NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO
|
|
- Edyta Helena Wierzbicka
- 8 lat temu
- Przeglądów:
Transkrypt
1 Grażyna Ożarek 1 NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO Celem referatu jest wskazanie, że powszechnie stosowane doraźne, spontaniczne działania w zakresie ochrony aktywów informacyjnych nie przynoszą spodziewanych korzyści. Brak systemowego podejścia do bezpieczeństwa informacyjnego - to wysokie nakłady i niskie efekty. Informacje w trudzie się produkuje ale łatwo reprodukuje. Zatem może warto sięgnąć po dokumenty normalizacyjne, które wskażą jak zbudować kompleksowy a zatem skuteczny system zarządzania bezpieczeństwem informacyjnym (SZBI). Dzięki nim poznamy własne zasoby informacyjne i ich wartość dla organizacji, zidentyfikujemy zagrożenia i oszacujemy ryzyko, zastosujemy adekwatne do zagrożeń zabezpieczenia, przygotujemy harmonogram wdrożeń zabezpieczeń oraz audytów oceniających stan ochrony, wyznaczymy osoby odpowiedzialne za system i elementy systemu, zbudujemy kulturę bezpieczeństwa informacyjnego w organizacji. W konsekwencji uzyskamy ekonomicznie uzasadniony, dojrzały oraz skuteczny SZBI. 1. NORMALIZACJA DLA BEZPIECZEŃSTWA INFORMACYJNEGO Normalizacja jest działalnością zmierzającą do uzyskania optymalnego, w danych okolicznościach, stopnia uporządkowania w określonym zakresie, poprzez ustalanie postanowień przeznaczonych do powszechnego i wielokrotnego stosowania, dotyczących istniejących lub mogących wystąpić problemów 2 Tym współczesnym problemem, z którym musi poradzić sobie każda organizacja zarówno mała jak i duża; ta ze sfery biznesu jak i publiczna, jest zapewnienie bezpieczeństwa aktywom informacyjnym (danym i informacjom). W dokumentach normalizacyjnych można znaleźć zasady, wytyczne, charakterystyki, które odnoszą się do różnych rodzajów działalności i zmierzają do uzyskania optymalnego stopnia uporządkowania w określonym zakresie. Kompleksowe podejście do zorganizowania w instytucji systemu zarządzania bezpieczeństwem informacyjnym zostało zawarte w dokumencie normalizacyjnym PN-ISO/IEC Technika informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania. W tabeli 1 przedstawiono zbiór dokumentów komplementarnych z PN-ISO/IEC i jednocześnie uszczegóławiających zagadnienie budowy i utrzymania wdrożonego systemu zarządzania bezpieczeństwem informacyjnym (SZBI) w organizacji. Tabela 1 Podstawowy zbiór dokumentów normalizacyjnych niezbędny do budowy SZBI w organizacji Numer normy Tytuł Zawartość normy PN-ISO/IEC Technika informatyczna. Techniki Prezentuje model oraz metodę ustanowienia, Bezpieczeństwa. Systemy zarządzania wdrożenia, eksploatacji, monitorowania, bezpieczeństwem informacji. przeglądu, utrzymania i doskonalenia SZBI. Wymagania PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. Zawiera wytyczne do zarządzania ryzykiem dotyczącym bezpieczeństwa informacyjnego. Stanowi rozwinięcie ogólnych koncepcji opisanych w PN ISO/IEC Referat został wygłoszony w dniu 17 września 2010 r. na sympozjum zorganizowanym przez Polskie Forum ISO 9000 w Dymaczewie k/poznania 2 Ustawa o normalizacji z dnia 12 września 2002 r. (Dz.U. Nr 169, poz. 1386)
2 PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. ISO/IEC Information technology - Security techniques - Information security management - Measurement Jest to praktyczny przewodnik umożliwiający opracowanie skutecznego SZBI. Omawia cele stosowania zabezpieczeń oraz opisuje metody wdrażania zabezpieczeń na podstawie oszacowanego ryzyka. W tym dokumencie przedstawiono wymagania i wytyczne dla jednostek prowadzących audyty i certyfikację SZBI, jednakże norma ta może być także stosowana w innych procesach audytowych np. do celów audytu wewnętrznego SZBI Dokument zawiera wytyczne dotyczące rozwoju i wykorzystania środków pomiaru w celu oceny skuteczności wdrożenia SZBI Zasady opisane w przedstawionych normach to modelowe, uznane sposoby postępowania najlepsze praktyki, które dają duże prawdopodobieństwo odniesienia sukcesu ale go nie gwarantują, bowiem nie zawierają recepty (jednego algorytmu rozwiązania problemu) lecz ogólne wytyczne, które powinny zostać indywidualnie dopasowane do każdej organizacji i doskonalone w procesie użytkowania. Skuteczna ochrona aktywów informacyjnych w sposób holistyczny ujmuje aspekty bezpieczeństwa mając na uwadze kwestie: teleinformatyczne, prawne, fizyczne, organizacyjne, ludzkie, społeczne, kulturowe, psychologiczne a także ekonomiczne. Inwestowanie w bezpieczeństwo informacyjne powinno być ekonomicznie opłacalne dla organizacji, powinno wynikać z potrzeb biznesowych. Sukces uzależniony jest od stopnia rozumienia potrzeb organizacji w zakresie bezpieczeństwa informacyjnego i zaangażowania w ten proces członków organizacji oraz systematycznego badania poziomu ochrony. Wszystkie te kwestie zostały uwzględnione w normalizacyjnym spojrzeniu na bezpieczeństwo informacyjne. 2. BEZPIECZEŃSTWO INFORMACYJNE Bezpieczeństwo informacyjne oznacza ochronę danych i informacji przed zagrożeniami (i wynikającymi stąd niekontrolowanymi stratami) płynącymi z otoczenia oraz wnętrza organizacji. Celem tej ochrony jest m. in. zapewnienie ciągłości działania procesów, wykorzystanie w pełni możliwości biznesowych, obniżenie ryzyka ewentualnych strat na skutek zaistniałych incydentów. Ale także możliwość podejmowania skutecznych decyzji opartych na analizie danych i informacji do których możemy mieć zaufanie. Bezpieczeństwo informacyjne w swoim szerokim znaczeniu obejmuje każdą postać danych i informacji, aczkolwiek podstawową rolę w instytucjach odgrywa obecnie ich cyfrowa postać. Chronić zatem trzeba zarówno zasoby cyfrowe jak i te występujące w postaci dokumentów papierowych, graficznych, filmowych oraz zapamiętane przez człowieka i przekazywane przez środki łączności. Bezpieczeństwo informacyjne związane jest z zachowaniem tzw. atrybutów bezpieczeństwa aktywów informacyjnych, do których przede wszystkim zaliczamy: integralność, poufność i dostępność; dodatkowo można rozważyć ochronę innych własności takich jak rozliczalność, autentyczność, niezawodność i niezaprzeczalność (tab. 2). Utrzymywanie tych atrybutów, dla wybranych grup aktywów informacyjnych, na założonym poziomie bezpieczeństwa oraz empirycznie stwierdzona odporność na zakłócenia, świadczy o prawidłowym funkcjonowaniu systemu zarządzania bezpieczeństwem informacyjnym w organizacji. 3 Norma została wydana 15 grudnia 2009 r.
3 Definicje atrybutów bezpieczeństwa danych i informacji Nazwa atrybutu bezpieczeństwa Definicja Integralność (integrity) Poufność (confidentiality) Dostępność (availability) Niezawodność (reliability) Autentyczność (authenticity) Rozliczalność (accountability) Niezaprzeczalność (non-repudiation) 3. PROJEKTOWANIE SZBI Tabela 2 Zapewnienie, że dane lub informacje nie zostały zmienione w sposób nieautoryzowany (dokładne i kompletne aktywa) Dane i informacje udostępniane są tylko osobom upoważnionym Możliwość wykorzystania na każde żądanie w założonym czasie przez upoważnione podmioty Oznacza koherentne, zamierzone zachowanie i skutki Zapewnienie, że tożsamość podmiotu lub zasobu jest zgodna z deklarowaną Pewność, że działania danego podmiotu są w sposób jednoznaczny przypisane temu podmiotowi Brak możliwości wyparcia się swego uczestnictwa w przetwarzaniu danych. Przystępując do budowy SZBI zgodnie z zaleceniami normy należy dokonać inwentaryzacji zasobów informacyjnych, określić ich wartość rynkową lub wrażliwość; połączyć w grupy, określić poziom zabezpieczeń i rodzaj zabezpieczeń. Aby zastosować właściwe zabezpieczenia należy dokonać analizy podatności i zagrożeń dokonać analizy ryzyka. Miarą ważności określonych grup aktywów informacyjnych jest ich tzw. wrażliwość, jeśli nie możemy wycenić ich w jednostce monetarnej. Wrażliwymi aktywami informacyjnymi są takie, które mogą zostać wykorzystane na szkodę zainteresowanej organizacji. Wrażliwość poszczególnych grup aktywów informacyjnych jest ustalana przez właścicieli informacji i ma na celu ustalenie poziomu ich ochrony. Warto wspomnieć, że im bardziej wartościowe lub wrażliwe są zasoby tym większe jest ryzyko związane z ich utratą i tym większe są wymagania bezpieczeństwa co obrazuje rys.1. Rys. 1 Ryzyko, wymagania bezpieczeństwa a wartość zasobów [Źródło: opr. wł. na podst. PN-I ]
4 4. SZACOWANIE RYZYKA Zgodnie z PN-ISO/IEC ryzyko mierzone jest jako kombinacja prawdopodobieństwa zdarzenia i jego następstw. Ryzyko dotyczy zdarzeń powtarzalnych, których możliwość zaistnienia można obliczyć statystycznie, czyli można je skalkulować. Na rys. 2 ukazano proces analizy ryzyka w celu podjęcia próby oszacowania ryzyka. Rys. 2 Analiza ryzyka i szacowanie ryzyka [źródło: opr. wł.] 4.1. Analiza ryzyka Identyfikowanie ryzyka Identyfikowanie ryzyka jest procesem wyszukiwania, zestawiania i charakteryzowania elementów ryzyka. Innymi słowy jest to działanie, w którym przewiduje się: co może się zdarzyć, gdzie to może się zdarzyć, dlaczego może wystąpić to zdarzenie, jak często może wystąpić to zdarzenie i jakie będą tego następstwa. W trakcie identyfikowania należy dokonać: 1. Inwentaryzacji aktywów i identyfikowania zagrożeń (o czym wspomniano wyżej). 2. Spisu istniejących zabezpieczeń. 3. Sporządzenia listy podatności (luk w systemie) w stosunku do aktywów, zagrożeń i zabezpieczeń (np. dla aktywów typu sieć podatnością może być brak dowodu wysłania i odebrania wiadomości, a zagrożeniem - odmowa działania). Obszerną listę przykładów podatności zawarto PN-ISO/IEC w załączniku D. 4. Określenie następstw (szkód). Następstwem może być utrata skuteczności, ciągłości działania, reputacji, straty biznesowe, zniszczenie, procesy karne itp. Dokonując szacowania szkód w wyniku incydentów należy wziąć pod uwagę takie elementy jak: 1. Czas wykrycia i naprawy 2. Straty liczone w nakładzie pracy 3. Utrata możliwości biznesowych 4. Koszty specjalistycznej naprawy lub odtworzenia aktywów 5. Straty z powodu obniżonego zaufania interesariuszy Estymowanie ryzyka Estymacja ryzyka to proces w którym przypisywane są wartości do prawdopodobieństwa i skutków ryzyka.
5 1. Estymacja ryzyka może być prowadzona metodą: Jakościową - stosowana w celu zgrubnego określenia poziomu oraz ujawnienia źródeł poważnego ryzyka. W estymacji jakościowej używa się skali atrybutów kwalifikujących potencjalne następstwa takie jak np. niski, średni i wysoki oraz prawdopodobieństwo wystąpienia tych następstw. Ilościową jest droższa, lecz dokładniejsza od poprzedniej; wykorzystuje się skalę numeryczną zarówno dla następstw jak i dla prawdopodobieństwa wystąpienia następstw. Wykorzystywane są dane o incydentach z różnych źródeł, najczęściej sięga się do danych historycznych. Mieszaną połączenie metody jakościowej i ilościowej. Wybór metody powinien być dostosowany do określonych potrzeb. 4.2 Ocena ryzyka Ocena ryzyka jest to proces porównywania estymowanego ryzyka z ustalonymi kryteriami w celu określenia znaczenia ryzyka. Ryzyko z przypisanymi wartościami dla poszczególnych grup aktywów informacyjnych oraz kryteria oceny ryzyka umożliwiają podjęcie decyzji w stosunku do przyszłych działań. Decyzje te powinny określać czy należy podjąć działanie, a także powinny ustalać działania priorytetowe. W wyniku oceny powinno się otrzymać listę rankingową postępowania z ryzykiem Szacowanie ryzyka zgrubne i dokładne Szacowanie ryzyka (zgodnie z rys. 2) realizowane jest poprzez proces analizy i oceny ryzyka. Tzw. szacowanie zgrubne - na wysokim poziomie ogólności - zwykle umożliwia jedynie wytyczenie chronologii działań związanych z zabezpieczeniami, bowiem często z powodów finansowych zabezpieczanie niektórych grup danych i informacji musimy odłożyć na później. Jak wspomniano wyżej, w pierwszej kolejności zabezpieczymy zatem te najbardziej krytyczne. Zgrubne szacowanie ryzyka rzadko odnosi się do szczegółów technologicznych i wskazuje głównie na zabezpieczenia organizacyjne oraz ogólne zabezpieczenia techniczne typu oprogramowanie antywirusowe lub kopie zapasowe. Szczegółowe szacowanie ryzyka wymaga dużo większych nakładów czasu, wysiłku i umiejętności niż w przypadku szacowania zgrubnego. Tablica 3 przedstawia przykład budowy macierzy do szczegółowego określania poziomu ryzyka związanego bezpieczeństwem informacji. Tablica 3 Przykładowa macierz do wyznaczania szczegółowego poziomu ryzyka [źródło: PN-ISO/IEC 27005] Wartość aktywów Zagrożenie - prawdopodobieństwo wystąpienia Podatność - łatwość wykorzystania Niskie (L) Średnie (M) Wysokie (H) L M H L M H L M H
6 Wiersze macierzy określają liczbowo wartość aktywów dla poszczególnych grup informacji (skala od 0 do 4). W kolumnach odzwierciedlone jest prawdopodobieństwo wystąpienia zagrożenia oraz łatwość wykorzystania podatności. Poziom ryzyka określony jest w skali od 0 do 8 dla każdej kombinacji. Wartość lub wrażliwość aktywów informacyjnych wyznaczają (jak wspomniano wyżej) kierownicy, którzy zwykle są tzw. właścicielami grup informacji w oparciu o takie czynniki jak: straty finansowe, przerwy w działaniu, utrata reputacji, zobowiązania i regulacje prawne itp. W podobny sposób (poprzez przypisanie poziomów: niskie, średnie, wysokie) szacowana jest łatwość wykorzystania zagrożeń oraz prawdopodobieństwo urzeczywistnienia się zagrożenia. Na przykład niech wartość aktywów wynosi 2, prawdopodobieństwo wystąpienia zagrożenia jest wysokie H, a łatwość wykorzystania L. Przy tych parametrach (zgodnie z tab. 3) poziom ryzyka wynosi 4. Przedstawiona metoda umożliwia tworzenie rankingu ryzyka dla poszczególnych grup aktywów. 5. ZARZĄDZANIE RYZYKIEM Istotnym elementem zarządzania bezpieczeństwem informacyjnym jest zarządzanie ryzykiem. Uproszczony proces zarządzania ryzykiem został przedstawiony na rys. 3. Rys. 3 Uproszczony schemat zarządzania ryzykiem [opr. wł. na podstawie PN-ISO/IEC 27005] Wszystkie powyżej opisane działania występują w fazie planuj SZBI. W fazie wykonuj należy zastosować odpowiednie zabezpieczenia w celu zredukowania ryzyka. Zabezpieczenia oraz cele zabezpieczeń zgodnie z PN-ISO/IEC powinny zostać opracowane w Deklaracji Stosowania jednym z najważniejszych dokumentów SZBI. Po praktyczne wskazówki warto sięgnąć do dokumentu PN-ISO/IEC Zgodnie z fundamentalną zasadą PN-ISO/IEC 27001, SZBI powinien żyć według cyklu PDCA (Planuj-Wykonaj- Sprawdź-Popraw). Oznacza to ciągłe monitorowanie, sprawdzanie i ulepszanie wdrożonego systemu. Tylko ciągłe monitorowanie i ocenianie przebiegu procesów związanych z bezpieczeństwem informacji pozwala stwierdzić jak ta ochrona jest realizowana. Wyniki pomiarów powinny być analizowane, aby umożliwić podejmowanie decyzji, co, gdzie i jak
7 poprawić - służyć doskonaleniu systemu. Etap eksploatacji systemu (sprawdź i popraw) wymaga, jak dobrze utrzymany ogród, stałej pielęgnacji systematycznej pracy i nadzoru. 6. KOORDYNOWANIE SZBI Kto powinien pełnić rolę menedżera bezpieczeństwa informacyjnego? W wielu firmach wyznacza się do tej funkcji pracownika komórki IT. Jeśli są to administratorzy lub informatycy wtedy nadzorują sami siebie. Jest to ewidentny błąd. Warto podkreślić, że menedżerem bezpieczeństwa informacyjnego nie musi być informatyk, ale osoba która rozumie nowe technologie oraz doskonale zna organizację i procesy w niej przebiegające. Zaleca się aby menedżer bezpieczeństwa był pełnomocnikiem najwyższego kierownictwa z odpowiednimi pełnomocnictwami, które umożliwiają mu wydawanie poleceń wszystkim pracownikom z żądaniem ich wykonania. Pełnomocnik powinien kierować i uczestniczyć w tworzeniu systemu w organizacji. Błędem jest kupowanie gotowych rozwiązań sporządzonych przez wyspecjalizowane firmy. Przygotowana przez nich polityka bezpieczeństwa informacyjnego, procedury, instrukcje zwykle są robotą seryjną z którą nikt z pracowników się nie utożsamia. Z empirii wynika, że rozwiązania muszą być wspólnie wypracowane a procedury akceptowane przez pracowników. Nie da się stworzyć efektywnego SZBI bez udziału wszystkich pracowników. W tym celu należy położyć duży nacisk na uwiadamianie pracownikom problemów bezpieczeństwa poprzez cykl szkoleń. Szkolenia te powinny objąć cały personel firmy, łącznie z pracownikami obsługi o których często się zapomina a stanowią ważne ogniwo w zapewnieniu bezpieczeństwa. W ten sposób tworzy się swoista kultura bezpieczeństwa informacyjnego w organizacji. Bez jej istnienia, czyli z pracownikami, którzy nie są uwrażliwieni na możliwość wystąpienia incydentów, zastosowane środki bezpieczeństwa zawsze będą niepełne a zatem niedoskonałe. 7. POMIAR BEZPIECZEŃSTWA INFORMACYJNEGO Jeśli nie potrafisz czegoś zmierzyć to niewiele o tym wiesz, w tym kontekście została wydana międzynarodowa norma ISO/IEC Zarządzanie bezpieczeństwem informacyjnym Pomiary. Norma ta objaśnia miary i dostarcza metod pomiarów potrzebnych do oszacowania skuteczności SZBI wymaganych przez ISO/IEC W tym miejscu należy zauważyć, że pojęcie pomiar zostało tu użyte w znaczeniu innym niż w przypadku pomiaru wielkości fizycznych. Pomiar wielkości fizycznych charakteryzuje się obiektywnością i empirycznością. W pomiarze tym ściśle określony jest przedmiot pomiaru, a wielkości mierzone mają przyporządkowaną jednostkę miary i wyrażone są liczbowo. Ponadto z terminem pomiar związane są narzędzia pomiarowe. Bezpieczeństwo jest niemierzalne z technicznego punktu widzenia, bowiem jest pojęciem abstrakcyjnym, subiektywnie odczuwanym przez odbiorcę. W bezpieczeństwie korzysta się z arbitralnych miar symbolicznych, często opisowych (np. niskie, średnie, wysokie). Z tego powodu, podczas audytu bezpieczeństwa informacyjnego audytor zbiera dane dotyczące wdrożonych zabezpieczeń na podstawie których wydaje ocenę stanu ochrony. Na podstawie stanu ochrony (np. posługując się deklaracją stosowania) może zdiagnozować, mniej lub bardziej precyzyjnie, dojrzałość SZBI. Co oznacza, że w danym momencie zostały spełnione warunki dające zapewnienie ochrony. Zatem w przypadku SZBI właściwym wydaje się stosowanie pojęcia ocena niż pomiar, a praca audytorów powinna skupiać się na badaniu stanu ochrony na podstawie wdrożonych zabezpieczeń i szacowaniu dojrzałości sytemu bezpieczeństwa informacyjnego, a nie na pomiarze bezpieczeństwa.
8 8. PODSUMOWANIE Bezpieczeństwo to imponderabilia 4 czyli rzecz nieuchwytna, nie dająca się, zmierzyć, zważyć, dokładnie określić, mogąca jednak oddziaływać i mieć znaczenie, wpływ. Bezpieczeństwo jest jedną z najważniejszych potrzeb człowieka, i jest to sui generis wewnętrzne przekonanie, że należące do niego zasoby pozostaną nienaruszone. Aby ta pewność miała oparcie w faktach należy ustanowić, wdrożyć, sprawdzać i doskonalić SZBI wg PN-ISO/IEC Jednym z symptomów skuteczności SZBI, dostrzeganych z wnętrza organizacji, jest niezakłócona realizacja określonych zadań i procesów. Z perspektywy zewnętrznej, potwierdzeniem istnienia dojrzałego SZBI, jest posiadanie certyfikatu bezpieczeństwa informacyjnego. Warto raz jeszcze podkreślić, że wszelkie działania spontaniczne, ad hock, bez głębszej analizy skazane są na niską efektywność w stosunku do nakładów. Tylko działania prowadzone systemowo w oparciu o najlepsze praktyki dają szansę optymalnej ochrony informacyjnych aktywów danej organizacji. LITERATURA 1. Krawiec J. Ożarek G.: Certyfikacja w informatyce. Warszawa. PKN PN-ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania. 3. PN-ISO/IEC 27005:2010 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. 4. PN-I :1999 Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. 5. ISO/IEC 27004:2009 Information technology - Security techniques - Information security management - Measurement 6. Liderman K.: Analiza ryzyka i ochrona informacji w systemach komputerowych. Warszawa. PWN imponderabilia (łc. in- nie- + p.łc. ponderabilis dający się zważyć od łc. ponderare ważyć ) rzeczy nieuchwytne, niedające się zmierzyć; rzeczy niesamowite, cudowne.
Krzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przepisy prawa a normy
Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoBezpieczeństwo informacji. jak i co chronimy
Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoJak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?
Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole? Polski Komitet Normalizacyjny Dr Grażyna Ożarek I Specjalistyczna Konferencja Bezpieczeństwo Informacyjne w Szkole Warszawa, październik
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:
ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:2018-02 DR INŻ. AGNIESZKA WIŚNIEWSKA DOCTUS SZKOLENIA I DORADZTWO e-mail: biuro@doctus.edu.pl tel. +48 514
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoAudyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny
Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoGrzegorz Pieniążek Hubert Szczepaniuk
Grzegorz Pieniążek Hubert Szczepaniuk Ogólny model oceny i analizy ryzyka informacyjnego Metodyki zarządzania ryzykiem w kontekście bezpieczeństwa Wpływ asymetrii informacyjnej na wartość organizacji Istota
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoJak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013
Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowomgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji
mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK
Bardziej szczegółowoBudowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa
Bardziej szczegółowoAUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych
AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram
Bardziej szczegółowoPRELEGENT Przemek Frańczak Członek SIODO
TEMAT WYSTĄPIENIA: Rozporządzenie ws. Krajowych Ram Interoperacyjności standaryzacja realizacji procesów audytu bezpieczeństwa informacji. Określenie zależności pomiędzy RODO a Rozporządzeniem KRI w aspekcie
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku
Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowo1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?
PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM
POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1.1.Ilekroć w dokumencie jest mowa o: 1) ryzyku należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację
Bardziej szczegółowoPolityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje
Załącznik do Zarządzenia nr 70/2015 Rektora UEP z dnia 27 listopada 2015 roku Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu 1 Definicje Określenia użyte w Polityce zarządzania
Bardziej szczegółowoAudyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty
Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW DZIEŃ I PRZYGOTOWANIE PLANU WDROŻENIA I AUDYT ZGODNOŚCI GODZINY REJESTRACJA UCZESTNIKÓW 09.00 9.15 Zapytamy
Bardziej szczegółowoZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku
ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku w sprawie wprowadzenia procedury zarządzania ryzykiem w Urzędzie Miejskim w Pasłęku Na podstawie art. (69 ust. 1 pkt 3 w związku z art.
Bardziej szczegółowoSystem Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?
System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko? SZBI - System Zarządzania Bezpieczeństwem Informacji Na SZBI składają się: polityka, procedury, wytyczne, związane zasoby i działania,
Bardziej szczegółowoZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach
ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych
Bardziej szczegółowoPowiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą
Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeostwie IT
Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoZdrowe podejście do informacji
Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM
Załącznik nr 3 do Zarządzenia Dyrektora Nr 6/2011 z dnia 14.12.2011 POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM POLITYKA ZARZĄDZANIA RYZYKIEM 1.1.Ilekroć w dokumencie jest
Bardziej szczegółowoI. O P I S S Z K O L E N I A
Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka
Bardziej szczegółowoZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.
ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...
Bardziej szczegółowoRealizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST
Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST III PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 20-21 października
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoRola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski
bezpieczeństwa informacji w jednostce Marcin Dublaszewski Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek? Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej
Bardziej szczegółowoProcedura zarządzania ryzykiem w Urzędzie Gminy Damasławek
Załącznik nr 3 do Zarządzenia Nr Or. 0152-38/10 Wójta Gminy Damasławek z dnia 31 grudnia 2010 r. Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek celem procedury jest zapewnienie mechanizmów
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile
w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile Sporządziła: Beata Lewandowska Zatwierdziła: Lidia Wójciak 1 Spis treści I. Preambuła.... 3 II. Deklaracja.... 3 III. Podstawowe pojęcia i skróty....
Bardziej szczegółowoISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.
ISO 9001 + 3 kroki w przód = ISO 27001 ISO Polska - Rzeszów 22 stycznia 2009r. O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie
Bardziej szczegółowoISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia
Bardziej szczegółowoZarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.
Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r. w sprawie: Polityki Zarządzania Ryzykiem w Akademii Wychowania Fizycznego Józefa
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.
1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, 43-450 Ustroń Administrator Danych Osobowych: Wojciech Śliwka 1. PODSTAWA PRAWNA Niniejsza Polityka
Bardziej szczegółowoInformatyka w kontroli i audycie
Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15
Bardziej szczegółowoOpracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej
Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.
Bardziej szczegółowoRektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP
ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego
Bardziej szczegółowoZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.
ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia 05. 04. 2017 r. w sprawie: wprowadzenia Procedury zarządzania ryzykiem w bezpieczeństwie
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE
Strona1 ZAŁĄCZNIK NR 2 do Zarządzenia Nr DOK.0151.2.7.2016 Dyrektora MGOKSIR z dnia 30.08.2016r. POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE zwana dalej:
Bardziej szczegółowoP O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH
Załącznik do zarządzenia Rektora UJK nr 69/2017 z dnia 30 czerwca 2017 r. P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH 1 Podstawowe definicje
Bardziej szczegółowoRyzyko w świetle nowych norm ISO 9001:2015 i 14001:2015
Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015 Rafał Śmiłowski_04.2016 Harmonogram zmian 2 Najważniejsze zmiany oraz obszary Przywództwo Większy nacisk na top menedżerów do udziału w systemie
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne
POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1. 1. Zarządzanie ryzykiem jest elementem łączącym kontrolę zarządczą z audytem wewnętrznym. Należy dążyć do minimalizacji ryzyka w funkcjonowaniu
Bardziej szczegółowoCO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek
CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH
Bardziej szczegółowoOpis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.
Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A. I. Cele Systemu Kontroli Wewnętrznej 1. System Kontroli Wewnętrznej stanowi część systemu zarządzania funkcjonującego w
Bardziej szczegółowoOpis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.
Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE
Załącznik Nr 2 do Zarządzenia Nr 15/2013/2014 Dyrektora Szkoły Podstawowej Nr 2 im. św. Wojciecha w Krakowie z dnia 21. stycznia 2014 r. POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW.
Bardziej szczegółowoZasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka
w sprawie określenia zasad funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin - wydanie drugie Zasady funkcjonowania systemu kontroli zarządczej
Bardziej szczegółowoWybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa
Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,
Bardziej szczegółowoZarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.
Zarządzanie ryzykiem w ochronie informacji niejawnych KSIBIT Warszawa 22 lipca 2014 r. Agenda spotkania Zamiast wstępu Wymagania prawne Zalecenia uzupełniające Pojęcia i terminy Metodyka szacowania ryzyk
Bardziej szczegółowoHARMONOGRAM SZKOLENIA
Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001
Bardziej szczegółowoZarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji
Kod szkolenia: Tytuł szkolenia: HL947S Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji Information Security Risk Management and Business Continuity Dni: 2 Opis:
Bardziej szczegółowoWartośd aktywów w analizie ryzyka bezpieczeostwa informacji
Strona1 Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji Spis treści I Wstęp... 2 II. W jakim celu określa się wartośd aktywów?... 2 III. Wartościowanie aktywów... 3 IV. Powiązanie istotności
Bardziej szczegółowoDOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE
Załącznik do Zarządzania Prezydenta Miasta Kędzierzyn-Koźle Nr 1624/BIO/2013 z dnia 4 października 2013 r. DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE Spis
Bardziej szczegółowoRegulamin zarządzania ryzykiem. Założenia ogólne
Załącznik nr 1 do Zarządzenia Nr 14/2018 dyrektora Zespołu Obsługi Oświaty i Wychowania w Kędzierzynie-Koźlu z dnia 29.11.2018r. Regulamin zarządzania ryzykiem 1 Założenia ogólne 1. Regulamin zarządzania
Bardziej szczegółowoWarszawa, dnia 28 czerwca 2012 r. Poz. 93
Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoZintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego
Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,
Bardziej szczegółowoPolskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny
Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych
Bardziej szczegółowoMetodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw
Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11 Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces
Bardziej szczegółowoCertified IT Manager Training (CITM ) Dni: 3. Opis:
Kod szkolenia: Tytuł szkolenia: HK333S Certified IT Manager Training (CITM ) Dni: 3 Opis: Jest to trzydniowe szkolenie przeznaczone dla kierowników działów informatycznych oraz osób, które ubiegają się
Bardziej szczegółowoUsprawnienia zarządzania organizacjami (normy zarzadzania)
(normy zarzadzania) Grażyna Żarlicka Loxxess Polska Sp. z o. o. www.loxxess.pl AS-QUAL Szkolenia Doradztwo Audity www.as-qual.iso9000.pl email:g_zarlicka@interia.pl Klub POLSKIE FORUM ISO 9000 www.pfiso9000.pl
Bardziej szczegółowoStandard ISO 9001:2015
Standard ISO 9001:2015 dr inż. Ilona Błaszczyk Politechnika Łódzka XXXIII Seminarium Naukowe Aktualne zagadnienia dotyczące jakości w przemyśle cukrowniczym Łódź 27-28.06.2017 1 Struktura normy ISO 9001:2015
Bardziej szczegółowoZastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych
Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki
Bardziej szczegółowoAnaliza Ryzyka - wytyczne ISO/IEC TR 13335
Analiza Ryzyka - wytyczne ISO/IEC TR 13335 Andrzej Zoła 21 listopada 2003 Spis treści 1 Czym jest ISO/IEC TR 13335 2 2 Zarzadzanie bezpieczeństwem systemów informatycznych 2 3 Zarządzanie ryzykiem 3 4
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM
Załącznik nr 1 do Zarządzenia nr 42/2010 Starosty Nowomiejskiego z dnia 10 grudnia 2010r. POLITYKA ZARZĄDZANIA RYZYKIEM 1 Niniejszym dokumentem ustala się zasady zarządzania ryzykiem, mające przyczynić
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA
Załącznik nr 1 do Zarządzenia Wójta Gminy Dąbrówka Nr 169/2016 z dnia 20 maja 2016 r. POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA Administrator Danych Damian Cieszewski dnia 31 sierpnia 2015 r. w podmiocie o nazwie Zespół Szkół nr 1 w Pszczynie zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
Bardziej szczegółowoAnaliza ryzyka nawierzchni szynowej Iwona Karasiewicz
Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz VI Konferencja Nawierzchnie szynowe. Rynek-Inwestycje-Utrzymanie" WISŁA, 22-23 MARCA 2018 r. POZIOMY DOJRZAŁOŚCI ZARZĄDZANIA RYZYKIEM Poziom 1 naiwny
Bardziej szczegółowoAkademia Młodego Ekonomisty
Akademia Młodego Ekonomisty Zarządzanie ryzykiem dr Grzegorz Głód Uniwersytet Ekonomiczny w Katowicach 14.10.2013 r. Kto chce mieć absolutną pewność przed podjęciem decyzji nigdy decyzji nie podejmie 1
Bardziej szczegółowoZmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka
Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych
Bardziej szczegółowoKlasyfikacja informacji
Bezpieczeństwo informacji BIULETYN TEMATYCZNY Nr 1 / styczeń 2006 Klasyfikacja informacji www.security.dga.pl Spis treści Wstęp 3 Czym jest klasyfikacja informacji? 4 Cel klasyfikacji informacji 5 Sposoby
Bardziej szczegółowoBezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Bardziej szczegółowo