Analiza Ryzyka - wytyczne ISO/IEC TR 13335
|
|
- Patryk Marcinkowski
- 5 lat temu
- Przeglądów:
Transkrypt
1 Analiza Ryzyka - wytyczne ISO/IEC TR Andrzej Zoła 21 listopada 2003 Spis treści 1 Czym jest ISO/IEC TR Zarzadzanie bezpieczeństwem systemów informatycznych 2 3 Zarządzanie ryzykiem 3 4 Strategie analizy ryzyka Podejście podstawowego poziomu Podejście nieformalne Szczegółowa analiza ryzyka Podejście mieszane Podejście mieszane Ogólna analiza ryzyka Podejście podstawowego poziomu zabezpieczeń Szczegółowa analiza ryzyka Ustalenie zakresu przegladu Identyfikacja zasobów Wycena zasobów i ustalenie zależności pomiędzy nimi Oszacowanie zagrożeń Oszacowanie podatności Identyfikacja istniejących i planowanych zabezpieczeń Oszacowanie ryzyka
2 1 Czym jest ISO/IEC TR ISO, czyli Międzynarodowa Organizacja Normalizacyjna (International Standard Organization) oraz IEC, czyli Międzynarodowa Komisja Elektrotechniczna (International Electrotechnical Commission). Tworzą wyspecjalizowany system normalizacji. Jednakże oprócz norm w niektórych przypadkach wydaj tzw. raporty techniczne. Dzije sie tak np. wówczas, gdy dana dziedzina jest w fazie rozwoju i wytyczne jej dotyczące mogą się często zmieniać. Raport taki może być po pewnym czasie przekształcony na normę. Takim właśnie raportem jest ISO/IEC TR Technika informacyjna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych ( Information technology - Guidelines for the management if IT security ) 1. 2 Zarzadzanie bezpieczeństwem systemów informatycznych Każdy system informatyczny zawiera zasoby, które muszą być chronione przed zagrożeniami (pochodzącymi z wewnątrz i z zewnątrz). Schematycznie przedstawia to rysunek 2. Rysunek 1: Zasoby i zagrozenia Wszystkie zasoby posiadają pewne podatności, czyli słabosci, które mogą 1 W polsce raport ten posiada status normy. Jest to norma PN-I
3 byc wykorzystane przez zagrożenie. Prawdopodobieństwo takiego niepożądanego wykorzystania podatności nazywamy ryzykiem. Aby zmniejszyć ryzyko stosuje się zabezpieczenia, czyli praktyki, procedury lub mechanizmy redukujące ryzyko. Jednak żadne zabezpieczenie nie jest całkowicie skuteczne, dlatego nawet po wprowadzeniu zabezpieczeń zawsze pozostaje ryzyko szczątkowe. Niektóre podatności nie mają znanych zagrożeń, które by je wykorzystywały i nie muszą (choć oczywiście mogą) być chronione zabezpieczeniami. Także nie wszystkie podatności, które są zagrożone muszą być chronione. Całościowy i ciągły proces prowadzący do stworzenia i utrzymania bezpieczeństwa w instytucji jest nazywany zarządzaniem bezpieczenstwem. Składa się on z wielu podprocesów, wśród których jest zarządzanie ryzykiem. Kluczowym elementem tego ostatniego jest natomiast analiza ryzyka. Podział ten obrazyje rysunek 2. Rysunek 2: Zarządzanie bezpieczeństwem 3 Zarządzanie ryzykiem Zarządzanie ryzykiem (risk management) to całkowity proces identyfikacji, kontrolowania i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia niepewnych zdarzeń, które mogą mieć wpływ na zasoby systemu informatycznego. Natomiast analiza ryzyka (risk analysis) to proces identyfikacji 3
4 ryzyka, określania jego wielkości i identyfikowania obszarów wymagających zabezpieczeń. Związki zachodzace w zarządzaniu ryzykiem obrazuje rysunek 3. Rysunek 3: Związki w zarządzaniu ryzykiem 4 Strategie analizy ryzyka Zanim w instytucji przeprowadzi się analizę ryzyka należy obrać właściwą strategie tej analizy. Istnieją cztery warianty takich strategii. Wybierając jeden z nich należy kierowac się z jednej strony wielkością nastepstw potencjalnych incydentów bezpieczenstwa w poszczególnych systemach, z drugiej strony natomiast należy wziać pod uwagę koszty i czas niezbędny dla przeprowadzenia analizy według poszczególnych wariantów. Poza możliwością niepodejmowania żadnych działań w celu zapewnienia bezpieczeństwa istnieją następujace podejścia do analizy ryzyka: 1., 2. Podejście nieformalne, 3. Szczegółowa analiza ryzyka, 4. Podejście mieszane. Omówimy teraz po kolei te warianty, ich zalety i wady oraz wskażemy wariamt preferowany (według ISO/IEC TR 13335). 4
5 4.1 Podejście podstawowego poziomu Polega ono na zastosowaniu standardowych zabezpieczeń we wszystkich systemach informatycznych bez względu na zagrożenia i na znaczenie poszczególnych systemów dla instytucji. Takie podejście ma następujące zalety: do analizy ryzyka i wdrożenia zabezpieczeń wymagane sa tylko minimalne zasoby, przez co podejście to pochłania mniej czasu i wysiłku, standardowe zabezpieczenia mozna przenosić z innych, podobnych systemów co wydatnie zmniejsza koszty zabezpieczeń. Natomiast wady tego wariantu to: ustalenie standardowego poziomu zbyt wysoko prowadzi do nadmiaru zabezpieczeń, który wiąże się z utrudniniami i wysokimi kosztami, jeśli poziom ten bedzie zbyt niski, wówczas niektóre newralgiczne systemy mogą być zbyt słabo zabezpieczone, moga wystąpic trudności w zarządzaiu zmianami związanymi z bezpieczeństwem. Strategia ta może być wybrana w instytucji, gdzie wszystkie systemy mają podobny poziom wymagań bezpieczeństwa. Jednak jeśli istnieją systemy o różnym znaczeniu wielkości i stopniu skomplikowania nie jest ona zalecana. 4.2 Podejście nieformalne Wariant ten nie opiera się na metodach strukturalnych, ale wykorzystuje wiedzę i doświadczenie ekspertów. Jego zaletą jest to, że: zwykle nie wymaga angażowania wielu zasobów ani czasu, analizę te wykonuje się szybciej niż szczegółową analize ryzyka, Ma on jednak szereg wad: bez formalnego podejścia istnieje prawdopodobieństwo pominiecia istotnych szczegółów, trudno uzasadnic wdrożenie konkretnych zabezpieczeń i związane z nimi wydatki, osoby z niewielkim doświadczeniem mogą nie podołac temu zadaniu, taka analiza jest subiektywna, moga na nia wpłynąc pewne szczególne uprzedzenia osoby ją przeprowadzającej, 5
6 jeśli osoba przeprowadzająca analize odejdzie z instytucji moga powstać problemy z utrzymaniem bezpieczeństwa. Podejście to może byc skuteczne tylko w małych instytucjach. 4.3 Szczegółowa analiza ryzyka Strategia ta wymaga dogłębnej identyfikacji i wyceny zasobów, oszacowania zagrożeń i podatności. Wyniki tych działań stanowią podstawę do oszacowania ryzyka i wyboru zabezpieczeń. Ten wariant ma następujące zalety: jest prawdopodobne, że dla wszystkich systemów wybrane zostaną właściwe zabezpieczenia, wyniki tej analizy ułatwią późniejsze zarządzanie zmianami. Głównąwadą tej opcji jest fakt, że wymaga ona dużo czasu, wysiłków i środków oraz wiedzy eksperckiej. Zastosowanie tej techniki we wszystkich systemach nie jest więc zalecane. 4.4 Podejście mieszane Polega ono na przeprowadzeniu wstępnej analizy ryzyka wysokiego poziomu w celu stwierdzenia, które systemy wymagają dalszej szczegółowej analizy ryzyka, a w których wystarczy podejście podstawowego poziomu. Jest to więc kombinacja podejścia 1 i 3. Główną zaletą tego podejścia jest zapewnienie równowagoi pomiędzy nakładami finansowymi i czasem poświęconym na analizę a zapewnieniem, że wszystkie systemy będą właściwie chronione. Pozostałe zalety to: wprowadzenie szybkiego podejścia na poczatku może ułatwić uzyskanie akceptacji dla programu analizy ryzyka, wariant ten będzie pomocny przy planowaniu, dzieki możliwości szybkiego uzyskania całoścowego obrazu, zasoby i srodki pieniężne moga być przeznaczone tam, gzie przyniosą największe korzyści, systemy, które najbardziej potrzebują ochrony otrzymają ją w pierwszej kolejnosci, czynności związane z utrzymaniem bezpieczenstwa będą mogły być przeprowadzone w optymalny sposób. Potencjalna wadą tej metody jest fakt, że: 6
7 ponieważ wstępna analiza mało dokładna niektóre systemy wymagające szczegółowej analizy ryzyka mogą nie zostać od razu zidentyfikowane. Jednakże zostaną one i tak objęte podstawowymi zabezpieczeniami. Jest to sposób podejścia zalecany przez autorów raportu. 5 Podejście mieszane 5.1 Ogólna analiza ryzyka Przeprowadzając ogólną analizę ryzyka wysokiego poziomu należy wziąć pod uwagę następujące aspekty: cele biznesowe, które mają być osiągnięte przez uzywanie systemu informatycznego, stopień zależności instytucji od tego systemu, tj. czy funkcje, które insty tucja uważa za krytyczne wymagaja prawidłowego działania tego systemu, poziom inwesrycji w ten system w kategoriach jego rozwoju, utrzymania lub wymiany, zasoby systemu, którym instytucja przypisuje wartość. Po rozważeniu tych zagadnień podjęcie decyzji co do sposobu dalszej analizy w wiekszości przypadków będzie sprawa prostą. Ogólna zasada jest taka: jeśli brak danego systemu lub jego nieprawidłowe działanie może spowodować poważną szkodę dla instytucji wówczas system ten wymaga szczegółowej analizy ryzyka; w pozostałych przypadkach wystarczy podejście podstawowego poziomu zabezpieczeń. 5.2 Podejście podstawowego poziomu zabezpieczeń Odpowiednią ochronę na podstawowym poziomie zabezpieczeń można uzyskać używając katalogów zabezpieczeń. Nie jest konieczne szacowanie podatności, zagrożeń i ryzyka. Należy jedynie wybrać z katalogu zabezpieczen te części, które dotyczą danego typu systemu i zainstalowac te zabezpieczenia, których jeszcze w systemie nie ma, a moga być zainstalowane. Katalogi zabezpieczeń podstawowego poziomu można otrzymać: od międzinarodowych i krajowych instytucji normalizacyjnych, z norm i zaleceń branżowych, z innych firm, najlepiej o opdobnych celach biznesowych i wielkości. 7
8 Oczywiście instytucja może też stworzyć swój własny katalog zabezpieczeń podstawowego poziomu, odpowiedni dla jej srodowiska i celów biznesowych. 5.3 Szczegółowa analiza ryzyka Szczegółowa analiza ryzyka dla systemu obejmuje zidentyfikowanie związanych z nim rodzajów ryzyka i ozacowanie ich rozmiaru. Wymaga ona dokonania szczegółowej analizy na kazdym z etapów przedstawionych na rysunku 4. Rysunek 4: Szczegółowa analiza ryzyka Kolejne etapy szczegółowej analizy ryzyka przedstawione są w kolejnych podrozdziałach. 8
9 5.3.1 Ustalenie zakresu przegladu Zakres przeglądu powinien definiować, które elementy mają być wzięte pod uwagę przy analizie ryzyka. Do takich elementów moga się elementy z następujących grup: zasoby informatyczne, osoby, środowiska (budynki, instalacje), działania (czynnosci) Identyfikacja zasobów Na tym etapie należy zidentyfikowac wszystkie zasoby w ustalonym zakresie. Należy przy tym pamiętać, że zasoby to nie tylko sprzęt i oprogramowanie. Można do nich zaliczyć także na przykład: informacje, oprogramowanie układowe (pamięci RM, EEPROM, FLASH etc.) dokumenty, środki pienieżne, wyprodukowane towary, usługi, wyposażenie środowiska, personel, wizerunek instytucji Wycena zasobów i ustalenie zależności pomiędzy nimi Dla wszystkich zidentyfikowanych zasobów należy ocenić wysokość ewentualnych strat, jakie instytucja mogłaby ponieść w przypadku zniszczenia, modyfikacji, niedostępności lub ujawnienia zasobów. Wycena ta nie zawsze musi (i nie zawsze może) wyrażać się w jednostkach finansowych. Często odpowiedniejsze będzie zastosowanie pewnej skali, np. niskie - średnie - wysokie, lub bardziej szczegółowej. Należy wziąć pod uwagę zależności pomiędzy zasobami, tzn. to jak brak (uszkodzenie) jednych zasobów może wpłynąć na inne. Należy też rozpatrzyć potencjalne straty spowodowaneprzez: 9
10 naruszenie przepisów, pogorszenie wyników biznesowych, utratę reputacji, naruszenie poufności danych osobowych, narażenie bezpieczeństwa osobistego, negatywny wpływ na egzekwowanie prawa, naruszenie tajemnicy handlowej, naruszenie porządku publicznego, straty finansowe, zakłócenie działalności biznesowej, narażenie bezpieczeństwa środowiska Oszacowanie zagrożeń Do najczęstszych zagrożeń należą: błędy i pominięcia, oszustwo i kradzież, sabotaż ze strony pracownika, utrata wsparcia technicznego, złośliwe hakerstwo, złośliwe oprogramowanie (wirusy), szpiegostwo przemysłowe. Jednak analizując zagrożenia należy skorzystać ze znacznie obszerniejszych list i katalogów. Należy również wziąć pod uwagę rozwój zagrożeń i ich zmienność w czasie. Na tym etapie należy również ocenić prawdopodobieństwo wystąpienia poszczególnych zagrożeń. Należy przy tym wziać pod uwagę między innymi: częstotliwość występownia zagrożenia, motywację w przypadku zagrożeń umyślnych, czynniki geograficzne w przypadku zagrożeń przypadkowych. 10
11 5.3.5 Oszacowanie podatności Oszacowanie to ma na celu rozpoznanie słabości w systemie. Należy zwrócić uwagę, czy danej podatności odpowiada realne zagrożenie. Jeśli nie, zabezpieczenie jej nie jest konieczne, jednak należy stosować monitorowanie w celu upewnienia się, czy takie zagrożenie nie powstanie. Ważne jest by oszacować, jak łatwo jest wykorzystać daną podatność. Wynikiem końcowym tego etapu powinna być lista podatności wraz z oceną łatwości ich wykorzystania Identyfikacja istniejących i planowanych zabezpieczeń Należy rozpoznać i przeanalizować wszystkie istniejące i planowane zabezpieczenia w szczególności pod kątem ich współpracy z nowymi, zaproponowanymi w wyniku analizy ryzyka Oszacowanie ryzyka Ryzyko jest zależne od wartości zagrożonych ryzykiem zasobów, prawdopodobieństwa wystąpienia zagrożeń, łatwości wykorzystania podatniości oraz istniejących i planowanych zabezpieczeń mogących to ryzyko zredukowac. 11
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoMaciej Byczkowski ENSI 2017 ENSI 2017
Znaczenie norm ISO we wdrażaniu bezpieczeństwa technicznego i organizacyjnego wymaganego w RODO Maciej Byczkowski Nowe podejście do ochrony danych osobowych w RODO Risk based approach podejście oparte
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoSystemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeostwie IT
Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34 Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoRyzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )
Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych
Bardziej szczegółowoZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:
ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:2018-02 DR INŻ. AGNIESZKA WIŚNIEWSKA DOCTUS SZKOLENIA I DORADZTWO e-mail: biuro@doctus.edu.pl tel. +48 514
Bardziej szczegółowoZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.
ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia 05. 04. 2017 r. w sprawie: wprowadzenia Procedury zarządzania ryzykiem w bezpieczeństwie
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoProcedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;
Procedura zarządzania w Powiatowym Załącznik do Zarządzenia Nr PCPR.021.19.2015 Dyrektora Powiatowego Centrum Pomocy Rodzinie w Sępólnie Krajeńskim z siedzibą w Więcborku z dnia 28 grudnia 2015r. w sprawie
Bardziej szczegółowoZałącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji
Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji PROCEDURA ZARZĄDZANIA RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI 1. 1. Procedura zarządzania ryzykiem
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoMetodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw
Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11 Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces
Bardziej szczegółowoZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.
ZAŁĄCZNIK NR 2 Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku. Spis Treści 1 Wstęp... 3 2 Analiza ryzyka... 3 2.1 Definicje...
Bardziej szczegółowoAudyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty
Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty SZCZEGÓŁOWY HARMONOGRAM WARSZTATÓW DZIEŃ I PRZYGOTOWANIE PLANU WDROŻENIA I AUDYT ZGODNOŚCI GODZINY REJESTRACJA UCZESTNIKÓW 09.00 9.15 Zapytamy
Bardziej szczegółowoZarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku
Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku Cele szkolenia - wykazanie roli MBI w organizacji, - określenie i prezentacja zróżnicowanych struktur ochrony informacji w jednostkach
Bardziej szczegółowoBezpieczeństwo danych i systemów informatycznych. Wykład 1
Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane
Bardziej szczegółowoNormalizacja dla bezpieczeństwa informacyjnego
Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne
POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1. 1. Zarządzanie ryzykiem jest elementem łączącym kontrolę zarządczą z audytem wewnętrznym. Należy dążyć do minimalizacji ryzyka w funkcjonowaniu
Bardziej szczegółowoZarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.
Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r. w sprawie: Polityki Zarządzania Ryzykiem w Akademii Wychowania Fizycznego Józefa
Bardziej szczegółowoZarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji
Kod szkolenia: Tytuł szkolenia: HL947S Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji Information Security Risk Management and Business Continuity Dni: 2 Opis:
Bardziej szczegółowoProcedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym
Załącznik Nr 1 do Zarządzenia Nr 13/12/2015 Dyrektora Zespołu Szkolno-Przedszkolnego w Halinowie z dnia 28 grudnia 2015r. Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym w Halinowie. Ilekroć
Bardziej szczegółowoZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku
ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku w sprawie wprowadzenia procedury identyfikacji zagrożeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Gminy Mrozy Na podstawie
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE
Załącznik Nr 2 do Zarządzenia Nr 15/2013/2014 Dyrektora Szkoły Podstawowej Nr 2 im. św. Wojciecha w Krakowie z dnia 21. stycznia 2014 r. POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW.
Bardziej szczegółowoISO 27001. bezpieczeństwo informacji w organizacji
ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM
POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I Postanowienia ogólne 1.1.Ilekroć w dokumencie jest mowa o: 1) ryzyku należy przez to rozumieć możliwość zaistnienia zdarzenia, które będzie miało wpływ na realizację
Bardziej szczegółowoImed El Fray Włodzimierz Chocianowicz
Imed El Fray Włodzimierz Chocianowicz Laboratorium Certyfikacji Produktów i Systemów Informatycznych Wydział Informatyki Katedra Inżynierii Oprogramowania Zachodniopomorski Uniwersytet Technologiczny w
Bardziej szczegółowoZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.
ZARZĄDZENIE NR 0050.104. 2014 WÓJTA GMINY DOBROMIERZ z dnia 10 wrzesień 2014 r. w sprawie organizacji zarządzania ryzykiem w Urzędzie Gminy Dobromierz Na podstawie art. 68 i art. 69 ust. 1 ustawy z dnia
Bardziej szczegółowoZarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia 09.05. 2008
Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź z dnia 09.05. 2008 w sprawie : wprowadzenia procedury Identyfikacji zagrożeń oraz oceny ryzyka zawodowego na stanowiskach pracy w Urzędzie Miasta Czeladź
Bardziej szczegółowoMINISTERSTWO ADMINISTRACJI I CYFRYZACJI
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych
Bardziej szczegółowoBezpieczeństwo informacji. jak i co chronimy
Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC
Bardziej szczegółowoWyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń
Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń Grzegorz Długajczyk Head of Technology Risk Team ING Bank Śląski ul. Sokolska 34, Katowice Warszawa, 20 września
Bardziej szczegółowoCentrum zarządzania bezpieczeństwem i ciągłością działania organizacji
Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji Narzędzie informatyczne i metodyka postępowania, z wzorcami i szablonami, opracowanymi na podstawie wiedzy, doświadczenia i dobrych
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM
Załącznik nr 3 do Zarządzenia Dyrektora Nr 6/2011 z dnia 14.12.2011 POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM POLITYKA ZARZĄDZANIA RYZYKIEM 1.1.Ilekroć w dokumencie jest
Bardziej szczegółowoReforma ochrony danych osobowych RODO/GDPR
Reforma ochrony danych osobowych RODO/GDPR Reforma ochrony danych osobowych (RODO/GDPR) wyzwania dla organów państwa, sektora publicznego i przedsiębiorców. Marek Abramczyk CISA, CRISC, CISSP, LA 27001,
Bardziej szczegółowoZasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie
Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie 1. Kontrola zarządcza w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie, zwanym dalej zespołem, to ogół działań podejmowanych
Bardziej szczegółowoBezpieczeństwo dziś i jutro Security InsideOut
Bezpieczeństwo dziś i jutro Security InsideOut Radosław Kaczorek, CISSP, CISA, CIA Partner Zarządzający w IMMUSEC Sp. z o.o. Radosław Oracle Security Kaczorek, Summit CISSP, 2011 CISA, Warszawa CIA Oracle
Bardziej szczegółowoBenchmarking narzędzie efektywnej kontroli zarządczej w urzędach miast na prawach powiatu, urzędach gmin i starostwach powiatowych
Benchmarking narzędzie efektywnej kontroli zarządczej w urzędach miast na prawach powiatu, urzędach gmin i starostwach powiatowych ZARZĄDZANIE RYZYKIEM Wisła 26.11.2013 r. Projekt współfinansowany ze środków
Bardziej szczegółowoKonspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF
Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF 1 STRESZCZENIE Konspekt powstał na podstawie wykładu z przedmiotu
Bardziej szczegółowoANALIZA RYZYKA W ŚRODOWISKU INFORMATYCZNYM
BEZPIECZEŃSTWO IT ANALIZA RYZYKA W ŚRODOWISKU INFORMATYCZNYM Jeżeli nie przewidzieliśmy wcześniej środków zaradczych, awaria urządzeń, które powinny zapewniać przetwarzanie danych, może sparaliżować funkcjonowanie
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoKompleksowe Przygotowanie do Egzaminu CISMP
Kod szkolenia: Tytuł szkolenia: HL949S Kompleksowe Przygotowanie do Egzaminu CISMP Certificate in Information Security Management Principals Dni: 5 Opis: Ten akredytowany cykl kursów zawiera 3 dniowy kurs
Bardziej szczegółowoWYTYCZNE W ZAKRESIE CZYNNOŚCI KONTROLNYCH W ZAKŁADACH STWARZAJĄCYCH RYZYKO WYSTĄPIENIA POWAŻNEJ AWARII PRZEMYSŁOWEJ 1
WYTYCZNE W ZAKRESIE CZYNNOŚCI KONTROLNYCH W ZAKŁADACH STWARZAJĄCYCH RYZYKO WYSTĄPIENIA POWAŻNEJ AWARII PRZEMYSŁOWEJ 1 WPROWADZENIE GEORGIOS A. PAPADAKIS & SAM PORTER Dyrektywa Rady 96/82/EC (SEVESO II)
Bardziej szczegółowoSpis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania
Listopad 2017 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeo... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10
Bardziej szczegółowoOPIS SYSTEMU ZARZĄDZANIA RYZYKIEM
OPIS SYSTEMU ZARZĄDZANIA RYZYKIEM SECUS ASSET MANAGEMENT S.A. dotyczy art. 110w ust.4 Ustawy o obrocie instrumentami finansowymi z dnia 29 lipca 2005 roku tekst zmieniony ustawą z 05-08-2015 Dz. U. poz.
Bardziej szczegółowoREGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM
Załącznik do Zarządzenia Nr 11 / 2012 Wójta Gminy Ustronie Morskie z dnia 23 stycznia 2012 roku. REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM Na podstawie 39 regulaminu jednostki oraz działając w oparciu
Bardziej szczegółowoRyzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością
Ryzyko w działalności przedsiębiorstw przemysłowych Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością Plan Prezentacji Cel artykułu Dlaczego działalność przemysłowa wiąże się z ryzykiem?
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM
Załącznik nr 1 do Zarządzenia nr 42/2010 Starosty Nowomiejskiego z dnia 10 grudnia 2010r. POLITYKA ZARZĄDZANIA RYZYKIEM 1 Niniejszym dokumentem ustala się zasady zarządzania ryzykiem, mające przyczynić
Bardziej szczegółowoZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO. z dnia 26 października 2016 r.
ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO z dnia 26 października 2016 r. w sprawie wprowadzenia Procedury zarządzania ryzykiem w Starostwie Powiatowym w Nowym Dworze Mazowieckim Na podstawie art.
Bardziej szczegółowoZ a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku
Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku o zmianie Zarządzenia nr 50/2013 z dnia 24 maja 2013r. w sprawie polityki bezpieczeństwa i zarządzania
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowoSpis treści. Analiza Ryzyka Instrukcja Użytkowania
Maj 2013 Spis treści 1. Wprowadzenie... 3 2. Podstawy prawne... 4 3. Zasada działania programu... 6 4. Zgodność z analizą zagrożeń... 7 5. Opis programu... 8 5.1. Menu Górne... 9 5.2. Status... 10 5.3.
Bardziej szczegółowoA N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN
Dokument nadzorowany w wersji elektronicznej 8.01.2013 r. ZATWIERDZAM zał. nr 11 do PB UMiG Łasin Podpis Administratora Danych Osobowych ORA.142.1.1.2013 A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r
Bardziej szczegółowoZarządzanie projektami a zarządzanie ryzykiem
Ewa Szczepańska Zarządzanie projektami a zarządzanie ryzykiem Warszawa, dnia 9 kwietnia 2013 r. Agenda Definicje Wytyczne dla zarządzania projektami Wytyczne dla zarządzania ryzykiem Miejsce ryzyka w zarządzaniu
Bardziej szczegółowoZarządzanie projektami. Zarządzanie ryzykiem projektu
Zarządzanie projektami Zarządzanie ryzykiem projektu Warunki podejmowania decyzji Pewność Niepewność Ryzyko 2 Jak można zdefiniować ryzyko? Autor S.T. Regan A.H. Willet Definicja Prawdopodobieństwo straty
Bardziej szczegółowoRegulamin zarządzania ryzykiem. Założenia ogólne
Załącznik nr 1 do Zarządzenia Nr 14/2018 dyrektora Zespołu Obsługi Oświaty i Wychowania w Kędzierzynie-Koźlu z dnia 29.11.2018r. Regulamin zarządzania ryzykiem 1 Założenia ogólne 1. Regulamin zarządzania
Bardziej szczegółowoProcedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...
Procedura Alarmowa Administrator Danych... Dnia... w podmiocie o nazwie... w celu pełnej kontroli oraz zapobieganiu możliwym zagrożeniom związanym z ochroną danych osobowych na podstawie art. 36.1. ustawy
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoPolityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach
Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach I. Wstęp Polityka Ochrony Danych Osobowych jest dokumentem opisującym zasady ochrony danych osobowych stosowane przez Administratora
Bardziej szczegółowoLWKZ Zarządzenie nr 4/2017
LWKZ.110.4.2017 Zarządzenie nr 4/2017 Lubuskiego Wojewódzkiego Konserwatora Zabytków w Zielonej Górze z dnia 30 maja 2017 r. w sprawie ustalenia Regulaminu zarządzania ryzykiem w Wojewódzkim Urzędzie Ochrony
Bardziej szczegółowoPolityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.
Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena
Bardziej szczegółowoZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia r.
ZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia 30.09.2010 r. W sprawie: wprowadzenia zasad zarządzania ryzykiem w Urzędzie Miejskim w Bieruniu Na podstawie art. 30 ust. 1 ustawy z dnia
Bardziej szczegółowoPolityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu
Załącznik nr do zarządzenia nr 156 Rektora UMK z 15 listopada 011r. Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu 1 1. Polityka zarządzania ryzykiem, zwana dalej Polityką,
Bardziej szczegółowoWytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów
Wytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów Załącznik Nr 2 do Zarządzenia Nr 195/10 Burmistrza Miasta Złotowa z dnia 15 listopada
Bardziej szczegółowoZarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA
Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA Szczecin 2013 1 Wprowadzenie W celu przeprowadzenia oceny ryzyka zawodowego
Bardziej szczegółowoPROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM
Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl PROCEDURA ALARMOWA PROCEDURA ALARMOWA Obowiązuje
Bardziej szczegółowoZARZĄDZENIE NR Or BURMISTRZA MIASTA SANDOMIERZA. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu.
ZARZĄDZENIE NR Or. 0121.2.2012 BURMISTRZA MIASTA SANDOMIERZA z dnia 17 stycznia 2012 r. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu. Na podstawie art. 33 ust.3 ustawy z dnia 8 marca
Bardziej szczegółowoPlan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja ISO/IEC 27003:2010
Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27003 dokumentacja Plan prezentacji Norma ISO/IEC 27003:2010 Dokumenty wymagane przez ISO/IEC 27001 Przykładowe
Bardziej szczegółowoZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku
ZARZĄDZENIE NR 4/17 Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku w sprawie wprowadzenia Procedury alarmowej w celu pełnej kontroli oraz zapobieganiu możliwym zagrożeniom związanym
Bardziej szczegółowoZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem
ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW w sprawie zarządzanie ryzykiem Na podstawie art. 68 ust. 2 pkt 7 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. 2009 r. Nr 157,
Bardziej szczegółowoP O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH
Załącznik do zarządzenia Rektora UJK nr 69/2017 z dnia 30 czerwca 2017 r. P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH 1 Podstawowe definicje
Bardziej szczegółowoWartośd aktywów w analizie ryzyka bezpieczeostwa informacji
Strona1 Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji Spis treści I Wstęp... 2 II. W jakim celu określa się wartośd aktywów?... 2 III. Wartościowanie aktywów... 3 IV. Powiązanie istotności
Bardziej szczegółowoZarządzanie bezpieczeństwem Laboratorium 2. Analiza ryzyka zawodowego z wykorzystaniem metody trzypunktowej
Zarządzanie bezpieczeństwem Laboratorium 2. Analiza ryzyka zawodowego z wykorzystaniem metody trzypunktowej Szczecin 2013 1 Wprowadzenie Ryzyko zawodowe: prawdopodobieństwo wystąpienia niepożądanych zdarzeń
Bardziej szczegółowo1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?
PROGRAM SZKOLENIA: I DZIEŃ SZKOLENIA 9:00-9:15 POWITANIE UCZESTNIKÓW SZKOLENIA. 9:15-10:30 BLOK I WSTĘPNE ZAGADNIENIA DOTYCZĄCE RODO 1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy
Bardziej szczegółowoREGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne
Załącznik Nr 1 do Zarządzenia Nr 29 z 01.07.2013r. REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU Postanowienia ogólne 1 1. Kontrola zarządcza w Powiatowym Urzędzie
Bardziej szczegółowoZagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.
Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od
Bardziej szczegółowoISO 27001 w Banku Spółdzielczym - od decyzji do realizacji
ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości
Bardziej szczegółowoAPTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO
APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO Apteko - dlaczego RODO Cię dotyczy? Dane pacjentów w połączeniu z lekami, które kupują to tzw. wrażliwe dane osobowe, apteka, przetwarzając je staje się ich administratorem.
Bardziej szczegółowoZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach. z dnia 16 marca 2012 roku
ZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach z dnia 16 marca 2012 roku w sprawie wytycznych służących ustaleniu systemu zarządzania ryzykiem w Urzędzie Gminy w Chojnicach. Na podstawie art. 30 ust.
Bardziej szczegółowoSzacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów
Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów Prowadzący: Artur Cieślik MBA, IRCA lead auditor ISO/IEC 27001, redaktor naczelny IT Professional
Bardziej szczegółowoPOLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE
Strona1 ZAŁĄCZNIK NR 2 do Zarządzenia Nr DOK.0151.2.7.2016 Dyrektora MGOKSIR z dnia 30.08.2016r. POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE zwana dalej:
Bardziej szczegółowoRyzyko i zarządzanie ryzykiem w projektach
Wykład objęty jest prawami autorskimi Prof.dr hab. Małgorzata Duczkowska-Piasecka Przedmiot: Zarządzanie projektami biznesowymi Ryzyko i zarządzanie ryzykiem w projektach Ryzyko może być definiowane jako
Bardziej szczegółowoProjektowanie systemów informatycznych. Roman Simiński siminskionline.pl. Studium wykonalności
Projektowanie systemów informatycznych Roman Simiński roman.siminski@us.edu.pl siminskionline.pl Studium wykonalności Główne procesy w realizacji projektu informatycznego Studium wykonalności (ang. feasibility
Bardziej szczegółowoPROCEDURA Zarządzania ryzykiem w Miejskim Zespole Gospodarki Lokalowej i Administracji w Knurowie
Załącznik nr 1 do zarządzenia Nr 0161/14/2010 Dyrektora MZGLiA w Knurowie PROCEDURA Zarządzania ryzykiem w Miejskim Zespole Gospodarki Lokalowej i Administracji w Knurowie Rozdział I Postanowienia ogólne
Bardziej szczegółowoOchrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki
OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki Artur Górecki Prezes Zarządu STANDARDER Sp. z o.o. wdrażanie procedur ochrony danych osobowych wdrażanie Tajemnicy Przedsiębiorstwa i ochrony
Bardziej szczegółowoKrzysztof Świtała WPiA UKSW
Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
Bardziej szczegółowoZarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia 20.06.2011 roku
Dom Pomocy Społecznej Betania Al. Kraśnicka 223, 20-718 Lublin tel./fax 081 526 49 29 NIP 712-19-36-365, REGON 000979981 Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z
Bardziej szczegółowoZarządzenie nr 8/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 31 grudnia 2015 roku
Zarządzenie nr 8/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 31 grudnia 2015 roku w sprawie wprowadzenia Procedury zarządzania ryzykiem Na podstawie art. 68 ust. 2 pkt 7 i art. 69 ust. 1 pkt 3 ustawy
Bardziej szczegółowoOcena ryzyka zawodowegoto proste! Copyright by Zdzisław Wiszniewski
Ocena ryzyka zawodowegoto proste! 1. Ryzyko zawodowe narzędzie do poprawy warunków pracy Kodeks pracy: 1991 r. - art. 215 1996 r. - art. 226, 227, 237 11a Pracodawca: ocenia i dokumentuje ryzyko zawodowe
Bardziej szczegółowoWłaściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.
Samoocena może dotyczyć zarówno procesów zachodzących w jednostce, jak i poszczególnych elementów systemu jakie uwzględnia kontrola zarządcza. W procesie samooceny biorą udział pracownicy jednostki bezpośrednio
Bardziej szczegółowoZarządzenie nr 4/2016 Dyrektora Zespołu Szkolno-Przedszkolnego nr 4 w Rybniku z dnia 2 września 2016 roku
Zarządzenie nr 4/2016 Dyrektora Zespołu Szkolno-Przedszkolnego nr 4 w Rybniku z dnia 2 września 2016 roku w sprawie wprowadzenia Procedury zarządzania ryzykiem Na podstawie art. 68 ust. 2 pkt 7 i art.
Bardziej szczegółowoProjektowanie systemów informatycznych
Projektowanie systemów informatycznych Zarządzanie projektem Autor Roman Simiński Kontakt roman.siminski@us.edu.pl www.us.edu.pl/~siminski Główne procesy w realizacji projektu informatycznego (ang. feasibility
Bardziej szczegółowoZałącznik nr 5 do Regulaminu kontroli zarządczej. Tytuł procedury: ZARZĄDZANIE RYZYKIEM SPIS TREŚCI
Tytuł procedury: Odpowiada Ustawie o finansach publicznych Dz.U. 2009 nr 157 poz. 1240 oraz Komunikatowi nr 23 Ministra finansów z 16.12.2009 w sprawie standardów kontroli. Standard nr 7 Identyfikacja
Bardziej szczegółowoOFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej
OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej Klient Osoba odpowiedzialna Dostawcy usługi Osoba odpowiedzialna
Bardziej szczegółowoBezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
Bardziej szczegółowo