Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe



Podobne dokumenty
Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

ISO w Banku Spółdzielczym - od decyzji do realizacji

Promotor: dr inż. Krzysztof Różanowski

I. O P I S S Z K O L E N I A

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

ZARZĄDZANIE STRATEGICZNE OPRACOWANIE

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Bezpieczeństwo informacji. jak i co chronimy

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

COBIT 5 I I N N E S TA N D A R D Y. Sylwia Wystub, CISA, ABCP

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Bezpieczeństwo dziś i jutro Security InsideOut

PODEJŚCIE STRATEGICZNE >>

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

COBIT 5 WHITE PAPER WSTĘP

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zaplanować projekt fundraisingowy i przeprowadzić go przez wszystkie etapy realizacji nie tracąc z pola widzenia założonych efektów;

HARMONOGRAM SZKOLENIA

Projekty BPM z perspektywy analityka biznesowego. Wrocław, 20 stycznia 2011

Zarządzanie projektami a zarządzanie ryzykiem

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

SZCZEGÓŁOWY HARMONOGRAM KURSU

Szkolenie otwarte 2016 r.

BAKER TILLY POLAND CONSULTING

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Warsztaty FRAME. Sygnatura warsztatu: W1 (W3) Czas trwania: 3 dni

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Pryncypia architektury korporacyjnej

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Poniższy program może być skrócony do 1 dnia lub kilkugodzinnej prezentacji.

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

REKOMENDACJA D Rok PO Rok PRZED

dr Mariusz Ulicki Dyrektor Biura Informatyki i Telekomunikacji Centrali KRUS

Szczegółowy opis przedmiotu zamówienia:

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Kompleksowe Przygotowanie do Egzaminu CISMP

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

System antyfraudowy w praktyce. marcin zastawa wiceprezes zarządu. Warszawa, października 2006r.

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Maciej Byczkowski ENSI 2017 ENSI 2017

CTPARTNERS W LICZBACH ~100% 4,9 >500. kompleksowe obszary zarządzania IT w ofercie. osób przeszkolonych z zakresu IT

Ramowy program szkolenia Diagnoza potrzeb lokalnych I WARSZTAT

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

NORMA ISO/IEC W ZARZĄDZANIU SERWISEM IT

Ramowy program zajęć dydaktycznych Standardy ISO i zarządzanie przez jakość (TQM) (nazwa studiów podyplomowych)

Etapy życia oprogramowania

VI. SZKOLENIA SPECJALNE

Wsparcie narzędziowe zarządzania ryzykiem w projektach

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

KONFLIKT INTERESÓW PRZY POWIERZENIU DPO INNYCH ZADAŃ A NAKAZ WYKONYWANIA OBOWIĄZKÓW W SPOSÓB NIEZALEŻNY

ISO/IEC OD USŁUG POPRZEZ SYSTEM DO CERTYFIKACJI

TEMAT 2. Plan Działań na Rzecz Zrównoważonej Energii (SEAP)

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

Wsparcie narzędziowe zarządzania ryzykiem w projektach

Wykaz osób w postępowaniu o udzielenie zamówienia publicznego nr 32-CPI-WZP-2244/13. Podstawa do dysponowania osobą

Wydział Innowacyjności i Rozwoju Departament Rozwoju Regionalnego i Funduszy Europejskich Urząd Marszałkowski Województwa Mazowieckiego w Warszawie

TRENING KOMPETENCJI MENEDŻERSKICH

Krzysztof Świtała WPiA UKSW

Standardy typu best practice. Artur Sierszeń

System kontroli wewnętrznej w Banku Spółdzielczym Ziemi Kraśnickiej w Kraśniku

Opis przedmiotu zamówienia

Badania Interim Management

Audyt systemów informatycznych w świetle standardów ISACA

W ARSZT ATY EKSPERCKIE

Projekt. Młodzi dla Środowiska

Robert Meller, Nowoczesny audyt wewnętrzny

Data Governance jako część ładu korporacyjnego

Kultura usługowa i jej znaczenie dla relacji biznes - IT

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

VI. SZKOLENIA SPECJALNE

Ryzyko systemów informatycznych Fakty

Nowoczesne aplikacje mobilne i ich rola w podnoszeniu jakości danych

Etapy życia oprogramowania. Modele cyklu życia projektu. Etapy życia oprogramowania. Etapy życia oprogramowania

Opis systemu kontroli wewnętrznej w Banku Spółdzielczym w Mykanowie

Zdrowe podejście do informacji

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

KONFERENCJA. Zarządzanie jakością usług IT wg ISO 20000

Projekt: Współpraca i Rozwój wzrost potencjału firm klastra INTERIZON

SCENARIUSZ WYWIADU GRUPOWEGO (I)

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

Wzmocnienie potencjału administracji samorządowej. Program Operacyjny Kapitał Ludzki Działanie 5.2. Ministerstwo Administracji i Cyfryzacji

PLASTINVENT listopad Praktyczne aspekty wdrażania i rozwoju wyrobów z tworzyw sztucznych

PODSTAWY ZARZĄDZANIA PROJEKTAMI

ISO 9001:2015 przegląd wymagań

Spis treści. Wstęp... 9

Transkrypt:

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe Autor Anna Papierowska Praca magisterska wykonana pod opieką dr inż. Dariusza Chaładyniaka mgr inż. Michała Wieteski

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji Zawartość prezentacji: Myśl przewodnia Cel i zakres pracy Metodyki i wzorce Opracowane dokumenty, procedury Podsumowanie i dalsze działania

Bezpieczeństwo to nie produkt to proces B.Schneier Bezpieczeństwo w firmie to kwestia równowagi. Zbyt mało zabezpieczeń pozostawia firmę w zagrożeniu, a zbyt dużo przeszkadza w prowadzeniu działalności K.Mitnick Czynnik ludzki jest piętą achillesową systemów bezpieczeństwa K.Mitnick

Cel i Zakres pracy. Cel podstawowy: Stworzenie wytycznych oraz wzorców dokumentów dla Systemu Zarządzania Bezpieczeństwem informacji zgodnie z przepisami prawa, wytycznymi międzynarodowych organizacji standaryzujących oraz wewnętrznymi potrzebami organizacji.

Cel i zakres pracy podstawowa charakterystyka Charakterystyka działalności biznesowej - zależności pomiędzy bezpieczeństwem informacji, a celami biznesowymi. Identyfikacja struktur organizacyjnych firmy, metody tworzenia zależności między poszczególnymi składowymi procesu biznesowego. Metodologia Polityki Bezpieczeństwa w organizacji biznesowej - przegląd dokumentów. Aspekty symulacji procesu wdrażania polityk bezpieczeństwa związane z czynnikami mającymi wpływ na skuteczność przeprowadzanych zmian procesowych oraz dalszą efektywność podjętych działań.

Zakres pracy - Charakterystyka działalności biznesowej - zależności pomiędzy bezpieczeństwem informacji, a celami biznesowymi. Misja biznesu Analiza SWOT CEL Budow. strategii Formuł. planu Wdrażanie Info. kontrola Misja biznesu - know how organizacji Analiza SWOT/PEST - dokonujemy analizy szans i zagrożeń, sił politycznych, ekonomicznych, czynników kulturowych i technologicznych, macierz RACI Określenie celu - cele biznesowe, priorytety Budowanie strategii - wyznaczenie kluczowych czynników sukcesu, ustalenie norm, ustalenie zakresu odpowiedzialności i obiegu informacji Formułowanie planu - sformalizowanie strategii, nadanie ram czasowych, określenie kamieni milowych (milestones) Wdrażanie - implementacja zakładanego planu Informacja zwrotna i kontrola weryfikacja procesu implementacji, ustalenie przyczyn ew. porażek, implementacja planu naprawczego

Zakres pracy - Charakterystyka działalności biznesowej - zależności pomiędzy bezpieczeństwem informacji, a celami biznesowymi - 2 Informacja Proces informacji zwrotnej Analiza czynników ryzyka Wdrożenie Identyfikacja zagrożeń Plan wdrożenia ustalonej normy Plan polityki naprawczej

Zakres pracy Identyfikacja struktur organizacyjnych firmy KTO & CO ROBI & W JAKI SPOSÓB: Jakie jest nasze stanowisko w organizacji? Jaki jest nasz zakres odpowiedzialności/obowiązków? Komu podlegamy, kto podlega nam? Kto nas zastępuje i w jakim zakresie? Jakie procedury wiążą się z naszą pracą? Jak a dokumentacja wiąże się z naszą pracą?

Cel i zakres pracy - krótkie podsumowanie Przegląd i analiza działalności biznesowej organizacji: opracowanie podstawowej charakterystyki firmy zidentyfikowanie struktur organizacyjnych opracowanie podstawowych analiz i modeli biznesowych Stworzenie podstaw dla zastosowania metodologii i wzorców dokumentów.

Zastosowana metodyka - przegląd dokumentów. Wzorce dokumentów: Normy ISO/IEC 27001 - ogłoszona 14 października 2005 r. na podstawie brytyjskiego standardu BS 7799-2; w Polsce opublikowana 4 stycznia 2007r. jako PN-ISO/IEC 27001:2007 Normy ISO/IEC 17799:2005 od 6 lipca 2007 znana jako ISO/IEC 27002:2005; w Polsce występuje pod numerem referencyjnym PN- ISO/IEC 17799:2007 Standardów COBIT (Control Objectives for Information and related Technology) - standard opracowany przez ISACA oraz IT Governance Institute, jako zbiór dobrych praktyk z zakresu IT Governance. UODO Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tj. Dz. U. z 2002r. Nr 101, poz. 926 i Nr 153, poz. 1271 oraz z 2004r. Nr 25, poz. 219 i Nr 33, poz.285)

Opracowane dokumenty i wzorce - Metodologia Polityki Bezpieczeństwa w kontekście organizacji biznesowej. Wzorce dokumentów w organizacji: Dokument analizy SOA Dokument analizy SWOT Dokument analizy PEST Dokument Polityki Bezpieczeństwa Systemów Informacyjnych Deklaracja prezesa zarządu Znaczenie bezpieczeństwa informacji Definicja bezpieczeństwa informacji Cele i strategie bezpieczeństwa firmy Informacje przetwarzane przez system informacyjny i informatyczny Systemy zarządzania bezpieczeństwem informacji Struktura dokumentów polityki bezpieczeństwa systemu informacyjnego Zakres stosowania polityki bezpieczeństwa systemu informacyjnego Podstawy prawne Zakres rozpowszechniania Wzór dokumentu oświadczenia pracownika

Opracowane dokumenty i wzorce - Metodologia Polityki Bezpieczeństwa w kontekście organizacji biznesowej. Wzorce dokumentów w organizacji: Dokument Ról i Odpowiedzialności Użytkowników Systemu Dokument Klasyfikacji Informacji Dokument Inwentaryzacji Aktywów Dokumenty procedur Wzory dokumentów zgodnych z procedurami Dokument Metodologii Szacowania Ryzyka Dokument Analizy Ryzyka

Podsumowanie i dalsze działania. Podsumowanie: Opracowane wzorce i dokumenty polityki bezpieczeństwa stanowią podstawę dla rozwoju i dalszego kształtowania procesów bezpieczeństwa organizacji. Propozycje rozwoju: Wprowadzenie cyklicznych audytów bezpieczeństwa i ustanowienie zespołu odpowiedzialnego za aktualizacji i archiwizację dokumentów polityki BSI. Wprowadzenie jednolitej metodologii zgodnej z przyjętymi w polityce BSI normami bezpieczeństwa: np. ITIL Zastosowanie narzędzi monitorujących poziom bezpieczeństwa np. stron internetowych, platform serwerowych Stworzenie procedur, polityk i procesów obejmujących działania DRP - Disaster Recovery Protocol

Dziękuję.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres