Zaadresowanie bezpieczeństwa informacji w projektach podmiotów publicznych wymagania Krajowych Ram Interoperacyjności

Podobne dokumenty
Nadzór nad systemami zarządzania w transporcie kolejowym

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO

ZARZĄDZENIE NR 11/2012 Wójta Gminy Rychliki. z dnia 30 stycznia 2012 r. w sprawie wdrożenia procedur zarządzania ryzykiem w Urzędzie Gminy Rychliki

BEZPIECZEŃSTWO INFORMACYJNE I CYBERNETYCZNE

Tomice, dnia 15 lutego 2012 r.

POLITYKA JAKOŚCI. Międzyzakładowej Spółdzielni Mieszkaniowej Energetyka

Systemy monitoringu wizyjnego Avigilon w zabezpieczeniu obiektów logistycznych.

NOWE I ISTNIEJĄCE SYSTEMY ADMINISTRACJI PUBLICZNEJ W ŚWIETLE ROZPORZĄDZENIA KRAJOWYCH RAM INTEROPERACYJNOŚCI

DECYZJA NR 2/11 SZEFA CENTRALNEGO BIURA ANTYKORUPCYJNEGO. z dnia 3 stycznia 2011 r.

I. Zarządzanie ryzykiem wewnętrznym w jednostkach sektora finansów publicznych

KRYTERIA DOSTĘPU. Działanie 2.1,,E-usługi dla Mazowsza (typ projektu: e-administracja, e-zdrowie)

RAPORT Z AUDITU. polski Reie.tr Sictkón, Biuro Certyfikacji NR NC /P6 PN-EN ISO 9001:2009

Oświadczenie o stanie kontroli zarz ądczej Starosty Powiatu Radomszcza ńskiego za rok 2014

Kontrakt Terytorialny

PROGMEDICA System Zarządzania zgodnością w Szpitalu WOLTERS KLUWER DLA SZPITALI

1. Planowanie strategiczne. 4. Monitorowanie i ewaluacja. 3. Wdrażanie polityk. 2. Tworzenie polityk. Wybrane dziedziny. Ochrona klimatu i atmosfery

ZARZĄDZENIE NR 243/2007 PREZYDENTA MIASTA KRAKOWA Z DNIA 7 lutego 2007 roku

PROGRAM ZAPEWNIENIA I POPRAWY JAKOŚCI AUDYTU WEWNĘTRZNEGO

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

Lista standardów w układzie modułowym

Zarządzenie Nr 32/2011 Dyrektora Dziecięcego Szpitala Klinicznego w Lublinie z dnia r.

REGULAMIN KONTROLI ZARZĄDCZEJ W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W TOLKMICKU. Postanowienia ogólne

Normy szansą dla małych przedsiębiorstw. Skutki biznesowe wdrożenia norm z zakresu bezpieczeństwa w małych firmach studium przypadków

Kontrola na miejscu realizacji projektu Procedury i zarządzanie projektem Archiwizacja

Zarządzanie projektami. wykład 1 dr inż. Agata Klaus-Rosińska

współadministrator danych osobowych, pytania i indywidualne konsultacje.

Budowanie roli HR Business Partnera w firmach świadczących usługi profesjonalne - wdrożenie projektu

DOTACJE NA INNOWACJE. Zapytanie ofertowe

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

SYSTEM ZARZĄDZANIA JAKOŚCIĄ DOKUMENT NADZOROWANY. Realizacja auditu wewnętrznego Systemu Zarządzania Jakością

Z RZĄ Z DZA Z NIE I J A J KOŚ O CIĄ I

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

Program zdrowotny. Programy profilaktyczne w jednostkach samorz du terytorialnego. Programy zdrowotne a jednostki samorz du terytorialnego

Tychy, r. ZAPYTANIE OFERTOWE

Instrukcja Obsługi STRONA PODMIOTOWA BIP

KOMISJA WSPÓLNOT EUROPEJSKICH, uwzględniając Traktat ustanawiający Wspólnotę Europejską, ROZDZIAŁ 1

IZBA CELNA WE WROCŁAWIU Wrocław, dnia 30 kwietnia 2012 r. Ul. Hercena Wrocław

Państwowa Wyższa Szkoła Zawodowa w Elblągu KSIĘGA JAKOŚCI

PROCEDURA OCENY RYZYKA ZAWODOWEGO. w Urzędzie Gminy Mściwojów

Dobre praktyki w zakresie zarządzania ładem architektury korporacyjnej

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Gdańsku

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

Załącznik nr 7 do Regulaminu. Tytuł procedury: ZARZĄDZANIE RYZYKIEM SPIS TREŚCI

AUDYT BEZPIECZEŃSTWA INFORMACJI w praktyce

Gospodarowanie mieniem Województwa

Projekt współfinansowany przez Unię Europejską w ramach Europejskiego Funduszu Społecznego. Urząd Miejski w Libiążu Wrzesień 2015 r.

PROGRAM PRZECIWDZIAŁANIA PRZEMOCY W RODZINIE ORAZ OCHRONY OFIAR PRZEMOCY W RODZINIE W GMINIE LIPNO NA LATA

ARCHITEKTURA INSTYTUCJI JAKO NARZĘDZIE UŁATWIAJĄCE ZARZĄDZANIE DANYMI

Projekt U S T A W A. z dnia

STRATEGICZNA KARTA WYNIKÓW I JEJ ZASTOSOWANIE W ADMINISTARCJI PUBLICZNEJ

Karta audytu wewnętrznego w Starostwie Powiatowym w Kielcach

Prawa i obowiązki pracownika oraz pracodawcy w zakresie BHP

Polityka prywatności strony internetowej wcrims.pl

Kwestionariusz Samooceny Kontroli Zarządczej

Sprawozdanie z działalności Rady Nadzorczej TESGAS S.A. w 2008 roku.

Fiszka oferty usług proinnowacyjnych

Warszwa, dnia 16 marca 2015 r.

Pojęcie i istota zarządzania WYKŁAD I

PROCEDURA PRZEGLĄDU I MONITORINGU KODEKSU ETYCZNEGO PRACOWNIKÓW POWIATOWEGO CENTRUM POMOCY RODZINIE W KOŁOBRZEGU

ZARZĄDZENIE NR 62/2015 BURMISTRZA MIASTA LUBAŃ. z dnia 17 marca 2015 r.

Uchwała Nr 27/2012. Senatu Uniwersytetu Jana Kochanowskiego w Kielcach. z dnia 26 kwietnia 2012 roku

Wprowadzenie nowoczesnych e-usług w podmiotach leczniczych nadzorowanych przez Ministra Zdrowia


Zamówienia publiczne w PKP PLK S.A. w obszarze inwestycji kolejowych. Warszawa, 10 maja 2016 r.

DZIENNIK URZĘDOWY MINISTRA CYFRYZACJI

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

Raport z realizacji Planu działań na rzecz zrównoważonej energii (SEAP) dla Miasta Bydgoszczy na lata

RAPORT Z EWALUACJI WEWNĘTRZNEJ. Młodzieżowego Domu Kultury w Puławach W ROKU SZKOLNYM 2014/2015. Zarządzanie placówką służy jej rozwojowi.

ROCZNY PLAN DZIAŁAŃ INFORMACYJNO PROMOCYJNYCH

PROCEDURA SYSTEMU ZARZĄDZANIA JAKOŚCIĄ OCENA ZADOWOLENIA KLIENTA

PROCEDURA PPZ-1. Nadzór nad dokumentami i zapisami SPIS TREŚCI

Opis przedmiotu zamówienia dla części 1 oraz dla części 2 zamówienia. Załącznik nr 1 do SIWZ

SZCZEGÓŁOWY PROGRAM SZKOLENIA OKRESOWEGO. pracodawców i innych osób kierujących pracownikami. w zakresie bezpieczeństwa i higieny pracy

Procedura prowadzenia ewaluacji realizacji polityk i programów publicznych

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

Prawo i praktyka kancelaryjno-archiwalna w podmiotach publicznych

Obywatelski audyt efektywności świadczenia usług administracyjnych przez samorządy lokalne

WYBRANE ASPEKTY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA PRZEDSIĘBIORSTWA HUTNICZEGO

ZARZĄDZENIE NR 14 /12

Zmiany przepisów ustawy -Karta Nauczyciela. Warszawa, kwiecień 2013

Łańcuch Krytyczny w Zarządzaniu Projektami

Ramowy plan działań Krajowego Obserwatorium Terytorialnego na rok Warszawa, kwietnia 2016 r.

z dnia 6 lutego 2009 r.

Załącznik nr 5 - Plan komunikacji

TQM w zarządzaniu jakością

Lista kontrolna osiągania interoperacyjności przez system teleinformatyczny regulowany przez projekt dokumentu rządowego

Prospołeczne zamówienia publiczne

RAPORT DEKRY WNIOSKI DLA POLSKI

Oferta kompleksowego serwisu sprzętu komputerowego dla przedsiębiorstw, instytucji oraz organizacji.

KLASA BEZPIECZEŃSTWA NARODOWEGO

Procedura nadawania uprawnień do potwierdzania Profili Zaufanych w Urzędzie Gminy w Ryjewie

Program Operacyjny Innowacyjna Gospodarka

POSTANOWIENIA OGÓLNE

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze w świetle strategicznych działań MC

ZARZĄDZENIE NR 21 /2011 DYREKTORA MUZEUM ŚLĄSKA OPOLSKIEGO W OPOLU z dnia 30 grudnia 2011 r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Rozwój e learningu z wykorzystaniem funduszy europejskich. Piotr Koenig UMWP

Uwaga - Bezpłatne usługi innowacyjne dla firm

SYSTEM ZARZĄDZANIA ŚRODOWISKOWEGO

Egzemplarz szkoleniowy PN-EN ISO 9001:2009. luty Systemy zarządzania jakością Wymagania. Treść zgodna z PN EN ISO 9001:2009 1/27

Transkrypt:

Zaadresowanie bezpieczeństwa informacji w projektach podmiotów publicznych wymagania Krajowych Ram Interoperacyjności Warszawa, 14 kwietnia 2014 Michał Tabor Dyrektor ds. Operacyjnych CISSP Ekspert PIIT Konferencja Wybór właściwej metodyki zarządzania projektem oraz ryzykiem związanym z jego realizacją

Agenda Zarządzanie bezpieczeństwem infomracji Bezpieczeństwo informacji a projekt 2

Czy ten rower jest bezpieczny? 3

A może są nowe zagrożenia

Definicja bezpieczeństwa Koszty zabezpieczeń Wartość aktywów Prawdopodobieństwo utraty

INTEGRALNOŚĆ POUFNOŚĆ DOSTĘPNOŚĆ Filary bezpieczeństwa BEZPIECZEŃSTWO 6

Jak wygląda bezpieczeństwo w aktualnych projektach KRI Danych osobowych Ustawy System teleinformatyczny musi zapewnić bezpieczeństwo Standardy Najlepsze praktyki 7

Krajowe Ramy Interoperacyjności 15. 1. Systemy teleinformatyczne używane przez podmioty realizujące zadania publiczne projektuje się, wdraża oraz eksploatuje z uwzględnieniem ich funkcjonalności, niezawodności, używalności, wydajności, przenoszalności i pielęgnowalności, przy zastosowaniu norm oraz uznanych w obrocie profesjonalnym standardów i metodyk. 2. Zarządzanie usługami realizowanymi przez systemy teleinformatyczne ma na celu dostarczanie tych usług na deklarowanym poziomie dostępności i odbywa się w oparciu o udokumentowane procedury. 8

Krajowe Ramy Interoperacyjności 2. Zarządzanie bezpieczeństwem informacji 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system realizowane zarządzania bezpieczeństwem jest w szczególności informacji zapewniający przez poufność, dostępność zapewnienie i integralność przez informacji kierownictwo z uwzględnieniem podmiotu takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. publicznego warunków umożliwiających 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności realizację przez i egzekwowanie zapewnienie przez kierownictwo następujących podmiotu publicznego działań: warunków umożliwiających realizację i egzekwowanie następujących działań: 1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania 3) przeprowadzania okresowych analiz ryzyka 4) podejmowania działań. 9

Bezpieczeństwo a projekty Orgnanizacja (podmiot publiczny) Przywództwo Obszar bezpieczeństwa informacji Role i odpowiedzi alności Dokumenty Projekt Zarządzanie ryzykiem Produkt projektu system teleinform atyczny 10

11

Cykl Deminga Ustanowienie kontekstu Utrzymanie i doskonalenie procesu Szacowanie ryzyka Opracowanie planu postępowania Akceptowanie ryzyka Monitorowanie i przegląd Wdrożenie planu postępowania 12

Ustanowienie kontekstu Identyfikacja wymagań zewnętrznych i wewnętrznych dotyczących bezpieczeństwa przetwarzanych informacji Określenie zakresu funkcjonowania systemu bezpieczeństwa informacji Określenie celów i kierunków systemu zarządzania bezpieczeństwem informacji 13

Przywództwo Przywództwo i zaangażowanie Najwyższe kierownictwo powinno demonstrować działania nadzorcze i zaangażowanie Polityka Najwyższe kierownictwo powinno ustanowić politykę bezpieczeństwa informacji Role organizacyjne, odpowiedzialności i uprawnienia Najwyższe kierownictwo powinno zapewnić że odpowiedzialności i uprawnienia ról w zakresie zarządzania bezpieczeństwem informacji są przydzielone i zakomunikowane. 14

Planowanie 6.1 Działania w zakresie zarządzania ryzykiem i możliwości Ustanowienie procesu szacowania ryzyka Analiza i ocena ryzyka Ustanowienie procesu postępowania z ryzykiem 6.2 Cele w zakresie bezpieczeństwa informacji i planowanie działań umożliwiających ich osiągnięcie 15

Bezpieczeństwo a ryzyko Każda działalność obarczona jest ryzykiem Zarządzając ryzykiem zwiększamy bezpieczeństwo Zwiększając bezpieczeństwo redukujemy poziom ryzyka 16

Zarządzanie ryzykiem Zarządzanie ryzykiem jest procesem naturalnym! 17

Zarządzanie ryzykiem USTANOWIENIE KONTEKSTU Podejście procesowe! SZACOWANIE RYZYKA ANALIZA RYZYKA Ustanowienie kontekstu IDENTYFIKOWANIE RYZYKA Szacowanie ryzyka INFORMOWANIE O RYZYKU PUNKT DECYZYJNY RYZYKA 1 szacowanie satysfakcjonujące ESTYMOWANIE RYZYKA OCENA RYZYKA NIE MONITOROWANIE I PRZEGLĄD RYZYKA Identyfikowanie ryzyka Estymowanie ryzyka Ocena ryzyka Postępowanie z ryzykiem TAK Monitorowanie i przegląd POSTEPOWANIE Z RYZYKIEM Informowanie o ryzyku PUNKT DECYZYJNY RYZYKA 2 postępowanie satysfakcjonujące NIE TAK AKCEPTOWANIE RYZYKA KONIEC PIERWSZEJ LUB NASTEPNEJ ITERACJI 18

Zarządzanie ryzykiem USTANOWIENIE KONTEKSTU Podejście procesowe! SZACOWANIE RYZYKA ANALIZA RYZYKA Ustanowienie kontekstu IDENTYFIKOWANIE RYZYKA Szacowanie ryzyka INFORMOWANIE O RYZYKU PUNKT DECYZYJNY RYZYKA 1 szacowanie satysfakcjonujące ESTYMOWANIE RYZYKA OCENA RYZYKA NIE MONITOROWANIE I PRZEGLĄD RYZYKA Identyfikowanie ryzyka Estymowanie ryzyka Ocena ryzyka Postępowanie z ryzykiem TAK Monitorowanie i przegląd POSTEPOWANIE Z RYZYKIEM Informowanie o ryzyku PUNKT DECYZYJNY RYZYKA 2 postępowanie satysfakcjonujące NIE TAK AKCEPTOWANIE RYZYKA KONIEC PIERWSZEJ LUB NASTEPNEJ ITERACJI 19

Ustanowienie kontekstu 20

Szacowanie ryzyka 21

Postępowanie z ryzykiem 22

Monitorowanie i raportowanie ryzyka 23

Zarządzanie bezpieczeństwem informacji a projekty 24

Zarządzanie bezpieczeństwem informacji a projekty 25

Na koniec Kontekst bezpieczeństwa informacji powinien zostać zaplanowany na początku projektu 26

Q&A Pytania i odpowiedzi Dziękuję za uwagę Michał Tabor michal.tabor@ticons.pl www.ticons.pl 27

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres