Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Podobne dokumenty

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Szkolenie otwarte 2016 r.

I. O P I S S Z K O L E N I A

Promotor: dr inż. Krzysztof Różanowski

SZCZEGÓŁOWY HARMONOGRAM KURSU

Normalizacja dla bezpieczeństwa informacyjnego

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Metodyka wdrożenia. System Jakości ISO 9001

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

ISO bezpieczeństwo informacji w organizacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Pełnomocnik, Audytor SZJ ISO 9001:2008

ISO w Banku Spółdzielczym - od decyzji do realizacji

HARMONOGRAM SZKOLENIA

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008

Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Poznań 23 listopada 2016 r. A u t o r : dr inż. Ludwik Królas

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Kompleksowe Przygotowanie do Egzaminu CISMP

Inspektor ochrony danych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

SZKOLENIA I WARSZTATY

Usprawnienia zarządzania organizacjami (normy zarzadzania)

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Konferencja podsumowująca

Audyt wewnętrzny jako metoda oceny Systemu Zarządzania Jakością. Piotr Lewandowski Łódź, r.

Opis procedury certyfikacyjnej Program certyfikacji systemów zarządzania

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Komunikat nr 115 z dnia r.

Budowanie skutecznych systemów zarządzania opartych na normach ISO

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Plan spotkań DQS Forum 2017

System. zarządzania jakością. Pojęcie systemu. Model SZJ wg ISO 9001:2008. Koszty jakości. Podsumowanie. [Słownik języka polskiego, PWN, 1979] System

Szczegółowy opis przedmiotu zamówienia:

Zarządzanie jakością. Opis kierunku. Co zyskujesz? Dla kogo? - Kierunek - studia podyplomowe

Standard ISO 9001:2015

USŁUGI AUDYTOWE I DORADCZE W ZAKRESIE OCHRONY DANYCH OSOBOWYCH. 17 września 2012

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Krzysztof Świtała WPiA UKSW

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

BIZNESU. Blisko potrzeb. PROXIMUS S.A. ul. Ligocka Katowice. tel.: fax:

Kliknij, aby edytować styl

Team Prevent Poland Sp. z o.o. Graficzna prezentacja struktury ISO 9001:2015 i IATF 16949:2016

Bezpieczeństwo informacji. jak i co chronimy

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

Szkolenia DQS Polska 2006

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

ETAPY WDRAŻANIA SYSTEMÓW ZARZĄDZANIA ENERGIĄ

Szkolenie Audytor wewnętrzny bezpieczeństwa informacji i ciągłości działania AW-01

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

ISO 9001:2015 przegląd wymagań

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Etapy wdrażania systemu zarządzania bezpieczeństwem żywności (SZBŻ) wg ISO 22000

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Księga Jakości. Zawsze w zgodzie z prawem, uczciwie, dla dobra klienta

Pełnomocnik ds. Systemu Zarządzania Jakością wg ISO 9001:2008

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Systemy zarządzania jakością

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I ŚRODOWISKOWEGO WG NORM ISO 9001:2015 I ISO 14001:2015

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Robert Meller, Nowoczesny audyt wewnętrzny

Grupa DEKRA w Polsce Cyberbezpieczeństwo. GLOBALNY PARTNER na rzecz BEZPIECZNEGO ŚWIATA 2019 DEKRA

Kryteria oceny Systemu Kontroli Zarządczej

JAK SKUTECZNIE PRZEPROWADZAĆ AUDITY

SYSTEMY ZARZĄDZANIA. cykl wykładów dr Paweł Szudra

TÜV SUMMER TIME. Sierpniowe szkolenia TÜV Akademia Polska. TÜV Akademia Polska Sp. z o.o.

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

SZKOŁA DOBRYCH PRAKTYK

Ekoinnowacje w zarządzaniu przedsiębiorstwem

Celem procedury jest zapewnienie systematycznego i niezależnego badania skuteczności działania SZJ i ciągłego jego doskonalenia.

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

1. Opis i charakterystyka grupy ISO w ramach OIGN.

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM I HIGIENĄ PRACY wg OHSAS i PN-N 18001

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

BOC dla KJUF Podsumowanie warsztatów listopada 2011

ISO nowy standard bezpieczeństwa. CryptoCon,

Kwestionariusz samooceny kontroli zarządczej

Prelegent : Krzysztof Struk Stanowisko: Analityk

ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁANIA BUSINESS CONTINUITY MANAGEMENT. Strona: 1 l 30

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

Proces certyfikacji ISO 14001:2015

SZKOLENIE 2. Projektu: Propagowanie wzorców produkcji i konsumpcji sprzyjających promocji zasad trwałego i zrównoważonego rozwoju.

Transkrypt:

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013

Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia SZBI Dlaczego wdrożenie SZBI jest takie trudne Co zrobić żeby SZBI był skuteczny

INTEGRALNOŚĆ POUFNOŚĆ Bezpieczeństwo informacji DOSTĘPNOŚĆ

Zarządzanie ryzykiem Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najważniejszych informacji organizacji OCENA RYZYKA UTRATY INFORMACJI OPRACOWANIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI MONITOROWANIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI WDROŻENIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI

Czego należy się obawiać?

Ludzie Bezpieczeństwo osobowe Usługi Systemowe podejście do bezpieczeństwa informacji Bezpieczeństwo fizyczne ISO 27001 Bezpieczeństwo informatyczne

Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia SZBI Dlaczego wdrożenie SZBI jest takie trudne Co zrobić żeby SZBI był skuteczny

Realizacja projektu Weryfikacja stanu obecnego Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie planu Opracowanie dokumentacji Podnoszenie świadomości pracowników ISO 27001 Monitorowanie Systemu Zarządzania Certyfikacja systemu

Krok 1: Badanie stanu obecnego Weryfikacja stanu obecnego Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie śwoadomości Monitorowanie Planu Certyfikacja systemu Określenie zakresu i szczegółowego planu badania Przeprowadzenie audytu zgodnie z listą kontrolną (1000 punktów bezpieczeństwa) analiza organizacji analiza bezpieczeństwa prawnego analiza bezpieczeństwa teleinformatycznego poziom podstawowy analiza bezpieczeństwa fizycznego analiza elementów ciągłości działania analiza zarządzania zasobami Opracowanie koncepcji SZBI Walidacja metody analizy ryzyka

Krok 2: Działania uświadamiające Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Przeprowadzenie szkolenia dla kadry zarządzającej wyniki diagnozy wstępnej dalsze prace w zakresie bezpieczeństwa informacji zadania najwyższego kierownictwa Przeprowadzenie szkolenia grupy roboczej wymagania ISO/IEC 27001 tworzenie dokumentacji Zintegrowanego Systemu Zarządzania(ZSZ) szczegółowy plan działań w zakresie bezpieczeństwa informacji Informacja dla pracowników

Diagnoza systemu Szkolenia wstępne Krok 3: Identyfikacja zagrożeń oraz skutków wystąpienia Przeprowadzenie klasyfikacji informacji (możliwość wykorzystania narzędzi informatycznych) Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Identyfikacja sprzętu, informacji oprogramowania oraz miejsc przetwarzania Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Analiza zagrożeń oraz podatności na podstawie wyników z audytu Przeprowadzenie analizy ryzyka z (możliwość wykorzystania narzędzi informatycznych Przeprowadzenie analizy ciągłości działania organizacji (możliwość wykorzystania narzędzi informatycznych)

Krok 4: Planowanie działań doskonalących Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Identyfikacja działań niezbędnych do zminimalizowania określonego ryzyka działania inwestycyjne działania organizacyjne identyfikacja niezbędnych do określenia regulacji Określenie układu Polityki Bezpieczeństwa Informacji określenie hierarchicznego układu dokumentacji (polityki, procedury, instrukcje, zasady) stworzenie listy dokumentacji niezbędnej do stworzenia Stworzenie harmonogramu wdrożenia SZBI

Krok 5: Tworzenie zasad postępowania Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Powołanie grup roboczych do tworzenia projektów dokumentów Tworzenie dokumentów polityki procedury Instrukcje Plany awaryjne zasady, etc. Weryfikacja i zatwierdzenie dokumentów

Przykładowa struktury dokumentacji koncepcja DGA POLITYKA BEZPIECZEŃSTWA INFORMACJI ZASADY POSTĘPOWANIA Z INFORMACJĄ ZASADY ZARZĄDZANIA RYZYKIEM STRATEGIA CIĄGŁOŚCI DZIAŁANIA WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA ZASOBAMI LUDZKIMI WYMAGANIA ZWIĄZANE Z ZARZĄDZANIEM INCYDENTAMI BEZPIECZEŃSTWA WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI WYMAGANIA ZWIĄZANE Z BEZPIECZEŃSTWEM FIZYCZNYM DOKUMENTY NIŻSZEGO RZĘDU PROCEDURY I INSTRUKCJE

Krok 6: Działania uświadamiające Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Stworzenie planu podnoszenia świadomości pracowników Zapoznanie z obowiązującymi zasadami bezpieczeństwa Szkolenie dla pracowników Szkolenie dla audytorów wewnętrznych Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu

Weryfikacja skuteczności SZBI Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Audity wewnętrzne wspólne audyty praktyczne weryfikacja stosowania stworzonych zasad bezpieczeństwa Działania korygujące i zapobiegawcze identyfikacja zagrożeń i niezgodności identyfikacja działań doskonalących Przegląd najwyższego kierownictwa prezentacja działania SZBI przed najwyższym kierownictwem wyznaczenie celów długofalowych

Krok 7: Niezależne potwierdzenie skuteczności SZBI Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Proces niezależnej oceny dokonanej przez jednostkę certyfikacyjną zalecamy audyt Zintegrowanego Systemu Zarządzania Certyfikat ważny jest 3 lata raz w roku jednostka certyfikacyjna dokonuje auditu nadzoru Po 3 latach funkcjonowania konieczność poddania się procesowi recertyfikacji(przedłużenie ważności certyfikatu na kolejne 3 lata) Podnoszenie świadomości Wdrożenie Audit certyfikacyjny Recertyfikacja Monitorowanie Planu Certyfikacja systemu Ocena wstępna Audit nadzoru

Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia SZBI Dlaczego wdrożenie SZBI jest takie trudne Co zrobić żeby SZBI był skuteczny

Bezpieczeństwo informacji nie jest potrzebne!!! Opinie menadżerów Zło konieczne! Zawracanie głowy! Przecież mamy firmę ochroniarską, kancelarię tajną i drogie IT! Każdy wie, że nie można paplać na lewo i prawo. Od czasu do czasu robimy audyty. Opinie pracowników Ministerstwo Wojny. Szukają dziury w całym. Każdy chce mieć jakieś zajęcie. Utrudniają. Kosmici

Bezpieczeństwo informacji nie jest potrzebne!!! DLACZEGO? Trudno być zwolennikiem czegoś, czego się nie rozumie i co w dodatku nakłada nowe zadania i obowiązki TO UTRUDNIA PRACE!!!

Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Ja przeprowadzić projekt wdrożenia SZBI Dlaczego wdrożenie SZBI jest takie trudne Co zrobić żeby SZBI był skuteczny

Jak edukować? Poziom Średni Partycypacja Angażowanie pracowników w: Budowę systemu Wdrażanie systemu Doskonalenie Dokumentacja Przejrzysta Czytelna Dedykowana Analiza ryzyka Zrozumiała Nakierowana na działania Angażująca szerokie grono ludzi POLITYKA BEZPIECZEŃSTWA INFORMACJI ZASADY POSTĘPOWANIA Z INFORMACJĄ WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA ZASOBAMI LUDZKIMI WYMAGANIA ZWIĄZANE Z ZARZĄDZANIEM INCYDENTAMI BEZPIECZEŃST WA ZASADY ZARZĄDZANIA RYZYKIEM WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI STRATEGIA CIĄGŁOŚCI DZIAŁANIA DOKUMENTY NIŻSZEGO RZĘDU PROCEDURY I INSTRUKCJE WYMAGANIA ZWIĄZANE Z BEZPIECZEŃSTW EM FIZYCZNYM

Jak edukować? Poziom Zaawansowany Samokształcąca się organizacja Planujemy Wdrażamy Oceniami i weryfikujemy Identyfikujemy zmianę FBI Rola doradztwa wewnętrznego Bezpieczeństwo informacji narzędziem zarządzania Zrozumianym Wykorzystywanym Skutecznym Bazującym na realnych problemach np. SCADA

Podsumowanie Z bezpieczeństwem informacji jest jak z koszeniem trawy! Systematycznie! Nie za mocno! Czego nie możesz przyciąć wyrwij!

KONIEC Dziękuję za uwagę! Dziękujemy za udział w spotkaniu Michał Borucki Prezes Zarządu Blue Energy Sp. z o.o Michal.borucki@grupablue.pl 601808742