ISO 9001 + 3 kroki w przód = ISO 27001 ISO Polska - Rzeszów 22 stycznia 2009r.
O NAS Co nas wyróŝnia? Jesteśmy I publiczną spółką konsultingową w Polsce! 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie Papierów Wartościowych w Warszawie Działamy od 18-stu lat! Zrealizowaliśmy ponad 2500 projektów dla ponad 1000 Klientów Podnosimy poprzeczkę! Posiadamy wdroŝone systemu ISO 9001:2001, ISO 27001 (jako pierwsi w POLSCE) Mamy czytelną strategię rozwoju! Naszym celem jest rozszerzenie działalności na rynki europejskie, a takŝe realizacja duŝych kontraktów dla duŝych klientów z wykorzystaniem dedykowanych narzędzi informatycznych. Pracujemy razem z Klientem! Ścisła współpraca z Klientem w celu maksymalizacji transferu wiedzy. Łączymy tradycyjny konsulting z nowoczesnymi rozwiązaniami informatycznymi.
AGENDA Krótko o Systemie Zarządzania Bezpieczeństwem Informacji ISO 27001 w Polsce ISO 9001 a ISO 27001 3 kroki do ISO 27001 Proces wdroŝenia Systemu Bezpieczeństwa Informacji Rola bezpieczeństwa dzisiaj i jutro
Zarządzanie bezpieczeństwem na świecie i w Polsce 2000 1800 1600 1400 1200 1000 800 600 400 200 0 352 305 128 73 68 58 53 52 50 44 40 31 30 28 26 17 19 Japonia Wlk. Bryt. Indie Tajwan Niemcy Chiny Węgry Australia USA Korea Włochy Polska Holandia Hong Kong Singapur Czechy Malezja Brazylia Źródło: ISMS International User Group
Ludzie Bezpieczeństwo osobowe Usługi System Zarządzania Bezpieczeństwem Informacji Bezpieczeństwo fizyczne SZBI Bezpieczeństwo informatyczne
Systemowe podejście do bezpieczeństwa informacji INTEGRALNOŚĆ POUFNOŚĆ Bezpieczeństwo informacji DOSTĘPNO PNOŚĆ
System ISO 27001 w Polsce
Wspólne podstawy ISO 9001 i ISO 27001 Wymagania ZINTEGROWANY SYSTEM ZARZĄDZANIA Wymagania ISO 9001 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Odpowiedzialność kierownictwa System zarządzania jakością Odpowiedzialność kierownictwa Zarządzanie zasobami ludzkimi Zarządzanie zasobami Nadzorowanie infrastruktury Realizacja zadania Nadzorowanie dokumentacji Pomiary, analiza i doskonalenie Nadzorowanie firm współpracujących Nadzorowanie i doskonalenie systemu Ustanowienie ISO 27001 Zgodność z wymaganiami prawa i własnymi standardami WdroŜenie i eksploatacja Monitorowanie i przegląd Utrzymanie i doskonalenie
Krok 1: Analiza ryzyka przeprowadzenie klasyfikacji informacji identyfikacja sprzętu, oprogramowania oraz miejsc przetwarzania informacji analiza zagroŝeń oraz podatności na podstawie wyników z audytu opracowanie metody analizy ryzyka przeprowadzenie analizy ryzyka przeprowadzenie analizy ciągłości działania organizacji opracowanie planu zarządzania (minimalizacji) ryzyka
Zarządzanie ryzykiem Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najwaŝniejszych informacji/danych/zasobów organizacji OCENA RYZYKA UTRATY INFORMACJI OPRACOWANIE PLANU ZARZĄDZNIA RYZYKIEM MONITOROWANIE PLANU ZARZĄDZANIA RYZYKIEM WDROśENIE PLANU ZARZĄDZANIA RYZYKIEM
Krok 2: Opracowanie niezbędnych zasad postępowania Powołanie grup roboczych do tworzenia projektów dokumentów ISO/IEC 27001 1. Polityka bezpieczeństwa 2. Organizacja bezpieczeństwa 3. Klasyfikacja i kontrola zasobów 4. Bezpieczeństwo osobowe 5. Bezpieczeństwo fizyczne i środowiskowe 6. Zarządzanie systemami i sieciami 7. Kontrola dostępu do systemu 8. Pozyskiwanie, rozwój i utrzymanie systemu 9. Zarządzanie incydentami bezpieczeństwa 10.Zarządzanie ciągłością działania 11.Zgodność z wymaganiami prawa i własnymi standardami Tworzenie dokumentów polityki procedury instrukcje zasady, etc. Weryfikacja i zatwierdzenie dokumentów Wykorzystanie narzędzia informatycznego
Przykładowa struktura dokumentacji koncepcja DGA POLITYKA BEZPIECZEŃSTWA INFORMACJI (ZGODNA ZE STRATEGIĄ BIZNESOWĄ PRZEDSIĘBIORSTWA) ZASADY POSTĘPOWANIA Z INFORMACJĄ ZASADY ZARZĄDZANIA RYZYKIEM STRATEGIA CIĄGŁOŚCI DZIAŁANIA WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA ZASOBAMI LUDZKIMI WYMAGANIA ZWIĄZANE Z ZARZĄDZANIEM INCYDENTAMI BEZPIECZEŃSTWA WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI WYMAGANIA ZWIĄZANE Z BEZPIECZEŃSTWEM FIZYCZNYM DOKUMENTY NIśSZEGO RZĘDU PROCEDURY I INSTRUKCJE
Krok 3: Budowanie świadomości pracowników Przeprowadzenie szkolenia dla najwyŝszego kierownictwa - wyniki diagnozy wstępnej, koncepcja - zasady i korzyści w zakresie bezpieczeństwa informacji - zadania najwyŝszego kierownictwa Przeprowadzenie szkolenia grupy roboczej - wymagania ISO/IEC 27001 - dokumentacja Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) - szczegółowy plan działań w zakresie bezpieczeństwa informacji Przeprowadzenie szkoleń dla wszystkich pracowników - wprowadzenie do wymagań normy ISO/IEC 27001 - rola pracowników w systemie zarządzania bezpieczeństwem informacji - zasady i korzyści wynikające z wdroŝenia SZBI Przeprowadzenie szkoleń dla audytorów wewnętrznych
Role w zarządzaniu bezpieczeństwem informacji Pełnomocnik ds. Systemu Bezpieczeństwa Informacji Organizuje pracę i wyznacza zadania osobom odpowiedzialnym za bezpieczeństwo informacji w organizacji Jest przedstawicielem Zarządu w pracach pozwalających na utrzymanie systemu organizacja analizy ryzyka, audytów wewnętrznych, utrzymanie dokumentacji zawierającej wymagania bezpieczeństwa
Role w zarządzaniu bezpieczeństwem informacji Forum Bezpieczeństwa Informacji Forum składające się z kilku osób, moŝe być częścią istniejącej struktury organizacyjnej Forum stanowią dyrektorzy kluczowych obszarów bezpieczeństwa, szefowie IT, kierownicy mający przełoŝenie na pewnie obszary bezpieczeństwa Forum realizuje część zadań operacyjnych związanych z zarządzaniem bezpieczeństwem oraz raportuje do Zarządu
Proces wdroŝenia Systemu Bezpieczeństwa Informacji Diagnoza systemu i analiza potrzeb Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie planu Zarządzania Ryzykiem Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Zarządzania Ryzykiem SZBI ISO 27001 Certyfikacja systemu
Przesłanki do wdroŝenia wymagań normy ISO/IEC 27001 organizacje na całym świecie wdraŝają systemy bezpieczeństwa korzystając z tego samego dokumentu odniesienia ISO/IEC 27001. w rezultacie systemy te mogą być do siebie porównywane i w ten sposób doskonalone system opiera się o cykliczną analizę ryzyka co zapewnia jego ciągłe dostosowywanie do potrzeb i problemów organizacji system bezpieczeństwa zbudowany na podstawie ISO/IEC 27001 moŝna poddać certyfikacji i uzyskać rozpoznawane na całym świecie świadectwo zgodności.
zapraszamy do naszych biur Doradztwo Gospodarcze DGA S.A. Biuro w Poznaniu Biuro w Warszawie ul. Towarowa 35 61-896 Poznań ul. Emilii Plater 28 00-688 Warszawa telefon.: +48.61. 859.59.00, telefon.: +48.22. 635.35.30, faks: +48.61.859.59.01 faks: +48.22.635.35.31 e-mail: dgasa@dga.pl e-mail: dgawawa@dga.pl www.dga.pl www.dga.pl Wojciech Nowak Manager ds. Rozwiązań Biznesowych e-mail: wojciech.nowak@dga.pl Zapraszam do zadawania pytań