Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych



Podobne dokumenty
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Krzysztof Świtała WPiA UKSW

Promotor: dr inż. Krzysztof Różanowski

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Warszawa, 2 września 2013 r.

Zarządzanie bezpieczeństwem informacji w urzędach pracy

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

SKZ System Kontroli Zarządczej

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Bezpieczeństwo informacji. jak i co chronimy

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Szkolenie otwarte 2016 r.

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Zarządzenie Nr 38/2015 Wójta Gminy Michałowice z dnia 24 lutego 2015 roku w sprawie ustalenia wytycznych kontroli zarządczej.

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Standardy kontroli zarządczej

KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Polityka Ochrony Cyberprzestrzeni RP

COBIT 5 WHITE PAPER WSTĘP

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Kwestionariusz samooceny kontroli zarządczej

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Maciej Byczkowski ENSI 2017 ENSI 2017

Opis systemu zarządzania, w tym systemu zarządzania ryzykiem i systemu kontroli wewnętrznej w Banku Spółdzielczym w Ropczycach.

Dokumenty, programy i czynności składające się na system kontroli zarządczej w Urzędzie Gminy w Wierzbicy. A. Środowisko wewnętrzne.

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Zarządzanie relacjami z dostawcami

Kryteria oceny Systemu Kontroli Zarządczej

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Regulamin zarządzania ryzykiem. Założenia ogólne

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Opis systemu kontroli wewnętrznej (SKW) funkcjonującego w ING Banku Hipotecznym S.A.

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Kontrola zarządcza w szkołach i placówkach oświatowych. Ewa Halska, Andrzej Jasiński, OSKKO

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

Audyt systemów informatycznych w świetle standardów ISACA

Robert Meller, Nowoczesny audyt wewnętrzny

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Poz. 237 KOMUNIKAT MINISTRA SPRAWIEDLIWOŚCI. z dnia 1 grudnia 2015 r.

Marcin Soczko. Agenda

System Kontroli Wewnętrznej w Banku Spółdzielczym w Mińsku Mazowieckim

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

RZECZPOSPOLITA POLSKA MINISTER ADMINISTRACJI I CYFRYZACJI

Warszawa, dnia 17 marca 2017 r. Poz. 82

Kompleksowe Przygotowanie do Egzaminu CISMP

Monitorowanie systemów IT

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Realizacja wymagań, które stawia przed JST rozporządzenie w sprawie Krajowych Ram Interoperacyjności

System kontroli wewnętrznej w Banku Spółdzielczym w Lubaczowie

I. Cele systemu kontroli wewnętrznej.

Zapytanie ofertowe nr OR

udokumentowanych poprzez publikacje naukowe lub raporty, z zakresu baz danych

1. 1. Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. Z 2013 r. Poz. 885, z późn. zm.).

Opis Przedmiotu Zamówienia

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

INFORMACJA O REALIZACJI ZADAŃ Z ZAKRESU AUDYTU WEWNĘTRZNEGO W ROKU 2016

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Pakiet zawiera. Pakiet Interoperacyjny Urząd. E-learning. Asysta merytoryczna. Oprogramowanie. Audyt. Certyfikacja.

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Przedszkole Nr 30 - Śródmieście

ZARZĄDZENIE NR 483/14 PREZYDENTA MIASTA ZDUŃSKA WOLA z dnia 22 grudnia 2014 r.

Plan działań w zakresie zapewnienia bezpieczeństwa cyberprzestrzeni RP

Praktyczne aspekty wdroŝenia systemu zarządzania ryzykiem.

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Krasnymstawie

Warunki organizacyjne Zarówno podmiot, który świadczy usługi z zakresu cyberbezpieczeństwa, jak i wewnętrzna struktura operatora

Imed El Fray Włodzimierz Chocianowicz

OCHRONA DANYCH OSOBOWYCH PO 1 STYCZNIA 2015

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Transkrypt:

Opracowanie z cyklu Polskie przepisy a COBIT Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych Czerwiec 2016 Opracowali: Joanna Karczewska Małgorzata Michniewicz Adam Mizerski Adam Rafajeński Łukasz Wilkosz

Bezpieczeństwo informacji ma na celu ochronę interesów osób, które polegają na tych informacjach oraz systemów i środków komunikacji dostarczających te informacje przed brakiem dostępności oraz naruszeniem ich poufności i integralności. COBIT Security Baseline WPROWADZENIE Niniejsze opracowanie zostało przygotowane przez członków stowarzyszenia ISACA 1 w składzie: Joanna Karczewska, Małgorzata Michniewicz, Adam Mizerski, Adam Rafajeński i Łukasz Wilkosz. Opracowanie zawiera listę podstawowych pytań, które kierownictwo powinno regularnie zadawać, by uzyskać informacje o stanie bezpieczeństwa teleinformatycznego w swojej jednostce i spełnianiu minimalnych wymagań dla systemów teleinformatycznych wymienionych w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI), minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r., poz. 526). Opracowanie jest przeznaczone przede wszystkim dla kierowników jednostek administracji rządowej, organów władzy ustawodawczej, władzy sądowniczej i samorządu terytorialnego. Z opracowania mogą także korzystać: - osoby odpowiedzialne w jednostkach za bezpieczeństwo informacji i cyberbezpieczeństwo, - administratorzy odpowiadający za poszczególne systemy teleinformatyczne wdrożone w jednostkach, - użytkownicy wewnętrzni i zewnętrzni systemów teleinformatycznych wdrożonych w jednostkach, - audytorzy wewnętrzni jednostek. PYTANIA, KTÓRE KIEROWNICTWO POWINNO ZADAWAĆ Oceniając stopień zapewnienia bezpieczeństwa teleinformatycznego w jednostce, kierownik jednostki powinien regularnie zadawać konkretne pytania osobom odpowiedzialnym za poszczególne obszary bezpieczeństwa informacji. Uzyskane odpowiedzi pomogą ustalić, czy: - są znane i stosowane wymagania zawarte w stosownych przepisach prawa; - są osiągane i przestrzegane przyjęte przez jednostkę założenia dotyczące bezpieczeństwa informacji, - ryzyko związane ze stosowaniem technologii informatycznych pozostaje na akceptowalnym poziomie. Mogą także stanowić podstawę do wypracowania jednakowego rozumienia oczekiwanych korzyści oraz alokacji zasobów i optymalizacji działań. Niniejsza tabela zawiera podstawowy zestaw pytań, które kierownik jednostki może zadać każda negatywna lub niepełna odpowiedź powinna wzbudzić zaniepokojenie. 1 Międzynarodowe stowarzyszenie ISACA liczy ponad 140 000 członków i sympatyków, którzy mieszkają i pracują w ponad 180 krajach. Opublikowało uznaną na całym świecie metodykę COBIT nadzoru nad technologiami informatycznymi i ich zarządzania. Zajmuje się certyfikacją CISA, CISM, CGEIT, CRISC. W Polsce są dwa afiliowane oddziały ISACA: ISACA Warszawa i ISACA Katowice. 2/8

Pytanie zasadnicze Pytania uzupełniające System zarządzania bezpieczeństwem informacji (SZBI) 1. Czy nasza jednostka podjęła kroki w celu zapewnienia bezpieczeństwa informacji? 2. Czy wiadomo, jakie przepisy prawa dotyczące bezpieczeństwa informacji mają zastosowanie w naszej jednostce (nie tylko Ustawa o ochronie danych osobowych)? 3. Czy nasza jednostka opracowała i przyjęła kompleksową Politykę bezpieczeństwa informacji (PBI)? 4. Czy zidentyfikowano kluczowe aktywa informacyjne (zbiory danych / systemy / usługi) naszej jednostki, które należy chronić? - czy konieczność zapewnienia bezpieczeństwa informacji jest ujęta w strategii informatyzacji naszej jednostki (jeżeli taka strategia została przyjęta)? - czy zidentyfikowano cele bezpieczeństwa informacji, określono sposoby ich realizacji oraz przypisano odpowiedzialność za ich realizację? - jakie działania w zakresie bezpieczeństwa informacji podjęto w roku bieżącym? - kto odpowiada za monitorowanie zmian przepisów i informowanie o tych zmianach? - czy została opracowana w oparciu o właściwe standardy i dobre praktyki? - kiedy przeprowadzono ostatni przegląd PBI naszej jednostki? Standardy i dobre praktyki powinny obejmować m.in.: - normy wymienione w Rozporządzeniu w sprawie KRI, - dobre praktyki z zakresu bezpieczeństwa portali internetowych, przygotowane przez Zespół zadaniowy do spraw ochrony portali rządowych we współpracy z Rządowym Zespołem Reagowania na Incydenty Komputerowe CERT.GOV.PL, - dobre praktyki zarządcze nadzoru nad technologiami informatycznymi podmiotu i zarządzania nimi zawarte w metodyce COBIT. Przeglądy PBI powinny być przeprowadzane nie rzadziej niż raz do roku w celu weryfikacji jej zawartości i aktualności. Identyfikacja aktywów - jakie są to aktywa? - czy te aktywa zostały uwzględnione w rejestrze ryzyk jednostki? Proces identyfikacji aktywów należy 3/8

Pytanie zasadnicze 5. Czy dokonuje się szacowania ryzyka związanego z zagrożeniami bezpieczeństwa informacji w naszej jednostce? 6. Czy prowadzone jest jakiekolwiek monitorowanie bezpieczeństwa teleinformatycznego naszej jednostki? 7. Czy w naszej jednostce są przeprowadzane audyty bezpieczeństwa informacji? Pytania uzupełniające powtarzać co najmniej raz do roku w celu weryfikacji ich aktualności. Szacowanie ryzyka - czy analiza ryzyka zawiera: opisy ryzyk, zagrożeń i słabych punktów zdiagnozowanych dla poszczególnych systemów teleinformatycznych wdrożonych w jednostce? jakie działania podjęto w zakresie postępowania z ryzykiem w celu jego obniżenia do akceptowalnego poziomu? - czy analiza ryzyka obejmuje także projekty oraz istotne zmiany informatyczne przygotowywane do wdrożenia? Do analizy ryzyka należy wykorzystywać uznane standardy, np.: PN-ISO/IEC 27005:2014-01, PN-ISO/IEC 31000:2012, Risk IT Framework for Management of IT Related Business Risks, M_o_R (Management of Risk), COBIT 5 for Risk oraz Katalog zagrożeń CERT.GOV.PL dotyczący cyberprzestrzeni. Testowanie i monitorowanie bezpieczeństwa - w jaki sposób jest ono prowadzone? - czy monitorowanie jest ciągłe, czyli przez 24 godziny przez 7 dni w tygodniu i 365 dni w roku? - czy komórki bezpieczeństwa otrzymują i analizują raporty bezpieczeństwa, z jaką częstotliwością? - czy wyniki monitoringu bezpieczeństwa są regularnie (np. kwartalnie) przekazywane do osób zarządzających jednostką? - kiedy został przeprowadzony ostatni audyt bezpieczeństwa informacji? - czy przy opracowywaniu planów audytu brane są pod uwagę wyniki analizy ryzyka oraz wnioski z poprzednich audytów? Audyty powinny być przeprowadzane nie rzadziej niż raz do roku. Zarządzanie incydentami 8. Czy jest opracowana procedura 4/8

Pytanie zasadnicze Pytania uzupełniające zgłaszania incydentów? - w jaki sposób można zgłaszać incydenty? 9. Czy jest prowadzony jeden rejestr wszystkich zgłaszanych incydentów? Procedura powinna być ogólnie dostępna i określać różne sposoby zgłaszania incydentów (poczta elektroniczna, telefon, inne) przez wewnętrznych i zewnętrznych użytkowników systemów teleinformatycznych jednostki. - czy rejestr zawiera informacje m.in. o rodzaju i klasyfikacji incydentów oraz sposobie obsługi? 10. Czy dla zidentyfikowanych kluczowych aktywów przygotowane zostały plany funkcjonowania / scenariusze postępowania naszej jednostki w przypadku niedostępności tych aktywów? 11. Czy w naszej jednostce są prowadzone szkolenia lub działania uświadamiające dla pracowników dotyczące bezpieczeństwa informacji i cyberbezpieczeństwa? Klasyfikacja incydentów powinna określać: - które incydenty są najbardziej znaczące należy się nimi zająć w pierwszej kolejności, - o których incydentach kierownictwo powinno być natychmiast informowane. Rejestr należy wykorzystać do analizy przyczyn wystąpienia incydentów i proponowania ulepszeń w zapewnieniu bezpieczeństwa informacji. Za wysoce niepokojący należy uznać fakt braku odnotowania w rejestrze jakiegokolwiek incydentu bezpieczeństwa w okresie ostatnich 3 miesięcy, ponieważ: Incydent bezpieczeństwa jest rzeczą pewną. Prawdopodobieństwo dotyczy tego, kiedy nastąpi Testowanie ciągłości działania - czy plany są regularnie testowane? Testy planów powinny być przeprowadzane przynajmniej raz do roku w celu weryfikacji ich zawartości i aktualności. W testy powinni być zaangażowani także dostawcy zewnętrzni, którzy obsługują kluczowe zasoby / usługi. Szkolenia i uświadamianie - kiedy odbyło się ostatnie szkolenie? - czy szkolenia odbywają się regularnie? - czy wszyscy pracownicy oraz dostawcy zostali przeszkoleni? - jakie podjęto inne działania uświadamiające (biuletyny, ogłoszenia..)? 5/8

Pytanie zasadnicze Pytania uzupełniające 12. Czy nasza jednostka korzysta z dostawców usług i systemów informatycznych? Kierownictwo także powinno uczestniczyć w tych szkoleniach. Współpraca z dostawcami - jakie są zapisy w umowach, by zostały spełnione wymagania prawne i formalne w zakresie bezpieczeństwa informacji i ciągłości działania? W umowach należy zastrzec dla osób upoważnionych przez jednostkę: - prawo dostępu (czyli do wizyty w siedzibie dostawcy lub innym miejscu, gdzie są serwery i inne zasoby teleinformatyczne obsługujące naszą jednostkę), - prawo do audytu. ROLE I ODPOWIEDZIALNOŚCI W ZAKRESIE BEZPIECZEŃSTWA INFORMACJI Zaleca się opracowanie tabeli przedstawiającej cele i zadania związane z zapewnieniem bezpieczeństwa informacji i cyberbezpieczeństwa w jednostce wraz ze wskazaniem stopnia odpowiedzialności: R Odpowiedzialna [Responsible] - osoba, która wykonuje dane zadanie; A Rozliczana [Accountable] osoba decyzyjna, która ma uprawnienia do zatwierdzenia lub akceptacji wykonania danego zadania; C Konsultowana [Consulted] - osoba, u której zasięga się opinii w sprawie danego zadania (komunikacja w obie strony); I Informowana [Informed] - osoba, którą się informuje o postępie danego zadania (komunikacja w jedną stronę). Dla każdego zadania należy wyznaczyć osobę rozliczaną (A) za zatwierdzenie lub akceptację wykonania tego zadania. Jednostka powinna opracować własną tabelę ról (stanowisk) i odpowiedzialności zgodną ze strukturą organizacyjną, regulaminem pracy, zakresami obowiązków pracowników, wewnętrznymi politykami i procedurami oraz umowami podpisanymi z dostawcami. Wyznaczone role i odpowiedzialności powinny odpowiadać zapisom Polityki bezpieczeństwa informacji jednostki. 6/8

Rola (Stanowisko) Cel i zadanie 1. Stworzenie i stosowanie systemu zarządzania bezpieczeństwem informacji Kierownik jednostki Kierownik działu merytorycznego Kierownik Wydziału Informatycznego Administrator systemu teleinformatycznego Audytor Użytkownik wewnętrzny Użytkownik zewnętrzny Dostawca usługi informatycznej Dostawca systemu teleinformatycznego Dostawca usług telekomunikacyjnych 2. Identyfikacja aktywów, podsystemów, funkcji i zależności od innych systemów istotnych z punktu widzenia funkcjonowania jednostki 3. Szacowanie ryzyka związanego z bezpieczeństwem informacji 4. Testowanie i monitorowanie bezpieczeństwa informacji i cyberbezpieczeństwa 5. Wdrożenie mechanizmów służących właściwemu postępowaniu w przypadku wystąpienia incydentu 6. Testowanie ciągłości działania 7. Kształcenie, szkolenia i uświadamianie w kwestiach dotyczących bezpieczeństwa informacji 8. Współpraca z dostawcami usług i systemów teleinformatycznych 7/8

LITERATURA W trakcie pracy nad dokumentem autorzy korzystali z następujących zbiorów dobrych praktyk: Publikacje ISACA w języku angielskim - COBIT 5 - A Business Framework for the Governance and Management of Enterprise IT - COBIT 5: Enabling Processes - COBIT 5: Enabling Information - COBIT 5 Implementation - COBIT 5 for Assurance - COBIT 5 for Risk - COBIT 5 for Information Security Publikacje ISACA w języku polskim - COBIT 5 Polski (Polish) - COBIT 5 Enabling Information Polski (Polish) - COBIT 5 for Risk Polski (Polish) - COBIT 5 Information Security Polski (Polish) dostępne na stronie www.isaca.org Publikacje Polskiego Komitetu Normalizacyjnego - PN-ISO/IEC 27001:2014-12 - "Technika informatyczna -- Techniki bezpieczeństwa -- Systemy zarządzania bezpieczeństwem informacji -- Wymagania" - PN-ISO/IEC 17799:2007 - "Technika informatyczna -- Techniki bezpieczeństwa -- Praktyczne zasady zarządzania bezpieczeństwem informacji" - PN-ISO/IEC 27005:2014-01 - "Technika informatyczna -- Techniki bezpieczeństwa -- Zarządzanie ryzykiem w bezpieczeństwie informacji" - PN-ISO/IEC 24762:2010 - "Technika informatyczna -- Techniki bezpieczeństwa -- Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie" 8/8