Miejsce audytu teleinformatycznego i doradcy technologicznego

Podobne dokumenty
2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Deklaracja stosowania

Deklaracja stosowania

Bezpieczeństwo systemów informacyjnych

Bezpieczeństwo systemów informacyjnych

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

DEKLARACJA STOSOWANIA

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

ISO nowy standard bezpieczeństwa. CryptoCon,

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

CERTYFIKACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI ISMS Z WYKORZYSTANIEM KOMPUTEROWO WSPOMAGANYCH TECHNIK AUDITOWANIA CAAT

Marcin Soczko. Agenda

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Promotor: dr inż. Krzysztof Różanowski

ZINTEGROWANY SYSTEM ZARZĄDZANIA DOKUMENT NADZOROWANY W WERSJI ELEKTRONICZNEJ

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

SZCZEGÓŁOWY HARMONOGRAM KURSU

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

POLECENIE SŁUŻBOWE Nr 27/08 DYREKTORA URZĘDU. z dnia 13 listopada 2008 roku

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

ISO w Banku Spółdzielczym - od decyzji do realizacji

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Szkolenie otwarte 2016 r.

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Szczegółowy opis przedmiotu zamówienia:

Krzysztof Świtała WPiA UKSW

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

I. O P I S S Z K O L E N I A

SPIS TREŚCI SPIS TREŚCI Postanowienia ogólne Zastosowanie POWOŁANIA NORMATYWNE TERMINY I DEFINICJE SYSTEM ZA

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

ISO bezpieczeństwo informacji w organizacji

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Bezpieczeńtwo informacji

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania

Polityka Bezpieczeństwa dla Dostawców

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

HARMONOGRAM SZKOLENIA

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Deklaracja stosowania

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Reforma ochrony danych osobowych RODO/GDPR

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Uchwała nr 56/IV/2006. Zarządu Polskiego Radia Spółki Akcyjnej. z dnia 25 października 2006 r.

Bezpieczeństwo danych w sieciach elektroenergetycznych

PROCEDURY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Program Kontroli Jakości Bezpieczeństwa Informacji

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Współpraca audytu wewnętrznego z audytem jakości przy realizacji zadania dotyczącego obszaru bezpieczeństwa informacji

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

13. Zarządzanie incydentami w zakresie bezpieczeństwa informacji Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości

PN-ISO/IEC POLSKA NORMA. Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji.

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Bezpieczeństwo systemów informacyjnych

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Rozdział I BEZPIECZEŃSTWO OSOBOWE

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Zarządzenie nr 2/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 12 czerwca 2015 roku

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Opis przedmiotu zamówienia

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Zarządzenie nr 8/2015 Dyrektora Zespołu Szkół nr 2 w Rybniku z dnia 11 czerwca 2015 roku

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

PISMO OKÓLNE. Nr 8/2013. Rektora Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. z dnia 30 sierpnia 2013 r.

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Szczegółowe informacje o kursach

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zapytanie ofertowe nr OR

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Transkrypt:

Miejsce audytu teleinformatycznego i doradcy technologicznego w systemie zarządzania bezpieczeństwem informacji Marcin Majdecki Det Norske Veritas Poland 19.03.2008

KIM JESTEŚMY? Jesteśmy fundacją załoŝon oną w 1864 roku Naszą misją jest: Ochrona zdrowia i Ŝycia, własnow asności i środowiska Jesteśmy obecni w 100 krajach, ach, posiadamy 300 biur,, zatrudniamy ok. 6000 pracowników Nadzorujemy 17% tonaŝu u floty światowej z najniŝszym wskaźnikiem wypadkowości Jesteśmy jedną z trzech największych jednostek certyfikacyjnych świata nadzorujemy ponad 59.000 systemów w zarządzania w ponad 40.000 firm Posiadamy szeroką ofertę autorskich i partnerskich programów szkoleniowych z zakresu zarządzania Slide 2

Brak zapewnienia bezpieczeństwa informacji moŝe mieć powaŝne konsekwencje! Dane medyczne Dane dotyczące dotyczące 185000 Citi kart informuje kredytowych o utracie danych pacjentów MasterCard skradzione! prawdopodobnie dotyczących 3,9 zostały mln klientów skradzione z HSBC CNET News.com 8 kwietnia 2005 Reuters MSNBC 7 czerwca 2005 14 Kwietnia 2005 CitiFinancial, finansowe Pracownicy przychodni ramię Citigroup Inc., lekarskiej w San Jose skopiowali informacje Grupa HSBC poinformowało w dotyczące swoich pacjentów poinformowała z 180,000 poniedziałek, Ŝe rozpoczęło zabezpieczonych serwerów posiadaczy na swoich proces kart informowania około dwa lokalne komputery. kredytowych MasterCard 3,9 miliona swoich klientów Wczesnym rankiem o dnia moŝliwej 28 kradzieŝy o fakcie utraty taśm marca miało miejsce danych włamanie, dotyczących komputerowych tych podczas którego te kart. zawierających ich dane dwa nowe osobowe komputery zostały skradzione. Slide 3

Brak zapewnienia bezpieczeństwa informacji moŝe mieć powaŝne konsekwencje! Zginął laptop Kaczmarka Z samochodu Wiesława Kaczmarka skradziono laptopa. Jak powiedział Radiu ZET były minister skarbu złodziej włamał się do jego volvo, w którym był teŝ plecak i torba. Zginął jednak tylko komputer. Niewykluczone, Ŝe w skradzionym laptopie Kaczmarka były m.in. informacje dotyczące sprawy Orlenu. Do kradzieŝy doszło w centrum Warszawy. Jak podkreśla Kaczmarek, zastanawiające jest to, Ŝe włamano się do jego auta w biały dzień i Ŝe zginął tylko laptop. Slide 4

Brak zapewnienia bezpieczeństwa informacji moŝe mieć powaŝne konsekwencje! Kurier Lubelski (16.12.2004) KTO WYRZUCIŁ BANKOWĄ DOKUMENTACJĘ? Dokumenty bankowe wylądowały na śmietniku przy ul. Zwycięskiej w Lublinie. Jak się tu znalazły? Zagadkę wyjaśnia policja. Sprawa wyszła na jaw wczoraj przed południem. Papiery zostały wrzucone do duŝego kontenera niedaleko hipermarketu Tesco. Znalazł je pracownik osiedlowej administracji. Slide 5

Bezpieczeństwo Informacji System Zarządzania Bezpieczeństwem Informacji (ISMS) część ogólnego systemu zarządzania organizacją, oparta o podejście uwzględniające analizę ryzyka biznesowego, w celu ustanowienia, wdroŝenia, stosowania, monitorowania, przeglądania, utrzymywania i doskonalenia bezpieczeństwa informacji Bezpieczeństwo informacji zabezpieczenie poufności, integralności i dostępności informacji Dostępno pność zapewnienie, Ŝe osoby upowaŝnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne Poufność zapewnienie, Ŝe informacja jest dostępna jedynie osobom upowaŝnionym Integralność zapewnienie dokładności i kompletności informacji oraz metod przetwarzania Slide 6

Bezpieczeństwo Informacji zarządzanie bezpieczeństwem informacji =/ zarządzanie bezpieczeństwem systemów w informatycznych Slide 7

System zarządzania bezpieczeństwem informacji system informacyjny =/ system informatyczny Slide 8

Co to za normy? 1995 BS 7799-1 zainicjowana przez brytyjskie Ministerstwo Handlu i Przemysłu 1998 BS 7799-2 1999 nowa edycja BS 7799-1 i BS 7799-2 2000 ISO 17799 (= BS 7799-1) 2002 BS 7799-2 2003 PN-ISO 17799 2005 PN-I-07799-2 2005 ISO 17799 2005 ISO 27001 2006 PN-ISO 27001 Slide 9

Norma podlegająca audytowaniu vs. wytyczne Normatywna specyfikacja, według której moŝna przeprowadzać audyty i oceniać zgodność z wymaganiami lub jej brak - ISO/IEC 27001:2005 jest normą podlegającą audytowaniu Wytycznymi są najlepsze dostępne praktyki osiągania danego celu - ISO/IEC 17799:2005 jest kodeksem postępowania zawierającym wskazówki i zalecenia, określającym najlepsze praktyki dotyczące procesów zarządzania bezpieczeństwem informacji Slide 10

Jak zabezpieczać? ISO 27001:2005? Slide 11

Wymagania normy ale czy tylko te? A.6.1.8 NiezaleŜny przegląd bezpieczeństwa informacji A.15.2.1 Zgodność z politykami bezpieczeństwa i normami A.15.2.2 Sprawdzanie zgodności technicznej A.15.3.1 Zabezpieczenia audytu systemów informacyjnych A.15.3.2 Ochrona narzędzi audytu systemów informacyjnych Slide 12

Zgodność A.15 Zgodność A.15.1 Zgodność z przepisami prawa A.15.1.1 Określenie odpowiednich przepisów prawnych A.15.1.2 Prawo do własności intelektualnej A.15.1.3 Ochrona zapisów Organizacji A.15.1.4 Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych A.15.1.5 Zapobieganie naduŝywaniu środków przetwarzania informacji A.15.1.6 Regulacje dotyczące zabezpieczeń kryptograficznych A.15.2 Zgodność z politykami bezpieczeństwa i normami oraz zgodność techniczna A.15.2.1 Zgodność z politykami bezpieczeństwa i normami A.15.2.2 Sprawdzanie zgodności technicznej A.15.3 Rozwiązania dotyczące audytu systemów informacyjnych A.15.3.1 Zabezpieczenia audytu systemów informacyjnych A.15.3.2 Ochrona narzędzi audytu systemów informacyjnych Slide 13

Zarządzanie ciągłością działania A.14 Zarządzanie ciągłością działania A.14.1 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania A.14.1.1 Włączanie bezpieczeństwa informacji do procesu zarządzania ciągłością działania A.14.1.2 Ciągłość działania i szacowanie ryzyka A.14.1.3 Opracowanie i wdroŝenie planów ciągłości uwzględniających bezpieczeństwo informacji A.14.1.4 Struktura planowania ciągłości działania A.14.1.5 Testowanie, utrzymanie i ponowna ocena planów ciągłości działania Slide 14

Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości A.13.1.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji A.13.1.2 Zgłaszanie słabości systemu bezpieczeństwa A.13.2 Zarządzanie incydentami związanymi z bezpieczeństwem informacji i udoskonalenia A.13.2.1 Odpowiedzialność i procedury A.13.2.2 Wyciąganie wniosków z incydentów A.13.2.3 Gromadzenie materiału dowodowego Slide 15

Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12.1 Wymagania bezpieczeństwa systemów informacyjnych A.12.1.1 Analiza i opis wymagań bezpieczeństwa A.12.2 Poprawne przetwarzanie w aplikacjach A.12.2.1 Potwierdzenie poprawności danych wejściowych A.12.2.2 Kontrola przetwarzania wewnętrznego A.12.2.3 Integralność wiadomości A.12.2.4 Potwierdzenie poprawności danych wyjściowych A.12.3 Zabezpieczenia kryptograficzne A.12.3.1 Polityka korzystania z zabezpieczeń kryptograficznych A.12.3.2 Zarządzanie kluczami Slide 16

Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12.4 Bezpieczeństwo plików systemowych A.12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej A.12.6 Zarządzanie podatnościami technicznymi A.12.4.1 Zabezpieczeni oprogramowania produkcyjnego A.12.4.2 Ochrona systemowych danych testowych A.12.4.3 Kontrola dostępu do kodu źródłowego A.12.5.1 Procedury kontroli zmian A.12.5.2 Techniczny przegląd aplikacji po zmianach w systemie operacyjnym A.12.5.3 Ograniczenia dotyczące zmian w pakietach oprogramowania A.12.5.4 Wyciek informacji A.12.5.5 Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej A.12.6.1 Nadzór nad podatnościami technicznymi Slide 17

Kontrola dostępu A.11 Kontrola dostępu A.11.1 Wymagania biznesowe wobec kontroli dostępu A.11.2 Zarządzanie dostępem uŝytkowników A.11.3 Odpowiedzialność uŝytkowników A.11.4 Kontrola dostępu do sieci A.11.1.1 Polityka kontroli dostępu A.11.2.1 Rejestracja uŝytkowników A.11.2.2 Zarządzanie przywilejami A.11.2.3 Zarządzanie hasłami uŝytkowników A.11.2.4 Przegląd praw dostępu uŝytkowników A.11.3.1 UŜywanie haseł A.11.3.2 Pozostawianie sprzętu uŝytkownika bez opieki A.11.3.3 Polityka czystego biurka i czystego ekranu A.11.4.1 Polityka korzystania z usług sieciowych A.11.4.2 Uwierzytelnianie uŝytkowników przy połączeniach zewnętrznych A.11.4.3 Identyfikacja urządzeń w sieciach A.11.4.4 Ochrona zdalnych portów diagnostycznych i konfiguracyjnych A.11.4.5 Rozdzielanie sieci A.11.4.6 Kontrola połączeń sieciowych A.11.4.7 Kontrola rutingu w sieciach Slide 18

Kontrola dostępu A.11 Kontrola dostępu A.11.5 Kontrola dostępu do systemów operacyjnych A.11.5.1 Procedury bezpiecznego logowania się A.11.5.2 Identyfikacja i uwierzytelnianie uŝytkowników A.11.5.3 System zarządzania hasłami A.11.5.4 UŜycie systemowych programów narzędziowych A.11.5.5 Kończenie sesji po określonym czasie A.11.5.6 Ograniczenie czasu trwania połączenia A.11.6 Kontrola dostępu do aplikacji A.11.6.1 Ograniczenie dostępu do informacji A.11.6.2 Izolowanie systemów wraŝliwych A.11.7 Przetwarzanie mobilne i praca na odległość A.11.7.1 Przetwarzanie i komunikacja mobilna A.11.7.2 Praca na odległość Slide 19

Zarządzanie systemami i sieciami A.10 Zarządzanie systemami i sieciami A.10.1 Procedury eksploatacyjne i zakresy odpowiedzialności A.10.2 Zarządzanie usługami dostarczanymi przez strony trzecie A.10.3 Planowanie i odbiór systemów A.10.4 Ochrona przed kodem złośliwym i kodem mobilnym A.10.1.1 Dokumentowanie procedur eksploatacyjnych A.10.1.2 Zarządzanie zmianami A.10.1.3 Rozdzielenie obowiązków A.10.1.4 Oddzielenie urządzeń rozwojowych, testowych i produkcyjnych A.10.2.1 Dostarczanie usług A.10.2.2 Monitorowanie i przegląd usług strony trzeciej A.10.2.3 Zarządzanie zmianami strony trzeciej A.10.3.1 Zarządzanie pojemnością systemów A.10.3.2 Odbiór systemu A.10.4.1 Zabezpieczenia przed kodem złośliwym A.10.4.2 Zabezpieczenia przed kodem mobilnym Slide 20

Zarządzanie systemami i sieciami A.10 Zarządzanie systemami i sieciami A.10.5 Kopie zapasowe A.10.5.1 Zapasowe kopie informacji A.10.6 Zarządzanie bezpieczeństwem sieci A.10.6.1 Zabezpieczenia sieci A.10.6.2 Bezpieczeństwo usług sieciowych A.10.7 Posługiwanie się nośnikami A.10.7.1 Zarządzanie nośnikami wymiennymi A.10.7.2 Niszczenie nośników A.10.7.3 Procedury postępowania z informacjami A.10.7.4 Bezpieczeństwo dokumentacji systemowej Slide 21

Zarządzanie systemami i sieciami A.10 Zarządzanie systemami i sieciami A.10.8 Wymiana informacji A.10.9 Usługi handlu elektronicznego A.10.8.1 Polityki i procedury wymiany informacji A.10.8.2 Umowy o wymianie informacji A.10.8.3 Transport nośników fizycznych A.10.8.4 Wiadomości elektroniczne A.10.8.5 Biznesowe systemy informacyjne A.10.9.1 Handel elektroniczny A.10.9.2 Transakcje on-line A.10.9.3 Informacje publicznie dostępne A.10.10 Monitorowanie A.10.10.1 Dzienniki audytu A.10.10.2 Monitorowanie uŝycia systemu A.10.10.3 Ochrona informacji zawartych w dziennikach A.10.10.4 Dzienniki administratora i operatora A.10.10.5 Rejestrowanie błędów A.10.10.6 Synchronizacja zegarów Slide 22

Bezpieczeństwo fizyczne i środowiskowe A.9 Bezpieczeństwo fizyczne i środowiskowe A.9.1 Obszary bezpieczne A.9.1.1 Fizyczna granica obszaru bezpiecznego A.9.1.2 Fizyczne zabezpieczenie wejścia A.9.1.3 Zabezpieczenie biur, pomieszczeń i urządzeń A.9.1.4 Ochrona przed zagroŝeniami zewnętrznymi i środowiskowymi A.9.1.5 Praca w obszarach bezpiecznych A.9.1.6 Obszary publicznie dostępne, dostaw i załadunku A.9.2 Bezpieczeństwo sprzętu A.9.2.1 Lokalizacja i ochrona sprzętu A.9.2.2 Systemy wspomagające A.9.2.3 Bezpieczeństwo okablowania A.9.2.4 Konserwacja sprzętu A.9.2.5 Bezpieczeństwo sprzętu poza siedzibą A.9.2.6 Bezpieczne zbywanie lub przekazywanie do ponownego uŝycia A.9.2.7 Wynoszenie mienia Slide 23

Bezpieczeństwo zasobów ludzkich A.8 Bezpieczeństwo zasobów ludzkich A.8.1 Przed zatrudnieniem A.8.1.1 Role i zakresy odpowiedzialności A.8.1.2 Postępowanie sprawdzające A.8.1.3 Zasady i warunki zatrudnienia A.8.2 Podczas zatrudnienia A.8.2.1 Odpowiedzialność kierownictwa A.8.2.2 Uświadomienie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji A.8.2.3 Postępowanie dyscyplinarne A.8.3 Zakończenie lub zmiana zatrudnienia A.8.3.1 Odpowiedzialność związana z zakończeniem zatrudnienia A.8.3.2 Zwrot aktywów A.8.3.3 Odebranie praw dostępu Slide 24

Zarządzanie aktywami A.7 Zarządzanie aktywami A.7.1 Odpowiedzialność za aktywa A.7.1.1 A.7.1.2 A.7.1.3 Inwentaryzacja aktywów Własność aktywów Akceptowalne uŝycie aktywów A.7.2 Klasyfikacja informacji A.7.2.1 A.7.2.2 Zalecenia do klasyfikacji Oznaczanie informacji i postępowanie z informacjami Slide 25

Organizacja bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.6.1 Organizacja wewnętrzna A.6.1.1 ZaangaŜowanie kierownictwa w bezpieczeństwo informacji A.6.1.2 Koordynacja bezpieczeństwa informacji A.6.1.3 Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji A.6.1.4 Proces autoryzacji środków przetwarzania informacji A.6.1.5 Umowy o zachowaniu poufności A.6.1.6 Kontakty z organami władzy A.6.1.7 Kontakty z grupami zainteresowania bezpieczeństwem A.6.1.8 NiezaleŜny przegląd bezpieczeństwa informacji A.6.2 Strony zewnętrzne A.6.2.1 Określenie ryzyk związanych ze stronami zewnętrznymi A.6.2.2 Bezpieczeństwo w kontaktach z klientami A.6.2.3 Bezpieczeństwo w umowach ze stroną trzecią Slide 26

Polityka bezpieczeństwa informacji A.5 Polityka bezpieczeństwa A.5.1 Polityka bezpieczeństwa informacji A.5.1.1 Dokument polityki bezpieczeństwa informacji A.5.1.2 Przegląd polityki bezpieczeństwa informacji Slide 27

ISO/IEC 27006 Slide 28

D.2.2 Column System testing System testing means direct review of systems (e.g. review of system settings or configuration). The auditor s questions could be answered at the system console or by evaluation of the results of testing tools. If the client organization has a computer-based tool in use that is known to the auditor, this can be used to support the audit, or the results of an evaluation performed by the client organization (or their sub-contractors) can be reviewed. There are two categories for the review of technical controls: possible : system testing is possible for the evaluation of control implementation, but usually not necessary; recommended : system testing is usually necessary. Slide 29

KONTAKT Certyfikacja Marcin Majdecki 81-850 Sopot ul. 3 Maja 67-69 Tel. (58) 511 50 30 Fax (58) 511 50 44 Szkolenia Anna Pawliszcze 02-726 Warszawa ul. Skrzetuskiego 16A Tel. (22) 543 97 63 Fax (22) 843 07 66 0 601 831 286 Slide 30

Slide 31

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres