Zarzàdzanie bezpieczeƒstwem. informacji BS 7799-2 ISO/IEC 17799. Dlaczego bezpieczeƒstwo. informacji



Podobne dokumenty
1.1. SPIS TREÂCI SEGREGATOR

Ogólne bezpieczeƒstwo produktów

Zalety Wspó pracy. Gwarantujemy prawid owoêç i terminowoêç prowadzonych procesów personalnych. Korzystamy z profesjonalnego systemu TETA_Personel

1. Proszę krótko scharakteryzować firmę którą założyła Pani/Pana podgrupa, w zakresie: a) nazwa, status prawny, siedziba, zasady zarządzania (5 pkt.

Utrzymanie aplikacji biznesowych SI PSZ

Normy szansą dla małych przedsiębiorstw. Skutki biznesowe wdrożenia norm z zakresu bezpieczeństwa w małych firmach studium przypadków

BEZPIECZEŃSTWO INFORMACYJNE I CYBERNETYCZNE

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO

Systemy monitoringu wizyjnego Avigilon w zabezpieczeniu obiektów logistycznych.

ARIES-IT Profesjonalne Usługi Informatyczne dla Firm i Instytucji, Outsourcing IT

ZMIANY W KRYTERIACH WYBORU FINANSOWANYCH OPERACJI PO IG

współadministrator danych osobowych, pytania i indywidualne konsultacje.

PROGMEDICA System Zarządzania zgodnością w Szpitalu WOLTERS KLUWER DLA SZPITALI

Procedura weryfikacji badania czasu przebiegu 1 paczek pocztowych

Koszty jakości. Definiowanie kosztów jakości oraz ich modele strukturalne

ZARZĄDZENIE NR 11/2012 Wójta Gminy Rychliki. z dnia 30 stycznia 2012 r. w sprawie wdrożenia procedur zarządzania ryzykiem w Urzędzie Gminy Rychliki

KOMISJA WSPÓLNOT EUROPEJSKICH, uwzględniając Traktat ustanawiający Wspólnotę Europejską, ROZDZIAŁ 1

Opis przedmiotu zamówienia dla części 1 oraz dla części 2 zamówienia. Załącznik nr 1 do SIWZ

Zarządzanie projektami. wykład 1 dr inż. Agata Klaus-Rosińska

Warszawa, r.

Oferta kompleksowego serwisu sprzętu komputerowego dla przedsiębiorstw, instytucji oraz organizacji.

Program sektorowy pn. Program

Załącznik nr 5 - Plan komunikacji

DZIENNIK UCZESTNIKA PRAKTYK ZAWODOWYCH. realizowanych dla nauczycieli i instruktorów kształcących w zawodzie TECHNIKA LOGISTYKA

Dziennik Ustaw Nr Poz ROZPORZÑDZENIE MINISTRA ZDROWIA 1) z dnia 28 kwietnia 2004 r.

ZAPRASZA DO SKŁADNIA OFERT

KRYTERIA DOSTĘPU. Działanie 2.1,,E-usługi dla Mazowsza (typ projektu: e-administracja, e-zdrowie)

ROZPORZÑDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 31 marca 2009 r.

BIUR I LABORATORIÓW PRACOWNIKÓW W POLSCE W POLSCE GLOBALNY SERWIS W 140 KRAJACH LOKALNA WIEDZA OD 1878 NA ŚWIECIE OD 1929 W POLSCE

IMPORT PRZELEWÓW. 1. Schemat dzia ania funkcji IMPORT PRZELEWÓW Dodatkowe zabezpieczenia funkcjonalnoêci IMPORT PRZELEWÓW 2

Polityka prywatności strony internetowej wcrims.pl

POLITYKA JAKOŚCI. Międzyzakładowej Spółdzielni Mieszkaniowej Energetyka

Human Resource. Benchmarking. Saratoga. Kompleksowa analiza kluczowych mierników efektywnoêci HR w Polsce

ROZPORZÑDZENIE MINISTRA GOSPODARKI, PRACY I POLITYKI SPO ECZNEJ 1) z dnia 28 kwietnia 2003 r.

Dziennik Ustaw Nr Poz ROZPORZÑDZENIE MINISTRA NAUKI I INFORMATYZACJI 1) z dnia 19 paêdziernika 2005 r.

Strategia rozwoju kariery zawodowej - Twój scenariusz (program nagrania).

Znak CE - Przewodnik

OPIS PRZEDMIOTU ZAMÓWIENIA DO ZAPYTANIA KE1/POIG 8.2/13

I. Zarządzanie ryzykiem wewnętrznym w jednostkach sektora finansów publicznych

Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego ZAPYTANIE OFERTOWE


Sprawozdanie z działalności Rady Nadzorczej TESGAS S.A. w 2008 roku.

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

ZAKRES OBOWIĄZKÓW I UPRAWNIEŃ PRACODAWCY, PRACOWNIKÓW ORAZ POSZCZEGÓLNYCH JEDNOSTEK ORGANIZACYJNYCH ZAKŁADU PRACY

Nadzór nad systemami zarządzania w transporcie kolejowym

Regulamin organizacyjny spó ki pod firm Siódmy Narodowy Fundusz Inwestycyjny im. Kazimierza. Wielkiego Spó ka Akcyjna z siedzib w Warszawie.

EGZAMIN POTWIERDZAJ CY KWALIFIKACJE W ZAWODZIE Rok 2014 CZ PRAKTYCZNA

ROZPORZÑDZENIE MINISTRA PRACY I POLITYKI SPO ECZNEJ 1) z dnia 29 stycznia 2009 r. w sprawie wydawania zezwolenia na prac cudzoziemca

Ostatnia cena sprzeda y klienta 1.0 dodatek do Symfonia Faktura dla 1 firmy

Instrukcja Obsługi STRONA PODMIOTOWA BIP

ROZPORZÑDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 20 grudnia 2002 r. w sprawie kursów dokszta cajàcych dla kierowców przewo àcych towary niebezpieczne.

Jak zostać przedsiębiorcą, czyli własna firma za unijne pieniądze Anna Szymańska Wiceprezes Zarządu DGA S.A. Poznań, 20 kwietnia 2016 r.

Dziennik Ustaw Nr Poz ROZPORZÑDZENIE MINISTRA SPRAW WEWN TRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Dobre praktyki w zakresie zarządzania ładem architektury korporacyjnej

Wyzwania bezpieczeństwa nowoczesnych platform nauczania zdalnego

Zobacz to na własne oczy. Przyszłość już tu jest dzięki rozwiązaniu Cisco TelePresence.

Doradca musi posiadać doświadczenie w świadczeniu usług w zakresie co najmniej trzech usług doradczych z obszarów CSR:

Budowanie współpracy z organizacjami pozarządowymi. Agnieszka Wróblewska

DOTACJE NA INNOWACJE. Zapytanie ofertowe

Dziennik Ustaw Nr Poz ROZPORZÑDZENIE MINISTRA SPRAW WEWN TRZNYCH I ADMINISTRACJI 1) z dnia 25 paêdziernika 2005 r.

ZAPYTANIE OFERTOWE z dnia r

ZASADY REKLAMOWANIA USŁUG BANKOWYCH

Diagnoza stanu designu w Polsce 2015

epuap Ogólna instrukcja organizacyjna kroków dla realizacji integracji

ROZPORZÑDZENIE MINISTRA SPRAW WEWN TRZNYCH I ADMINISTRACJI 1) z dnia 11 grudnia 2008 r.

Metody wyceny zasobów, źródła informacji o kosztach jednostkowych

Oferta usług dla MSP wspierających rozwój przedsiębiorczości

DZIENNIK URZĘDOWY MINISTRA CYFRYZACJI

Phaseo Telemecanique Nowoczesny sposób zasilania. DoÊwiadczenie w zasilaniu elektrycznym

Informacja dotycząca adekwatności kapitałowej HSBC Bank Polska S.A. na 31 grudnia 2010 r.

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO

ZAGADNIENIA PODATKOWE W BRANŻY ENERGETYCZNEJ - VAT

PROCEDURA OCENY RYZYKA ZAWODOWEGO. w Urzędzie Gminy Mściwojów

Tychy, r. ZAPYTANIE OFERTOWE

Oświadczenie o stanie kontroli zarz ądczej Starosty Powiatu Radomszcza ńskiego za rok 2014

Wpływ zmian klimatu na sektor rolnictwa

Spotkanie Sygnatariuszy Małopolskiego Paktu na rzecz Ekonomii Społecznej 25 września 2014

1. Planowanie strategiczne. 4. Monitorowanie i ewaluacja. 3. Wdrażanie polityk. 2. Tworzenie polityk. Wybrane dziedziny. Ochrona klimatu i atmosfery

Raport o sytuacji mikro i małych firm poprawa nastrojów polskich przedsiębiorców. Opole, 23 kwietnia 2015

Odpowiedzi na pytania zadane do zapytania ofertowego nr EFS/2012/05/01

Zarządzenie Nr 12 /SK/2010 Wójta Gminy Dębica z dnia 06 kwietnia 2010 r.

Dziennik Ustaw Nr Poz i 1611

Dziennik Ustaw Nr Poz ROZPORZÑDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 11 sierpnia 2004 r.

RAPORT Z AUDITU. polski Reie.tr Sictkón, Biuro Certyfikacji NR NC /P6 PN-EN ISO 9001:2009

Wprowadzam w Urzędzie Marszałkowskim Województwa Małopolskiego Kartę Audytu Wewnętrznego, stanowiącą załącznik do niniejszego Zarządzenia.

2 Ocena operacji w zakresie zgodno ci z dzia aniami KSOW, celami KSOW, priorytetami PROW, celami SIR.

S ystem M onitorowania i E waluacji RIS

SYSTEM OCHRONY MA YCH DZIECI przed krzywdzeniem i zaniedbywaniem - projekt

Statut Audytu Wewnętrznego Gminy Stalowa Wola

Efektywna strategia sprzedaży

ROZPORZÑDZENIE MINISTRA INFRASTRUKTURY 1) z dnia 18 sierpnia 2004 r. w sprawie kursów dokszta cajàcych dla kierowców przewo àcych towary niebezpieczne

DZENIE RADY MINISTRÓW

oraz nowego średniego samochodu ratowniczo-gaśniczego ze sprzętem ratowniczogaśniczym

Dziennik Ustaw Nr Poz ROZPORZÑDZENIE RADY MINISTRÓW. z dnia 30 kwietnia 2004 r.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Banki, przynajmniej na zewnątrz, dość słabo i cicho protestują przeciwko zapisom tej rekomendacji.

Informacja o wynikach kontroli

BI 2 T. Transformacja podmiotu administracji publicznej w świadomy, zorientowany na cele eurząd CASE STUDY

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

ROZPORZÑDZENIE MINISTRA GOSPODARKI I PRACY 1) z dnia 13 paêdziernika 2005 r.

Transkrypt:

Dlaczego bezpieczeƒstwo informacji Ka dego roku setki polskich firm ponoszà straty spowodowane utratà informacji lub ciàg oêcià dzia ania systemów informatycznych. Coraz wi ksze zagro enie stanowià nie tylko wirusy, ale równie nielojalni lub, co gorsza, nieêwiadomi pracownicy. Poniewa informacje stajà si jednym z wa niejszych zasobów organizacji, ich utrata mo e wiàzaç si z realnymi stratami finansowymi, utratà zaufania klientów, a w najgorszym przypadku nawet upad oêcià firmy. W rezultacie ka dego roku wydaje si coraz wi cej na ró ne zabezpieczenia poczàwszy od systemów fizycznego nadzoru i kontroli, na ró nych mechanizmach bezpieczeƒstwa IT koƒczàc. W wi kszoêci przypadków wydatki zwiàzane z bezpieczeƒstwem nie sà traktowane jako inwestycje, ale jako niezb dny koszt dzia ania. Wiedza o istniejàcych zagro eniach i stosowanych zabezpieczeniach ogranicza si do pracowników kilku komórek organizacyjnych zazwyczaj departamentu IT oraz pionu ochrony informacji niejawnych. W takiej sytuacji organizacja nie zarzàdza bezpieczeƒstwem, a tylko wdra a kolejne zabezpieczenia, które lepiej lub gorzej chronià je przed zagro eniami dla informacji. Sytuacja ta przypomina prób leczenia, bez zdiagnozowania przyczyn choroby. W rezultacie wdro enie nowych mechanizmów cz sto nie przynosi spodziewanych skutków i przek ada si na zniech cenie do dalszych dzia aƒ zwiàzanych z bezpieczeƒstwem informacji wed ug badaƒ IDC przeprowadzonych w 2003, na pytanie Dlaczego Paƒstwa organizacja nie wdra a systemów bezpieczeƒstwa, 35% ankietowanych odpowiedzia o, e dotychczasowe inwestycje nie spe ni y oczekiwaƒ. Rozwiàzaniem tego problemu mo e byç wdro enie systemu zarzàdzania bezpieczeƒstwem informacji (ISMS) opartym na indywidualnej analizie ryzyka zbiorze polityk, procedur i instrukcji, dzi ki którym bezpieczeƒstwo informacji staje si integralnà cz Êcià mechanizmów zarzàdzania organizacjà. Wdro enie ISMS gwarantuje, e bezpieczeƒstwo w organizacji koncentruje si na okresowej analizie ryzyka i z rezultatów analizy wynika uzasadnienie dla wdro enia poszczególnych zabezpieczeƒ. Zarzàdzanie bezpieczeƒstwem informacji BS 7799-2 ISO/IEC 17799

Organizacja niedbajàca o bezpieczeƒstwo w systemowy sposób - Brak koordynacji polityki bezpieczeƒstwa pomi dzy ró nymi jednostkami organizacyjnymi (departament IT, ochrona fizyczna, Pion Ochrony Informacji Niejawnych). - Koncentracja na zabezpieczeniach. -Wydatki na bezpieczeƒstwo traktowane jako koszt dzia ania. Organizacja z wdro onym systemem zarzàdzania bezpieczeƒstwem informacji +Standaryzacja bezpieczeƒstwa informacji w ca ej organizacji stworzenie odpowiednich struktur nadzorczych. +Koncentracja na analizie ryzyka. +Wydatki na bezpieczeƒstwo traktowane jako inwestycja (mo liwoêç wyznaczania wskaêników zwrotu z inwestycji). +Przewaga marketingowa na rynku. +Mo liwoêç niezale nej certyfikacji systemu. Norma ISO/IEC 17799 Przy budowie systemu zarzàdzania bezpieczeƒstwem informacji mo liwe jest wykorzystanie ró nych metodyk i dokumentów êród owych poczàwszy od standardów korporacyjnych, poprzez normy krajowe na normach mi dzynarodowych koƒczàc. W wi kszoêci przypadków najbardziej atrakcyjnà mo liwoêcià jest wdro enie systemu zgodnego ze standardem mi dzynarodowym. Dzi ki takiemu wyborowi organizacja uzyskuje pewnoêç, e tworzàc system korzysta ze sprawdzonych i wiarygodnych wskazówek. Przyk adem takiego standardu jest norma ISO/IEC 17799. Standard omawia wytyczne do budowy ISMS (tzw. najlepsze praktyki ). Standard definiuje poszczególne elementy kontroli i sterowania bezpieczeƒstwem informacji, podporzàdkowanych 10 grupom wymagaƒ. W rezultacie mo liwe jest zidentyfikowanie najw aêciwszych zabezpieczeƒ w kontekêcie specyfiki dzia alnoêci gospodarczej oraz otoczenia rynkowego. Odpowiadajàc na poni sze pytania sprawdzicie Paƒstwo czy wasza firma bezpiecznie zarzàdza najcenniejszymi aktywami informacjami. ISO/IEC 17799 KOMPLEKSOWE PODEJÂCIE DO BEZPIECZE STWA Polityka bezpieczeƒstwa. Czy pracownicy wiedzà, e ochrona informacji firmy jest wa na tak e z ich punktu widzenia? Jakie sà cele wymagania zwiàzane z wdro eniem ISMS? Organizacja bezpieczeƒstwa. W jaki sposób ró ne elementy bezpieczeƒstwa sà koordynowane w ca ej organizacji. Czy administratorzy IT dostosowujà poziom zabezpieczeƒ logicznych do istniejàcych zabezpieczeƒ fizycznych? Dost p firm trzecich. Jakie firmy zewn trzne majà dost p do informacji organizacji (firma sprzàtajàca, serwis kserokopiarek, dostawcy us ug i sprz tu). W jaki sposób dost p ten jest kontrolowany? Czy przy zawieraniu umowy bierze si pod uwag wymagania zwiàzane z bezpieczeƒstwem informacji? Klasyfikacja i kontrola zasobów. Które grupy informacji sà wa ne dla dzia ania firmy? W jaki sposób informacje te sà zabezpieczane czy ich ochrona nie ogranicza si tylko do wersji elektronicznej? Czy organizacja posiada wiedz, na jakich urzàdzeniach przetwarzane sà krytyczne dane? Czy ochrona obejmuje nie tylko zapewnienie poufnoêci, ale równie integralnoêci i dost pnoêci. Bezpieczeƒstwo osobowe. Czy wszyscy nowo zatrudniani pracownicy (tak e praktykanci) podpisujà oêwiadczenia o zachowaniu poufnoêci? Czy po kilku latach pracownicy pami tajà, do czego zobowiàzali si podpisujàc te oêwiadczenia. W jaki sposób dba si o zachowanie wysokiej ÊwiadomoÊci pracowników w zakresie bezpieczeƒstwa informacji? Bezpieczeƒstwo fizyczne. Czy stosowane zabezpieczenia sà adekwatne do istniejàcych zagro eƒ? Czy sà zgodne z opracowanà klasyfikacjà informacji i analizà ryzyka? Zarzàdzanie systemami i sieciami. Czy zidentyfikowano systemy krytyczne? Czy zdefiniowano odpowiednie instrukcje zarzàdzania kopiami zapasowymi (tworzenie, odtwarzanie, testowanie, przechowywanie, dost p itp.)? W jaki sposób zapewnia si skutecznoêç systemu antywirusowego? Kontrola dost pu do systemów. W jaki sposób nadaje si i odbiera uprawnienia w systemach IT? Czy istniejà zapisy, pozwalajàce zweryfikowaç prawid owoêç nadanych uprawnieƒ? Rozwój i utrzymanie systemu. Czy wymagania zwiàzane z bezpieczeƒstwem sà standardowym elementem nowo wdra anych rozwiàzaƒ? W jaki sposób testuje si oprogramowanie? Jakie zasady regulujà wdra anie poprawek i aktualizacji do systemów informatycznych? Zarzàdzanie ciàg oêcià biznesu. Czy zidentyfikowano informacj i systemy informacyjne wa ne ze wzgl du na Êwiadczenie us ug lub realizacje produkcji? Czy zidentyfikowano najbardziej prawdopodobne zagro enia dla takich informacji i systemów i zdefiniowano plany awaryjne? Czy stworzone plany awaryjne sà okresowo testowane pod kàtem skutecznoêci? ZgodnoÊç z wymaganiami prawnymi. Czy organizacja nadzoruje wymagania prawne zwiàzane z bezpieczeƒstwem informacji np. czy administratorzy wiedzà, jakie wymagania powinien spe niaç system przetwarzajàcy dane osobowe?

Integracja systemów zarzàdzania Jednym z fundamentów ISMS jest opracowanie systemu zarzàdzania, w którym bezpieczeƒstwo informacji jest traktowane jako jedna z form zarzàdzania organizacjà. Dlatego interesujàcà mo liwoêcià jest integracja ISMS z innymi systemami zarzàdzania, (ISO 9001, ISO 14001, PN-N 18001). W rezultacie w organizacji powstaje spójny zbiór polityk, procedur i instrukcji, który wype nia wymagania kilku norm jednoczeênie. Dzi ki temu mo liwe jest nie tylko wdro enie bardziej skutecznego systemu zarzàdzania, ale tak e minimalizacja kosztów zwiàzanych z jego funkcjonowaniem (np. poprzez przeprowadzenie audytów zintegrowanych). Poniewa normy Mi dzynarodowej Organizacji Normalizacyjnej (ISO) sà budowane w analogiczny sposób, cz Êç z wymagaƒ zawartych w ró nych normach jest taka sama (np. nadzór nad zapisami). W rezultacie, w przypadku, gdy w organizacji wdro ono ju system zarzàdzania, jego rozbudowanie o nowe elementy (np. zwiàzane z bezpieczeƒstwem informacji) wià e si z mniejszymi nak adami pracy. Obecnie wiele organizacji, które wczeêniej wdro y o system zarzàdzania jakoêcià (ISO 9001) prowadzi prace rozszerzajàce jego zakres o wymagania norm ISO/IEC 17799 / BS 7799. Przyk adem organizacji, w których proces taki zosta pomyêlnie zakoƒczony jest Komisja Papierów WartoÊciowych i Gie d, regulator rynku papierów wartoêciowych w Polsce, a tak e Lumena spó ka z o. o., jeden z wiodàcych integratorów IT na naszym rynku. BS 7799 WYMAGANIA: Polityka bezpieczeƒstwa Organizacja bezpieczeƒstwa Klasyfikacja i kontrola aktywów Bezpieczeƒstwo osobowe Bezpieczeƒstwo fizyczne i Êrodowiskowe Zarzàdzanie systemami i sieciami Kontrola dost pu do systemu Rozwój i utrzymanie systemu Zarzàdzanie ciàg oêcià dzia ania ZgodnoÊç z wymaganiami prawa i w asnymi standardami ZINTEGROWANY SYSTEM ZARZÑDZANIA: OdpowiedzialnoÊç kierownictwa Zarzàdzanie zasobami ludzkimi Nadzorowanie infrastruktury Nadzorowanie dokumentacji Nadzorowanie firm wspó pracujàcych Nadzorowanie i doskonalenie systemu WYMAGANIA: System zarzàdzania jakoêcià OdpowiedzialnoÊç kierownictwa Zarzàdzanie zasobami Realizacja zadania Pomiary, analiza i doskonalenie ISO 9001

Certyfikacja ISMS Wdro enie systemu zarzàdzania bezpieczeƒstwem informacji mo e byç zakoƒczone certyfikacjà systemu. Jest ona przeprowadzana przez niezale nà jednostk certyfikacyjnà i polega na weryfikacji, czy sposób zarzàdzania ochronà danych w organizacji odpowiada wymaganiom sprecyzowanym w normie BS 7799-2. BS 7799-2 jest standardem zawierajàcym wymagania dotyczàce ISMS okreêlajàce, które wytyczne ISO/IEC 17799 muszà byç zrealizowane. Certyfikacja jest przeprowadzana przez zespó audytorów i koƒczy si wystawieniem rekomendacji do przyznania certyfikatu. Dodatkowo co roku przeprowadzane sà tzw. audyty nadzoru, których celem jest potwierdzenie ciàg ego doskonalenia systemu. Z regu y certyfikat jest wydawany na 3 lata i po tym okresie organizacja, która chce przed u yç wa noêç certyfikatu musi poddaç si audytowi recertyfikujàcemu (na takich samych zasad jak pierwszy audyt certyfikacyjny) Cz sto firmy uwa ajà stosowane zabezpieczenia za wystarczajàce i nie poddajà ich adnej niezale nej ocenie. Certyfikacja ISMS pozwala nie tylko potwierdziç, e system zosta wdro ony poprawnie, ale e spe nia on wymagania mi dzynarodowego standardu a dzi ki temu, e podobne wymagania spe niajà setki organizacji na ca ym Êwiecie. Jest to jedna z niewielu mo liwoêci wykazania poprawnoêci i efektywnoêci mechanizmów zwiàzanych z bezpieczeƒstwem informacji. Dzi ki certyfikacji firmy mogà uzyskaç niezale ne potwierdzenie wysokiego poziomu ochrony danych, które mogà póêniej wykorzystywaç do udowodnienia wype nienia wymagaƒ stawianych przez strony trzecie. Dobrym przyk adem takiej sytuacji jest Êwiadczenie us ug przetwarzania na zewnàtrz (outsourcing) dla firm sektora finansowego. ISO/IEC 17799 bezpieczeƒstwo dla ka dego Norma ISO/IEC 17799 jest uznanym mi dzynarodowym standardem tworzenia systemów zarzàdzania bezpieczeƒstwem informacji. Oznacza to, e organizacje na ca ym Êwiecie wdra ajà systemy ISMS korzystajàc z tego samego dokumentu odniesienia. W rezultacie systemy te mogà byç do siebie porównywane i w ten sposób doskonalone. Niezale nie od wielkoêci czy po o enia geograficznego, przedsi biorcy na ca ym Êwiecie napotykajà na podobne problemy i wàtpliwoêci w zakresie wdro enia systemu. System zarzàdzania bezpieczeƒstwem informacji mo e byç wdro ony w organizacji dowolnej wielkoêci (od kilku osób do kilkudziesi ciu tysi cy pracowników), niezale nie od bran y w jakiej dzia a. Jest to mo liwe, poniewa podstawà standardu nie jest wdro enie konkretnej listy zabezpieczeƒ, ale odpowiednie zarzàdzanie bezpieczeƒstwem. System zarzàdzania bezpieczeƒstwem informacji jest powszechnie wdra any przez banki (np. Federal Reserve Bank of New York), urz dy i instytucje publiczne (np. Komisja Papierów WartoÊciowych i Gie d), firmy sektora energetycznego (elektrownie i zak ady energetyczne na ca ym Êwiecie), czy te firmy sektora wytwórczego.

1. DZIA ANIA WST PNE Etap obejmuje dzia ania przygotowawcze - podzia odpowiedzialnoêci, dobór firmy doradczej, zakupienie normy czy narz dzi informatycznych wspierajàcych wdro enie. 3. WST PNE SZKOLENIA Podnoszenie ÊwiadomoÊci pracowników ma kluczowe znaczenie dla sukcesu wdro enia systemu zarzàdzania bezpieczeƒstwem informacji. Dlatego niezwykle wa ne jest, aby ju od wczesnych etapów prac szkoliç pracowników w tym zakresie. Wst pne szkolenia majà na celu poinformowanie o najwa niejszych wnioskach z audytu a tak e dzia aniach, jakie zostanà podj te aby usunàç zidentyfikowane problemy. Jest to tak e dobry moment, aby przekazaç pracownikom podstawowà wiedz z zakresu normy ISO/IEC 17799. 5. PLAN MINIMALIZACJI RYZYKA Analiza ryzyka jest punktem wyjêcia do wyznaczenia poziomów akceptowalnych ryzyka oraz dzia aƒ, jakie zostanà podj te, aby poziomy te osiàgnàç. Baz dzia aƒ doskonalàcych mo e stanowiç norma ISO/IEC 17799 lub inne wytyczne i standardy bran owe (np. Rekomendacja D GINB). Wynikiem etapu powinien byç plan minimalizacji ryzyka - opracowany zgodnie z wymaganiami normy dokument, zawierajàcy harmonogram dzia aƒ zmierzajàcych do podniesienia poziomu bezpieczeƒstwa przetwarzanych informacji. DROGA KU BEZPIECZE STWU DROGA KU BEZPIECZE STWU DROGA KU BEZPIECZE STWU 6. OPRACOWANIE DOKUMENTACJI Kolejnym etapem realizacji wdro enia jest opracowanie i opublikowanie polityk i procedur systemu bezpieczeƒstwa. Tworzone dokumenty powinny wype niaç wymagania normy, a tak e odpowiadaç oczekiwaniom organizacji w zakresie bezpieczeƒstwa. Zarówno etap opracowania dokumentacji, jak i jej póêniejszej dystrybucji mo e byç wspierany narz dziami informatycznymi. Wsparcie informatyczne jest metodà zmniejszenia nak adów czasowych nie tylko podczas wdro enia, ale tak e w póêniejszej fazie utrzymania systemu. DROGA KU BEZPIECZE STWU DZIA AJ PLANUJ SPRAWDè 8. AUDYTY WEWN TRZNE Jednym z ostatnich etapów realizacji projektu wdro enia systemu zarzàdzania bezpieczeƒstwem informacji sà audyty wewn trzne. Audyty majà na celu weryfikacj odpowiedniego wdro enia systemu i potwierdzenia dobrego przygotowania do zewn trznej certyfikacji. Jest to tak e dobra okazja do praktycznego przeszkolenia audytorów wewn trznych, a tak e zapoznania pracowni-ków ze specyfikà audytów. 9. CERTYFIKACJA Szczegó owe informacje odnaleêç mo na w punkcie Certyfikacja ISMS. 2. AUDYT BEZPIECZE STWA Audyt ma na celu ustalenie wyjêciowego poziomu bezpieczeƒstwa w organizacji, dzi ki czemu mo liwe jest zorientowanie si w zakresie niezb dnych prac. Audyt powinien uwzgl dniaç wszystkie elementy bezpieczeƒstwa (organizacyjne, fizyczne, osobowe, informatyczne, prawne) i obejmowaç swoim zakresem wszystkie komórki organizacyjne. Etap powinien uwzgl dniaç tak e analiz istniejàcej dokumentacji systemu zarzàdzania. 4. ANALIZA RYZYKA Podstawà systemu zarzàdzania bezpieczeƒstwem informacji jest minimalizacja ryzyka utraty kluczowych danych dla organizacji. Aby mo na by o skutecznie przeprowadziç analiz ryzyka, niezb dne jest jasne zdefiniowanie przedmiotu ochrony. W tym celu, zgodnie z wymaganiami normy, nale y opracowaç klasyfikacj informacji, która okreêla wag przetwarzanych informacji. WYKONAJ Analiza ryzyka jest kluczowym elementem systemu zarzàdzania bezpieczeƒstwem informacji i podstawà dalszego rozwoju systemu. Jest to tak e element, który cz sto sprawia najwi ksze problemy przy wdro eniu ISMS osoby odpowiedzialne za przeprowadzenie analizy majà trudnoêci z wiarygodnym identyfikowaniem zagro eƒ, czy ocenà prawdopodobieƒstwa ich spe nienia. Organizacja powinna skorzystaç z metodyki (w asnej, firmy doradczej, opisanej w literaturze), która pozwala zminimalizowaç powy sze problemy, jednoczeênie dostarczajàc wiarygodnych wyników. Równolegle analizy ryzyka zrealizowane powinny zostaç prace zwiàzane z opracowaniem strategii ciàg oêci dzia ania. Strategia jest dokumentem okreêlajàcym ryzyka zwiàzane ze sta oêcià Êwiadczenia us ug przez organizacj. Podczas opracowania strategii nast puje identyfikacja elementów infrastruktury koniecznej do funkcjonowania firmy, pod kàtem jej wp ywu na bezpieczeƒstwo informacji, rozumianego jako integralnoêç, poufnoêç i dost pnoêç danych. 7. SZKOLENIA Z DOKUMENTACJI Nawet najlepsze procedury nie przyczynià si do zwi kszenia bezpieczeƒstwa, je eli nie b dà one stosowane przez pracowników. Dlatego wa ne jest, aby etap opracowania dokumentacji zosta zakoƒczony serià szkoleƒ dla pracowników, na których przedstawione zostajà szczegó owo opracowane dokumenty, a tak e ich wp yw na codziennà prac w firmie.

Zaufaj profesjonalistom Wdro enie systemu zarzàdzania bezpieczeƒstwem informacji mo e byç przeprowadzone na wiele sposobów. Jednym z nich jest skorzystanie z us ug zewn trznego doradcy. Na polskim rynku dzia a wiele firm, pomagajàcych w budowie systemów zarzàdzania w organizacji. Jednak w chwili obecnej tylko Doradztwo Gospodarcze DGA S.A. ma praktyczne doêwiadczenie w zakresie normy BS 7799-2 wszystkie certyfikaty ISMS w Polsce zosta y przyznane firmom, którym doradzaliêmy. Ponadto DGA S.A. jako pierwsza firma w Polsce uzyska a akredytowany certyfikat zgodnoêci z normà BS 7799-2. Na potrzeby wdro eƒ systemów BS 7799 konsultanci DGA opracowali w asnà metodyk przeprowadzania audytu bezpieczeƒstwa oraz analizy ryzyka a wi c dwóch etapów wdro enia, które zazwyczaj sprawiajà najwi cej problemów. Podstawà zastosowanego podejêcia jest lista kontrolna, pozwalajàca na weryfikacj ponad 1000 aspektów bezpieczeƒstwa na wszystkich obszarach dzia alnoêci organizacji (tzw. 1000 punktów bezpieczeƒstwa ). Lista kontrolna zosta a zbudowana w oparciu o wymagania i wytyczne norm BS 7799-2, ISO/IEC 17799 oraz ISO/IEC 13335. Zaletà takiego rozwiàzania jest, obok bardzo szczegó owej weryfikacji stopnia spe nienia wytycznych norm, tak e mo liwoêç graficznej prezentacji wyników. Analiza ryzyka jest przeprowadzana automatycznie na podstawie wyników uzyskanych z audytu bezpieczeƒstwa, przez co likwiduje trudnoêci z zachowaniem powtarzalnoêci wyników, a tak e jest bardziej przejrzysta dla osób niezaanga owanych bezpoêrednio w jej przeprowadzenie. Wynikiem analizy jest macierz ryzyka, która okreêla bie àce poziomy ryzyka dla g ównych grup informacji w ró nych miejscach ich wyst powania. Konsultanci DGA mogà pomóc dostosowaç Paƒstwa organizacj do wymagaƒ BS 7799-2 na wiele ró nych sposobów poczàwszy od przeprowadzenia audytów bezpieczeƒstwa (poczàtkowa ocena zgodnoêci z normà), szkoleƒ dla pracowników, doradztwa przy przeprowadzaniu analizy ryzyka, na opracowaniu i wdro eniu ca ego systemu koƒczàc. Doradztwo Gospodarcze DGA S.A. jest akredytowanym wykonawcà us ug w ramach programu Unii Europejskiej Phare 2002 Fundusz Wsparcia Dost p do Innowacyjnych Us ug Doradczych realizowanego przez Polskà Agencj Rozwoju Przedsi biorczoêci. W szczególnoêci DGA posiada akredytacj na us ugi doradcze w zakresie wdro- enia systemu bezpieczeƒstwa informacji obejmujàce: * analiz ryzyka informacji oraz systemów informatycznych bazujàce na identyfikacji grup krytycznych zasobów, ich wartoêci oraz oszacowania podatnoêci i zagro eƒ, * przygotowanie spójnych polityk bezpieczeƒstwa informacji i bezpieczeƒstwa systemów informatycznych, * wdro enie wymaganych zabezpieczeƒ oraz Êrodków przeciwdzia ajàcych, * przygotowanie, wdro enie i testowanie planów ciàg oêci funkcjonowania dzia alnoêci przedsi biorstwa oraz odtwarzania po katastrofie, * integracj systemu bezpieczeƒstwa informacji w struktur innych, obecnych w firmie systemów zarzàdzania, * doradztwo w zakresie bezpieczeƒstwa informacji oraz przygotowanie zwiàzanych z tym programów promocji zagadnieƒ. Wybierajàc DGA stawiacie Paƒstwo na bezpieczeƒstwo oraz doêwiadczenie.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres