Cel i zakres. Podstawowe pojęcia
|
|
- Kamil Bielecki
- 6 lat temu
- Przeglądów:
Transkrypt
1
2 Cel i zakres Celem opracowania metodyki zarządzania ryzykiem w ramach Zintegrowanego Systemu Zarządzania (ZSZ) jest ustanowienie sposobu: - identyfikacji, - oceny - oraz postępowania z ryzykiem w procesach biznesowych Wojskowego Instytutu Medycyny Lotniczej związanych z zawieraniem umów i ich realizacją zgodnie z wymaganiami norm PN-ISO/IEC 27001, PN-EN ISO 9001 oraz AQAP 2120, w tym w komórkach organizacyjnych: Ośrodku Badań Orzecznictwa Lotniczo-Lekarskiego i Medycyny Pracy (OBOLLiMP), Centrum Medycyny Lotniczej WIML (AeMC WIML), Centralnej Sterylizatorni (CS), Zakładzie Diagnostyki Laboratoryjnej (Laboratorium Kliniczne) oraz Zakładzie Badań Symulatorowych, Szkolenia i Treningu Lotniczo-Lekarskiego (ZBSSiTLL). Podstawowe pojęcia Bezpieczeństwo informacji Zarządzanie ryzykiem i szansą - zachowanie poufności, integralności i dostępności informacji, co oznacza Ŝe informacja nie jest ujawniana osobom nieupowaŝnionym, jest ona dokładna i kompletna oraz jest dostępna w uŝytecznej formie na Ŝądanie upowaŝnionego personelu - skoordynowane działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka lub szansy Ryzyko - wpływ niepewności na moŝliwość zrealizowania celu niedowartościowane ryzyko moŝe pociągnąć za sobą szkodę w organizacji (pośrednio lub bezpośrednio) Ryzyko bezpieczeństwa informacji - potencjalnie moŝliwa sytuacja, w której określone zagroŝenie wykorzysta podatność aktywa lub grupy aktywów powodując w ten sposób powstanie szkody w komórkach organizacyjnych (w organizacji). Szansa - wpływ niepewności podczas określania celu - niedowartościowana szansa moŝe ograniczyć moŝliwą do uzyskania korzyść. Przewartościowana szansa moŝe skutkować brakiem moŝliwości uzyskania przewidywanej korzyści ze zrealizowanego celu. Niepewność - określa wielkość obszaru (w metrologii - przedziału wartości mierzonej) dla której moŝna uznać, Ŝe prawdopodobieństwo osiągnięcia załoŝonego celu jest na zadowalającym poziomie. Niepewność to stan, równieŝ częściowy, braku informacji związanej ze zrozumieniem lub wiedzą na temat ewentualnego zdarzenia, jego następstw lub prawdopodobieństwa jego wystąpienia. Aktywa - wszystko to, co ma wartość dla komórek organizacyjnych (dla Instytutu) 2/23
3 Proces zarządzania ryzykiem i szansą W procesie planowania systemu zarządzania bezpieczeństwem informacji rozważane są ryzyka i szanse, które są podstawą do podjęcia działań w poszczególnych obszarach mających zapewnić osiągnięcie przyjętego celu. W specyficznej działalności WIML w poszczególnych obszarach działania należy uwzględniać analizę kontekstu organizacji. W jej świetle należy rozważyć czynniki wpływające na ryzyka i szanse, a następnie postępować z nimi zgodnie ze schematem przedstawionym na Rys. 1. Dalsza część dokumentu zawiera: metodę analizy ryzyka (ryzyk cząstkowych) przyjętą w WIML dla obszarów objętych systemem; metodę analizy ryzyka przyjętą do stosowania w Planach Jakości Wyrobu Rys. 1 Schemat postępowania ryzykiem lub szansą. 3/23
4 Elementy ryzyka W metodyce uwzględniono: aktywa, wartość (istotność) aktywów, lokalizację/postać aktywów, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywów na zagrożenia, wpływ zagrożeń na bezpieczeństwo aktywów, skuteczność zastosowanych zabezpieczeń. Proces lub dział Aktywo/zasób Lokalizacja/postać (istotność, klasa) (liczba) ZagroŜenie Podatność Podatność (prawdopodobieństwo) (wpływ/poziom zabezpieczeń) (...) ZagroŜenie (...) Lokalizacja/postać (...) Aktywo/zasób (...) Rys. 2. Schematyczna struktura elementów ryzyka 4/23
5 Przebieg procesu zarządzania ryzykiem dla obszarów objętych systemem Przeprowadzenie analizy obszarów Instytutu objętych systemem Celem analizy jest określenie zakresu organizacji objętego zarządzaniem ryzykiem poprzez wskazanie procesów realizowanych w organizacji oraz ocena ich wpływu na funkcjonowanie organizacji. Wskazana wartość wpływu określa, na ile zaburzenia funkcjonowania procesu mogą spowodować zaburzenia funkcjonowania organizacji. Zakres analizy: procesy Do oceny wpływu na funkcjonowanie Instytutu (wpływ na biznes) należy przyjąć kryteria zawarte w Tabeli 1. Tabela 1. Wpływ na funkcjonowanie Instytutu (wpływ na biznes) Ocena Wartość Opis Krytyczny 4 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu powoduje przerwanie ciągłości działalności Instytutu Bardzo duży 3 Duży 2 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu może mieć negatywny wpływ na ciągłość działalności Instytutu utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu powoduje utrudnienia w normalnym funkcjonowaniu Instytutu Normalny 1 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu ma ograniczony wpływ na funkcjonowanie Instytutu gdzie pozycja Krytyczny oznacza wpływ największy, a Normalny wpływ najmniejszy. 5/23
6 Identyfikacja aktywów Kluczowym elementem procesu zarządzania ryzykiem są aktywa. Oznacza to, że należy przeprowadzić identyfikację aktywów komórek organizacyjnych objętych systemem i określić ich wartość dla Instytutu. Podczas określania wartości aktywa należy rozważyć, jaki wpływ na funkcjonowanie Instytutu będzie miała jego utrata, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywa. Wartość najlepiej oceniać z punktu widzenia znaczenia dla biznesu i wyrażać w pieniądzu, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, przyjmujemy inny sposób oceny wartości względną ocenę istotności aktywa w stosunku do pozostałych aktywów. Do oceny istotności aktywów należy wykorzystać czterostopniową skalę oceny, zgodnie z Tabelą 2: Tabela 2. Istotność aktywów Istotność Wartość Opis Bardzo duża 7 Znacząca 5 Średnia 2 Pomijalna 1 utrata lub naruszenie bezpieczeństwa aktywa powoduje przerwanie procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywa może mieć wpływ na realizację procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywa powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego utrata lub naruszenie bezpieczeństwa aktywa nie ma wpływu na funkcjonowanie procesu biznesowego gdzie pozycja Bardzo duża oznacza istotność najwyższą, a Pomijalna istotność najniższą. Lista przykładowych aktywów znajduje się w Załączniku 1. Identyfikacja zagroŝeń Aby zabezpieczyć aktywa lub zasoby, należy wiedzieć, przed czym, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywa. Dobrą praktyką jest wskazywanie przede wszystkim rzeczywistych zagrożeń tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, nieuprawnione przekazanie informacji, kradzież), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty - tam gdzie nie ma 6/23
7 lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych) ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza o mniej istotne elementy może spowodować, że w momencie jej zakończenia już będzie nieaktualna. Lista przykładowych zagrożeń i podatności znajduje się w Załączniku 2. Określenie prawdopodobieństwa Nie wszystkie zagrożenia występują tak samo często lub są tak samo prawdopodobne, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Do oceny prawdopodobieństwa należy zastosować skalę trzystopniową: Wysokie, Średnie, Pomijalne. Dla każdego poziomu prawdopodobieństwa przypisano wartość współczynnika oceny prawdopodobieństwa. Skala ta opisana jest w Tabeli 3. Tabela 3. Współczynnik prawdopodobieństwa wystąpienia zagrożenia Ocena. Współczynnik Opis Wysoki 5 występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością, lub jest bardzo prawdopodobne; Średni 3 Pomijalny 1 wystąpiło w ostatnim roku lub zdarza się nieregularnie, lub istnieje realne prawdopodobieństwo wystąpienia; nie wystąpiło ani razu w ciągu ostatniego roku lub jest mało prawdopodobne; gdzie wartość współczynnika Wysoki związany jest z prawdopodobieństwem najwyższym, a Pomijalny najniższym. Określenie podatności Kolejnym elementem zarządzania ryzykiem są podatności, czyli słabe strony naszych aktywów - cechy i / lub właściwości aktywa, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień wprost przeciwnie - jest podatny na spalenie. Konkretne urządzenie jest zagrożone wystąpieniem awarii, ponieważ pracuje 24 h na dobę (podatność ciągła praca) lub w trudnych warunkach (podatność trudne warunki pracy: zapylenie, inne). Lista przykładowych zagrożeń i podatności znajduje się w Załączniku 2. 7/23
8 Określenie wpływu zagroŝenia oraz poziomu zabezpieczeń Należy dokonać oceny wpływu zagrożenia na poufność, integralność i dostępność (bezpieczeństwo informacji) oraz należy określić poziom skuteczności wdrożonych zabezpieczeń. Są to elementy domykające prowadzoną analizę. Skala oceny wpływu zagrożeń na poufność, integralność i dostępność określona jest w Tabeli 4. Skala oceny poziomów zabezpieczeń określona jest w Tabeli 5. Tabela 4. Wpływ / skutek wystąpienia zagrożenia (na Poufność, Integralność, Dostępność) Ocena Wartość Opis Krytyczny 5 Średni 3 Pomijalny 1 wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utratę dobrego wizerunku Instytutu, brak możliwości realizacji zadań lub stanowi istotne naruszenie prawa, wystąpienie zagrożenia może mieć efekt biznesowy, wizerunkowy, stanowi duże utrudnienie w realizacji zadań lub drobne naruszenie prawa, wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny i nie stanowi naruszenia prawa, Nie dotyczy 0 wystąpienie zagrożenia nie ma wpływu na aktywa. gdzie: wpływ Krytyczny oznacza wartość najwyższą (wpływ największy), a Nie dotyczy wartość najniższą (wpływ najmniejszy). Tabela 5. Poziom zabezpieczeń Ocena Wartość Opis Wysoki 11 Średni 5 Niski 1 występujące zabezpieczenie chroni skutecznie przed znanymi zagrożeniami, występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne, praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne, Nie dotyczy 0 wystąpienie zagrożenia nie ma wpływu na aktywa, gdzie: poziom Wysoki oznacza najwyższą wartość (najwyższy poziom zabezpieczeń) i może osiągnąć wartość. Jednak na początkowym etapie analizy 8/23
9 przyjęto wartość 11. Poziom Nie dotyczy oznacza najniższą wartość (najniższy poziom zabezpieczeń). Określenie ryzyka i ryzyka szczątkowego Ryzyko aktywa stanowi podstawę do oceny realnej utraty bezpieczeństwa tego aktywa na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, uporządkowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów. W celu uzyskania porównywalnych ze sobą ryzyk aktywów, przyjmuje się ogólnie następujący sposób ich obliczania. Ażeby obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność. Podstawą do wyliczeń ryzyka aktywa jest następujący wzór: Ra = Σp(Wa ٠ Pwz) (1) gdzie: R a ryzyko aktywa W a wpływ (skutek) zmaterializowania się zagroŝenia (uzaleŝniony od istotności aktywa, jego zagroŝeń, podatności), rozumiany jako; W a = B * p(i*(w p + W i +W d)) (2) gdzie: B wpływ na biznes p suma wg podatności I istotność aktywa W p - wpływ zagroŝenia na poufność W i - wpływ zagroŝenia na integralność W d - wpływ zagroŝenia na dostępność P wz prawdopodobieństwo wystąpienia zagroŝenia Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie zostały zapewnione dzięki wdrożonym zabezpieczeniom. Dla każdego aktywa, po uwzględnieniu zabezpieczeń, należy obliczyć ryzyko szczątkowe. 9/23
10 Ryzyko szczątkowe, zgodnie z ogólnie przyjętą zasadą obliczane jest wg następującego wzoru (3): Rsa = Wsa ٠ Pwz (3) gdzie: R sa ryzyko szczątkowe W sa wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywa, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń); Wsa = B ٠ p(i٠ (Wp/Zp + Wi/Zi +Wd/Zd); (4) gdzie: Z p poziom zabezpieczeń przed wpływem zagrożenia na poufność Z i - poziom zabezpieczeń przed wpływem zagrożenia na integralność Z d - poziom zabezpieczeń przed wpływem zagrożenia na dostępność Na podstawie uzyskanych ryzyk szczątkowych aktywów kierownictwo określa i akceptuje poziom ryzyka akceptowalnego jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne. Kryteria akceptacji ryzyka i poziom ryzyka akceptowalnego Niezbędnym elementem procesu szacowania ryzyka jest określenie kryteriów oceny ryzyka, czyli przyjętego podejścia do podziału ryzyk na ryzyka możliwe do zaakceptowania oraz na ryzyka nieakceptowalne. W niniejszej metodyce przyjęto, jako kryterium akceptacji ryzyka, dążenie do wyrównania poziomów ryzyk dla wszystkich aktywów, zgodnie z zasadą, że o sile systemu bezpieczeństwa świadczy jego najsłabszy (najbardziej ryzykowny) element. Aktywa o ryzykach poniżej wartości wyznaczonej przez odcięcie kominów ryzyka obarczone są ryzykiem na takim poziomie, że kierownictwo Instytutu gotowe jest je obecnie zaakceptować. Poziom ryzyka akceptowalnego jest konkretną wartością ryzyka, linią poziomą przechodzącą przez punkt na osi ryzyka, który zostaje wyznaczony zgodnie z kryteriami akceptacji ryzyka. Poziom ryzyka akceptowalnego ma być określany dla każdej przeprowadzonej analizy ryzyka. 10/23
11 Określenie poziomu ryzyka akceptowalnego (Rys. 3) kończy etap szacowania ryzyka. Rys. 3 Przykładowy wynik szacowania ryzyka Wytyczne szczegółowe do analizy, szacowania i postępowania z ryzykiem Analiza ryzyka powinna obejmować wszystkie obszary funkcjonowania Instytutu mające wpływ na realizowane procesy i być przygotowywana przy współudziale osób reprezentujących: - procesy główne, - Dyrekcję Instytutu, - Pion Głównego Księgowego, - Pion Administracyjny (z wyłączeniem IT) - IT, - Pion Ochrony. Analizę ryzyka należy przeprowadzać okresowo, w terminach wyznaczonych przez Pełnomocnika ds. ZSZ. Właściciele procesów głównych są odpowiedzialni za przygotowanie cząstkowych analiz ryzyka, obejmujących aktywa w swoim obszarze i przekazanie ich do Pełnomocnika ds. Zintegrowanego Systemu Zarządzania, który po scaleniu uzyska łączny wynik analizy dla obszaru Instytutu objętego systemem. Cząstkowa analiza ryzyka powinna być przeprowadzona z wykorzystaniem arkusza kalkulacyjnego udostępnianego, w formie pliku elektronicznego, przez Pełnomocnika ds. ZSZ. 11/23
12 Do procesu analizy ryzyka należy wykorzystać oprogramowanie Cretus Risk Analyzer firmy Centrum Doskonalenia Zarządzania Meritum. WIML jest posiadaczem licencji na ww. oprogramowanie. Jako wynik procesu szacowania należy wykonać wykaz aktywów najbardziej zagrożonych w Instytucie (dla: OBOLLiMP, AeMC WIML, ZBSSiTLL, CS, Laboratorium Klinicznego). Umożliwia on podjęcie decyzji, dla których aktywów należy w pierwszej kolejności wdrożyć zabezpieczenia (fizyczne, techniczne lub organizacyjne). Wyniki analizy mogą być dla Dyrekcji podstawą do określenia poziomu ryzyka akceptowalnego oraz do oceny zasadności przydzielenia środków na zabezpieczenie najważniejszych aktywów, co umożliwia przygotowanie planu, mającego na celu obniżenie ryzyk szczątkowych aktywów, których ryzyko szczątkowe jest większe od ustalonej wartości ryzyka akceptowalnego. Graficzną prezentację poziomu ryzyka akceptowalnego należy wykonać w postaci wykresu dla aktywów najbardziej zagrożonych. Plan postępowania z ryzykiem należy przygotować zgodnie ze wzorem określonym w Załączniku 3. 12/23
13 Przebieg procesu zarządzania ryzykiem zgodnie z wymaganiami AQAP 2120 Przeprowadzenie analizy czynników mających wpływ na realizację umów realizowanych przez Instytut zgodnie z wymaganiami AQAP 2120 Celem analizy jest identyfikacja ryzyk związanych z realizacją umów zawartych z MON, realizowanych w obszarach objętych systemem. Oszacowanie ryzyk związanych z realizacją umów umożliwia stronom umowy zarządzanie ryzykiem. Jakościowa analiza czynników ryzyka W celu określenia poziomu ryzyk realizacji umowy ze względu na dany czynnik ryzyka stosujemy macierz kwantyfikacji ryzyka zwaną także macierzą ryzyk (Rysunek 4), gdzie: Poziom ryzyka = Prawdopodobieństwo * Wpływ na realizację umowy Do oceny prawdopodobieństwa należy zastosować skalę trzystopniową: Wysokie, Średnie, Pomijalne. Dla każdego poziomu prawdopodobieństwa przypisano wartość współczynnika oceny prawdopodobieństwa. Skala ta opisana jest w Tabeli 3. Do oceny wpływu na realizację umowy (skutków urzeczywistnienia się ryzyka) należy przyjąć kryteria zawarte w Tabeli 6. Tabela 6. Wpływ na realizację umowy Ocena Wartość Opis Krytyczny 40 Bardzo duży 30 Duży 20 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu powoduje przerwanie realizacji umowy utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu może mieć negatywny wpływ na termin realizacji umowy utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu powoduje utrudnienia w normalnym trybie realizacji umowy Normalny 10 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu ma ograniczony wpływ na realizację umowy gdzie pozycja Krytyczny oznacza wpływ największy, a Normalny wpływ najmniejszy. 13/23
14 wysokie średnie pomijalne prawdopodopodobieństwo wpływ MACIERZ RYZYK S 5 P 3 P 1 W 10 S 6 P 2 W S 9 P 3 W 20 W 12 S 4 Normalny Duży Bardzo duży Krytyczny Rys. 4 Linia tolerancji ryzyka Macierz ryzyk dla przyjętych w niniejszej metodyce: wartości wskaźników prawdopodobieństw (Tabela 3) i wartości wskaźników wpływu zagrożenia (Tabela 6). Poziom ryzyka: Niski (ozn. P ); Średni (ozn. S ); Wysoki (ozn. W ). Przyjęto następującą, ogólną zasadę doboru strategii dla oszacowanych ryzyk realizacji umowy: wysoki poziom ryzyka (10 20) należy stosować najbardziej kosztowne i złożone plany. Dla negatywnych unikanie tj. doprowadzenie do sytuacji, że dany czynnik ryzyka nie ma możliwości wystąpić. Należy również przeanalizować wycofanie *) ; dla ryzyk o średnim poziomie ryzyka (4 9) mniej kosztowne, ale także mniej skuteczne plany wprowadzenia zabezpieczeń łagodzących czyli zmniejszających prawdopodobieństwo i/lub skutki ryzyka; Dla wysokich i średnich poziomów ryzyka można również stosować strategię: przeniesienia. Najczęściej przeniesienie ryzyka polega na ubezpieczeniu się od jakiegoś zdarzenia lub scedowanie skutków ryzyka na kontrahenta (lub podwykonawcę); dla ryzyk o normalnym poziomie (1 3) stosuje się zazwyczaj akceptację ryzyk. Jeżeli zagrożenia się ziszczą ponosimy odpowiednie skutki. Akceptację dzielimy na aktywną (posiadamy rezerwę finansową) i pasywną (brak rezerw) *) Wycofanie strategia wykorzystywana w początkowej fazie projektu. Np. przeprowadzenie studium wykonalności. Sprawdzamy czy rezultat projektu (dostarczany produkt lub usługa) ma szanse na spełnienie założonych wymagań. Jeśli nie - ponieśliśmy koszty na badania, ale inwestycja nie pochłonie bezsensownie całego budżetu. 14/23
15 Przykład oszacowania ryzyk W przykładowej tabeli (Tabela nr 7) wskazano aktywa/procesy, określone zagrożenia, wartości wskaźników prawdopodobieństwa wystąpienia poszczególnych zagrożeń, oszacowano, zgodnie z Tabelą 6, realny wpływ zagrożenia na realizację umowy (skutek), wyliczono wartości ryzyka dla każdego aktywa/procesu. Tabela 7. Ryzyka związane z realizacją umowy Aktywa/Procesy Symbol Zagrożenie Prawdopodobieństwo Wpływ zagrożenia Ryzyko Internet (sieć LAN) LAN zerwanie linii 0, Komputery Kom kradzież 0, Badanie barofunkcji Bar nieżyt górnych dróg oddechowych 0, Personel techniczny Te absencja 0,3 20 6? Symulatory Sym awaria 0, Na macierz ryzyk naniesiono symbole aktywów/procesów, umieszczając je w polach macierzy zgodnie z wyliczonymi wartościami (Rys. 5). MACIERZ RYZYK wysokie średnie pomijalne prawdopodobieństwo wpływ S Kom (5) P 3 P LAN (1) W 10 S Te, Bar (6) P 2 W S 9 P 3 W 20 W Sym (12) S 4 Normalny Duży Bardzo duży Krytyczny Rys. 5 Macierz ryzyk - przykład. Linia tolerancji ryzyka Powyższa, przykładowa macierz ryzyk uwidacznia ryzyko o symbolu Sym ponad linią tolerancji ryzyka, w obszarze wysokiego ryzyka. Należałoby zatem, zgodnie z przyjętymi zasadami dokonać np. przeniesienia ryzyka. Dla aktywów Te, Kom i procesu Bar należałoby zastosować środki zapobiegawcze (ograniczające prawdopodobieństwo wystąpienia lub wpływ zagrożenia). Dla aktywa o symbolu LAN można by zaakceptować związane z nim ryzyko. 15/23
16 Załącznik 1 Aktywa - przykłady Informacje o Niezbędne do funkcjonowania Instytutu o Osobowe o Strategiczne decydujące dla rozwoju Instytutu o Istotne, o wysokim koszcie pozyskania, przechowywania lub przetwarzania Sprzęt i wyposaŝenie o Sprzęt mobilny (laptopy, PDA itp.) o Sprzęt stały (serwery, komputery osobiste) o Peryferia (drukarki, przenośne napędy itp.) o Masowe pamięci (macierze, urządzenia kopii zapasowych) o Nośniki danych (CD, taśma, pendrive, dysk zewnętrzny) Oprogramowanie o Systemy operacyjne o Oprogramowanie serwisowe i administracyjne o Oprogramowanie standardowe lub grupowe (bazy danych, serwery webowe, praca grupowa) o Aplikacje biznesowe Standardowe Specyficzne Sieci o Elementy pośredniczące (router, hub, switch) o Interfejsy komunikacyjne (GPRS, karty sieciowe) Pracownicy o Kierownictwo i właściciele aktywów o UŜytkownicy sprzętu przetwarzającego informacje o Administratorzy (systemów, baz danych, systemów bezpieczeństwa) Lokalizacja o Otoczenie zewnętrzne o Teren o Strefy o Kluczowe usługi o Komunikacja o WyposaŜenie (klimatyzacja, dostawa wody, wywóz śmieci itp.) Organizacja o Organy administracji o Struktura organizacyjna o Klienci 16/23
17 Lista zagrożeń i podatności Przykłady obszarów naraŝonych na zagroŝenia Załącznik 2 PoniŜsza lista podaje przykłady obszarów naraŝonych na zagroŝenia, znajdujących się w róŝnych rejonach bezpieczeństwa, włączając w to przykłady zagroŝeń, które mogą takie obszary wykorzystać. Lista ta moŝe być pomocna przy szacowaniu obszarów naraŝonych. Zaznacza się, iŝ mogą istnieć inne zagroŝenia będące w stanie wykorzystać te obszary naraŝone na zagroŝenia. Bezpieczeństwo personelu Absencja personelu - niedobór kadry Nie nadzorowana praca wykonywana przez kadry zewnętrzne lub sprzątające kradzieŝ Niewystarczające szkolenie w zakresie bezpieczeństwa błędy kadry wsparcia operacyjnego Brak świadomości w zakresie bezpieczeństwa błędy uŝytkowników Słabo udokumentowane oprogramowanie błędy kadry wsparcia operacyjnego Brak mechanizmów monitorowania uŝywanie oprogramowania w sposób nieupowaŝniony Brak polityk prawidłowego uŝytkowania mediów telekomunikacyjnych i systemów powiadamiania tego typu uŝywanie infrastruktury sieciowej w sposób nieautoryzowany Niewłaściwe procedury rekrutacyjne rozmyślne szkody Bezpieczeństwo fizyczne i środowiskowe Niewłaściwe lub niedbałe prowadzenie kontroli dostępu fizycznego do budynków, pomieszczeń i biur rozmyślne szkody Brak fizycznej ochrony budynków, drzwi i okien kradzieŝ Lokalizacja w rejonie podatnym na zalania powódź Niechronione magazynowanie kradzieŝ Niewystarczająca konserwacja/wadliwa instalacja nośników błąd w konserwacji Brak planów okresowej wymiany sprzętu spadek jakości nośników Podatność sprzętu na wilgotność, pył, zabrudzenie lotne cząstki/pył Podatność sprzętu na wahania temperatury ekstremalne temperatury Podatność sprzętu na wahania napięcia wahania zasilania Niestabilna sieć zasilająca wahania zasilania 17/23
18 Zarządzanie komputerami i sieciami Niechronione linie komunikacyjne podsłuch Wadliwie połączone okablowanie infiltracja łączności Brak mechanizmów identyfikacji i upowaŝniania podszywanie się pod toŝsamość uŝytkownika Transfer haseł w otwartej sieci dostęp dla nieupowaŝnionych uŝytkowników Brak dowodu wysłania lub otrzymania wiadomości odrzucenie Sieć oparta na łączach komutowanych - dostęp dla nieupowaŝnionych uŝytkowników Niechroniony przesył poufnych danych podsłuch Pojedynczy punkt awarii awaria usług komunikacyjnych Niewłaściwe zarządzanie siecią przeciąŝenie ruchu Brak troski podczas rozporządzania materiałami kradzieŝ Niekontrolowane kopiowanie kradzieŝ Niezabezpieczone połączenia z sieci publicznych uŝywanie oprogramowania przez nieupowaŝnionych uŝytkowników Kontrola dostępu do systemu / opracowywanie i utrzymywanie systemu Skomplikowany interfejs uŝytkownika błąd personelu operacyjnego Pozbywanie się lub ponowne uŝytkowanie nośników bez odpowiednich procedur usuwania danych korzystanie z oprogramowania przez osoby nieupowaŝnione Brak dziennika kontroli korzystanie z oprogramowania w sposób nieautoryzowany Brak dokumentacji - błąd personelu operacyjnego Brak efektywnych zabezpieczeń zmian wady oprogramowania Brak mechanizmów identyfikacji i autoryzacji, takich jak autoryzacja uŝytkownika podszywanie pod toŝsamość uŝytkownika Niewylogowanie się przy odejściu od stacji roboczej korzystanie z oprogramowania przez osoby nieupowaŝnione Brak lub niewystarczające testowanie oprogramowania - korzystanie z oprogramowania przez osoby nieupowaŝnione Niewydolne zarządzanie hasłami (łatwe do odgadnięcia hasła, przechowywanie haseł, zbyt rzadka wymiana haseł) podszywanie się pod toŝsamość uŝytkownika Niejasne lub niepełne specyfikacje dla twórców oprogramowania wady oprogramowania Niekontrolowane pobieranie plików i korzystanie z oprogramowania złośliwe oprogramowanie Niechronione tabele haseł podszywanie się pod toŝsamość uŝytkownika Dobrze znane usterki w oprogramowaniu korzystanie z oprogramowania przez osoby nieupowaŝnione Błędne przyznawanie uprawnień dostępowych korzystanie z oprogramowania w sposób nieautoryzowany 18/23
19 Podatności 1. Środowisko i infrastruktura Brak fizycznej ochrony budynku, drzwi i okien (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) Niewłaściwe lub nieuwaŝne uŝycie fizycznej kontroli dostępu do budynków, pomieszczeń (moŝe zostać wykorzystana na przykład przez zagroŝenie umyślną szkodą) Niestabilna sieć elektryczna (moŝe zostać wykorzystana na przykład przez zagroŝenie wahaniami natęŝenia prądu) Lokalizacja na terenie zagroŝonym powodzią (moŝe zostać wykorzystana na przykład przez zagroŝenie zalaniem) 2. Sprzęt Brak planów okresowej wymiany (moŝe zostać wykorzystana na przykład przez zagroŝenie zuŝyciem nośników) Podatność na zmiany napięcia (moŝe zostać wykorzystana na przykład przez zagroŝenie wahaniami napięcia prądu) Podatność na zmiany temperatury (moŝe zostać wykorzystana na przykład przez zagroŝenie ekstremalnymi temperaturami) Podatność na wilgotność, kurz, zabrudzenie (moŝe zostać wykorzystana na przykład przez zagroŝenie kurzem) WraŜliwość na promieniowanie elektromagnetyczne (moŝe zostać wykorzystana na przykład przez zagroŝenie promieniowaniem elektromagnetycznym) Niewłaściwa konserwacja / wadliwa instalacja nośników (moŝe zostać wykorzystana na przykład przez zagroŝenie błędami konserwacji Brak sprawnej kontroli zmian w konfiguracji (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) 3. Oprogramowanie Niejasny lub niekompletny opis techniczny dla projektantów (moŝe zostać wykorzystana na przykład przez zagroŝenie awarią oprogramowania) Brak lub niedostateczne przetestowanie oprogramowania (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania przez nieuprawnionych uŝytkowników) Skomplikowany interfejs uŝytkownika (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) Brak mechanizmów identyfikacji i uwierzytelniania takich jak uwierzytelnianie uŝytkowników (moŝe zostać wykorzystana na przykład przez zagroŝenie maskaradą toŝsamości uŝytkownika) Brak śladów dla audytu (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania w nieuprawniony sposób) Dobrze znane wady oprogramowania 19/23
20 (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania przez nieuprawnionych uŝytkowników) Niechronione tablice haseł (moŝe zostać wykorzystana na przykład przez zagroŝenie maskaradą toŝsamości uŝytkownika) Złe zarządzanie hasłami (hasła łatwe do odgadnięcia, przechowywanie haseł w postaci jawnej, zbyt rzadkie zmiany - moŝe zostać wykorzystana na przykład przez zagroŝenie maskaradą toŝsamości uŝytkownika) Niewłaściwy przydział uprawnień do dostępu (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania w nieuprawniony sposób) Brak kontroli pobierania i uŝywania oprogramowania (moŝe zostać wykorzystana na przykład przez zagroŝenie złośliwym oprogramowaniem) Brak konieczności wylogowania się po opuszczeniu stacji roboczej (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania przez nieuprawnionych uŝytkowników) Brak efektywnej kontroli zmian (moŝe zostać wykorzystana na przykład przez zagroŝenie awarią oprogramowania) Brak dokumentacji (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) Brak kopii zapasowych (moŝe zostać wykorzystana na przykład przez zagroŝenie złośliwym oprogramowaniem lub zagroŝenie poŝarem) Usuwanie lub ponowne uŝycie nośników bez odpowiedniego kasowania ich zawartości (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝycia oprogramowania przez nieuprawnionych uŝytkowników) 4. Łączność Niechronione linie łączności (moŝe zostać wykorzystana na przykład przez zagroŝenie podsłuchem) Złe łączenie kabli (moŝe zostać wykorzystana na przykład przez zagroŝenie infiltracją łączności) Brak identyfikacji i uwierzytelniania nadawcy i odbiorcy (moŝe zostać wykorzystana na przykład przez zagroŝenie podszyciem się pod uŝytkownika) Przesyłanie haseł w postaci jawnej (moŝe zostać wykorzystana na przykład przez zagroŝenie dostępu do sieci przez nieuprawnionych uŝytkowników) Brak dowodu wysłania lub odebrania wiadomości (moŝe zostać wykorzystana na przykład przez zagroŝenie zaprzeczenia) Linie komutowane (moŝe zostać wykorzystana na przykład przez zagroŝenie dostępu do sieci przez nieuprawnionych uŝytkowników) 20/23
21 Niechroniony wraŝliwy ruch (moŝe zostać wykorzystana na przykład przez zagroŝenie podsłuchem) Nieodpowiednie zarządzanie siecią (odporność trasowania na uszkodzenia) (moŝe zostać wykorzystana na przykład przez zagroŝenie przeciąŝeniem ruchem) Niechronione połączenia do sieci publicznej (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania przez nieuprawnionych uŝytkowników) 5. Dokumenty Niechronione przechowywanie (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) Nieodpowiednie niszczenie (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) Niekontrolowane kopiowanie (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) 6. Personel Nieobecność personelu (moŝe zostać wykorzystana na przykład przez zagroŝenie niedoborem personelu) Praca personelu zewnętrznego lub sprzątającego bez nadzoru (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) Niedostateczne szkolenia w zakresie bezpieczeństwa (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) Brak świadomości bezpieczeństwa (moŝe zostać wykorzystana na przykład przez zagroŝenie błędami uŝytkowników) Niewłaściwe uŝycie oprogramowania i sprzętu (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) Brak mechanizmów monitorowania (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania w nieuprawniony sposób) Brak polityk właściwego uŝycia środków łączności i komunikowania się (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem instalacji sieciowych w nieuprawniony sposób) Niewłaściwe procedury zatrudniania (moŝe zostać wykorzystana na przykład przez zagroŝenie umyślną szkodą) 7. Podatności mające zastosowanie ogólne Pojedynczy punkt uszkodzenia (moŝe zostać wykorzystana na przykład przez zagroŝenie awarią usług łączności) Niewłaściwa reakcja serwisu dokonującego konserwacji (moŝe zostać wykorzystana na przykład przez zagroŝenie awarią sprzętu) 21/23
22 Plan postępowania z ryzykiem Załącznik 3 W celu obniŝenia ryzyk w/w aktywów opracowano plan postępowania z ryzykiem: Ryzyko Dział lub proces Dotyczy zagroŝenia Opis postępowania Pracownicy ZBSSiTLL... (Istruktorzy / wykładowcy) Dokumentacja OBOLLiMP... Osoba odpowiedzialna za realizację Planowane koszty realizacji Stan na dzień... r. Planowana data realizacji Data realizacji Skuteczność (T/N) /23
23 Wykaz zmian Lp. Data zmiany Nr strony Krótki opis zmiany Wprowadził Zmiany w wydaniu 3.2 Dostosowano opis obszarów do aktualnej struktury WIML OBOLLiMP, AeMC WIML, CS, Laboratorium Kliniczne, ZBSSiTLL Zmodyfikowano wykaz obszarów podlegających analizie ryzyka Zmiany w wydaniu 4.0 M. Dereń M. Dereń /23
Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw
Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11 Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora
Bardziej szczegółowoA N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN
Dokument nadzorowany w wersji elektronicznej 8.01.2013 r. ZATWIERDZAM zał. nr 11 do PB UMiG Łasin Podpis Administratora Danych Osobowych ORA.142.1.1.2013 A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowoZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.
ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...
Bardziej szczegółowoZałącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji
Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji PROCEDURA ZARZĄDZANIA RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI 1. 1. Procedura zarządzania ryzykiem
Bardziej szczegółowoZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.
ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia 05. 04. 2017 r. w sprawie: wprowadzenia Procedury zarządzania ryzykiem w bezpieczeństwie
Bardziej szczegółowoPrzykładowa lista zagroŝeń dla systemu informatycznego
Załącznik nr 2 Przykładowa lista zagroŝeń dla systemu informatycznego Oddziaływanie na zasób Lp. ZagroŜenie Kategoria Zasób Szczegółowy opis zagroŝenia Poufność ntegralność Dostępność 1. Atak socjotechniczny
Bardziej szczegółowoZarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku
Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku w sprawie ustanowienia systemu zarządzania ryzykiem w Urzędzie Miejskim w Karczewie Na podstawie rozdziału 6 ustawy z dnia 27 sierpnia
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM
Załącznik nr 3 do Zarządzenia Dyrektora Nr 6/2011 z dnia 14.12.2011 POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM POLITYKA ZARZĄDZANIA RYZYKIEM 1.1.Ilekroć w dokumencie jest
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM
POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1.1.Ilekroć w dokumencie jest mowa o: 1) ryzyku należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację
Bardziej szczegółowoZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:
ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:2018-02 DR INŻ. AGNIESZKA WIŚNIEWSKA DOCTUS SZKOLENIA I DORADZTWO e-mail: biuro@doctus.edu.pl tel. +48 514
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoRegulamin zarządzania ryzykiem. Założenia ogólne
Załącznik nr 1 do Zarządzenia Nr 14/2018 dyrektora Zespołu Obsługi Oświaty i Wychowania w Kędzierzynie-Koźlu z dnia 29.11.2018r. Regulamin zarządzania ryzykiem 1 Założenia ogólne 1. Regulamin zarządzania
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku
ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku w sprawie wprowadzenia procedury zarządzania ryzykiem w Urzędzie Miejskim w Pasłęku Na podstawie art. (69 ust. 1 pkt 3 w związku z art.
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.
1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM
Załącznik nr 1 do Zarządzenia nr 42/2010 Starosty Nowomiejskiego z dnia 10 grudnia 2010r. POLITYKA ZARZĄDZANIA RYZYKIEM 1 Niniejszym dokumentem ustala się zasady zarządzania ryzykiem, mające przyczynić
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
Dz. U. z 2004 r. Nr 100, poz. 1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
Bardziej szczegółowoŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55
Aby uzyskać szczegółowe instrukcje do opracowania dokumentu należy otworzyć poniższe hiperłącze: 400 - B.V Środowisko komputerowych systemów informatycznych.pdf 1. Czy chcesz przeprowadzić pełny czy skrócony
Bardziej szczegółowoSpis treści. Analiza Ryzyka Instrukcja Użytkowania
Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.
Bardziej szczegółowoSpis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania
Listopad 2017 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeo... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI
Załącznik 1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W celu zabezpieczenia danych gromadzonych i przetwarzanych w Urzędzie Miejskim w Ząbkowicach Śląskich oraz jego systemie informatycznym, a w szczególności
Bardziej szczegółowoZagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.
Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od
Bardziej szczegółowoProcedura zarządzania ryzykiem w Urzędzie Gminy Damasławek
Załącznik nr 3 do Zarządzenia Nr Or. 0152-38/10 Wójta Gminy Damasławek z dnia 31 grudnia 2010 r. Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek celem procedury jest zapewnienie mechanizmów
Bardziej szczegółowoSzczegółowy opis przedmiotu zamówienia:
Załącznik nr 1 do SIWZ Szczegółowy opis przedmiotu zamówienia: I. Opracowanie polityki i procedur bezpieczeństwa danych medycznych. Zamawiający oczekuje opracowania Systemu zarządzania bezpieczeństwem
Bardziej szczegółowoPROCEDURY ZARZĄDZANIARYZYKIEM
Załącznik do zarządzenia 366/AKW/2015 Prezydenta Miasta Kędzierzyn-Koźle z dnia 17 lipca 2015 r. w sprawie ustalenia i wprowadzenia obowiązku stosowania procedury zarządzania ryzykiem w Urzędzie Miasta
Bardziej szczegółowoLWKZ Zarządzenie nr 4/2017
LWKZ.110.4.2017 Zarządzenie nr 4/2017 Lubuskiego Wojewódzkiego Konserwatora Zabytków w Zielonej Górze z dnia 30 maja 2017 r. w sprawie ustalenia Regulaminu zarządzania ryzykiem w Wojewódzkim Urzędzie Ochrony
Bardziej szczegółowo1/5 INSTRUKCJA OCENY RYZYKA W OPOLSKIM URZĘDZIE WOJEWÓDZKIM W OPOLU I. CEL WYDANIA PROCEDURY
Załącznik nr 3 do Zarządzenia nr 172/16 Wojewody Opolskiego z dnia 30.11.2016 r INSTRUKCJA OCENY RYZYKA W OPOLSKIM URZĘDZIE WOJEWÓDZKIM W OPOLU I. CEL WYDANIA PROCEDURY Ustala się Instrukcję oceny ryzyka
Bardziej szczegółowoProcedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu
Załącznik nr 1 do Zarządzenia Nr 4855/2014 Prezydenta Miasta Radomia z dnia 18 marca 2014 r. Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu 1 1. Określenia stosowane w niniejszej procedurze:
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoProcedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym
Załącznik Nr 1 do Zarządzenia Nr 13/12/2015 Dyrektora Zespołu Szkolno-Przedszkolnego w Halinowie z dnia 28 grudnia 2015r. Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym w Halinowie. Ilekroć
Bardziej szczegółowoZabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001
Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001 A.5.1.1 Polityki bezpieczeństwa informacji A.5.1.2 Przegląd polityk bezpieczeństwa informacji A.6.1.1 Role i zakresy odpowiedzialności w bezpieczeństwie
Bardziej szczegółowoZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.
ZARZĄDZENIE NR 0050.104. 2014 WÓJTA GMINY DOBROMIERZ z dnia 10 wrzesień 2014 r. w sprawie organizacji zarządzania ryzykiem w Urzędzie Gminy Dobromierz Na podstawie art. 68 i art. 69 ust. 1 ustawy z dnia
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoProcedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku
Załącznik Nr 1 do Zarządzenia Nr A-0220-25/11 z dnia 20 czerwca 2011 r. zmieniony Zarządzeniem Nr A-0220-43/12 z dnia 12 października 2012 r. Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.
Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowoWłaściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.
Samoocena może dotyczyć zarówno procesów zachodzących w jednostce, jak i poszczególnych elementów systemu jakie uwzględnia kontrola zarządcza. W procesie samooceny biorą udział pracownicy jednostki bezpośrednio
Bardziej szczegółowoPolityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje
Załącznik do Zarządzenia nr 70/2015 Rektora UEP z dnia 27 listopada 2015 roku Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu 1 Definicje Określenia użyte w Polityce zarządzania
Bardziej szczegółowoProcedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;
Procedura zarządzania w Powiatowym Załącznik do Zarządzenia Nr PCPR.021.19.2015 Dyrektora Powiatowego Centrum Pomocy Rodzinie w Sępólnie Krajeńskim z siedzibą w Więcborku z dnia 28 grudnia 2015r. w sprawie
Bardziej szczegółowoCertified IT Manager Training (CITM ) Dni: 3. Opis:
Kod szkolenia: Tytuł szkolenia: HK333S Certified IT Manager Training (CITM ) Dni: 3 Opis: Jest to trzydniowe szkolenie przeznaczone dla kierowników działów informatycznych oraz osób, które ubiegają się
Bardziej szczegółowoSYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU
P OLITECHNIK A W AR S Z AWSKA FILIA W PŁOCKU ul. Łukasiewicza 17, 09-400 Płock SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU Opracowano na podstawie załącznika do
Bardziej szczegółowoZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia r.
ZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia 30.09.2010 r. W sprawie: wprowadzenia zasad zarządzania ryzykiem w Urzędzie Miejskim w Bieruniu Na podstawie art. 30 ust. 1 ustawy z dnia
Bardziej szczegółowoPolityka Zarządzania Ryzykiem
Polityka Zarządzania Ryzykiem Spis treści 1. Wprowadzenie 3 2. Cel 3 3. Zakres wewnętrzny 3 4. Identyfikacja Ryzyka 4 5. Analiza ryzyka 4 6. Reakcja na ryzyko 4 7. Mechanizmy kontroli 4 8. Nadzór 5 9.
Bardziej szczegółowoPrelegent : Krzysztof Struk Stanowisko: Analityk
Prelegent : Krzysztof Struk (BDO@KAMSOFT.PL) Stanowisko: Analityk Nowe wyzwania Największa zmiana prawna (w historii) w obszarze ochrony i przetwarzania danych osobowych, wrażliwych Przeniesienie odpowiedzialności
Bardziej szczegółowoInstrukcja. ocena aspektów środowiskowych PE-EF-P01-I01
Instrukcja ocena aspektów środowiskowych PE-EF-P01-I01 Warszawa, lipiec 2013 r. Metryka regulacji Obszar biznesowy: Kategoria: Właściciel: Forma i data zatwierdzenia: Data wejścia w życie: Zakres stosowania:
Bardziej szczegółowoMETODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ
ZINTEGROWANY SYSTEM ZARZĄDZANIA 1/14 PSZ.0141.2.2015 METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ ZINTEGROWANY SYSTEM ZARZĄDZANIA 2/14 I. Definicje
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoZarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia 20.06.2011 roku
Dom Pomocy Społecznej Betania Al. Kraśnicka 223, 20-718 Lublin tel./fax 081 526 49 29 NIP 712-19-36-365, REGON 000979981 Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z
Bardziej szczegółowoZarządzenie Nr 71/2010 Burmistrza Miasta Czeladź. z dnia 28 kwietnia 2010r.
Zarządzenie Nr 71/2010 Burmistrza Miasta Czeladź z dnia 28 kwietnia 2010r. w sprawie : wprowadzenia procedury Identyfikacji zagroŝeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Miasta
Bardziej szczegółowoProcedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu
Załącznik nr 1 do Zarządzenia Nr 2808/2018 Prezydenta Miasta Radomia z dnia 18 stycznia 2018 r. Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu 1 1. Określenia stosowane w niniejszej procedurze:
Bardziej szczegółowoZarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015
Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015 ZAPEWNIAMY BEZPIECZEŃSTWO Piotr Błoński, Warszawa, 17.03.2016 r. Program 1. Zarządzanie zmianą - zmiany w normie ISO 9001:2015 2. Zarządzanie
Bardziej szczegółowoZarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.
Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r. w sprawie: Polityki Zarządzania Ryzykiem w Akademii Wychowania Fizycznego Józefa
Bardziej szczegółowoRealizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST
Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST III PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 20-21 października
Bardziej szczegółowoBezpieczeństwo danych i systemów informatycznych. Wykład 1
Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane
Bardziej szczegółowoNowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.
Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie
Bardziej szczegółowoStandard ISO 9001:2015
Standard ISO 9001:2015 dr inż. Ilona Błaszczyk Politechnika Łódzka XXXIII Seminarium Naukowe Aktualne zagadnienia dotyczące jakości w przemyśle cukrowniczym Łódź 27-28.06.2017 1 Struktura normy ISO 9001:2015
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne
POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1. 1. Zarządzanie ryzykiem jest elementem łączącym kontrolę zarządczą z audytem wewnętrznym. Należy dążyć do minimalizacji ryzyka w funkcjonowaniu
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeostwie IT
Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoPOLITYKA E-BEZPIECZEŃSTWA
Definicja bezpieczeństwa. POLITYKA E-BEZPIECZEŃSTWA Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie: Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim). Integralności
Bardziej szczegółowoInstrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu
Instrukcja Zarządzania Systemem Informatycznym załącznik nr 13 do Polityki Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu 1 1. Instrukcja Zarządzania Systemami Informatycznymi, zwana
Bardziej szczegółowoZał. nr 2 do Zarządzenia nr 48/2010 r.
Zał. nr 2 do Zarządzenia nr 48/2010 r. Polityka bezpieczeństwa systemu informatycznego służącego do przetwarzania danych osobowych w Państwowej Wyższej Szkole Zawodowej w Gnieźnie 1 Niniejsza instrukcja
Bardziej szczegółowoDOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE
Załącznik do Zarządzania Prezydenta Miasta Kędzierzyn-Koźle Nr 1624/BIO/2013 z dnia 4 października 2013 r. DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE Spis
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE
Strona1 ZAŁĄCZNIK NR 2 do Zarządzenia Nr DOK.0151.2.7.2016 Dyrektora MGOKSIR z dnia 30.08.2016r. POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE zwana dalej:
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoMetodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych
Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu
Bardziej szczegółowoZASADY ZARZĄDZANIA RYZYKIEM. Rozdział I Postanowienia ogólne
ZASADY ZARZĄDZANIA RYZYKIEM Rozdział I Postanowienia ogólne 1. Ustala się zasady zarządzania ryzykiem w Uniwersytecie Przyrodniczym we Wrocławiu, zwanym dalej Uczelnią. 1 2. Ustalone zasady mają przyczynić
Bardziej szczegółowoZarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014
Zarządzanie ryzykiem w rozwiązaniach prawnych by Antoni Jeżowski, 2014 Najbardziej ryzykuje ten, kto lekceważy ryzyko 2 www.mf.gov.pl 3 Ryzyko definicje Ryzyko prawdopodobieństwo, że określone zdarzenie
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO
Załącznik nr 1 do Zarządzenia nr 25/2005 Burmistrza Brzeszcz z dnia 21 czerwca 2005 r. POLITYKA BEZPIECZEŃSTWA URZĘDU GMINY W BRZESZCZACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i
Bardziej szczegółowoWytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów
Wytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów Załącznik Nr 2 do Zarządzenia Nr 195/10 Burmistrza Miasta Złotowa z dnia 15 listopada
Bardziej szczegółowoKryteria oceny Systemu Kontroli Zarządczej
Załącznik nr 2 do Zasad kontroli zarządczej w gminnych jednostkach organizacyjnych oraz zobowiązania kierowników tych jednostek do ich stosowania Kryteria oceny Systemu Kontroli Zarządczej Ocena Środowisko
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoPROCEDURA ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI 1. CEL PROCEDURY
Załącznik do Zarządzenia Prezydenta Miasta Jastrzębie-Zdrój Nr Or.IV.0050.634.2015 z dnia 23 listopada 2015 w sprawie wprowadzenia w Urzędzie Miasta w Jastrzębiu-Zdroju Procedury analizy ryzyka bezpieczeństwa
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE
Załącznik Nr 2 do Zarządzenia Nr 15/2013/2014 Dyrektora Szkoły Podstawowej Nr 2 im. św. Wojciecha w Krakowie z dnia 21. stycznia 2014 r. POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW.
Bardziej szczegółowoInstrukcja zarządzania ryzykiem
Instrukcja zarządzania ryzykiem Wstęp 1 1. Instrukcja zarządzania ryzykiem ma na celu zwiększenie prawdopodobieństwa osiągnięcia celów Gimnazjum nr 2 w Żarach 2. Ilekroć w niniejszej instrukcji jest mowa
Bardziej szczegółowoZałącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach
Wdrożony Zintegrowany System Zarządzania obejmuje swoim zakresem wszystkie komórki organizacyjne Urzędu Dobczyce, dnia 15 listopada 2013 roku Rozdział Opis normy/wymaganie Sposób realizacji A.5 Polityka
Bardziej szczegółowoSTRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016
STRATEGICZNE MYŚLENIE - KONTROLA ZARZĄDCZA PRZY WYKORZYSTANIU NARZĘDZI IT Szczyrk, 2-3 czerwiec 2016 CELE SYSTEMU KONTROLI ZARZĄDCZEJ Określenie celów strategicznych i operacyjnych dla organizacji. Zarządzanie
Bardziej szczegółowoP O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH
Załącznik do zarządzenia Rektora UJK nr 69/2017 z dnia 30 czerwca 2017 r. P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH 1 Podstawowe definicje
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoISO 9001:2015 przegląd wymagań
ISO 9001:2015 przegląd wymagań dr Inż. Tomasz Greber (www.greber.com.pl) Normy systemowe - historia MIL-Q-9858 (1959 r.) ANSI-N 45-2 (1971 r.) BS 4891 (1972 r.) PN-N 18001 ISO 14001 BS 5750 (1979 r.) EN
Bardziej szczegółowoRola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku
RISK RODO GDPR Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku GIODO oraz INP PAN 14 luty 2017 Mariola Więckowska 2 Agenda 1. UODO: Analiza ryzyka systemów
Bardziej szczegółowoZarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.
Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r. Anna Jaskulska Kontrola zarządcza jest systemem, który ma sprawić, aby jednostka osiągnęła postawione przed nią cele w sposób
Bardziej szczegółowoCentrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.
Zapytanie ofertowe nr CUPT/DO/OZ/AW/26/36/AB/13 Szanowni Państwo, Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoPolityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu
Załącznik nr do zarządzenia nr 156 Rektora UMK z 15 listopada 011r. Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu 1 1. Polityka zarządzania ryzykiem, zwana dalej Polityką,
Bardziej szczegółowo