Polityka bezpieczeństwa

Podobne dokumenty
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

I. O P I S S Z K O L E N I A

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

ZAKRES PROJEKTU DOT. ZARZĄDZANIA KOSZTAMI ŚRODOWISKOWYMI W FIRMIE

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

ISO bezpieczeństwo informacji w organizacji

BIZNESU. Blisko potrzeb. PROXIMUS S.A. ul. Ligocka Katowice. tel.: fax:

Kwestionariusz samooceny kontroli zarządczej

Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

1. WSKAŻ POZIOMY PODEJMOWANIA DECYZJI W PRZEDSIĘBIORSTWIE: 1. STRATEGICZNE 2. TAKTYCZNE 3. OPERACYJNE

Promotor: dr inż. Krzysztof Różanowski

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

ISO w Banku Spółdzielczym - od decyzji do realizacji

KODEKS POSTĘPOWANIA DLA DOSTAWCÓW GRUPY KAPITAŁOWEJ ORLEN

Standardy oceny biznesplanów

group Brief Marketingowy

Zwiększenie konkurencyjności regionów poprzez społeczną odpowiedzialność biznesu (CSR)

Normalizacja dla bezpieczeństwa informacyjnego

Polityka biznesu społecznie odpowiedzialnego (CSR)

RACHUNKOWOŚĆ ZARZĄDCZA

Wyróżniający Standard Obsługi Klienta (SOK)

Nazwa metody pochodzi od nazwy firmy, w której została opracowana Boston Consulting Group. Koncepcja opiera się na dwóch założeniach:

Fundamentem wszystkich naszych działań są Wartości, obowiązujące w Grupie Kapitałowej ORLEN, do której ANWIL należy, tj.:

Proces certyfikacji ISO 14001:2015

Ryzyko systemów informatycznych Fakty

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Warszawa, 28 marca 2011r. Strategia innowacyjności i efektywności gospodarki

Certified IT Manager Training (CITM ) Dni: 3. Opis:

STRATEGICZNE ZARZĄDZANIE KOSZTAMI

System Zarządzania Bezpieczeństwem Informacji (SZBI): Wymagania ISO 27001:2013

KODEKS POSTĘPOWANIA DLA DOSTAWCÓW PKN ORLEN

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Internet w biznesie czy biznes w Internecie? O miejscu Internetu w dzisiejszej firmie

POTĘGUJEMY BIZNES. strategie marketingowe.

Zarządzanie finansami. Dr Rafał Cieślik

Jak zaprojektować firmę aby mogła się skalować i odnosić trwałe sukcesy? Warszawa, 13 listopada 2018 r.

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Szkolenie otwarte 2016 r.

Warszawa, 27 listopada 2012 r. Narodowy Program Rozwoju Gospodarki Niskoemisyjnej (NPRGN) dr inŝ. Alicja Wołukanis

PL Zjednoczona w różnorodności PL A8-0278/2. Poprawka. Christel Schaldemose i inni

Społeczna odpowiedzialność biznesu w firmach sektora MŚP doświadczenia i perspektywy

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

POLITYKA JAKOŚCI I ŚRODOWISKOWA

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

bo od managera wymaga się perfekcji

Dopasowanie IT/biznes

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Dopasowanie IT/biznes

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Społeczna odpowiedzialność biznesu jako źródło przewagi konkurencyjnej przedsiębiorstwa

dialog przemiana synergia

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Czy strategię marki moŝna zbudować bez badań? MoŜna. Sesja Marki a badania strategie marek a badania marketingowe.

Społecznie odpowiedzialne zarządzanie w organizacjach publicznych. Teza cele konstrukcja realizacja

Zarządzaj doświadczeniami gościa i zyskaj jego lojalność. Rozwiązania wspierające hotelarstwo i branżę turystyczną

Jak zorganizować bezpieczeństwo informacji w praktyce. Miłosz Pacocha

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO w Dzierżoniowie. Warszawa 8 maja 2013 r.

Upowszechnienie wykorzystania ETV w celu poprawy efektywności energetycznej sektora wodno-ściekowego

Planowanie finansowe. Opracowała: dr BoŜena Ciupek

poprawy konkurencyjności

Kontrola zarządcza w jednostkach samorządu terytorialnego z perspektywy Ministerstwa Finansów

Monitorowanie systemów IT

Egzamin za szkolenia Audytor wewnętrzny ISO nowy zawód, nowe perspektywy z zakresu normy ISO 9001, ISO 14001, ISO 27001

MATRYCA EFEKTÓW KSZTAŁCENIA

STRATEGIA CENOWA: ZARZĄDZANIE CENĄ (PRICING)

Matryca efektów kształcenia dla programu studiów podyplomowych ZARZĄDZANIE I SYSTEMY ZARZĄDZANIA JAKOŚCIĄ

Model biznesowy to w pewnym sensie szkic strategii, która ma zostać wdrożona w ramach struktur, procesów i systemów organizacji.

CSA STAR czy można ufać dostawcy

Kierunki rozwoju firmy Decyzje o wyborze rynków Decyzje inwestycyjne Rozwój nowych produktów Pozycjonowanie. Marketing strategiczny

Znakowanie, zarządzanie i dystrybucja produktów w oparciu o standardy GS1

Maciej Byczkowski ENSI 2017 ENSI 2017

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

USTAWA z dnia r. o zmianie ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych. Art. 1.

Agenda. O badaniu Cele badawcze Wnioski z badania

Kompleksowe Przygotowanie do Egzaminu CISMP

INSIGHTS PIERWSZY KROK DO SUKCESU

KOE 131_ UNIA EUROPEJSKA Europejski Fundusz Rozwoju Regionalnego

Upowszechnianie zasad gospodarki cyrkularnej w sektorze MŚP - wprowadzenie do projektu ERASMUS+

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

WYBÓR RYNKU. Wybór rynku. Materiał opracowany na podstawie treści pochodzących z portalu Strona 1/6

PLAN ZARZĄDZANIA WYMAGANIAMI PROJEKT <NAZWA PROJEKTU> WERSJA <NUMER WERSJI DOKUMENTU>

Społeczna odpowiedzialność biznesu podejście strategiczne i operacyjne. Maciej Bieńkiewicz

PREZENTACJA PAŹDZIERNIK 2012 QUALITY ALL DEVELOPMENT - FUNDUSZ KAPITAŁOWY S.A.

Projektowanie systemów informatycznych. Roman Simiński siminskionline.pl. Studium wykonalności

DEKRA Certification Sp. z o.o. Kompetentny, Niezawodny i Rzetelny Partner. DIN Standard w zakresie usług ochrony fizycznej

REGIONALNY PROGRAM OPERACYJNY WOJEWÓDZTWA KUJAWSKO-POMORSKIEGO NA LATA

Metodologia oparta na najnowszych trendach światowych Stwarzamy możliwość wzrostu wartości firmy

ZARZĄDZANIE MARKĄ. Doradztwo i outsourcing

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Transkrypt:

Polityka bezpieczeństwa Projektowanie i wdraŝanie w MSP Radek Michalski

Agenda Czym jest polityka bezpieczeństwa i czy warto ją mieć (spisaną)? Zasięg polityki bezpieczeństwa Norma 27001 WdraŜanie kilka wskazówek Problemy przy wdroŝeniach Wnioski

Informacja w firmie Jak postępujemy z naszą informacją: co gromadzimy (biznes) co musimy gromadzić (prawo) czy potrafimy chronić czy wiemy gdzie powstaje czy wiemy do kogo powinna naleŝeć czy potrafimy właściwie zabezpieczyć jak długi jest cykl Ŝycia

Moc informacji Bez właściwej ochrony informacji w całym cyklu Ŝycia realizacja strategicznych celów firmy moŝe okazać się niemoŝliwa: zwiększenie przewagi konkurencyjnej zachowanie ciągłości działania generowanie i maksymalizowanie zysku

Czym jest polityka bezpieczeństwa? Reguły postępowania z zasobami informacyjnymi organizacji Cechy: spójność kompletność precyzyjność zgodność z prawem

Informacja a dane Polityka bezpieczeństwa dotyczy informacji w firmie, nie danych w systemach informatycznych, ale... konieczność ochrony danych wynika z ochrony informacji

Polityka bezpieczeństwa - zasięg PB powinna obejmować kaŝde miejsce powstawania i przetwarzania informacji w firmie Dlatego nie moŝe powstać bez współpracy zarządu firmy: podjęcie decyzji określenie działań i osób odpowiedzialnych budŝet na stworzenie i na utrzymanie PB

Zarząd brakujący element Bez pełnego przekonania zarządu firmy wdroŝenie PB jest niemoŝliwe Jednak zarząd moŝe nie zrozumieć problemu: Konieczny wydatek nakłady na bezpieczeństwo jako ubezpieczenie miary jakościowe rynek konkurenci juŝ mają Zmiany organizacyjne PB jako proces decyzja długofalowa

Własne praktyki a standardy ISO w głowie standard nie jest konieczny, ale prawie zawsze jest przydatny Odniesienie do dobrych praktyk rynkowych Uniknięcie pominięcia istotnych z punktu widzenia PB obszarów Wspólny język

ISO 27001 wymagania dla systemu zarządzania bezpieczeństwem informacji określenie zasobów analiza ryzyka wdroŝenie / ulepszanie zarządzania audyt wewnętrzny certyfikacja / audytowanie

ISO 27002 Technika informatyczna Praktyczne zasady zarządzania bezpieczeństwem informacji Lipiec 2007 roku ISO 17799:2005 -> ISO 27002:2005 zbiór wytycznych dot. SZBI (ścisły związek z 27001)

Wytyczne ISO 27002 Polityka bezpieczeństwa Organizacja bezpieczeństwa informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Pozyskiwanie, rozwój i utrzymanie systemów informatycznych Zarządzanie incydentami związanymi z bezpieczeństwem informacji Zarządzanie ciągłością działania Zgodność

WdraŜanie polityki bezpieczeństwa Członek zarządu/pełnomocnik zarządu jako osoba odpowiedzialna Budujemy na miarę, odpowiednio do specyfiki ZaangaŜowani kluczowi pracownicy oraz IT Bazujemy na tym co mamy, nie sięgamy po nic na siłę (jeśli prawo nie stanowi inaczej): zestaw niepisanych praktyk karty stanowiskowe pracy relacje firmy z otoczeniem Analiza i usprawnianie procedur

Problemy przy wdroŝeniach (I) Nie ma osób, które mogą ogarnąć cały proces funkcjonowania firmy nawet na bardzo ogólnym poziomie Jeśli juŝ zidentyfikujemy obszary trudno przypisać odpowiedzialność w sposób jednoznaczny (styk) Decyzje imperatywne problem z ludźmi Niedostateczna motywacja osób wdraŝających

Problemy przy wdroŝeniach (II) Zakończenie tematu często równoznaczne jest z wydaniem PB - przynajmniej tak sądzą niektórzy potrzeba audytu i sprawnego obiegu informacji Nieznajomość przepisów prawnych okazuje się czasem boleśnie dotkliwa (ochrona danych osobowych) Nie wszystkie aspekty polityki muszą być znane wszystkim pracownikom Zarząd stawia się ponad zapisami PB

Problemy przy wdroŝeniach (III) Zarząd firmy zmienia zdanie lub nie wykazuje konsekwencji działania: utrata kluczowych osób drugi raz nie podejmą próby bez skutecznej motywacji Zbyt duŝy nacisk na otoczenie bez dostatecznej analizy wnętrza firmy Technologia robi się zbyt wyrafinowana w stosunku do umiejętności pracowników konieczne szkolenia Zbyt ogólne plany działania DRP znaczące opóźnienie reakcji na problem

Problemy przy wdroŝeniach (IV) Dlaczego dział IT nie powinien prowadzić wdroŝenia na poziomie koncepcyjnym: niezrozumienie specyfiki firmy i jej kluczowych obszarów orientacja na dane nieumiejętność oszacowania wagi informacji brak odpowiedniej wiedzy (metodologie) manipulacja kto strzeŝe straŝników?

Skutki wdroŝenia PB Zwiększenie bezpieczeństwa organizacji tylko w przypadku konsekwencji w działaniu Większa przejrzystość Lepsza świadomość pracowników dot. wagi informacji, z którą mają do czynienia (plusy i minusy) Wzmocnienie wizerunku jako sposób na zwiększenie przychodów Poprawia samopoczucie zarządu i inwestorów

Pytania i uwagi? radek@smartsystems.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres