NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO

Wielkość: px
Rozpocząć pokaz od strony:

Download "NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO"

Transkrypt

1 Grażyna Ożarek 1 NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO Celem referatu jest wskazanie, że powszechnie stosowane doraźne, spontaniczne działania w zakresie ochrony aktywów informacyjnych nie przynoszą spodziewanych korzyści. Brak systemowego podejścia do bezpieczeństwa informacyjnego - to wysokie nakłady i niskie efekty. Informacje w trudzie się produkuje ale łatwo reprodukuje. Zatem może warto sięgnąć po dokumenty normalizacyjne, które wskażą jak zbudować kompleksowy a zatem skuteczny system zarządzania bezpieczeństwem informacyjnym (SZBI). Dzięki nim poznamy własne zasoby informacyjne i ich wartość dla organizacji, zidentyfikujemy zagrożenia i oszacujemy ryzyko, zastosujemy adekwatne do zagrożeń zabezpieczenia, przygotujemy harmonogram wdrożeń zabezpieczeń oraz audytów oceniających stan ochrony, wyznaczymy osoby odpowiedzialne za system i elementy systemu, zbudujemy kulturę bezpieczeństwa informacyjnego w organizacji. W konsekwencji uzyskamy ekonomicznie uzasadniony, dojrzały oraz skuteczny SZBI. 1. NORMALIZACJA DLA BEZPIECZEŃSTWA INFORMACYJNEGO Normalizacja jest działalnością zmierzającą do uzyskania optymalnego, w danych okolicznościach, stopnia uporządkowania w określonym zakresie, poprzez ustalanie postanowień przeznaczonych do powszechnego i wielokrotnego stosowania, dotyczących istniejących lub mogących wystąpić problemów 2 Tym współczesnym problemem, z którym musi poradzić sobie każda organizacja zarówno mała jak i duża; ta ze sfery biznesu jak i publiczna, jest zapewnienie bezpieczeństwa aktywom informacyjnym (danym i informacjom). W dokumentach normalizacyjnych można znaleźć zasady, wytyczne, charakterystyki, które odnoszą się do różnych rodzajów działalności i zmierzają do uzyskania optymalnego stopnia uporządkowania w określonym zakresie. Kompleksowe podejście do zorganizowania w instytucji systemu zarządzania bezpieczeństwem informacyjnym zostało zawarte w dokumencie normalizacyjnym PN-ISO/IEC Technika informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania. W tabeli 1 przedstawiono zbiór dokumentów komplementarnych z PN-ISO/IEC i jednocześnie uszczegóławiających zagadnienie budowy i utrzymania wdrożonego systemu zarządzania bezpieczeństwem informacyjnym (SZBI) w organizacji. Tabela 1 Podstawowy zbiór dokumentów normalizacyjnych niezbędny do budowy SZBI w organizacji Numer normy Tytuł Zawartość normy PN-ISO/IEC Technika informatyczna. Techniki Prezentuje model oraz metodę ustanowienia, Bezpieczeństwa. Systemy zarządzania wdrożenia, eksploatacji, monitorowania, bezpieczeństwem informacji. przeglądu, utrzymania i doskonalenia SZBI. Wymagania PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. Zawiera wytyczne do zarządzania ryzykiem dotyczącym bezpieczeństwa informacyjnego. Stanowi rozwinięcie ogólnych koncepcji opisanych w PN ISO/IEC Referat został wygłoszony w dniu 17 września 2010 r. na sympozjum zorganizowanym przez Polskie Forum ISO 9000 w Dymaczewie k/poznania 2 Ustawa o normalizacji z dnia 12 września 2002 r. (Dz.U. Nr 169, poz. 1386)

2 PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. ISO/IEC Information technology - Security techniques - Information security management - Measurement Jest to praktyczny przewodnik umożliwiający opracowanie skutecznego SZBI. Omawia cele stosowania zabezpieczeń oraz opisuje metody wdrażania zabezpieczeń na podstawie oszacowanego ryzyka. W tym dokumencie przedstawiono wymagania i wytyczne dla jednostek prowadzących audyty i certyfikację SZBI, jednakże norma ta może być także stosowana w innych procesach audytowych np. do celów audytu wewnętrznego SZBI Dokument zawiera wytyczne dotyczące rozwoju i wykorzystania środków pomiaru w celu oceny skuteczności wdrożenia SZBI Zasady opisane w przedstawionych normach to modelowe, uznane sposoby postępowania najlepsze praktyki, które dają duże prawdopodobieństwo odniesienia sukcesu ale go nie gwarantują, bowiem nie zawierają recepty (jednego algorytmu rozwiązania problemu) lecz ogólne wytyczne, które powinny zostać indywidualnie dopasowane do każdej organizacji i doskonalone w procesie użytkowania. Skuteczna ochrona aktywów informacyjnych w sposób holistyczny ujmuje aspekty bezpieczeństwa mając na uwadze kwestie: teleinformatyczne, prawne, fizyczne, organizacyjne, ludzkie, społeczne, kulturowe, psychologiczne a także ekonomiczne. Inwestowanie w bezpieczeństwo informacyjne powinno być ekonomicznie opłacalne dla organizacji, powinno wynikać z potrzeb biznesowych. Sukces uzależniony jest od stopnia rozumienia potrzeb organizacji w zakresie bezpieczeństwa informacyjnego i zaangażowania w ten proces członków organizacji oraz systematycznego badania poziomu ochrony. Wszystkie te kwestie zostały uwzględnione w normalizacyjnym spojrzeniu na bezpieczeństwo informacyjne. 2. BEZPIECZEŃSTWO INFORMACYJNE Bezpieczeństwo informacyjne oznacza ochronę danych i informacji przed zagrożeniami (i wynikającymi stąd niekontrolowanymi stratami) płynącymi z otoczenia oraz wnętrza organizacji. Celem tej ochrony jest m. in. zapewnienie ciągłości działania procesów, wykorzystanie w pełni możliwości biznesowych, obniżenie ryzyka ewentualnych strat na skutek zaistniałych incydentów. Ale także możliwość podejmowania skutecznych decyzji opartych na analizie danych i informacji do których możemy mieć zaufanie. Bezpieczeństwo informacyjne w swoim szerokim znaczeniu obejmuje każdą postać danych i informacji, aczkolwiek podstawową rolę w instytucjach odgrywa obecnie ich cyfrowa postać. Chronić zatem trzeba zarówno zasoby cyfrowe jak i te występujące w postaci dokumentów papierowych, graficznych, filmowych oraz zapamiętane przez człowieka i przekazywane przez środki łączności. Bezpieczeństwo informacyjne związane jest z zachowaniem tzw. atrybutów bezpieczeństwa aktywów informacyjnych, do których przede wszystkim zaliczamy: integralność, poufność i dostępność; dodatkowo można rozważyć ochronę innych własności takich jak rozliczalność, autentyczność, niezawodność i niezaprzeczalność (tab. 2). Utrzymywanie tych atrybutów, dla wybranych grup aktywów informacyjnych, na założonym poziomie bezpieczeństwa oraz empirycznie stwierdzona odporność na zakłócenia, świadczy o prawidłowym funkcjonowaniu systemu zarządzania bezpieczeństwem informacyjnym w organizacji. 3 Norma została wydana 15 grudnia 2009 r.

3 Definicje atrybutów bezpieczeństwa danych i informacji Nazwa atrybutu bezpieczeństwa Definicja Integralność (integrity) Poufność (confidentiality) Dostępność (availability) Niezawodność (reliability) Autentyczność (authenticity) Rozliczalność (accountability) Niezaprzeczalność (non-repudiation) 3. PROJEKTOWANIE SZBI Tabela 2 Zapewnienie, że dane lub informacje nie zostały zmienione w sposób nieautoryzowany (dokładne i kompletne aktywa) Dane i informacje udostępniane są tylko osobom upoważnionym Możliwość wykorzystania na każde żądanie w założonym czasie przez upoważnione podmioty Oznacza koherentne, zamierzone zachowanie i skutki Zapewnienie, że tożsamość podmiotu lub zasobu jest zgodna z deklarowaną Pewność, że działania danego podmiotu są w sposób jednoznaczny przypisane temu podmiotowi Brak możliwości wyparcia się swego uczestnictwa w przetwarzaniu danych. Przystępując do budowy SZBI zgodnie z zaleceniami normy należy dokonać inwentaryzacji zasobów informacyjnych, określić ich wartość rynkową lub wrażliwość; połączyć w grupy, określić poziom zabezpieczeń i rodzaj zabezpieczeń. Aby zastosować właściwe zabezpieczenia należy dokonać analizy podatności i zagrożeń dokonać analizy ryzyka. Miarą ważności określonych grup aktywów informacyjnych jest ich tzw. wrażliwość, jeśli nie możemy wycenić ich w jednostce monetarnej. Wrażliwymi aktywami informacyjnymi są takie, które mogą zostać wykorzystane na szkodę zainteresowanej organizacji. Wrażliwość poszczególnych grup aktywów informacyjnych jest ustalana przez właścicieli informacji i ma na celu ustalenie poziomu ich ochrony. Warto wspomnieć, że im bardziej wartościowe lub wrażliwe są zasoby tym większe jest ryzyko związane z ich utratą i tym większe są wymagania bezpieczeństwa co obrazuje rys.1. Rys. 1 Ryzyko, wymagania bezpieczeństwa a wartość zasobów [Źródło: opr. wł. na podst. PN-I ]

4 4. SZACOWANIE RYZYKA Zgodnie z PN-ISO/IEC ryzyko mierzone jest jako kombinacja prawdopodobieństwa zdarzenia i jego następstw. Ryzyko dotyczy zdarzeń powtarzalnych, których możliwość zaistnienia można obliczyć statystycznie, czyli można je skalkulować. Na rys. 2 ukazano proces analizy ryzyka w celu podjęcia próby oszacowania ryzyka. Rys. 2 Analiza ryzyka i szacowanie ryzyka [źródło: opr. wł.] 4.1. Analiza ryzyka Identyfikowanie ryzyka Identyfikowanie ryzyka jest procesem wyszukiwania, zestawiania i charakteryzowania elementów ryzyka. Innymi słowy jest to działanie, w którym przewiduje się: co może się zdarzyć, gdzie to może się zdarzyć, dlaczego może wystąpić to zdarzenie, jak często może wystąpić to zdarzenie i jakie będą tego następstwa. W trakcie identyfikowania należy dokonać: 1. Inwentaryzacji aktywów i identyfikowania zagrożeń (o czym wspomniano wyżej). 2. Spisu istniejących zabezpieczeń. 3. Sporządzenia listy podatności (luk w systemie) w stosunku do aktywów, zagrożeń i zabezpieczeń (np. dla aktywów typu sieć podatnością może być brak dowodu wysłania i odebrania wiadomości, a zagrożeniem - odmowa działania). Obszerną listę przykładów podatności zawarto PN-ISO/IEC w załączniku D. 4. Określenie następstw (szkód). Następstwem może być utrata skuteczności, ciągłości działania, reputacji, straty biznesowe, zniszczenie, procesy karne itp. Dokonując szacowania szkód w wyniku incydentów należy wziąć pod uwagę takie elementy jak: 1. Czas wykrycia i naprawy 2. Straty liczone w nakładzie pracy 3. Utrata możliwości biznesowych 4. Koszty specjalistycznej naprawy lub odtworzenia aktywów 5. Straty z powodu obniżonego zaufania interesariuszy Estymowanie ryzyka Estymacja ryzyka to proces w którym przypisywane są wartości do prawdopodobieństwa i skutków ryzyka.

5 1. Estymacja ryzyka może być prowadzona metodą: Jakościową - stosowana w celu zgrubnego określenia poziomu oraz ujawnienia źródeł poważnego ryzyka. W estymacji jakościowej używa się skali atrybutów kwalifikujących potencjalne następstwa takie jak np. niski, średni i wysoki oraz prawdopodobieństwo wystąpienia tych następstw. Ilościową jest droższa, lecz dokładniejsza od poprzedniej; wykorzystuje się skalę numeryczną zarówno dla następstw jak i dla prawdopodobieństwa wystąpienia następstw. Wykorzystywane są dane o incydentach z różnych źródeł, najczęściej sięga się do danych historycznych. Mieszaną połączenie metody jakościowej i ilościowej. Wybór metody powinien być dostosowany do określonych potrzeb. 4.2 Ocena ryzyka Ocena ryzyka jest to proces porównywania estymowanego ryzyka z ustalonymi kryteriami w celu określenia znaczenia ryzyka. Ryzyko z przypisanymi wartościami dla poszczególnych grup aktywów informacyjnych oraz kryteria oceny ryzyka umożliwiają podjęcie decyzji w stosunku do przyszłych działań. Decyzje te powinny określać czy należy podjąć działanie, a także powinny ustalać działania priorytetowe. W wyniku oceny powinno się otrzymać listę rankingową postępowania z ryzykiem Szacowanie ryzyka zgrubne i dokładne Szacowanie ryzyka (zgodnie z rys. 2) realizowane jest poprzez proces analizy i oceny ryzyka. Tzw. szacowanie zgrubne - na wysokim poziomie ogólności - zwykle umożliwia jedynie wytyczenie chronologii działań związanych z zabezpieczeniami, bowiem często z powodów finansowych zabezpieczanie niektórych grup danych i informacji musimy odłożyć na później. Jak wspomniano wyżej, w pierwszej kolejności zabezpieczymy zatem te najbardziej krytyczne. Zgrubne szacowanie ryzyka rzadko odnosi się do szczegółów technologicznych i wskazuje głównie na zabezpieczenia organizacyjne oraz ogólne zabezpieczenia techniczne typu oprogramowanie antywirusowe lub kopie zapasowe. Szczegółowe szacowanie ryzyka wymaga dużo większych nakładów czasu, wysiłku i umiejętności niż w przypadku szacowania zgrubnego. Tablica 3 przedstawia przykład budowy macierzy do szczegółowego określania poziomu ryzyka związanego bezpieczeństwem informacji. Tablica 3 Przykładowa macierz do wyznaczania szczegółowego poziomu ryzyka [źródło: PN-ISO/IEC 27005] Wartość aktywów Zagrożenie - prawdopodobieństwo wystąpienia Podatność - łatwość wykorzystania Niskie (L) Średnie (M) Wysokie (H) L M H L M H L M H

6 Wiersze macierzy określają liczbowo wartość aktywów dla poszczególnych grup informacji (skala od 0 do 4). W kolumnach odzwierciedlone jest prawdopodobieństwo wystąpienia zagrożenia oraz łatwość wykorzystania podatności. Poziom ryzyka określony jest w skali od 0 do 8 dla każdej kombinacji. Wartość lub wrażliwość aktywów informacyjnych wyznaczają (jak wspomniano wyżej) kierownicy, którzy zwykle są tzw. właścicielami grup informacji w oparciu o takie czynniki jak: straty finansowe, przerwy w działaniu, utrata reputacji, zobowiązania i regulacje prawne itp. W podobny sposób (poprzez przypisanie poziomów: niskie, średnie, wysokie) szacowana jest łatwość wykorzystania zagrożeń oraz prawdopodobieństwo urzeczywistnienia się zagrożenia. Na przykład niech wartość aktywów wynosi 2, prawdopodobieństwo wystąpienia zagrożenia jest wysokie H, a łatwość wykorzystania L. Przy tych parametrach (zgodnie z tab. 3) poziom ryzyka wynosi 4. Przedstawiona metoda umożliwia tworzenie rankingu ryzyka dla poszczególnych grup aktywów. 5. ZARZĄDZANIE RYZYKIEM Istotnym elementem zarządzania bezpieczeństwem informacyjnym jest zarządzanie ryzykiem. Uproszczony proces zarządzania ryzykiem został przedstawiony na rys. 3. Rys. 3 Uproszczony schemat zarządzania ryzykiem [opr. wł. na podstawie PN-ISO/IEC 27005] Wszystkie powyżej opisane działania występują w fazie planuj SZBI. W fazie wykonuj należy zastosować odpowiednie zabezpieczenia w celu zredukowania ryzyka. Zabezpieczenia oraz cele zabezpieczeń zgodnie z PN-ISO/IEC powinny zostać opracowane w Deklaracji Stosowania jednym z najważniejszych dokumentów SZBI. Po praktyczne wskazówki warto sięgnąć do dokumentu PN-ISO/IEC Zgodnie z fundamentalną zasadą PN-ISO/IEC 27001, SZBI powinien żyć według cyklu PDCA (Planuj-Wykonaj- Sprawdź-Popraw). Oznacza to ciągłe monitorowanie, sprawdzanie i ulepszanie wdrożonego systemu. Tylko ciągłe monitorowanie i ocenianie przebiegu procesów związanych z bezpieczeństwem informacji pozwala stwierdzić jak ta ochrona jest realizowana. Wyniki pomiarów powinny być analizowane, aby umożliwić podejmowanie decyzji, co, gdzie i jak

7 poprawić - służyć doskonaleniu systemu. Etap eksploatacji systemu (sprawdź i popraw) wymaga, jak dobrze utrzymany ogród, stałej pielęgnacji systematycznej pracy i nadzoru. 6. KOORDYNOWANIE SZBI Kto powinien pełnić rolę menedżera bezpieczeństwa informacyjnego? W wielu firmach wyznacza się do tej funkcji pracownika komórki IT. Jeśli są to administratorzy lub informatycy wtedy nadzorują sami siebie. Jest to ewidentny błąd. Warto podkreślić, że menedżerem bezpieczeństwa informacyjnego nie musi być informatyk, ale osoba która rozumie nowe technologie oraz doskonale zna organizację i procesy w niej przebiegające. Zaleca się aby menedżer bezpieczeństwa był pełnomocnikiem najwyższego kierownictwa z odpowiednimi pełnomocnictwami, które umożliwiają mu wydawanie poleceń wszystkim pracownikom z żądaniem ich wykonania. Pełnomocnik powinien kierować i uczestniczyć w tworzeniu systemu w organizacji. Błędem jest kupowanie gotowych rozwiązań sporządzonych przez wyspecjalizowane firmy. Przygotowana przez nich polityka bezpieczeństwa informacyjnego, procedury, instrukcje zwykle są robotą seryjną z którą nikt z pracowników się nie utożsamia. Z empirii wynika, że rozwiązania muszą być wspólnie wypracowane a procedury akceptowane przez pracowników. Nie da się stworzyć efektywnego SZBI bez udziału wszystkich pracowników. W tym celu należy położyć duży nacisk na uwiadamianie pracownikom problemów bezpieczeństwa poprzez cykl szkoleń. Szkolenia te powinny objąć cały personel firmy, łącznie z pracownikami obsługi o których często się zapomina a stanowią ważne ogniwo w zapewnieniu bezpieczeństwa. W ten sposób tworzy się swoista kultura bezpieczeństwa informacyjnego w organizacji. Bez jej istnienia, czyli z pracownikami, którzy nie są uwrażliwieni na możliwość wystąpienia incydentów, zastosowane środki bezpieczeństwa zawsze będą niepełne a zatem niedoskonałe. 7. POMIAR BEZPIECZEŃSTWA INFORMACYJNEGO Jeśli nie potrafisz czegoś zmierzyć to niewiele o tym wiesz, w tym kontekście została wydana międzynarodowa norma ISO/IEC Zarządzanie bezpieczeństwem informacyjnym Pomiary. Norma ta objaśnia miary i dostarcza metod pomiarów potrzebnych do oszacowania skuteczności SZBI wymaganych przez ISO/IEC W tym miejscu należy zauważyć, że pojęcie pomiar zostało tu użyte w znaczeniu innym niż w przypadku pomiaru wielkości fizycznych. Pomiar wielkości fizycznych charakteryzuje się obiektywnością i empirycznością. W pomiarze tym ściśle określony jest przedmiot pomiaru, a wielkości mierzone mają przyporządkowaną jednostkę miary i wyrażone są liczbowo. Ponadto z terminem pomiar związane są narzędzia pomiarowe. Bezpieczeństwo jest niemierzalne z technicznego punktu widzenia, bowiem jest pojęciem abstrakcyjnym, subiektywnie odczuwanym przez odbiorcę. W bezpieczeństwie korzysta się z arbitralnych miar symbolicznych, często opisowych (np. niskie, średnie, wysokie). Z tego powodu, podczas audytu bezpieczeństwa informacyjnego audytor zbiera dane dotyczące wdrożonych zabezpieczeń na podstawie których wydaje ocenę stanu ochrony. Na podstawie stanu ochrony (np. posługując się deklaracją stosowania) może zdiagnozować, mniej lub bardziej precyzyjnie, dojrzałość SZBI. Co oznacza, że w danym momencie zostały spełnione warunki dające zapewnienie ochrony. Zatem w przypadku SZBI właściwym wydaje się stosowanie pojęcia ocena niż pomiar, a praca audytorów powinna skupiać się na badaniu stanu ochrony na podstawie wdrożonych zabezpieczeń i szacowaniu dojrzałości sytemu bezpieczeństwa informacyjnego, a nie na pomiarze bezpieczeństwa.

8 8. PODSUMOWANIE Bezpieczeństwo to imponderabilia 4 czyli rzecz nieuchwytna, nie dająca się, zmierzyć, zważyć, dokładnie określić, mogąca jednak oddziaływać i mieć znaczenie, wpływ. Bezpieczeństwo jest jedną z najważniejszych potrzeb człowieka, i jest to sui generis wewnętrzne przekonanie, że należące do niego zasoby pozostaną nienaruszone. Aby ta pewność miała oparcie w faktach należy ustanowić, wdrożyć, sprawdzać i doskonalić SZBI wg PN-ISO/IEC Jednym z symptomów skuteczności SZBI, dostrzeganych z wnętrza organizacji, jest niezakłócona realizacja określonych zadań i procesów. Z perspektywy zewnętrznej, potwierdzeniem istnienia dojrzałego SZBI, jest posiadanie certyfikatu bezpieczeństwa informacyjnego. Warto raz jeszcze podkreślić, że wszelkie działania spontaniczne, ad hock, bez głębszej analizy skazane są na niską efektywność w stosunku do nakładów. Tylko działania prowadzone systemowo w oparciu o najlepsze praktyki dają szansę optymalnej ochrony informacyjnych aktywów danej organizacji. LITERATURA 1. Krawiec J. Ożarek G.: Certyfikacja w informatyce. Warszawa. PKN PN-ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania. 3. PN-ISO/IEC 27005:2010 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. 4. PN-I :1999 Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. 5. ISO/IEC 27004:2009 Information technology - Security techniques - Information security management - Measurement 6. Liderman K.: Analiza ryzyka i ochrona informacji w systemach komputerowych. Warszawa. PWN imponderabilia (łc. in- nie- + p.łc. ponderabilis dający się zważyć od łc. ponderare ważyć ) rzeczy nieuchwytne, niedające się zmierzyć; rzeczy niesamowite, cudowne.

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

Normalizacja dla bezpieczeństwa informacyjnego

Normalizacja dla bezpieczeństwa informacyjnego Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Zarządzanie bezpieczeństwem informacji przepisy prawa a normy Dr inż. Grażyna Ożarek UKSW, Warszawa, Listopad 2015 Dr inż. Grażyna Ożarek Projekt Badawczo- Rozwojowy realizowany na rzecz bezpieczeństwa

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Bezpieczeństwo informacji. jak i co chronimy

Bezpieczeństwo informacji. jak i co chronimy Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole? Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole? Polski Komitet Normalizacyjny Dr Grażyna Ożarek I Specjalistyczna Konferencja Bezpieczeństwo Informacyjne w Szkole Warszawa, październik

Bardziej szczegółowo

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak

Bardziej szczegółowo

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025: ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:2018-02 DR INŻ. AGNIESZKA WIŚNIEWSKA DOCTUS SZKOLENIA I DORADZTWO e-mail: biuro@doctus.edu.pl tel. +48 514

Bardziej szczegółowo

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny Audyt procesu zarządzania bezpieczeństwem informacji Prowadzący: Anna Słowińska audytor wewnętrzny Audyt wewnętrzny Definicja audytu wewnętrznego o o Art. 272.1. Audyt wewnętrzny jest działalnością niezależną

Bardziej szczegółowo

Maciej Byczkowski ENSI 2017 ENSI 2017

Maciej Byczkowski ENSI 2017 ENSI 2017 Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte

Bardziej szczegółowo

Grzegorz Pieniążek Hubert Szczepaniuk

Grzegorz Pieniążek Hubert Szczepaniuk Grzegorz Pieniążek Hubert Szczepaniuk Ogólny model oceny i analizy ryzyka informacyjnego Metodyki zarządzania ryzykiem w kontekście bezpieczeństwa Wpływ asymetrii informacyjnej na wartość organizacji Istota

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia

Bardziej szczegółowo

Kompleksowe Przygotowanie do Egzaminu CISMP

Kompleksowe Przygotowanie do Egzaminu CISMP Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs

Bardziej szczegółowo

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji Wyrok Trybunału Konstytucyjnego 2 Warszawa, dnia 9 kwietnia 2015 r. WYROK

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych AUDYT BEZPIECZEŃSTWA INFORMACJI Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych 5 września 2013 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram

Bardziej szczegółowo

PRELEGENT Przemek Frańczak Członek SIODO

PRELEGENT Przemek Frańczak Członek SIODO TEMAT WYSTĄPIENIA: Rozporządzenie ws. Krajowych Ram Interoperacyjności standaryzacja realizacji procesów audytu bezpieczeństwa informacji. Określenie zależności pomiędzy RODO a Rozporządzeniem KRI w aspekcie

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach

Bardziej szczegółowo

Reforma ochrony danych osobowych RODO/GDPR

Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,

Bardziej szczegółowo

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO? PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy

Bardziej szczegółowo

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM

POLITYKA ZARZĄDZANIA RYZYKIEM POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1.1.Ilekroć w dokumencie jest mowa o: 1) ryzyku należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację

Bardziej szczegółowo

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje Załącznik do Zarządzenia nr 70/2015 Rektora UEP z dnia 27 listopada 2015 roku Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu 1 Definicje Określenia użyte w Polityce zarządzania

Bardziej szczegółowo

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW DZIEŃ I PRZYGOTOWANIE PLANU WDROŻENIA I AUDYT ZGODNOŚCI GODZINY REJESTRACJA UCZESTNIKÓW 09.00 9.15 Zapytamy

Bardziej szczegółowo

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku w sprawie wprowadzenia procedury zarządzania ryzykiem w Urzędzie Miejskim w Pasłęku Na podstawie art. (69 ust. 1 pkt 3 w związku z art.

Bardziej szczegółowo

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko? System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko? SZBI - System Zarządzania Bezpieczeństwem Informacji Na SZBI składają się: polityka, procedury, wytyczne, związane zasoby i działania,

Bardziej szczegółowo

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach Na podstawie 5 ust. 3 rozporządzenia Ministra Spraw Wewnętrznych

Bardziej szczegółowo

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą Punkt widzenia audytora i kierownika jednostki Agnieszka Boboli Ministerstwo Finansów w 22.05.2013 r. 1 Agenda Rola kierownika

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeostwie IT

Zarządzanie ryzykiem w bezpieczeostwie IT Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005

Bardziej szczegółowo

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010 Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe

Bardziej szczegółowo

Zdrowe podejście do informacji

Zdrowe podejście do informacji Zdrowe podejście do informacji Warszawa, 28 listopada 2011 Michał Tabor Dyrektor ds. Operacyjnych Trusted Information Consulting Sp. z o.o. Agenda Czym jest bezpieczeostwo informacji Czy wymagania ochrony

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM Załącznik nr 3 do Zarządzenia Dyrektora Nr 6/2011 z dnia 14.12.2011 POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM POLITYKA ZARZĄDZANIA RYZYKIEM 1.1.Ilekroć w dokumencie jest

Bardziej szczegółowo

I. O P I S S Z K O L E N I A

I. O P I S S Z K O L E N I A Sektorowy Program Operacyjny Rozwój Zasobów Ludzkich Priorytet 2 Rozwój społeczeństwa opartego na wiedzy Działanie 2.3 Rozwój kadr nowoczesnej gospodarki I. O P I S S Z K O L E N I A Tytuł szkolenia Metodyka

Bardziej szczegółowo

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...

Bardziej szczegółowo

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST III PODKARPACKI KONWENT INFORMATYKÓW I ADMINISTRACJI 20-21 października

Bardziej szczegółowo

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora

Bardziej szczegółowo

Imed El Fray Włodzimierz Chocianowicz

Imed El Fray Włodzimierz Chocianowicz Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w

Bardziej szczegółowo

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski bezpieczeństwa informacji w jednostce Marcin Dublaszewski Rola audytu w systemie bezpieczeństwa informacji Dobrowolność? Obowiązek? Dobrowolność Audyt obszaru bezpieczeństwa wynikać może ze standardowej

Bardziej szczegółowo

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek Załącznik nr 3 do Zarządzenia Nr Or. 0152-38/10 Wójta Gminy Damasławek z dnia 31 grudnia 2010 r. Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek celem procedury jest zapewnienie mechanizmów

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile Sporządziła: Beata Lewandowska Zatwierdziła: Lidia Wójciak 1 Spis treści I. Preambuła.... 3 II. Deklaracja.... 3 III. Podstawowe pojęcia i skróty....

Bardziej szczegółowo

ISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

ISO 9001 + 3 kroki w przód = ISO 27001. ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved. ISO 9001 + 3 kroki w przód = ISO 27001 ISO Polska - Rzeszów 22 stycznia 2009r. O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie

Bardziej szczegółowo

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji

ISO/IEC ISO/IEC 27001:2005. opublikowana 15.10.2005 ISO/IEC 27001:2005. Plan prezentacji Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001 Plan prezentacji Norma ISO/IEC 27001 Budowa polityki bezpieczeństwa - ćwiczenie Przykładowy plan wdrożenia

Bardziej szczegółowo

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r. Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r. w sprawie: Polityki Zarządzania Ryzykiem w Akademii Wychowania Fizycznego Józefa

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych. 1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, 43-450 Ustroń Administrator Danych Osobowych: Wojciech Śliwka 1. PODSTAWA PRAWNA Niniejsza Polityka

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej Uregulowania prawne Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U. z 2013 r., poz.

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r. ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia 05. 04. 2017 r. w sprawie: wprowadzenia Procedury zarządzania ryzykiem w bezpieczeństwie

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE Strona1 ZAŁĄCZNIK NR 2 do Zarządzenia Nr DOK.0151.2.7.2016 Dyrektora MGOKSIR z dnia 30.08.2016r. POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE zwana dalej:

Bardziej szczegółowo

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH Załącznik do zarządzenia Rektora UJK nr 69/2017 z dnia 30 czerwca 2017 r. P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH 1 Podstawowe definicje

Bardziej szczegółowo

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015 Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015 Rafał Śmiłowski_04.2016 Harmonogram zmian 2 Najważniejsze zmiany oraz obszary Przywództwo Większy nacisk na top menedżerów do udziału w systemie

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1. 1. Zarządzanie ryzykiem jest elementem łączącym kontrolę zarządczą z audytem wewnętrznym. Należy dążyć do minimalizacji ryzyka w funkcjonowaniu

Bardziej szczegółowo

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek CO ZROBIĆ ŻEBY NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH OSOBOWYCH ŹRÓDŁA PRAWA REGULUJĄCEGO ZASADY PRZETWARZANIA DANYCH

Bardziej szczegółowo

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A. Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A. I. Cele Systemu Kontroli Wewnętrznej 1. System Kontroli Wewnętrznej stanowi część systemu zarządzania funkcjonującego w

Bardziej szczegółowo

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A. I. Informacje ogólne 1. Zgodnie z postanowieniami Ustawy Prawo bankowe z dnia 29 sierpnia 1997 r. (Dz.U. 1997 Nr 140 poz. 939), w ramach

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE Załącznik Nr 2 do Zarządzenia Nr 15/2013/2014 Dyrektora Szkoły Podstawowej Nr 2 im. św. Wojciecha w Krakowie z dnia 21. stycznia 2014 r. POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW.

Bardziej szczegółowo

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka w sprawie określenia zasad funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin - wydanie drugie Zasady funkcjonowania systemu kontroli zarządczej

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r. Zarządzanie ryzykiem w ochronie informacji niejawnych KSIBIT Warszawa 22 lipca 2014 r. Agenda spotkania Zamiast wstępu Wymagania prawne Zalecenia uzupełniające Pojęcia i terminy Metodyka szacowania ryzyk

Bardziej szczegółowo

HARMONOGRAM SZKOLENIA

HARMONOGRAM SZKOLENIA Materiały Tytuł Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 Zagadnienie do przerobienia Materiały do przeglądnięcia CZĘŚĆ 1 1. Wymagania dla systemu ISMS wg ISO/IEC 27001

Bardziej szczegółowo

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji Kod szkolenia: Tytuł szkolenia: HL947S Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji Information Security Risk Management and Business Continuity Dni: 2 Opis:

Bardziej szczegółowo

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji Strona1 Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji Spis treści I Wstęp... 2 II. W jakim celu określa się wartośd aktywów?... 2 III. Wartościowanie aktywów... 3 IV. Powiązanie istotności

Bardziej szczegółowo

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE Załącznik do Zarządzania Prezydenta Miasta Kędzierzyn-Koźle Nr 1624/BIO/2013 z dnia 4 października 2013 r. DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE Spis

Bardziej szczegółowo

Regulamin zarządzania ryzykiem. Założenia ogólne

Regulamin zarządzania ryzykiem. Założenia ogólne Załącznik nr 1 do Zarządzenia Nr 14/2018 dyrektora Zespołu Obsługi Oświaty i Wychowania w Kędzierzynie-Koźlu z dnia 29.11.2018r. Regulamin zarządzania ryzykiem 1 Założenia ogólne 1. Regulamin zarządzania

Bardziej szczegółowo

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

Warszawa, dnia 28 czerwca 2012 r. Poz. 93 Warszawa, dnia 28 czerwca 2012 r. ZARZĄDZENIE MINISTRA SPRAWIEDLIWOŚCI z dnia 27 czerwca 2012 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji Ministerstwa Sprawiedliwości i sądów powszechnych

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny Uwagi do projektu Rozporządzenia RM w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagao dla rejestrów publicznych

Bardziej szczegółowo

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11 Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces

Bardziej szczegółowo

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Certified IT Manager Training (CITM ) Dni: 3. Opis: Kod szkolenia: Tytuł szkolenia: HK333S Certified IT Manager Training (CITM ) Dni: 3 Opis: Jest to trzydniowe szkolenie przeznaczone dla kierowników działów informatycznych oraz osób, które ubiegają się

Bardziej szczegółowo

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Usprawnienia zarządzania organizacjami (normy zarzadzania) (normy zarzadzania) Grażyna Żarlicka Loxxess Polska Sp. z o. o. www.loxxess.pl AS-QUAL Szkolenia Doradztwo Audity www.as-qual.iso9000.pl email:g_zarlicka@interia.pl Klub POLSKIE FORUM ISO 9000 www.pfiso9000.pl

Bardziej szczegółowo

Standard ISO 9001:2015

Standard ISO 9001:2015 Standard ISO 9001:2015 dr inż. Ilona Błaszczyk Politechnika Łódzka XXXIII Seminarium Naukowe Aktualne zagadnienia dotyczące jakości w przemyśle cukrowniczym Łódź 27-28.06.2017 1 Struktura normy ISO 9001:2015

Bardziej szczegółowo

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki

Bardziej szczegółowo

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Analiza Ryzyka - wytyczne ISO/IEC TR 13335 Analiza Ryzyka - wytyczne ISO/IEC TR 13335 Andrzej Zoła 21 listopada 2003 Spis treści 1 Czym jest ISO/IEC TR 13335 2 2 Zarzadzanie bezpieczeństwem systemów informatycznych 2 3 Zarządzanie ryzykiem 3 4

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA RYZYKIEM

POLITYKA ZARZĄDZANIA RYZYKIEM Załącznik nr 1 do Zarządzenia nr 42/2010 Starosty Nowomiejskiego z dnia 10 grudnia 2010r. POLITYKA ZARZĄDZANIA RYZYKIEM 1 Niniejszym dokumentem ustala się zasady zarządzania ryzykiem, mające przyczynić

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA Załącznik nr 1 do Zarządzenia Wójta Gminy Dąbrówka Nr 169/2016 z dnia 20 maja 2016 r. POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA Administrator Danych Damian Cieszewski dnia 31 sierpnia 2015 r. w podmiocie o nazwie Zespół Szkół nr 1 w Pszczynie zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Bardziej szczegółowo

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz VI Konferencja Nawierzchnie szynowe. Rynek-Inwestycje-Utrzymanie" WISŁA, 22-23 MARCA 2018 r. POZIOMY DOJRZAŁOŚCI ZARZĄDZANIA RYZYKIEM Poziom 1 naiwny

Bardziej szczegółowo

Akademia Młodego Ekonomisty

Akademia Młodego Ekonomisty Akademia Młodego Ekonomisty Zarządzanie ryzykiem dr Grzegorz Głód Uniwersytet Ekonomiczny w Katowicach 14.10.2013 r. Kto chce mieć absolutną pewność przed podjęciem decyzji nigdy decyzji nie podejmie 1

Bardziej szczegółowo

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka Zmiany w standardzie ISO 9001 dr inż. Ilona Błaszczyk Politechnika Łódzka 1 W prezentacji przedstawiono zmiany w normie ISO 9001 w oparciu o projekt komitetu. 2 3 4 5 6 Zmiany w zakresie terminów używanych

Bardziej szczegółowo

Klasyfikacja informacji

Klasyfikacja informacji Bezpieczeństwo informacji BIULETYN TEMATYCZNY Nr 1 / styczeń 2006 Klasyfikacja informacji www.security.dga.pl Spis treści Wstęp 3 Czym jest klasyfikacja informacji? 4 Cel klasyfikacji informacji 5 Sposoby

Bardziej szczegółowo

Bezpieczeństwo dziś i jutro Security InsideOut

Bezpieczeństwo dziś i jutro Security InsideOut Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle

Bardziej szczegółowo