation of network, - ISO/IEC IT network security - Reference networking scenarios - Risks, design, technologies and control issues, - ISO/IEC IT network security Security network information with network security getaways - Risks, design techniąues and control issues, - ISO/IEC IT network security - Secure remote access - Risks, design techniąues and control issues, ISO/IEC IT network security - Securing Communications across networks using Virtual Private Networks, - ISO/IEC IT network security - Guidelines for the design and im plementation of network security. 7. ISO/IEC Technika informatyczna - Techniki bezpieczeństwa - Wytyczne w zakresie bezpieczeństwa aplikacji. Budowa systemu zarządzania bezpieczeństwem informacji Informacja traktowana jest jako kluczowy towar, któremu przypisuje się odpowiednią wartość, przydatność i znaczenie. Określenie jej wartości jest niezmiernie istotne dla każdego rodzaju organizacji 3. Fakt ten determinuje podejmowanie działań mających na celu zabezpieczenie istotnych dla funkcjonowania informacji przed jakimkolwiek nieautoryzowanym dostępem. Aby ochrona informacji była skuteczna i przynosiła jak najwięcej korzyści, musi być odpowiednio zarządzana. Z tego właśnie względu wiele organizacji wdraża lub deklaruje konieczność wdrożenia SZBI opracowanego na bazie wymagań norm ISO/IEC 27001:2005 oraz ISO/IEC 27002:2005. W normach tych określono wymagania dotyczące ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia udokumentowanego SZBI w kontekście ryzyka, szczególnie ryzyka związanego z prowadzeniem działalności gospodarczej. W normie PN-ISO/IEC 27001:2007 zamieszczono wymagania Systemu Zarządzania Bezpieczeństwem Informacji. Coraz częściej posiadanie certyfikatu na zgodność z tą normą jest podstawowym wymogiem, który organizacja musi spełnić zawierając kontrakty z partnerami handlowymi. Wprowadzenie takiego systemu powinno mieć charakter strategiczny (biorąc pod uwagę potrzeby i cele biznesowe, wymagania bezpieczeństwa, realizowane procesy w organizacji oraz jej wielkość i strukturę organizacyjną). System jest tak zaprojektowany, aby uzyskać zaufanie zainteresowanych stron, a także po to, aby zapewnić odpowiednie zabezpieczenia chroniące aktywa informacyjne. Podobnie jak w innych normach ISO, dotyczących systemów zarządzania w organizacjach, zaleca się stosowanie podejścia procesowe- T. Humphreys, ISMS users welcome ISO/IEC the new international benchmark, ISO Management Systems, March - April 2006, s. 9. P. Mąkosa, System zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001: Wprowadzenie, ABC Jakości. Akredytacja. Badania. Certyfikacja. Quality Review, 2007, nr 1-2, s. 19.
5 Zarządzanie bezpieczeństwem informacji w organizacji 33 go w celu ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymywania i doskonalenia SZBI. Rysunek l. Model PDCA stosowany w procesach SZBI Źródło: PN-ISO/IEC 27001:2007, s. 7. Poszczególne etapy tego procesu opisane są następująco : 1. Plan (planuj) - jest to etap, w trakcie którego następuje ustanowienie polityki SZBI, celów, procesów, a także procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji, tak aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji. 2. Do (wykonaj) - na tym etapie następuje wdrożenie i realizacja polityki SZBI, zabezpieczeń, procesów oraz procedur. 3. Check (sprawdź) - etap ten obejmuje szacowanie oraz pomiar wydajności pro cesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie kierownictwu raportów do przeglądu. 4. Act (działaj) - następuje podejmowanie działań korygujących i zapobiegaw czych w oparciu o wyniki wewnętrznego auditu SZBI przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłe go doskonalenia SZBI. Zastosowanie tego modelu odzwierciedla również zasady określone w zaleceniach OECD (Organisation for Economic Co-operatlon and Development) dotyczące bezpieczeństwa sieci i systemów teleinformatycznych. Zasady te są następujące: świadomość uczestników, odpowiedzialność uczestników, reakcja uczestników, szacowanie ryzyka, opracowanie i wdrożenie bezpieczeństwa, zarządzanie bezpieczeństwem, powtórne szacowanie. 5 PN-ISO/IEC 27001:2007: Technika informatyczna - Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji - Wymagania, s. 7.
6 34 Mariusz Giemza Norma PN-ISO/IEC 27001:2007 została zaprojektowana w taki sposób, aby umożliwić każdej organizacji dopasowanie się do zawartych w normie wymagań lub też zintegrowanie SZBI z istniejącymi lub projektowanymi systemami zarządzania, na przykład z ISO 9001:2008 i/lub ISO 14001:2004 (w rozdziale O, punkt 0.3 jest zapis: niniejszą Normę Międzynarodową dostosowano do ISO 9001:2000 i ISO 14001:2004, aby wspierać jej spójne i zintegrowane wdrażanie i eksploatację wraz z innymi normami dotyczącymi zarządzania. Jeden odpowiednio zaprojektowany system zarządzania może zatem spełnić wymagania wszystkich norm" 6. Norma składa się z części podstawowej oraz trzech załączników. Część podstawowa definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi auditami, przeglądami oraz ciągłym doskonaleniem SZBI. W załącznikach zawarto następujące informacje : 1. Załącznik A - zamieszczono cele stosowania zabezpieczeń i zabezpieczenia, załącznik dotyczy rozdziału 4 normy, punkty od A.5 do A Załącznik B przedstawiono zasady OECD dotyczących bezpieczeństwa telein formatycznego i powiązano z fazami modelu PDCA. 3. Załącznik C zawiera powiązania ISO 9001, ISO z normą PN-ISO/IEC 27001:2007, wykazano powiązania pomiędzy poszczególnymi punktami wy mienionych norm. Wymagania PN-ISO/IEC 27001:2007 normy nie narzucają rodzaju nośnika informacji, na którym ma być utrwalony ustanowiony SZBI wymagania odnoszą się zarówno do informacji zapisanej w formie pisemnej jak i przechowywanej na nośnikach elektronicznych. Z oczywistych względów zakres dostępu do odpowiednich zasobów informacji, szczególnie gdy system jest w postaci elektronicznej, zależny jest od hierarchii stanowiska osoby zainteresowanej. W rozdziale 4.1. normy zamieszczono wymaganie, iż organizacja powinna ustanowić, wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać i stale doskonalić udokumentowany SZBI w kontekście prowadzonej działalności i ryzyka występującego w organizacji" 8. Podstawą tego procesu jest model PDCA (rysunek 1.). Działania przedstawione w tym modelu określają najistotniejsze cechy Systemu Zarządzania Bezpieczeństwem Informacji 9 : decyzje podejmowane są na podstawie jasno określonych danych wejściowych, elementem systemu jest zdolność samoistnej naprawy SZBI. Poszczególne etapy modelu zostały opisane w rozdziale 4.2 normy, w którym przedstawiono działania, jakie organizacja powinna podjąć na każdym z etapów. Wszystkie te działania są wymagane przez normę w celu kompletnego wdrożenia SZBI w organizacji. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji Wdrożenie Systemu Zarządzania Bezpieczeństwa Informacji rozpoczyna się od zdefiniowania zakresu i granic systemu (uwzględniając profil prowadzonej działal- 6 ibidem, s ibidem, s ibidem, s P. Mąkosa, op. cit., s
7 Zarządzanie bezpieczeństwem informacji w organizacji 35 ności, organizację, aktywa i technologie). Kolejnym etapem jest opracowanie Polityki SZBI, czyli dokumentu wyznaczającego kierunek działania w zakresie bezpieczeństwa informacji w organizacji. Powinna zawierać także kryteria zarządzania ryzykiem w organizacji oraz metody i techniki wykorzystywane podczas analizy i zarządzania ryzykiem. Ważne jest, aby proces zarządzania ryzykiem (a także analiza ryzyka) był ciągle doskonalony zgodnie z założeniami modelu cyklu PDCA. Wymagania normy nakładają na organizację obowiązek zdefiniowania i opisania tego procesu oraz wyznaczania kryteriów akceptowania ryzyka. Ogólnie metody stosowane do oceny ryzyka dzielą się na 10 : 1. Metody jakościowe (qualitative) - wyniki uzyskuje się w postaci określeń typu: ryzyko większe niż..., podobne jak..., proces analizy związków przyczynowo- -skutkowych jest dość szczegółowy. 2. Metody ilościowe (quantitative) - wyniki analizy uzyskuje się w konkretnych jednostkach miary, zwykle w kwotach pieniężnych, powstałych z pomnożenia wielkości prawdopodobieństwa niekorzystnego zdarzenia i potencjalnych strat; prawdopodobieństwo pełni rolę współczynnika wagowego. Zakończeniem ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji jest dokumentacja wdrożonego systemu, która powinna zawierać: udokumentowane cele polityki i deklaracje, zakres systemu, zabezpieczenia i procedury wspomagające system, opis metod szacowania ryzyka, plan postępowania z ryzykiem, udokumentowane procedury potrzebne do zapewnienia skutecznego planowania, eksploatacji i sterowania procesami bezpieczeństwa informacji oraz pomiaru skuteczności zabezpieczeń, zapisy wymagane przez normę PN-ISO/IEC 27001:2007, deklarację stosowania (która dostarcza podsumowania dotyczącego postępowa nia z ryzykiem ). Każdy ustanowiony i wdrożony System Zarządzania Bezpieczeństwem Informacji powinien zawierać odniesienie do wymagań normy w udokumentowanych procedurach (zdefiniowanych, udokumentowanych, wdrożonych i utrzymywanych) określonych w normie. Ostatnim etapem ustanowienia systemu jest zaakceptowanie go przez najwyższe kierownictwo. Chodzi przede wszystkim o akceptację ryzyka szczątkowego oraz wydanie rozporządzeń wewnętrznych, które umożliwiają wdrożenie ustanowionego Systemu Zarządzania Bezpieczeństwem Informacji. Kwestii zaangażowania kierownictwa poświęcono osobny rozdział normy (Rozdział 5 - Odpowiedzialność kierownictwa). W rozdziale tym zamieszczono wymaganie, w myśl którego kierownictwo powinno być zaangażowane w ustanowienie, wdrożenie, eksploatację, monitorowanie, przegląd, utrzymanie i doskonalenie systemu poprzez: ustanowienie Polityki Bezpieczeństwa Informacji, 10 A. Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa 2006, s.76.
8 36 Mariusz Giemza zapewnienie, że cele i plany systemu zostały ustanowione, określenie ról i zakresów odpowiedzialności dotyczących bezpieczeństwa infor macji, informowanie organizacji o znaczeniu spełniania celów bezpieczeństwa informa cji i zgodności z Polityką Bezpieczeństwa Informacji, a także odpowiedzialności prawnej oraz potrzeby ciągłego doskonalenia, zapewnienie zasobów do ustanowienia, wdrażania, eksploatacji, monitorowania, przeglądania, utrzymywania i doskonalenia systemu (zasoby potrzebne do zapewnienia, że procedury bezpieczeństwa informacji wspierają działania bizne sowe, identyfikacji i odniesienia się do wymagań prawnych i nadzoru oraz zobowiązań wynikających z umów, utrzymywania odpowiedniego bezpieczeń stwa poprzez zastosowanie wszystkich wdrażanych zabezpieczeń, przeprowa dzania przeglądów oraz poprawy skuteczności systemu), podejmowanie decyzji dotyczących akceptacji ryzyka i jego akceptowalnego poziomu, zapewnienie przeprowadzania auditów wewnętrznych, przeprowadzanie przeglądów systemu realizowanych przez kierownictwo. Wdrożenie i eksploatacja Systemu Zarządzania Bezpieczeństwem Informacji Na tym etapie następuje przygotowanie planu postępowania z ryzykiem, który określa odpowiednie działania kierownictwa, zakresy odpowiedzialności i priorytety dla zarządzania ryzykiem związanym z bezpieczeństwem informacji. Niezbędne jest wdrożenie zabezpieczeń, które zostały wybrane na etapie ustanawiania SZBI. Przede wszystkim należy jednak wdrożyć procedury zapewniające sprawne działanie całego systemu, a więc procedury i zabezpieczenia z zakresu zarządzania ryzykiem, eksploatacją i zasobami oraz ze zdolnością do możliwie najszybszego wykrycia przypadków związanych z naruszeniem bezpieczeństwa i podjęcia odpowiednich działań. Ponadto organizacja ma obowiązek zapewnić, że personel mający przypisane zakresy odpowiedzialności posiada kompetencje do realizacji wymaganych zadań poprzez: określenie koniecznych kompetencji, które mają wpływ na SZBI, zapewnienie odpowiednich szkoleń lub podjęcie innych działań mających na celu realizację tych potrzeb, ocenę skuteczności zapewnionego szkolenia i podjętych działań, prowadzenie zapisów dotyczących edukacji, umiejętności, szkolenia, doświad czenia i kwalifikacji. Świadomość funkcjonowania systemu w organizacji jest czynnikiem bardzo ważnym, dlatego na szkoleniach zasady jego działania powinny zostać przedstawione w sposób jasny i zrozumiały, tak aby wszyscy pracownicy poprawnie je interpretowali. Ważna jest rola najwyższego kierownictwa, które powinno wykazywać postawę pełnej akceptacji wdrażanego SZBI. Szkolenia powinny być prowadzone okresowo oraz stanowić element szkoleń wewnętrznych dla nowych pracowników. Monitorowanie i przegląd Systemu Zarządzania Bezpieczeństwem Informacji Jedną z najważniejszych cech SZBI jest zdolność samoistnego doskonalenia. Aby mogło to nastąpić, już na etapie przygotowywania systemu należy przewidzieć
9 Zarządzanie bezpieczeństwem informacji w organizacji 37 mechanizmy, które będą odpowiedzialne za reagowanie na błędy systemu oraz incydenty związane z bezpieczeństwem informacji w organizacji, a także procedury okresowych przeglądów systemu. Wdrożone procesy muszą być inicjowane nie tylko w czasie, gdy zaistnieje sytuacja wymagająca ich zastosowania, ale również w przypadku, gdy istnieje prawdopodobieństwo wystąpienia niepożądanej sytuacji. Działania zapobiegawcze świadczą o prawidłowym zaprojektowaniu mechanizmów służących ciągłemu doskonaleniu systemu (opracowanie okresowych działań lub narzędzi monitorujących służy ciągłemu doskonaleniu poprzez dostarczanie danych wejściowych, których analiza pozwala na podjęcie odpowiednich decyzji w celu doskonalenia systemu). Podstawowymi narzędziami służącymi do monitorowania SZBI są: regularne przeglądy skuteczności systemu (w tym zgodności z polityką i celami systemu oraz przeglądami zabezpieczeń), wykonywane na podstawie wyników auditów bezpieczeństwa, incydentów, rezultatów pomiarów skuteczności, sugestii oraz informacji zwrotnych od wszystkich zainteresowanych stron, przeglądy szacowania ryzyka w zaplanowanych odstępach czasu, przeglądy ryzyka szczątkowego oraz przeglądy poziomów ryzyka akceptowalnego (biorąc pod uwagę zmiany zachodzące w organizacji, technologii, celów biznesowych i procesów, zidentyfikowanych zagrożeń, skuteczności wdrożonych zabezpie czeń oraz zewnętrznych zdarzeń), audity wewnętrzne systemu w zaplanowanych odstępach czasu (wykonywanych przez organizację lub w jej imieniu na potrzeby wewnętrzne), przeglądy systemu realizowane przez kierownictwo (w celu zapewnienia, że zakres jest odpowiedni oraz udoskonalenia procesu SZBI są zidentyfikowane), uaktualnianie planów bezpieczeństwa (na podstawie wyników monitorowania i przeglądów działalności), rejestrowanie działań i zdarzeń mogących mieć wpływ na skuteczność lub wydajność realizacji systemu. Utrzymanie i doskonalenie Systemu Zarządzania Bezpieczeństwem Informacji Mając opracowane i wdrożone procedury dotyczące reagowania na błędy, incydenty oraz niezgodności, wykryte podczas przeglądu SZBI muszą skutkować podjęciem odpowiednich działań korygujących lub zapobiegawczych. Zgodnie z wymaganiami normy PN-ISO/IEC 27001:2007 wszystkie procedury działań zapobiegawczych powinny być udokumentowane. W normie zamieszczono zapis, że należy również wyciągać wnioski z doświadczeń w dziedzinie bezpieczeństwa informacji, nie tylko własnych, ale także innych organizacji (pkt 4.2.4). Działania zapobiegawcze są istotnym elementem świadczącym o prawidłowym zrozumieniu funkcjonowania Systemu Zarządzania Bezpieczeństwem Informacji. Powinny usuwać zarówno przyczynę szkody, jak i jej skutki. Obowiązkiem organizacji jest wdrażanie do systemu wszystkich udoskonaleń oraz zapewnienie, że osiągną one zamierzone cele. Podsumowanie Funkcjonowanie i rozwój większości organizacji uzależnione jest od ciągłego dostępu do określonych informacji. Utrata integralności i poufności informacji może
10 38 Mariusz Giemza spowodować straty finansowe, konsekwencje prawne, a także wpłynąć na wizerunek organizacji. Może również przesądzić ojej istnieniu na rynku. Najważniejszym powodem wdrażania w organizacji systemu opartego na normie PN-ISO/IEC 27001:2007 jest zapewnienie możliwie jak najwyższego poziomu bezpieczeństwa informacji. System Zarządzania Bezpieczeństwem Informacji dotyczy nie tylko wszystkich procesów przebiegających w organizacji, ale także ludzi w niej zatrudnionych (od pracowników najniższego szczebla aż do najwyższego kierownictwa) oraz współpracujących organizacji i klientów. Ważne są wszystkie obszary bezpieczeństwa - osobowe, prawne i fizyczne. Jak każdy normatywny system zarządzania winien być poddany procesowi certyfikacji. Certyfikowany system jest dowodem rzetelnego podejścia pracowników do zagadnienia bezpieczeństwa informacji. Przynosi także organizacji wiele korzyści, np. obniżenie kosztów działania i zwiększenie wydajności, uświadomienie ryzyka związanego z bezpieczeństwem, ochronę samej organizacji, uruchomienie brakujących procesów, powiększenie grona klientów, uzyskanie przewagi nad konkurencją czy też satysfakcja klientów, co w konsekwencji przekłada się na korzyści materialne. Certyfikowany System Zarządzania Bezpieczeństwem Informacji może właściwie zabezpieczyć organizację przed utratą, kradzieżą czy podmianą informacji oraz skutkami tych zdarzeń. Wdrażanie takich systemów ma kluczowe znaczenie dla organizacji i jej wizerunku. Literatura [1] Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, Warszawa [2] Humphreys T., ISMS users welcome ISO/IEC the new International benchmark, ISO Management Systems, March-April [3] Mąkosa P., System zarządzania bezpieczeństwem informacji wg normy PN-ISO/IEC 27001: Wprowadzenie, ABC Jakości. Akredytacja. Badania. Certyfikacja. Quality Review 2007, nr 1-2. [4] Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji, Dz.U. 1993, nr 47,poz [5] Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. 1997, nr 133, poz [6] Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, Dz.U. 1999, nr 11, poz. 95. [7] Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych, Dz.U. 2001, nr 128, poz [8] Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej, Dz.U. 2001, nr 112, poz [9] Źródło internetowe:
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoZmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka
Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoI. O P I S S Z K O L E N I A
Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoStandard ISO 9001:2015
Standard ISO 9001:2015 dr inż. Ilona Błaszczyk Politechnika Łódzka XXXIII Seminarium Naukowe Aktualne zagadnienia dotyczące jakości w przemyśle cukrowniczym Łódź 27-28.06.2017 1 Struktura normy ISO 9001:2015
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoRyzyko w świetle nowych norm ISO 9001:2015 i 14001:2015
Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015 Rafał Śmiłowski_04.2016 Harmonogram zmian 2 Najważniejsze zmiany oraz obszary Przywództwo Większy nacisk na top menedżerów do udziału w systemie
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoISO 9001:2015 przegląd wymagań
ISO 9001:2015 przegląd wymagań dr Inż. Tomasz Greber (www.greber.com.pl) Normy systemowe - historia MIL-Q-9858 (1959 r.) ANSI-N 45-2 (1971 r.) BS 4891 (1972 r.) PN-N 18001 ISO 14001 BS 5750 (1979 r.) EN
Bardziej szczegółowoZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ Wydanie 07 Urząd Miasta Płocka. Księga środowiskowa
Strona 1 1. Księga Środowiskowa Księga Środowiskowa to podstawowy dokument opisujący strukturę i funkcjonowanie wdrożonego w Urzędzie Systemu Zarządzania Środowiskowego zgodnego z wymaganiami normy PN-EN
Bardziej szczegółowoZakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 22, 2005 Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, 00 908 Warszawa STRESZCZENIE: Artykuł zawiera przegląd
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoKLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami
SYSTEM ZARZĄDZANIA JAKOŚCIĄ ISO Jakość samą w sobie trudno jest zdefiniować, tak naprawdę pod tym pojęciem kryje się wszystko to co ma związek z pewnymi cechami - wyrobu lub usługi - mającymi wpływ na
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoProces certyfikacji ISO 14001:2015
ISO 14001:2015 Informacje o systemie W chwili obecnej szeroko pojęta ochrona środowiska stanowi istotny czynnik rozwoju gospodarczego krajów europejskich. Coraz większa liczba przedsiębiorców obniża koszty
Bardziej szczegółowoKomunikat nr 115 z dnia 12.11.2012 r.
Komunikat nr 115 z dnia 12.11.2012 r. w sprawie wprowadzenia zmian w wymaganiach akredytacyjnych dla jednostek certyfikujących systemy zarządzania bezpieczeństwem informacji wynikających z opublikowania
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku
Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach
Bardziej szczegółowoISO 14000 w przedsiębiorstwie
ISO 14000 w przedsiębiorstwie Rodzina norm ISO 14000 TC 207 ZARZADZANIE ŚRODOWISKOWE SC1 System zarządzania środowiskowego SC2 Audity środowiskowe SC3 Ekoetykietowanie SC4 Ocena wyników ekologicznych SC5
Bardziej szczegółowoZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:
ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:2018-02 DR INŻ. AGNIESZKA WIŚNIEWSKA DOCTUS SZKOLENIA I DORADZTWO e-mail: biuro@doctus.edu.pl tel. +48 514
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoNormy ISO serii 9000. www.greber.com.pl. Normy ISO serii 9000. Tomasz Greber (www.greber.com.pl) dr inż. Tomasz Greber. www.greber.com.
Normy ISO serii 9000 dr inż. Tomasz Greber www.greber.com.pl www.greber.com.pl 1 Droga do jakości ISO 9001 Organizacja tradycyjna TQM/PNJ KAIZEN Organizacja jakościowa SIX SIGMA Ewolucja systemów jakości
Bardziej szczegółowoJak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia
Bardziej szczegółowo14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy
14. Sprawdzanie funkcjonowania systemu zarządzania bezpieczeństwem i higieną pracy 14.1. Co to jest monitorowanie bezpieczeństwa i higieny pracy? Funkcjonowanie systemu zarządzania bezpieczeństwem i higieną
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoWprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt )
Ośrodek Kwalifikacji Jakości Wyrobów SIMPTEST Sp. z o.o. Sp. k. ul. Przemysłowa 34 A, 61-579 Poznań, tel. 61-833-68-78 biuro@simptest.poznan.pl www.simptest.poznan.pl 1 Seminarium nt. Zarządzanie ryzykiem
Bardziej szczegółowoSYSTEMY ZARZĄDZANIA JAKOŚCIĄ WEDŁUG
Wykład 10. SYSTEMY ZARZĄDZANIA JAKOŚCIĄ WEDŁUG NORM ISO 9000 1 1. Rodzina norm ISO 9000: Normy ISO 9000 są od 1987r., a trzecia rodzina norm ISO 9000 z 2000 r. (doskonalona w kolejnych latach) składa się
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora
Bardziej szczegółowoProcedura auditów wewnętrznych i działań korygujących
1/14 TYTUŁ PROCEURY Opracował: Zatwierdził: Pełnomocnik ds. SZJ Mariusz Oliwa 18 marca 2010r.... podpis Starosta Bolesławiecki Cezary Przybylski... podpis PROCEURA OBOWIĄZUJE O NIA: 25 czerwca 2010r. 18
Bardziej szczegółowoROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska
ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY dr inż. Zofia Pawłowska 1. Ład organizacyjny jako element społecznej odpowiedzialności 2. Podstawowe zadania kierownictwa w zakresie BHP wynikające
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoBezpieczeństwo informacji. jak i co chronimy
Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC
Bardziej szczegółowoDOSKONALENIE SYSTEMU JAKOŚCI Z WYKORZYSTANIEM MODELU PDCA
Koncepcje zarządzania jakością. Doświadczenia i perspektywy., red. Sikora T., Uniwersytet Ekonomiczny w Krakowie, Kraków 2008, ss. 17-22 Urszula Balon Uniwersytet Ekonomiczny w Krakowie DOSKONALENIE SYSTEMU
Bardziej szczegółowoGrzegorz Pieniążek Hubert Szczepaniuk
Grzegorz Pieniążek Hubert Szczepaniuk Ogólny model oceny i analizy ryzyka informacyjnego Metodyki zarządzania ryzykiem w kontekście bezpieczeństwa Wpływ asymetrii informacyjnej na wartość organizacji Istota
Bardziej szczegółowoZarządzanie bezpieczeństwem i higieną pracy wg. normy ISO 45001
SYMPOZJUM CCJ "DOSKONALENIE SYSTEMÓW ZARZĄDZANIA" Zarządzanie bezpieczeństwem i higieną pracy wg. normy ISO 45001 Andrzej DZIEWANOWSKI KOŚCIELISKO, 19-22 października 2015 r. 1 Układ prezentacji 1. BHP
Bardziej szczegółowoUsprawnienia zarządzania organizacjami (normy zarzadzania)
(normy zarzadzania) Grażyna Żarlicka Loxxess Polska Sp. z o. o. www.loxxess.pl AS-QUAL Szkolenia Doradztwo Audity www.as-qual.iso9000.pl email:g_zarlicka@interia.pl Klub POLSKIE FORUM ISO 9000 www.pfiso9000.pl
Bardziej szczegółowoSYSTEMY ZARZĄDZANIA. cykl wykładów dr Paweł Szudra
SYSTEMY ZARZĄDZANIA cykl wykładów dr Paweł Szudra LITERATURA Brilman J., Nowoczesne koncepcje i metody zarządzania. PWE, 2006. Grudzewski W., Hejduk I., Projektowanie systemów zarządzania. Wydawnictwo
Bardziej szczegółowoBudowanie skutecznych systemów zarządzania opartych na normach ISO
UKatalog Szkoleń: Budowanie skutecznych systemów zarządzania opartych na normach ISO UBlok I Podejście procesowe: Zarządzanie procesowe (2 dni) Definicje procesu, zarządzanie procesami, podział i identyfikowanie
Bardziej szczegółowoDobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r.
Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki Warszawa, 25 lutego 2015 r. 2 W celu zapewnienia, jak również ciągłego doskonalenia jakości,
Bardziej szczegółowoBAKER TILLY POLAND CONSULTING
BAKER TILLY POLAND CONSULTING Wytyczne KNF dla firm ubezpieczeniowych i towarzystw reasekuracyjnych w obszarze bezpieczeństwa informatycznego An independent member of Baker Tilly International Objaśnienie
Bardziej szczegółowoZintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego
Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,
Bardziej szczegółowoSzkolenie Stowarzyszenia Polskie Forum ISO 14000 Zmiany w normie ISO 14001 i ich konsekwencje dla organizacji Warszawa, 16.04.2015
Wykorzystanie elementów systemu EMAS w SZŚ według ISO 14001:2015 dr hab. inż. Alina Matuszak-Flejszman, prof. nadzw. UEP Agenda Elementy SZŚ według EMAS (Rozporządzenie UE 1221/2009) i odpowiadające im
Bardziej szczegółowoAudyt wewnętrzny jako metoda oceny Systemu Zarządzania Jakością. Piotr Lewandowski Łódź, r.
Audyt wewnętrzny jako metoda oceny Systemu Zarządzania Jakością Piotr Lewandowski Łódź, 28.06.2017 r. 2 Audit - definicja Audit - systematyczny, niezależny i udokumentowany proces uzyskiwania zapisów,
Bardziej szczegółowoEtapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008
1 2 Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008 Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008 3 Agenda 4 Jaki powinien być System Zarządzania wg norm serii
Bardziej szczegółowoDCT/ISO/SC/1.01 Księga Jakości DCT Gdańsk S.A. Informacja dla Klientów 2014-04-29
DCT/ISO/SC/1.01 Księga Jakości DCT Gdańsk S.A. Informacja dla Klientów 2014-04-29 2 ELEMENTY KSIĘGI JAKOŚCI 1. Terminologia 2. Informacja o Firmie 3. Podejście procesowe 4. Zakres Systemu Zarządzania Jakością
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji wg normy BS 7799 Wprowadzenie
XI Konferencja PLOUG Kościelisko Październik 2005 Zarządzanie bezpieczeństwem informacji wg normy BS 7799 Wprowadzenie Wojciech Dworakowski SecuRing S.C. e mail: wojciech.dworakowski@securing.pl Streszczenie
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoWpływ SZŚ na zasadnicze elementy ogólnego systemu zarządzania przedsiębiorstwem. Błędy przy wdrażaniu SZŚ
Błędy przy wdrażaniu SZŚ błąd 1 certyfikat jest najważniejszy błąd 2 kierownictwo umywa ręce błąd 3 nie utożsamianie się kierowników jednostek organizacyjnych z wytycznymi opracowanymi przez zespół projektujący
Bardziej szczegółowoBezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści
Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, 2017 Spis treści Od Autora 15 1. Wstęp 27 1.1. Bezpieczeństwo informacji i usług a bezpieczeństwo
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przepisy prawa a normy
Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa
Bardziej szczegółowoISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania
ISO 9000/9001 Jarosław Kuchta Jakość Oprogramowania Co to jest ISO International Organization for Standardization największa międzynarodowa organizacja opracowująca standardy 13700 standardów zrzesza narodowe
Bardziej szczegółowoSPIS TREŚCI SPIS TREŚCI Postanowienia ogólne Zastosowanie POWOŁANIA NORMATYWNE TERMINY I DEFINICJE SYSTEM ZA
VS DATA S.C. z siedzibą w Gdyni 81-391, ul. Świętojańska 55/15 tel. (+48 58) 661 45 28 KSIĘGA BEZPIECZEŃSTWA INFORMACJI Egzemplarz nr: 1 Wersja: 1.1 Opracował Zatwierdził Imię i nazwisko Łukasz Chołyst
Bardziej szczegółowo1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?
PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy
Bardziej szczegółowoZarządzanie Jakością. System jakości jako narzędzie zarządzania przedsiębiorstwem. Dr Mariusz Maciejczak
Zarządzanie Jakością System jakości jako narzędzie zarządzania przedsiębiorstwem Dr Mariusz Maciejczak SYSTEM System to zespół powiązanych ze sobą elementów, które stanowią pewną całość. Istotną cechą
Bardziej szczegółowoKwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej
Zał. nr 2 do zawiadomienia o kontroli Kwestionariusz dotyczący działania teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej Poz. Obszar / Zagadnienie Podstawa
Bardziej szczegółowoTeam Prevent Poland Sp. z o.o. Graficzna prezentacja struktury ISO 9001:2015 i IATF 16949:2016
Graficzna prezentacja struktury ISO 9001:2015 i 16949:2016 Struktura ISO 9001:2015 ISO 9001:2015 4. Kontekst organizacji 5. Przywództwo 6. Planowanie 7. Wsparcie 8. Działania operacyjne 9. Ocena efektów
Bardziej szczegółowo1
Wprowadzenie 0.1 Postanowienia ogólne Wprowadzenie 0.1 Postanowienia ogólne Wprowadzenie 0.1 Postanowienia ogólne 0.2 Podejście procesowe 0.2 Zasady zarządzania jakością 0.2 Zasady zarządzania jakością
Bardziej szczegółowoZdrowe podejście do informacji
Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoWymagania wobec dostawców: jakościowe, środowiskowe, bhp i etyczne
VI Konferencja nt. systemów zarządzania w energetyce Nowe Czarnowo Świnoujście, 21-23 X 2008 Wymagania wobec dostawców: jakościowe, środowiskowe, bhp i etyczne Grzegorz Ścibisz Łańcuch dostaw DOSTAWCA
Bardziej szczegółowoISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.
ISO 9001 + 3 kroki w przód = ISO 27001 ISO Polska - Rzeszów 22 stycznia 2009r. O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie
Bardziej szczegółowoProcedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku
Załącznik Nr 1 do Zarządzenia Nr A-0220-25/11 z dnia 20 czerwca 2011 r. zmieniony Zarządzeniem Nr A-0220-43/12 z dnia 12 października 2012 r. Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku
Bardziej szczegółowoKWESTIONARIUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ dla pracowników. Komórka organizacyjna:... A. Środowisko wewnętrzne
KWESTIONARIUSZ SAMOOCENY KONTROLI ZARZĄDCZEJ dla pracowników Komórka organizacyjna:... A. Środowisko wewnętrzne Środowisko wewnętrzne to: zarówno struktury wspierające zarządzanie (odpowiednia struktura
Bardziej szczegółowoDeklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.
Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował
Bardziej szczegółowoZmiany wymagań normy ISO 14001
Zmiany wymagań normy ISO 14001 Międzynarodowa Organizacja Normalizacyjna (ISO) opublikowała 15 listopada br. zweryfikowane i poprawione wersje norm ISO 14001 i ISO 14004. Od tego dnia są one wersjami obowiązującymi.
Bardziej szczegółowoPowody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO 9001. Mariola Witek
Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO 9001 Mariola Witek Przedmiot wykładu 1.Rozwój systemów zarządzania jakością (SZJ) 2.Potrzeba posiadania formalnych SZJ 3.Korzyści
Bardziej szczegółowoKryteria oceny Systemu Kontroli Zarządczej
Załącznik nr 2 do Zasad kontroli zarządczej w gminnych jednostkach organizacyjnych oraz zobowiązania kierowników tych jednostek do ich stosowania Kryteria oceny Systemu Kontroli Zarządczej Ocena Środowisko
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoBezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Bardziej szczegółowoJAK SKUTECZNIE PRZEPROWADZAĆ AUDITY
Klub Polskich Laboratoriów Badawczych POLLAB JAK SKUTECZNIE PRZEPROWADZAĆ AUDITY Anna Pastuszewska - Paruch Definicje Audit systematyczny, niezależny i udokumentowany proces uzyskiwania dowodów z auditu
Bardziej szczegółowoISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006
ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowo1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ
1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ Po zapoznaniu się z Komunikatem Nr 23 Ministra Finansów z dnia 16 grudnia 2009r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych (Dz.
Bardziej szczegółowoSKZ System Kontroli Zarządczej
SKZ System Kontroli Zarządczej KOMUNIKAT Nr 23 MINISTRA FINANSÓW z dnia 16 grudnia 2009 r. w sprawie standardów kontroli zarządczej dla sektora finansów publicznych Na podstawie art. 69 ust. 3 ustawy z
Bardziej szczegółowoKwestionariusz samooceny kontroli zarządczej
Kwestionariusz samooceny kontroli zarządczej załącznik Nr 6 do Regulaminu kontroli zarządczej Numer pytania Tak/nie Odpowiedź Potrzebne dokumenty Środowisko wewnętrzne I Przestrzeganie wartości etycznych
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach
Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i
Bardziej szczegółowoElementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)
Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Filozofia prezentacji wymagań i zabezpieczeń zgodnie z załącznikiem A Nagłówek rozdziały
Bardziej szczegółowoMinimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin
Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin A. Środowisko wewnętrzne 1. Przestrzeganie wartości etycznych: należy zapoznać, uświadomić i promować
Bardziej szczegółowoAkredytacja laboratoriów wg PN-EN ISO/IEC 17025:2005
Akredytacja laboratoriów wg PN-EN ISO/IEC 17025:2005 Marek Misztal ENERGOPOMIAR Sp. z o.o. Biuro Systemów Zarządzania i Ocen Nowe Brzesko, 26 września 2006 r. Czy systemy zarządzania są nadal dobrowolne?
Bardziej szczegółowoCentrum zarządzania bezpieczeństwem i ciągłością działania organizacji
Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji Narzędzie informatyczne i metodyka postępowania, z wzorcami i szablonami, opracowanymi na podstawie wiedzy, doświadczenia i dobrych
Bardziej szczegółowoBezpieczeńtwo informacji
Bezpieczeńtwo informacji Czy chronisz istotne aktywa twojej firmy? Normy dotyczące bezpieczeństwa informacji to nowoczesne standardy zachowania poufności, integralności i dostępności informacji. Bezpieczeńtwo
Bardziej szczegółowoEUROPEJSKI.* * NARODOWA STRATEGIA SPÓJNOŚCI FUNDUSZ SPOŁECZNY * **
1 * 1 UNZA EUROPEJSKA KAPITAŁ LUDZKI.* * FUNDUSZ SPOŁECZNY * ** administracji samorządowej", Poddziałanie 5.2.1 Modernizacja zarządzania w administracji samorządowej" W PIHZ l.dane Klienta: RAPORT Z AUDITU
Bardziej szczegółowoHARMONOGRAM SZKOLENIA
Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001
Bardziej szczegółowoSystem. zarządzania jakością. Pojęcie systemu. Model SZJ wg ISO 9001:2008. Koszty jakości. Podsumowanie. [Słownik języka polskiego, PWN, 1979] System
Zarządzanie - wykład 3 Jakość produktu Pojęcie i zasady Zarządzanie. Planowanie w zarządzaniu Kontrola w zarządzaniu Metody i narzędzia projakościowe Wykład 03/07 Model SZJ Doskonalenie w zarządzaniu 2
Bardziej szczegółowoZasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka
w sprawie określenia zasad funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin - wydanie drugie Zasady funkcjonowania systemu kontroli zarządczej
Bardziej szczegółowoPraktyczne aspekty realizacji auditów wewnętrznych w laboratoriach podejście procesowe.
Praktyczne aspekty realizacji auditów wewnętrznych w laboratoriach podejście procesowe. 1 Opracowała: Katarzyna Rajczakowska Warszawa dnia 16.11.2016 r. Audit wewnętrzny - definicje norma PN-EN ISO 9000:2015-10
Bardziej szczegółowoKorzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych.
Norma PN-EN ISO 9001:2009 System Zarządzania Jakością w usługach medycznych Korzyści wynikające z wdrożenia systemu zarządzania jakością w usługach medycznych. www.isomed.pl Grzegorz Dobrakowski Uwarunkowania
Bardziej szczegółowo