Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A.



Podobne dokumenty
MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

MAZOWIECKI URZĄD WOJEWÓDZKI W WARSZAWIE

Standard ISO 9001:2015

S Y S T E M K O N T R O L I Z A R Z Ą D C Z E J W U NI WE RSYTECIE JANA KO CHANOWS KIE GO W KIE LCACH

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

SZCZEGÓŁOWY HARMONOGRAM KURSU

KSIĘGA JAKOŚCI 8. POMIARY, ANALIZA, DOSKONALENIE

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Normalizacja dla bezpieczeństwa informacyjnego

I. Postanowienia ogólne.

Warszawa, dnia 17 marca 2017 r. Poz. 82

Karta audytu dla Eurosystemu/ESBC i jednolitego mechanizmu nadzorczego

Krzysztof Świtała WPiA UKSW

Maciej Byczkowski ENSI 2017 ENSI 2017

Poz. 237 KOMUNIKAT MINISTRA SPRAWIEDLIWOŚCI. z dnia 1 grudnia 2015 r.

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

KARTA AUDYTU WEWNĘTRZNEGO W URZĘDZIE GMINY PSARY I GMINNYCH JEDNOSTKACH ORGANIZACYJNYCH

KARTA AUDYTU WEWNĘTRZNEGO

Szkolenie otwarte 2016 r.

Procedura: Ocena Systemu Zarządzania

Karta Audytu Wewnętrznego

CERTIOS Centrum Edukacji Przedsiębiorcy

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I ŚRODOWISKOWEGO wg ISO 9001 oraz ISO 14001

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I ŚRODOWISKOWEGO WG NORM ISO 9001:2015 I ISO 14001:2015

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

ISO 9001:2015 przegląd wymagań

Kryteria oceny Systemu Kontroli Zarządczej

INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA ŚRODOWISKOWEGO wg PN-EN ISO 14001:2015

Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r.

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Kontrola zarządcza stanowi ogół działań podejmowanych dla zapewnienia realizacji celów w sposób zgodny z prawem, efektywny, oszczędny i terminowy.

Procedura: Ocena Systemu Zarządzania

Kwestionariusz samooceny kontroli zarządczej

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

ZASADY POLITYKI ZARZĄDZANIA RYZYKIEM W AKADEMII PEDAGOGIKI SPECJALNEJ IM. MARII GRZEGORZEWSKIEJ.

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

CERTIOS Centrum Edukacji Przedsiębiorcy

DOKUMENTY I PROGRAMY SKŁADAJĄCE SIĘ NA SYSTEM KONTROLI ZARZADCZEJ W

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Asseco APMS Audyt i kontrola wewnętrzna. apms.asseco.com

1.5. ZESPÓŁ DS. SYSTEMU KONTROLI ZARZĄDCZEJ

Załącznik Nr 3 do Zarządzenia Nr 84 z dnia 15 listopada 2010 roku KWESTIONARIUSZ SAMOOCENY

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM I HIGIENĄ PRACY wg OHSAS i PN-N 18001

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I BHP WG NORM ISO 9001:2015 I OHSAS/PN-N

KONTROLA ZARZĄDCZA. Ustawa z dnia 17 grudnia 2004 r. o odpowiedzialności za naruszenie dyscypliny finansów publicznych (Dz. U. z 2013 r. poz.

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

1

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

WEWNĘTRZNY SYSTEM ZARZĄDZANIA JAKOŚCIĄ W WSEI

Wyciąg z Planu ekonomiczno-finansowego Banku Spółdzielczego im. Stefczyka w Belsku Dużym na 2015 rok.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA ŚRODOWISKOWEGO wg PN-EN ISO 14001:2005

Audyty wewnętrzne Nr:

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

SKZ System Kontroli Zarządczej

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

POCEDURA SYSTEMU ORGANIZACJI I ZARZĄDZANIA WEWNĘTRZNY AUDYT JAKOŚCI. P 03/01 Obowiązuje od: 01 lutego 2015 r.

KWESTIONARIUSZ SAMOOCENY W ZAKRESIE STOSOWANIA STANDARDÓW KONTROLI ZARZĄDCZEJ

Zarządzenie Nr W ojewody Dolnośląskiego z dnia sierpnia 2016 r.

INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA JAKOŚCIĄ wg ISO 9001:2015

Z A R Z Ą D Z E N I E Nr 3/2011

Karta audytu Uniwersytetu Śląskiego w Katowicach

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

ISO bezpieczeństwo informacji w organizacji

Regulamin zarządzania ryzykiem. Założenia ogólne

REGULAMIN KOMITETU AUDYTU RADY NADZORCZEJ ING BANKU ŚLĄSKIEGO S.A.

WPROWADZENIE ZMIAN - UAKTUALNIENIA

Strona: 1 z 5 PROCEDURA ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA. OiSO AUDYTY WEWNĘTRZNE

Numer dokumentu: PRC/DSJ/AW. Sprawdził / Zatwierdził : Tomasz Piekoszewski

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

ZARZĄDZENIE Nr 33/14 PROKURATORA GENERALNEGO

Zasady monitorowania i dokonywania samooceny systemu kontroli zarządczej oraz udzielania zapewnienia o stanie kontroli zarządczej

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM I HIGIENĄ PRACY wg OHSAS i PN-N 18001

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

Transkrypt:

Orange 23 lutego 2016 r. Warszawa Formuła realizacji przez ABI sprawdzeń w ramach Systemu Zarządzania Bezpieczeństwem Informacji w Orange Polska S.A. Zbigniew Sujecki Administrator Bezpieczeństwa Informacji Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji 1

Dane Osobowe złoto XXI wieku generujemy ją wszyscy, niezależnie od miejsca i czasu ułatwiają nam to wszechobecne rozwiązania technologiczne urządzenia zbierają i monitorują nasze zachowania, upodobania i zainteresowania tworząc profile użytkowników umieszczamy szczegóły naszego życia w chmurze i publikujemy je na forach społecznościowych Totalna walka o dane osobowe wymaga należytej troski o ich bezpieczeństwo tzn.: utrzymania atrybutów poufności, integralności dostępności i rozliczalności na akceptowalnym poziomie. informacje, bazy danych - strategicznym towarem handlowym naszej epoki a bezpieczeństwo informacji normą nowoczesnej organizacji 2

Strategie Bezpieczeństwa Ochrony Danych Osobowych podejście zachowawcze make safety - działania reaktywne wdrażanie zabezpieczeń opartych o wymagania prawa, intuicję i wiedzę menagerów podejmowanie działań w następstwie zaistniałych incydentów myślenie w kategoriach mamy dobrych prawników, to damy radę podejście systemowe manage security best practices / oparcie się na wymaganiach ISO 27001 system zarządzania bezpieczeństwem informacji (SZBI): wdrażane zabezpieczenia wynikiem realnego zarządzania ryzykiem jednoznaczny podział ról i odpowiedzialności planowanie, wdrażanie, monitorowanie i korygowanie 14 obszarów wymagań ISO 27001 = ład korporacyjny (realne zarządzanie mechanizmami determinującymi bezpieczeństwo danych osobowych) oraz zapewnienie rynku (lepsze postrzeganie organizacji i zaufanie klientów certyfikat) 3

Komponenty SZBI - obszary normy ISO 27001 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania 4 Zarządzanie incydentami bezpieczeństw a Relacje z dostawcami Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych Zgodność A16 A15 A17 A14 Bezpieczeństwo komunikacji Polityka bezpieczeństwa informacji A18 A13 A5 A6 Bezpieczna eksploatacja Organizacja bezpieczeństwa informacji 0. Wprowadzenie 1. Zakres normy 2. Powołania normatywne 3. Terminy i definicje 4. Kontekst organizacji 5. Przywództwo Przywództwo i zaangażowanie, Polityka, Role, odpowiedzialność i uprawnienia 6. Planowanie Działania odnoszące się do ryzyk i szans Cele bezpieczeństwa informacji i planowanie ich osiągnięcia 7. Wsparcie Zasoby, Kompetencje, Uświadamianie, Komunikacja, Udokumentowane informacje 8. Działania operacyjne Planowanie i nadzór nad działaniami operacyjnymi, szacowanie ryzyka, postępowanie z bezpieczeństwem informacji 9. Ocena wyników Monitorowanie, pomiary, analiza i ocena, Audyt wewnętrzny Przegląd zarządzania 10 Doskonalenie Niezgodności i działania korygujące, Ciągłe doskonalenie A12 A11 A7 A8 A10 Bezpieczeństwo zasobów ludzkich A9 Bezpieczeństwo fizyczne i środowiskowe Zarządzanie aktywami Kontrola dostępu Kryptografia

Wymagania normy ISO 27001 w zakresie audytu wewnętrznego vs. wymagania przepisów o ochronie danych osobowych w zakresie sprawdzeń planowych Wymagania normy ISO 27001:2013 Organizacja powinna: Zaplanować, ustanowić, wdrożyć i utrzymywać program audytów, w tym częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz raportowanie. Program audytów powinien uwzględniać znaczenie procesów objętych audytem oraz wyniki poprzednich audytów. Przepisy o ochronie danych osobowych Plan sprawdzeń Zdefiniować kryteria audytu i zakres każdego audytu. Określenie przedmiotu, zakresu sprawdzenia Wybierać audytorów i prowadzić audyty w sposób zapewniający obiektywność i bezstronność procesu audytu. Gwarancją - niezależność ABI Zapewnić przedstawianie wyników audytów właściwym członkom kierownictwa. Zachować udokumentowane informacje, jako dowód realizacji programu audytów i wyników audytów. 5 Przekazanie sprawozdania administratorowi danych Dokumentowanie czynności przeprowadzonych w toku sprawdzenia

Integracja sprawdzeń planowych z zasadami prowadzenia audytów wg. standardów ISO audyty realizowane w zakresie ochrony danych osobowych, które są sprawdzaniem zgodności przetwarzania danych osobowych w rozumieniu art. 36a ustawy o ochronie danych osobowych 6

Uchwała zarządu dot. zasad prowadzenia audytów wg standardów ISO Cel Zakres Powoływanie audytorów Rola i obowiązki audytorów Planowanie audytów Prowadzenie audytu Monitorowanie poaudytowych działań korygujących 7 Postanowienia końcowe

Realizacja audytów / sprawdzeń planowych w Orange Polska Program audytów tworzony jest na podstawie zebranych informacji i planowany jest z wyprzedzeniem na okres jednego roku. Program audytów w Orange Polska S.A. na dany rok akceptowany jest przez Zarząd Orange Polska S.A. Audyt danego obszaru przeprowadzany jest z uwagi na: 8 istotne zmiany struktury organizacyjnej, procesu lub zasad działania, istotne ryzyko wystąpienia problemów, status i wagę procesów oraz audytowanych obszarów, wyniki poprzednich audytów, wnioski z przeglądów zarządzania wymagania Ustawy z dnia 27 sierpnia 1997 r. o ochronie danych osobowych i Rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienie przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji dotyczące sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Wybór audytorów powinien zapewnić obiektywność i bezstronność audytu. W szczególności audytorzy nie mogą audytować własnej pracy, tj. być bezpośrednio związanymi z badanym procesem czy obszarem. Audytor powinien zapewnić efektywność i bezstronność audytu; audytor jest niezależny od audytowanego obszaru, musi znać i rozumieć wymagania obowiązujących norm, dokumentację systemu jakości, cele i politykę jakości. Raport jest przedstawiany właścicielowi audytowanego procesu, dyrektorowi audytowanej jednostki, ZARZĄDOWI. Celem pracy audytora jest dokumentowanie niezgodności i zaleceń tak, aby: opis natury niezgodności i zaleceń był czytelny co do miejsca i czasu wystąpienia niezgodności było oczywiste jakie wymaganie ma zastosowanie w danej sprawie, a nie jest spełnione

9 Sprawozdanie ze audytu/sprawdzenia

Realizacja sprawdzeń doraźnych w przypadkach uzasadnionego podejrzenia naruszenia sprawdzenia doraźne prowadzone w przypadkach uzasadnionego podejrzenia wystąpienia takiego naruszenia, zgodnie z Polityką bezpieczeństwa Danych Osobowych w Orange Polska S.A. Źródła informacji zgłoszone incydenty, wyniki analizy ryzyka, informacje od zainteresowanych stron, informacje od uprawnionych organów państwowych, wiedza ekspercka 10

ISO 27001 (A16) Zarządzanie incydentami związanymi z bezpieczeństwem informacji 16. Zarządzanie incydentami związanymi z bezpieczeństwem informacji Cel: Zapewnić spójne i skuteczne podejście do zarządzania incydentami związanymi z bezpieczeństwem informacji, z uwzględnieniem informowania o zdarzeniach i słabościach. 11 16.1 Zarządzanie incydentami związanymi z bezpieczeństwem informacji oraz udoskonaleniami 16.1.1 Odpowiedzialność i procedury Należy ustanowić odpowiedzialność kierownictwa oraz procedury zapewniające szybką, skuteczną i zorganizowaną reakcję na incydenty związane z bezpieczeństwem informacji 16.1.2 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji Zdarzenia związane z bezpieczeństwem informacji należy zgłaszać odpowiednimi kanałami zarządczymi tak szybko, jak tylko to jest możliwe 16.1.3 Zgłaszanie słabości związanych z bezpieczeństwem informacji Należy zobowiązać pracowników oraz kontrahentów korzystających z systemów i usług informacyjnych organizacji do odnotowania i zgłaszania wszelkich zaobserwowanych lub podejrzanych słabości związanych z bezpieczeństwem informacji

ISO 27001 (A16) Zarządzanie incydentami związanymi z bezpieczeństwem informacji 16.1.4 Ocena i podejmowanie decyzji w sprawie zdarzeń związanych z bezpieczeństwem informacji Zdarzenia związane z bezpieczeństwem informacji należy ocenić i podjąć decyzję w sprawie zakwalifikowania ich jako incydentów związanych z bezpieczeństwem informacji 16.1.5 Reagowanie na incydenty związane z bezpieczeństwem informacji Reakcja na incydenty związane z bezpieczeństwem informacji powinna być zgodna z udokumentowanymi procedurami 16.1.6 Wyciąganie wniosków z incydentów związanych z bezpieczeństwem informacji Wiedzę zdobytą podczas analizy i rozwiązywania incydentów należy wykorzystać do zredukowania prawdopodobieństwa wystąpienia lub skutków przyszłych incydentów 16.1.7 Gromadzenie materiału dowodowego Organizacja powinna określić i stosować procedury identyfikacji, gromadzenia, pozyskiwania i utrwalania informacji, które mogą stanowić materiał dowodowy 12

13 Realizacja sprawdzeń doraźnych w ramach zarządzania incydentami

Rozdział 4. Polityki Bezpieczeństwa Danych Osobowych Rozdział 4 14 SPRAWDZENIE PRZETWARZANIA DANYCH OSOBOWYCH 1. Sprawdzenie zgodności przetwarzania Danych osobowych w OPL z przepisami o ochronie Danych osobowych obejmuje wszystkie jednostki/ komórki organizacyjne mające dostęp do Danych osobowych, w których przetwarzane są Dane osobowe, oraz podmioty zewnętrzne, którym powierzono Dane osobowe do przetwarzania. 2. Sprawdzenie zgodności przetwarzania Danych osobowych z przepisami o ochronie Danych osobowych prowadzi się w trybie: 1) sprawdzenia planowego zgodnego z zatwierdzonym przez Zarząd OPL planem audytów (sprawdzeń), 2) sprawdzenia doraźnego - prowadzonego w przypadkach naruszenia ochrony Danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia, 3) art. 19b ust. 1 Ustawy - na zlecenie GIODO. 3. Sprawdzenie planowe jest prowadzone: 1) przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji, 2) w formie planowych audytów wg standardów ISO Systemu Zarządzania Bezpieczeństwem Informacji, zatwierdzonych przez Zarząd OPL. 4. Sprawdzenie doraźne jest prowadzone: 1) przez pracowników Wydziału Zarządzania Incydentami Bezpieczeństwa w ramach realizacji zadań Systemu Zarządzania Bezpieczeństwem Informacji, zgodnie z Zasadami Zarządzania Incydentami Bezpieczeństwa Informacji w OPL, 2) przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji. 5. Sprawdzenie na zlecenie GIODO jest prowadzone przez ABI lub wskazanych przez niego pracowników Wydziału Koordynacji Ochrony Informacji. 6. W Sprawdzeniach uczestniczą delegowani na wniosek ABI eksperci oraz pracownicy innych jednostek i komórek organizacyjnych OPL. Wniosek kierowany jest do ich przełożonych. Osoby prowadzące Sprawdzenie lub uczestniczące w nim w charakterze ekspertów, o których mowa w niniejszym ustępie, przekazują ABI raport ze Sprawdzenia niezwłocznie po jego zakończeniu, w oparciu o który ABI sporządza Sprawozdanie. 14

Zarządzanie Ryzykiem, Wdrażanie Zabezpieczeń lub Działań Korygujących dane wejściowe rejestr incydentów wyniki audytu BSI wyniki audytów wewn. i zewn. informacje od zainteresowanych stron nowy lub rozwijany projekt, proces, usługa, inicjatywa SZACOWANIE RYZYKA identyfikacja (ocena) zagrożeń, podatności i następstw analizy wstępne i pogłębione zestawienie ryzyk i wskazanie WR OCENA RYZYKA prawdopodobieństwo wystąpienia (P) następstwo wystąpienia (N) ankieta z propozycją oceny ryzyk dane wyjściowe P/N 1 2 3 4 5 1 N N N Ś Ś 2 N N Ś Ś W 3 N Ś Ś W W 4 Ś Ś W W BW 5 Ś W W BW BW Raport z AR + propozycje postępowania z ryzykiem Plan Postępowania z Ryzykiem POSTĘPOWANIE Z RYZYKIEM wybór strategii zastosowanie zabezpieczeń 15

Centrum kompetencji ISO 27001 Pełnomocnik ds. SZBI Administrator Bezpieczeństwa Informacji 16

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres