OCENA ZDOLNOŚCI ORGANIZACJI DO ZARZĄDZANIA KRYZYSOWEGO

Podobne dokumenty
Jak zbudować standard (bezpieczeństwa) doskonały?

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

POLITYKA ZARZĄDZANIA RYZYKIEM

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie zmianą - rozwój zarządzania procesowego wg ISO 9001:2015

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Zarządzanie projektami a zarządzanie ryzykiem

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Zarządzanie ryzykiem teoria i praktyka. Ewa Szczepańska Centrum Projektów Informatycznych Warszawa, dnia 31 stycznia 2012 r.

Reforma ochrony danych osobowych RODO/GDPR

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

I. O P I S S Z K O L E N I A

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Kwestionariusz samooceny kontroli zarządczej

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zarządzanie ryzykiem w bezpieczeostwie IT

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Zarządzanie bezpieczeństwem informacji w urzędach pracy

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Wprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt )

Ochrona biznesu w cyfrowej transformacji

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Model dojrzałości dopasowania strategicznego. Nadzór Poziom 1 Poziom 2 Poziom 3 Poziom 4 Poziom 5 Na poziomie

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

ZAKRES PROJEKTU DOT. ZARZĄDZANIA KOSZTAMI ŚRODOWISKOWYMI W FIRMIE

ROLA KADRY ZARZĄDZAJĄCEJ W KSZTAŁTOWANIU BEZPIECZEŃSTWA PRACY. dr inż. Zofia Pawłowska

Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

PROCEDURY SZACOWANIA KAPITAŁU WEWNĘTRZNEGO W DOMU MAKLERSKIM CAPITAL PARTNERS S.A.

ZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach. z dnia 16 marca 2012 roku

ISO 9001:2015 przegląd wymagań

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

BAKER TILLY POLAND CONSULTING

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

ZARZĄDZENIE NR 558/2010 PREZYDENTA MIASTA KIELCE. z dnia 31 grudnia 2010 r.

ANKIETA dla kadry kierowniczej samoocena systemu kontroli zarządczej za rok

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

PODEJŚCIE STRATEGICZNE >>

Niniejsze sprawozdanie z przejrzystości spełnia wymogi Ustawy i obejmuje rok obrotowy zakończony dnia roku.

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Adonis w Banku Spółdzielczym w Trzebnicy

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Water Stewardship: Zarządzanie gospodarką wodną zapewniające długoterminową rentowność biznesu

Regulamin zarządzania ryzykiem. Założenia ogólne

Aurea BPM. Unikalna platforma dla zarządzania ryzykiem Warszawa, 25 lipca 2013

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Maciej Byczkowski ENSI 2017 ENSI 2017

POLITYKA W ZAKRESIE STOSOWANIA ZASAD ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH W KURPIOWSKIM BANKU SPÓŁDZIELCZYM W MYSZYŃCU

ZARZĄDZENIE Nr 14 /2013. w sprawie przeprowadzenia samooceny kontroli zarządczej

System e-kontrola Zarządcza

I. Postanowienia ogólne.

KWESTIONARIUSZ SAMOOCENY. NIE w pełnym zakresie

STRATEGIA IDENTYFIKACJI, POMIARU, MONITOROWANIA I KONTROLI RYZYKA W DOM MAKLERSKI INC SPÓŁKA AKCYJNA

Projektowanie strategii HR

ISO Revisions. ISO Revisions ISO Znaczenie ryzyka w zarządzaniu jakością. Jak podchodzić do zmian?

POLITYKA ZARZĄDZANIA RYZYKIEM

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

ZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia r.

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

Polityka zarządzania ryzykiem braku zgodności w Banku Spółdzielczym w Końskich

Źródła finansowania Celów strategicznych Regionalnej Strategii Innowacji Województwa Opolskiego do roku 2020.

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

SAMOOCENA ORGANIZACJI POZARZĄDOWEJ

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA PRZEGLĄD ZARZĄDZANIA P-03/02/III

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

PRSupport oferuje szeroki zakres szkoleń dopasowanych do indywidualnych wymagań klientów

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Rozdział 1 Postanowienia ogólne

SZKOLENIE 2. Projektu: Propagowanie wzorców produkcji i konsumpcji sprzyjających promocji zasad trwałego i zrównoważonego rozwoju.

Strategia Zrównoważonego Rozwoju i Odpowiedzialnego Biznesu GK PGNiG na lata w obszarze ochrony środowiska

OCENA RYZYKA ZAWODOWEGO. dr inż. Zofia Pawłowska

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Informacja o strategii i celach zarządzania ryzykiem

ZARZĄDZENIE NR Or BURMISTRZA MIASTA SANDOMIERZA. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu.

KWESTIONARIUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ ZA ROK..

Zarządzanie projektami w otoczeniu uczelnianym. Piotr Ogonowski

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz

Transkrypt:

OCENA ZDOLNOŚCI ORGANIZACJI DO ZARZĄDZANIA KRYZYSOWEGO KONFERENCJA CIĄGŁOŚĆ DZIAŁANIA WYZWANIA DLA SYSTEMU INFRASTRUKTURY KRYTYCZNEJ 26-27 LISTOPADA 2015 JACHRANKA K./WARSZAWY World Sec Info LTD 590 Kingston Road SW20 8DN London United Kingdom World Sec Info LTD o/polska Ogrodowa 31/35 00-893 Warszawa Polska

Kryzys a incydent Dojrzałość organizacji Poziomy zaawansowania AGENDA O czym w wystąpieniu? 9 grup wskaźników

Niniejsza prezentacja powstała na podstawie: Draftu standardu 22325, zamknięcie 12 października 2015; Standardu BS 11200:2014; Standardu Technicznego ISO 22317 Przewodnik do analizy BIA. PODSTAWA PREZENTACJI

Kryzys a incydent Dojrzałość organizacji Poziomy zaawansowania 9 grup wskaźników

INCYDENT A KRYZYS (NA PODSTAWIE BS 11200:2014) - PRZEWIDYWANIE INCYDENT Incydent co do zasady jest przewidywalny i można nim zarządzać (rozwiązać) za pomocą predefiniowanych rozwiązań, zawartych w procedurach choć ich specyficzny czas, charakter czy konsekwencja (skutek) mogą się różnić w szczegółach (detalach). KRYZYS Kryzys jest wyjątkowym nieprzewidzianym, często źle zarządzanym wydarzeniem lub kombinacją wydarzeń, które tworzą dla organizacji wyjątkowe wyzwania. Z tego powodu kryzys jest trudno zarządzalny przez wcześniej zdefiniowane plany i procedury.

INCYDENT A KRYZYS - POCZĄTEK INCYDENT Incydent może pojawić się bez ostrzeżenia lub w krótkim czasie od zdarzenia, albo przez stopniowe pogłębianie się uszkodzeń lub utraty kontroli. Znaki ostrzegawcze tego typu wydarzeń, istniejących lub zbliżających się, są krytycznymi elementami zarządzania incydentami. KRYZYS Kryzys pojawia się nagle, bez ostrzeżenia lub wynika z incydentu, który nie został dostrzeżony/obsłużony, a wynikiem są bezpośrednie implikacje strategiczne. Kryzys może też wynikać z sytuacji, gdy ukryte problemy w organizacji narażone są na ujawnienie i w związku z tym wynikają głębokie konsekwencje reputacyjne.

PILNOŚĆ I CIŚNIENIE INCYDENT Reagowanie na incydenty zazwyczaj obejmuje krótki okres działalności i zostaje rozwiązany przed narażeniem na przestój (obniżenie usług) w dłuższym okresie czasu lub stałym znaczącym wpływem na organizację. KRYZYS Kryzys jest uznawany za działanie bardziej pilne, a reakcja może trwać dłuższy okres czasu do upewnienia się, że skutki zostały zminimalizowane.

WPŁYW INCYDENT Incydenty, jako działania niepożądane są dość dobrze rozumiane i w związku z tym podatne na działania planowane (predefiniowane) w procedurach i planach. Skutki incydentów są oszacowane dość precyzyjnie. KRYZYS Ze względu na swój strategiczny charakter kryzysy mogą zakłócić lub wpłynąć na całą organizację, a nawet przekroczyć granice organizacji, lokalizacji czy nawet sektora. Ponieważ kryzysy są zwykle skomplikowane i z natury niepewne, np. z przyczyn braku kompletu informacji do podjęcia decyzji, oszacowanie wpływu i rozprzestrzenienia jest bardzo trudne do zrealizowania.

NADZÓR NAD MEDIAMI (KOMUNIKACJA) INCYDENT Efektywne zarządzanie incydentem przyciąga nieznacznie lub w niewielkim stopniu pozytywna uwagę mediów, tam gdzie zdarzenia są szybko ujawnione i dobrze zarządzane (łagodzone), a biznes szybko wraca do normalnego działania. Czasem zdarzenie może przyciągnąć uwagę mediów z negatywnym nastawieniem, nawet jeśli incydent jest zarządzany poprawnie, ale ma potencjał do eskalacji w kryzys. KRYZYS Kryzys jest wydarzeniem, które przyciąga publiczne i medialne zainteresowanie, z potencjalnie negatywnym postrzeganiem reputacji organizacji. Przedstawienie problemu może być w mediach społecznościowych i tradycyjnych niedokładne i nieprecyzyjne, a jako takie może szybko wpłynąć na eskalację kryzysu.

ZDOLNOŚĆ (ŁATWOŚĆ) ZARZĄDZANIA Z WYKORZYSTANIEM PLANÓW I PROCEDUR INCYDENT Incydent może być rozwiązany za pomocą predefiniowanych procedur i z zaplanowanym ujawnieniem, zminimalizowaniem skutku oraz przywróceniem do normalnego poziomu działań. Odpowiedź na incydent może mieć dostępne odpowiednie zaplanowane zasoby. KRYZYS Kryzys, za sprawą kombinacji jego nowości, ryzyka błędu, potencjalnej skali i czasu oddziaływania zdarzenia jest trudny do rozwiązania przez wdrożenie predefiniowanych procedur i planów. Wymaga elastycznej, kreatywnej, strategicznej oraz długotrwałej odpowiedzi, która ma swoje źródło w wartościach organizacji.

ISO/IEC 27035:2011 Information technology - Security techniques - Information security incident management; Obecnie w trakcie rewizji przez trzy kolejne standardy: ISO/IEC DIS 27035-1 Information technology -- Security techniques -- Information security incident management - - Part 1: Principles of incident management ISO/IEC DIS 27035-2 Information technology -- Security techniques -- Information security incident management - - Part 2: Guidelines to plan and prepare for incident response ISO/IEC PDTS 27035-3 Information technology -- Security techniques -- Information security incident management -- Part 3: Guidelines for CSIRT operations ISO 22320:2011 Societal security Emergency management Requirements for incident response, obecnie w rewizji: ISO/AWI 22320 Societal security -- Emergency management -- Requirements for incident response; STANDARDY DOTYCZĄCE INCYDENTÓW Przykłady

Kryzys a incydent Dojrzałość organizacji Poziomy zaawansowania 9 grup wskaźników

DOJRZAŁOŚĆ ORGANIZACJI Niemowlę Dziecko Młodzież Dorosłość Brak zasad Brak zgodności Zgodność z przepisami Zgodność z przepisami ISO, BS, GMP etc. Własny standard Zgodność z przepisami i standardami, ISO, BS, GMP etc. 13

NIEMOWLĘ Wiodące podejście: jakoś to będzie ; Szacowanie i ocena ryzyka: w locie ; Kontekst szacowania i oceny ryzyka czy mi się opłaca? (odpowiedź brzmi jeszcze nie); Odsetek firm: Bardzo dużo; Wypełniane standardy: ZYSK (utrzymanie się). 14

DZIECKO Wiodące podejście: aby się nie przyczepili ; Szacowanie i ocena ryzyka: w locie ; Kontekst szacowania i oceny ryzyka: czy mi się opłaca? (odpowiedź brzmi na dwoje babka wróżyła); Odsetek firm: Dużo; Wypełniane standardy: ZYSK ze spełnieniem minimum wymagań z przepisów prawa. 15

MŁODZIEŻ Wiodące podejście: bezpieczeństwo elementem walki konkurencyjnej ; Szacowanie i ocena ryzyka: mechaniczne ; Kontekst szacowania i oceny ryzyka: czy mi się opłaca? (odpowiedź tak, jakaś wartość dodana będzie). Odsetek firm: Średnio; Wypełniane standardy: ZYSK, ze spełnieniem wymagań klientów (łańcuch dostaw), wymagania prawne w pełni. 16

DOROSŁY Wiodące podejście: WIEM że mi się opłaca ; Szacowanie i ocena ryzyka: organiczne (każdy dział, pojawia się CRO); Kontekst szacowania ryzyka: jak jeszcze mogę oszczędzić zapobiegając stratom (czasem jako jednostka biznesowa); Odsetek firm: Mało; Wypełniane standardy: liczymy koszty (rachunkowość zarządcza, ROI, NPV). Realizacja przepisów, standardów (ISO, BS) przy okazji. Nowe standardy bez żadnych problemów. 17

RYZYKO KONTEKST WEWNĘTRZNY Niemowlę Dziecko Młodzież Dorosłość Prawa ekonomii, Cel: przeżycie. Zgodność z przepisami Cel: uniknięcie problemów niedopełnienia. Sposób: każdy odpowiedzialny samodzielnie. Zgodność z przepisami ISO, BS, GMP etc. Cel: poszerzenie odbiorców (reputacja firmy, budowanie marki) Sposób: każdy odpowiedzialny samodzielnie. Własny standard Zgodność z przepisami, ISO, BS, GMP etc. Cel: świadome zarządzanie kosztami. Sposób: Zintegrowane zarządzanie, obszary wsparte specjalistami metodycznymi. 18

Kryzys a incydent Dojrzałość organizacji Poziomy zaawansowania 9 grup wskaźników

Poziom organizacji zależny od poziomu zaawansowania. Poziom 1 najniższy z możliwych poziomów. Poziom 4 najwyższy z możliwych poziomów. Jak można wykorzystać ten model i wdrożyć jako rozwiązanie kreujące system? Poziom stwierdzonego ryzyka (lub zagrożenia), jako element wskazujący na minimalny system zabezpieczeń (myślenie oparte o ryzyko); MODEL OCENY PRZYJĘTY W IS) 22325 WARUNEK: Opracowany standard bezpieczeństwa, poziomujący stosowane zabezpieczenia;

Poziom ryzyka Poziom nakładów INNE WYKORZYSTANIE MODELU OCENY

DLACZEGO TAK? Wymagania wstępne: Kontekst, zasoby, role, zobowiązania Priorytetyzacja usług/produktów Następny krok: Wybór strategii ciągłości działania Wymagania dla BCMS Zatwierdzenie wyników BIA przez najwyższe kierownictwo Priorytetyzacja procesów Analiza i konsolidacja Priorytetyzacja aktywności Cykl życia analizy BIA według ISO/TS 22317

Najwyższe kierownictwo Priorytety usług i produktów Właściciele procesów Priorytety procesów Analiza i konsolidacja Proces BIA według ISO/TS 22317 Zatwierdzenie wyników BIA przez najwyższe kierownictwo Następny krok: Wybór strategii BC Właściciele aktywności Priorytety aktywności Planowanie i zarządzanie projektami Czas

Kryzys a incydent Dojrzałość organizacji Poziomy zaawansowania 9 grup wskaźników

Poziom organizacji zależny od poziomu zaawansowania. Poziom 1 najniższy z możliwych poziomów. Poziom 4 najwyższy z możliwych poziomów. Jak można wykorzystać ten model i wdrożyć jako rozwiązanie kreujące system? Poziom stwierdzonego ryzyka (lub zagrożenia), jako element wskazujący na minimalny system zabezpieczeń (myślenie oparte o ryzyko); MODEL OCENY PRZYJĘTY W IS) 22325 WARUNEK: Opracowany standard bezpieczeństwa, poziomujący stosowane zabezpieczenia;

PRZYWÓDZTWO I KOMPETENCJE Poziom Opis Poziom 1 Cele zarządzania kryzysowego zostały zdefiniowane. Rola i obowiązki organizacji w sytuacji zagrożenia zostały określone. Poziom 2 Cele zarządzania kryzysowego zostały zharmonizowane z celami organizacji, a najwyższe je popiera Liderzy są świadomi ról i obowiązków innych organizacji w sytuacji awaryjnej i promują współpracę. Poziom 3 Procedury zostały wdrożone w celu doskonalenia na podstawie incydentów, zdarzeń potencjalnie niebezpiecznych, szkoleń i testów. W testach i ćwiczeniach biorą udział zarządzający. Najwyższe kierownictwo zapewnia zasoby niezbędne do określenia słabych i mocnych stron w obszarze odporności organizacji. Poziom 4 Kierownictwo zatwierdziło politykę zarządzania kryzysowego (awaryjnego) jak i długoterminowego planu strategicznego, który identyfikuje przyszłe zagrożenia. Kierownictwo przydziela środki na wspieranie działalności badawczo-rozwojowej do zwiększenia swojej zdolności do radzenia sobie z obecnymi i przyszłymi zagrożeniami. Źródło: projekt standardu ISO 22325

ZARZĄDZANIE ZASOBAMI Poziom Opis Poziom 1 Podstawowe zasoby (np. personel, obiekty, narzędzia, technika, wyposażenie, budżet) są na miejscu do obsługi z przewidywanymi incydentami. Poziom 2 Cele zarządzania zasobami zostały określone na podstawie wyników oceny ryzyka. Istnieje polityka dla zarządzania zasobami w zakresie sytuacji kryzysowych. Poziom 3 Wykazy zasobów są aktualizowane, udokumentowane i śledzone, w tym określono zasoby dostępne do natychmiastowego wdrożenia. Zasoby te są również dostępne w celu wsparcia organizacji partnerskich. Wydzielono budżet, do zapewnienia elastycznej alokacji zasobów. System wsparcia rodziny i umów się z specjalistów od zdrowia psychicznego zostały ustalone. Poziom 4 Cele zarządzania zasobami uwzględniają procesy badań i innowacji w rozwiązywania problemów i uwzględniają wymaganie ciągłego doskonalenia. Stosowane są najlepsze praktyki i nowoczesna technologia. Umowy zapewniają alternatywne i dodatkowe zasoby oraz współdzielą i integrują zasoby z innymi organizacjami. Zasoby są elastyczne i zdolne do reagowania na przyszłe zagrożenia. Główne wnioski wyciągnięte z prawdziwych zdarzeń, ćwiczeń i testów warunków skrajnych są udokumentowane i wykorzystywane Źródło: projekt standardu ISO 22325

INFORMACJA I KOMUNIKACJA Poziom Opis Poziom 1 System informacji i komunikacji w organizacji został wdrożony. Poziom 2 System informacji i komunikacji, wspiera wymianę informacji i komunikacji w organizacji. Poziom 3 Plany dla wewnętrznej i zewnętrznej informacji i komunikacji zostały wdrożone. System informacji i komunikacji, wspiera wymianę informacji między organizacjami i audytorium oraz zapewnia ciągłość systemu teleinformatycznego. Poziom 4 Zaawansowany plan informacji i został wdrożony i zintegrowane z innymi organizacjami. Stosowane są najlepsze praktyki i nowoczesna technologia. Główne wnioski wyciągnięte z prawdziwych zdarzeń, ćwiczeń i testów warunków skrajnych są udokumentowane i wykorzystywane Źródło: projekt standardu ISO 22325

OCENA RYZYKA Poziom Opis Poziom 1 Ryzyka zostały zidentyfikowane, ale nie zostały przeanalizowane i uwzględnione w planowaniu długoterminowym. Poziom 2 Jakościowa ocena ryzyka została przeprowadzona. Poziom 3 Pół-ilościowa ocena ryzyka zgodnie z normą ISO 31000, pkt 5.4, została przeprowadzona. Poziom 4 Ilościowa ocena ryzyka zgodnie z normą ISO 31000, pkt 5.4, została przeprowadzona. Źródło: projekt standardu ISO 22325

ODPOWIEDŹ NA INCYDENTY Poziom Opis Poziom 1 Polityka kierowania i kontroli została stworzona i organizacja jest w stanie w stopniu podstawowym reagować na incydent. Poziom 2 System kierowania i kontroli został wdrożony. Role i odpowiedzialności w systemie kierowania i kontroli zostały określone i powierzone. Struktura systemu dowodzenia i kontroli jest aktualizowana i przekazywana do zainteresowanych stron. Poziom 3 System kierowania i kontroli jest przygotowany do współdziałania w ramach wielu organizacji do reakcji na incydent. Organizacja jest w stanie reagować na eskalujące incydenty. Skuteczność odpowiedzi incydent jest mierzona w stosunku do szczególnych celów. Poziom 4 System kierowania i kontroli został wdrożony zgodnie z normą ISO 22320. Źródło: projekt standardu ISO 22325

KOORDYNACJA I WSPÓŁPRACA Poziom Opis Poziom 1 Organizacja posiada wiedzę o zasadach odpowiedzi na incydent (sytuacje kryzysową) innych odpowiednich organizacji. Poziom 2 Organizacja ma podpisane ramowe umowy (porozumienia) o współpracy z innymi, odpowiednimi organizacjami. Poziom 3 Organizacja ma podpisane umowy (porozumienia) o współpracy, który określają działania organizacji. Cele są ustanowione w celu zapewnienia skutecznej i priorytety, trwałej koordynacji i współpracy na szczeblach taktycznych i strategicznych między organizacjami. Poziom 4 Koordynacja i współpraca została zrealizowana zgodnie z normą ISO 22320. Umowy (porozumienia) o wspólnej koordynacji i współpracy są sprawdzane i aktualizowane. Koordynacja i współpraca jest testowana i oceniana w trakcie ćwiczeń oraz podczas ciągłych działań doskonalących. Organizacja umożliwia integrację z partnerami współpracy poprzez wymianę ekspertów, w stosownych przypadkach. Organizacja wdrożyła ISO 22397. Źródło: projekt standardu ISO 22325

ZARZĄDZANIE KRYZYSOWE Poziom Opis Poziom 1 Plan reagowania kryzysowego został wdrożony, jest aktualny i dostępny. Poziom 2 Plan reagowania kryzysowego obejmuje: zakres; cele biorąc pod uwagę ludzkie życie i zdrowie, funkcje społeczne, aktywa ekonomiczne i środowiskowe; role i obowiązki oraz świadomość personelu. Plan jest aktualizowany po znaczącym incydencie lub poważnej zmianie w organizacji. Poziom 3 Plan reagowania kryzysowego obejmuje: uwzględnienie opinii zainteresowanych stron; wnioski wyciągnięte z wcześniejszych incydentów; mierzalne cele. Plan jest oceniany i aktualizowany po ćwiczeniach i szkoleniach. Poziom 4 Plan reagowania kryzysowego został zintegrowany z innymi planami w organizacji w celu zapewnienia ciągłości operacji. Organizacja starannie planuje reagowanie kryzysowego z uwzględnieniem innych organizacji z zamiarem promowania koordynacji i współpracy w czasie dużych incydentów, zgodnie z normą ISO 22397. Źródło: projekt standardu ISO 22325

ĆWICZENIA Poziom Opis Poziom 1 Ćwiczenia są prowadzone, ale organizacja nie posiada formalnego programu ćwiczeń. Poziom 2 Program ćwiczeń, został ustanowiony z uwzględnieniem celów organizacji. Ćwiczenia są prowadzone regularnie. Pracownicy są przeszkoleni do wykonywania powierzonych obowiązków. Poziom 3 Program jest zintegrowany, oparty na kompetencjach, oceniany, regularnie aktualizowany i uwzględnia opinie zainteresowanych stron. Ćwiczenia są mierzone w odniesieniu do celów i są odpowiednio do nich dostosowane. Poziom 4 Program ćwiczeń zostały wdrożone zgodnie z normą ISO 22398. Główne wnioski wyciągnięte z ćwiczeń są rejestrowane i ujmowane w planowaniu przyszłej odpowiedzi na incydent. Programy ćwiczeń zostały opracowane z innymi organizacjami. Programy ćwiczeń są stale udoskonalane. Źródło: projekt standardu ISO 22325

ŁAGODZENIE (MINIMALIZACJA) SKUTKÓW Poziom Opis Poziom 1 Planowanie minimalizacji skutków zostały opracowane. Poziom 2 Planowanie minimalizacji zostało zrealizowane na podstawie scenariuszy zagrożenia. Wyniki działania są rejestrowane i poddawane okresowej weryfikacji. Poziom 3 Planowanie minimalizacji skutków uwzględnia wymagania interesariuszy. Wyniki działań łagodzących są ilościowo mierzone i wykorzystywane w aktualizacji planu. Poziom 4 Łagodzenie obejmuje planowanie badań i poszukiwania innowacji w rozwiązywaniu problemów, gdzie konwencjonalne metody lub technologie mogą nie być skuteczne. Zaawansowana technologia jest wykorzystywana w minimalizacji zagrożeń. Źródło: projekt standardu ISO 22325

Proces oceny: Planowanie; Gromadzenie danych; Analiza; Raportowanie Szablon podsumowania Szablon raportu Ciągłe doskonalenie. DALSZA ZAWARTOŚĆ STANDARDU

PRZYKŁAD STANDARDU Poziom Poziomy dokumentacji Czas reakcji Aktualizacja 3 Dokumentacja na poziomie 2 oraz: szczegółowe opracowanie na temat prawdopodobieństwa wystąpienia wraz z szacunkami skutku. Informacje na temat zagrożeń i postępowania z nimi umieszczone w dokumentach o charakterze strategicznym 2 Dokumentacja na poziomie 1 oraz: Opracowania wskazujące źródła zagrożeń wraz z typowanymi skutkami 1 Dokumentacja na poziomie minimalnym, zawierająca informacje ogólne na temat występowania zagrożenia (lista) Dokumentacja na poziomie 2 oraz: sposób przeciwdziałania zadania prewencyjne, szczegółowo opisane. Dokumentacja na poziomie 1 oraz: sposób postępowania po materializacji (uspokojenie środowiska) Ogólne informacje na temat neutralizacji zagrożenia. 0 Brak dokumentacji Brak dokumentacji Brak aktualizacji Ciągły nadzór nad aktualnością dokumentacji, poprzez osobę / komórkę wyznaczoną do nadzoru. Monitoring zmian w prawie wewnętrznym i zewnętrznym, oraz przegląd realizowany nie rzadziej niż raz na kwartał. Przegląd okresowy aktualności dokumentacji wynikający z przepisu prawa, a jeśli przepis prawa nie określa nie rzadziej niż raz na 12 miesięcy. Źródło: Metodyka Audytu Bezpieczeństwa IBII, wersja z 2012 roku

Poziom ryzyka Poziom nakładów INNE WYKORZYSTANIE MODELU OCENY

5 filarów bezpieczeństwa; Filary bezpieczeństwa poziomowane na 4 poziomy; Poziomy zaangażowania w filarze równe z poziomami ryzyka; Miara ryzyka jako wymaganie dla każdego z filarów; Waga zabezpieczeń - skuteczność w oddziaływaniu na zagrożenie lub łagodzenie/zmniejszanie skutków wystąpienia. Opracowanie grudzień 2012, IBII INDEKS BEZPIECZEŃSTWA FIZYCZNEGO W oparciu o Metodykę KGP w sprawie uzgadniania planów ochrony obiektów, obszarów i urządzeń podlegających obowiązkowej ochronie

DZIĘKUJĘ ZA UWAGĘ GRZEGORZ KRZEMIŃSKI GK@WORLDSECINFO.CO.UK TEL: +48511252787 PHONE: +44(0)7464745044 World Sec Info LTD 590 Kingston Road SW20 8DN London United Kingdom World Sec Info LTD o/polska Ogrodowa 31/35 00-893 Warszawa Polska

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres