Wykorzystanie mechanizmów norm serii ISO 27000 do potwierdzania zgodności z wymogami ochrony danych osobowych



Podobne dokumenty
Transport odpadów a standardy bezpieczeństwa. System Zarządzania Bezpieczeństwem Ruchu drogowego. Joanna Bańkowska Dyrektor Zarządzający BSI

Praktyczne korzyści dla Organizacji, Najlepsze praktyki płynące z BS Anti-bribery Management System. Joanna Bańkowska Dyrektor Zarządzający BSI

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Bezpieczeństwo informacji. jak i co chronimy

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Dotyczy PN-EN ISO 14001:2005 Systemy zarządzania środowiskowego Wymagania i wytyczne stosowania

Powody wdraŝania i korzyści z funkcjonowania Systemu Zarządzania Jakością wg ISO Mariola Witek

Normy ISO serii Normy ISO serii Tomasz Greber ( dr inż. Tomasz Greber.

ISO w Banku Spółdzielczym - od decyzji do realizacji

ISO/IEC OD USŁUG POPRZEZ SYSTEM DO CERTYFIKACJI

Zarządzanie relacjami z dostawcami

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

WYŻSZEJ SZKOŁY INFORMATYKI, ZARZĄDZANIA I ADMINISTRACJI W WARSZAWIE. t. 14, z. 4(37) 2016 ISSN s CYBERBEZPIECZEŃSTWA

Zarządzanie bezpieczeństwem informacji w organizacji

Standard ISO 9001:2015

ISO 9001:2015 przegląd wymagań

Wykaz norm i innych dokumentów normalizacyjnych serii ISO i ich polskie odpowiedniki

Norma to dokument przyjęty na zasadzie konsensu i zatwierdzony do powszechnego stosowania przez

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Komunikat nr 115 z dnia r.

Audyt systemów informatycznych w świetle standardów ISACA

1

KOLEJ NA BIZNES 2017 KOLEJ NA BIZNES PRZEJŚCIE Z IRIS Rev.2.1 NA ISO/TS 22163:2017

Team Prevent Poland Sp. z o.o. Graficzna prezentacja struktury ISO 9001:2015 i IATF 16949:2016

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Usługowy model zarządzania w oparciu o ITIL v3. wprowadzenie do biblioteki ITIL na prostym przykładzie

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

SYSTEMOWE ZARZĄDZANIE ŚRODOWISKIEM

Charakterystyka systemu zarządzania jakością zgodnego z wymaganiami normy ISO serii 9000

Maciej Byczkowski ENSI 2017 ENSI 2017

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

BAKER TILLY POLAND CONSULTING

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Kompleksowe Przygotowanie do Egzaminu CISMP

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

NORMA ISO/IEC W ZARZĄDZANIU SERWISEM IT

Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa. Robert Kępczyński Senior Consultant

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Standardy typu best practice. Artur Sierszeń

eidas Standardy de iure i de facto oraz rozwiązania niestandardowe

Zarządzanie jakością. Opis kierunku. Co zyskujesz? Dla kogo? - Kierunek - studia podyplomowe

Kod przedmiotu Standardy systemów zarządzania w transporcie Wersja przedmiotu 2015/16 A. Usytuowanie przedmiotu w systemie studiów

SYSTEMY ZARZĄDZANIA ŚRODOWISKOWEGO

SZCZEGÓŁOWY HARMONOGRAM KURSU

Wymogi norm ISO seria Dr Piotr Dzwonkowski CISA, CISM, CRISC

SYSTEMY ZARZĄDZANIA. cykl wykładów dr Paweł Szudra

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

ISO bezpieczeństwo informacji w organizacji

Plan spotkań DQS Forum 2017

Krzysztof Świtała WPiA UKSW

Szkolenie Stowarzyszenia Polskie Forum ISO Zmiany w normie ISO i ich konsekwencje dla organizacji Warszawa,

SZKOLENIA W TÜV AKADEMIA

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Zarządzanie bezpieczeństwem i higieną pracy wg. normy ISO 45001

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Przegląd certyfikatów branŝowych

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Polskie normy dotyczące ochrony informacji - najbliższe zmiany i dalsze potrzeby w tym zakresie Wdrożenie SZBI w podmiocie publicznym

I. O P I S S Z K O L E N I A

Pierwszy w Polsce System Zarządzania Energią (SZE) w oparciu o normę PN-EN ISO w Dzierżoniowie. Warszawa 8 maja 2013 r.

Zarządzanie jakością, środowiskiem oraz bezpieczeństwem w praktyce gospodarczej. Maciej Urbaniak.

Szkolenia DQS Polska 2006

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

ISO nowy standard bezpieczeństwa. CryptoCon,

Etapy wdraŝania Systemu Zarządzania Jakością zgodnego z ISO 9001:2008

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

ISO 9000/9001. Jarosław Kuchta Jakość Oprogramowania

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

COBIT 5 I I N N E S TA N D A R D Y. Sylwia Wystub, CISA, ABCP

CEL SZKOLENIA: DO KOGO SKIEROWANE JEST SZKOLENIE:

CSA STAR czy można ufać dostawcy

Zebranie Zarządu Koła SEP nr 43 Wrocław, 16 maja 2013

Water Stewardship: Zarządzanie gospodarką wodną zapewniające długoterminową rentowność biznesu

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Certified IT Manager Training (CITM ) Dni: 3. Opis:

ISO 9001:2015 ORAZ ISO 14001:2015 REWIZJA NORM CZY JESTEŚ PRZYGOTOWANY?

TÜV SUMMER TIME. Sierpniowe szkolenia TÜV Akademia Polska. TÜV Akademia Polska Sp. z o.o.

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

STANDARDY I SYSTEMY ZARZĄDZANIA PORTAMI LOTNICZYMI 2013

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Grupa Maintpartner. Prezentacja firmowa Sierpień 2016

Bezpieczeństwo dziś i jutro Security InsideOut

Normalizacja dla bezpieczeństwa informacyjnego

Zarządzanie projektami a zarządzanie ryzykiem

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Zarządzanie bezpieczeństwem i higieną pracy

KLIENCI KIENCI. Wprowadzenie normy ZADOWOLE NIE WYRÓB. Pomiary analiza i doskonalenie. Odpowiedzialnoś ć kierownictwa. Zarządzanie zasobami

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Zasady auditowania procesów zarządzania infrastrukturą przez jednostki certyfikujące systemy zarządzania

Szkolenie pt. Wprowadzenie do nowelizacji normy ISO 9001:2015

Co się zmieni w nowej wersji normy ISO 9001

Transkrypt:

Wykorzystanie mechanizmów norm serii ISO 27000 do potwierdzania zgodności z wymogami ochrony danych osobowych Joanna Bańkowska Dyrektor Zarządzający BSI Jakość danych w systemach informacyjnych zakładów ubezpieczeń 29 października 2013 Copyright 2012 BSI. All rights reserved.

1. Kim jesteśmy 2. Normy, standardy i ich stosowanie 3. Korzyści Copyright 2012 2013 BSI. All rights reserved. 2

Kim jesteśmy Copyright 2012 BSI. All rights reserved. 3

Kim jesteśmy BSI jest instytucją zajmującą się standardami oraz ich stosowaniem, która pomaga organizacjom sprawić, aby doskonałość stała się nawykiem oraz Poprawić efektywność Zredukować ryzyko Utrzymywać stały rozwój Utworzone w 1901, BSI było pierwszą na świecie Jednostką Normalizacyjną, a także członkiem założycielskim ISO, Międzynarodowej Organizacji Normalizacyjnej. Obecnie jest odpowiedzialna za kształtowanie większości międzynarodowych norm, w tym ISO 9001 27001 oraz 18001 Działamy na mocy Przywileju Królewskiego, w związku z czym wszelkie zyski reinwestujemy we własny rozwój, aby jeszcze lepiej pomagać naszym Klientom Posiadamy ponad 65,000 klientów, w ponad 120,000 certyfikowanych lokalizacji w 150 krajach świata. Od światowych marek do małych, lokalnych firm BSI to Instytucja działająca na mocy Przywileju Królewskiego Copyright 2012 BSI. All rights reserved. 4

BSI jest pionierem w opracowaniu międzynarodowych norm Od ponad wieku BSI współpracuje z organizacjami rządowymi i przedstawicielami biznesu z różnych branż, aby opracować i udostępnić standardy doskonałości Rok Standard BSI Norma ISO 1987 BS 5750 ISO 9001 Zarządzanie Jakością 1992 BS 7750 ISO 14001 Zarządzanie Środowiskowe 1995 BS 7799 ISO/IEC 27001 Bezpieczeństwo Informacji 1996 BS 8800 OHSAS 18001 / AS/NZS 4801 Bezpieczeństwo i Higiena Pracy 2000 BS 8600 ISO 10002 Zadowolenie Klienta 2002 BS 15000 ISO/IEC 20000 Usługi informatyczne 2002 TS 16949 ISO/TS 16949 Motoryzacja 2009 BS 16001 ISO 50001 Zarządzanie Energią ISO Norma UE Norma brytyjska 2009 BS 5750 AS 9100 Lotnictwo 2012 BS 25999 ISO 22301 Ciągłość Działania 2012 BS 8901 ISO 20121 Zarządzanie Wydarzeniami Zrównoważonymi Publiczna dostępność Spotkania ekspertów Specyfikacje techniczne firm Copyright 2012 BSI. All rights reserved. 5

Jak BSI zaszczepia wiedzę, umożliwiając doskonalenie Udostępniamy nasze standardy w formacie dogodnym dla Państwa organizacji, umożliwiając dynamiczną integrację zasobów cyfrowych Nasi doświadczeni auditorzy zaprezentują sprawdzone sposoby pomiaru doskonałości, aby mogli Państwo zaprezentować je swoim interesariuszom Kształtujemy Razem z niezależnymi ekspertami kształtujemy standardy doskonałości w zakresie produktów, procesów biznesowych i potencjału organizacji Udostępniamy Nasi trenerzy przekażą wiedzę, umiejętności i narzędzia, których Państwa pracownicy potrzebują, aby zaszczepić standardy doskonałości w Państwa organizacji Oferujemy wiedzę i narzędzia umożliwiające ciągłe doskonalenie... Copyright 2012 BSI. All rights reserved. 6

Normy, standardy i ich stosowanie Copyright 2012 BSI. All rights reserved. 7

Czym jest standard? Uzgodniony, powtarzalny sposób działania Pełny konsensus wszystkich zainteresowanych stron, NIENARZUCONY Dobrowolny Najlepsze nie ogólne praktyki, dlatego też aspiracyjne Możliwe wsparcie poprzez audit i certyfikację Aktualizowany w regularnym cyklu ISO/IEC 27001:2013 Copyright 2012 BSI. All rights reserved. 8

Zarządzanie ryzykiem Ryzyko Operacyjne ISO 22301 ISO/IEC 27001 ISO 14001 OHSAS 18001 ISO 39001 ISO 50001 HACCP BS 10500 ISO 26000 ISO 22000 ISO 9001 ISO/IEC 20000 ISO/TS 16949 Opracowanie BSI Group Polska ISO 31000 Zarządzanie Ryzykiem Prawdopodobieństwo Copyright 2012 BSI. All rights reserved. 9

BSI jest pionierem w opracowaniu międzynarodowych norm Od ponad wieku BSI współpracuje z organizacjami rządowymi i przedstawicielami biznesu z różnych branż, aby opracować i udostępnić standardy doskonałości Rok Standard BSI Norma ISO 1987 BS 5750 ISO 9001 Zarządzanie Jakością 1992 BS 7750 ISO 14001 Zarządzanie Środowiskowe 1995 BS 7799 ISO/IEC 27001 Bezpieczeństwo Informacji 1996 BS 8800 OHSAS 18001 / AS/NZS 4801 Bezpieczeństwo i Higiena Pracy 2000 BS 8600 ISO 10002 Zadowolenie Klienta 2002 BS 15000 ISO/IEC 20000 Usługi informatyczne 2002 TS 16949 ISO/TS 16949 Motoryzacja 2009 BS 16001 ISO 50001 Zarządzanie Energią ISO Norma UE Norma brytyjska 2009 BS 5750 AS 9100 Lotnictwo 2012 BS 25999 ISO 22301 Ciągłość Działania 2012 BS 8901 ISO 20121 Zarządzanie Wydarzeniami Zrównoważonymi Publiczna dostępność Spotkania ekspertów Specyfikacje techniczne firm Copyright 2012 BSI. All rights reserved. 10

Rodzina ISO/IEC 27000 i inne. ISO/IEC WD 27009 The Use and Application of ISO/IEC 27001 for Sector/Service-Specific Third-Party Accredited Certifications ISO/IEC 27000:2012 Information technology. Security techniques. Information security management systems. Overview and vocabulary ISO/IEC 27001:2013 Information technology. Security techniques. Information security management systems. Requirements ISO/IEC 27002:2013 Information technology. Security techniques. Code of practice for information security controls ISO/IEC 27003:2010 Information technology. Security techniques. Information security management system implementation guidance ISO/IEC 27004:2009 Information technology. Security techniques. Information security management. Measurement ISO/IEC 27007:2011 Information technology -- Security techniques -- Guidelines for information security management systems auditing ISO/IEC 27005:2011 Information technology. Security techniques. Information security risk management ISO/IEC 27006:2011 Requirements for bodies providing audit and certification of information security management systems ISO/IEC TR 27008 Guidance for auditors on ISMS controls (focused on the information security controls) ISO/IEC 27010:2012 Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications ISO/IEC 27011:2008 Information technology -- Security techniques -- Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27013:2012 Information technology. Security techniques. Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27014:2013 Information technology. Security techniques. Governance of information security ISO/IEC TR 27015:2012 Information technology -- Security techniques -- Information security management guidelines for financial services ISO/IEC TR 27019:2013 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry ISO/IEC 27031:2011 Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity. ISO/IEC 27031-4 Information technology. Security techniques. Network security. Part 4. Securing communications between networks using security gateways ISO/IEC 27032:2012 Information technology. Security techniques. Guidelines for cybersecurity Copyright 2012 BSI. All rights reserved. 11

Rodzina ISO/IEC 27000 i inne ISO/IEC 27037:2012 Information technology. Security techniques. Guidelines for identification, collection, acquisition, and preservation of digital evidence. ISO/IEC 27033-1:2009 Information technology. Security techniques. Network security. Overview and concepts ISO/IEC 27033-2:2012 Information technology. Security techniques. Guidelines for the design and implementation of network security ISO/IEC 27033-3:2010 Information technology. Security techniques. Network security. Reference networking scenarios. Threats, design techniques and control issues ISO/IEC 27033-5:2013 Information technology. Security techniques. Network security. Securing communications across networks using Virtual Private Networks (VPNs) ISO/IEC 27034-1:2011 Information technology. Security techniques. Application security. Overview and concepts ISO/IEC 27035:2011 Information technology. Security techniques. Information security incident management. ISO/IEC 27036-1 Information technology. Security techniques. Information security for supplier relationships. Part 1. Overview and concepts ISO/IEC 27036-2 Information technology. Security techniques. Information security for supplier relationships. Part 2. Common requirements. ISO/IEC 27036-3 Information technology. Security techniques. Information security for supplier relationships. Part 3. Guidelines for ICT supply chain security. ISO/IEC 27038 Information technology. Security techniques. Specification for Digital Redaction ISO/IEC 27039 Information technology. Security techniques. Selection, deployment and operations of intrusion detection systems (IDPS). ISO 27799:2008 Health informatics -- Information security management in health using ISO/IEC 27002 ISO 31000:2009 Risk management. Principles and guidelines ISO/IEC 24759:2008 Information technology -- Security techniques -- Test requirements for cryptographic modules ISO/IEC 24761:2009 Information technology. Security techniques. Authentication context for biometrics. ISO/IEC 13157-1. Information technology. Telecommunications and information exchange between systems. NFC Security. Part 1. NFC-SEC NFCIP-1 security services and protocol. ISO/IEC 20009-1:2013 Information technology. Security techniques. Anonymous entity authentication. General BS EN 16495 Air Traffic Management. Information security for organisations supporting civil aviation operations PD ISO/TR 13569:2005 Financial services. Information security guidelines. ISO/IEC 9798-5:2009 Information technology. Security techniques. Entity authentication. Mechanisms using zero knowledge techniques Copyright 2012 BSI. All rights reserved. 12

Rodzina ISO/IEC 27000 i inne ISO/IEC 29115:2013 Information technology. Security techniques. Entity authentication assurance framework ISO/IEC 29167-1 Information technology. Automatic identification and data capture techniques. Security services for RFIP air interfaces ISO/IEC 29167-11 Information technology. Automatic identification and data capture techniques. Air Interface for security services crypto suite PRESENT-80 ISO/IEC 29192-4:2013 Information technology. Security techniques. Lightweight cryptography. Mechanisms using asymmetric techniques ISO/IEC 19772:2009 Information technology. Security techniques. Authenticated encryption ISO/IEC 19792:2009 Information technology. Security techniques. Security evaluation of biometrics ISO/IEC 18014-4 Information technology. Security techniques. Timestamping services. Part 4. Traceability of time sources ISO/IEC/IEEE 8802-1 Information technology. Telecommunications and information exchange between systems. Local and metropolitan area networks. Part 1AE. Media access control (MAC) security. PD ISO/TS 13582:2013 Health informatics. Sharing of OID registry information. BS EN 14484:2003 Health informatics. International transfer of personal health data covered by the EU data protection directive. High level security policy BS EN 14485:2003 Health informatics. Guidance for handling personal health data in international applications in the context of the EU data protection directive ISO 22857:2004 Health informatics. Guidelines on data protection to facilitate trans-border flows of personal health information ISO 21549-1:2013 Health informatics. Patient healthcard data. General structure (Published 31/07/2013) ISO 21549-2. Health informatics. Patient healthcard data. Part 2. Common objects ISO 21549-3 Health informatics. Patient healthcard data. Part 3. Limited clinical data ISO 21549-4 Health informatics. Patient healthcard data. Part 4. Extended clinical data. ISO 13120:2013 Health informatics. Syntax to represent the content of healthcare classification systems. Classification Markup Language (ClaML). ISO 27789:2013 Health informatics. Audit trails for electronic health records BS EN 62351-3 Power systems management and associated information exchange. Data and communications security. Communication network and system security. Profiles including TCP/IP ISO 21091:2013 Health informatics. Directory services for healthcare providers, subjects of care and other entities Copyright 2012 BSI. All rights reserved. 13

Dane klienta ODO Zarządzanie Zasobami Dostępność Przepływ informacji Kultura Organizacji - Kultura Bezpieczeństwa Zarządzanie ryzykiem Wymogi korporacyjne Dane sensytywne KRI Bezpieczeństwo Fizyczne Wymogi prawne Infrastruktura Copyright 2012 BSI. All rights reserved. 14

Wprowadzenie SZBI Ustanowienie - Akt Ustanowienia - Polityka BI - Ramy Zarządzania Ryzykiem - Odpowiedzialność Inicjacja Procesów - Zarządzanie Ryzykiem - Zarządzanie Incydentami - Procedury i Instrukcje - Audit Wewnętrzny - Deklaracja Stosowania Przegląd Kierowniczy - Przegląd wyników i efektywności - Plan Postępowania z ryzykiem - Budżet Copyright 2012 BSI. All rights reserved. 15

Kolejne kroki Zapoznanie się z normą Kontakt z Jednostką Certyfikującą Wdrożenie Analiza Luk Szkolenia Audit wstępny Audit Certyfikujący Certyfikat Ciągłe Doskonalenie Copyright 2012 BSI. All rights reserved. 16

Jak kierownictwo powinno demonstrować swoje zaangażowanie? Ustanowienie celów i polityk Zgodność z wymaganiami ISO/IEC 27001 Posiadanie odpowiednich zasobów Komunikowanie znaczenia zgodności z wytycznymi normy Monitorowanie korzyści i skutków SZBI Określenie ról, zakresu odpowiedzialności i wsparcie Promowanie ciągłego doskonalenia Wsparcie Managerów i przywództwo Copyright 2012 BSI. All rights reserved. 17

System ISO 27001 Struktura Plan-Do-Check-Act 4. Kontekst działania organizacji 5. Przywództwo 6. Planowanie 7. Wsparcie 8. Funkcjonowanie 9. Ocena Efektywności 10. Doskonalenie Zrozumienie organizacji i kontekstu jej działania Zaangażowanie Kierownictwa Uwzględnienie ryzyk i możliwości Zasoby Planowanie i nadzór operacyjny Monitorowanie, pomiar, analiza i ocena Niezgodność i działanie korygujące Zrozumienie wymagań i oczekiwań zainteresowanych stron Określenie zakresu systemu zarządzania bezpieczeństwem informacji System Zarządzania Bezpieczeństwem Informacji Polityka SZBI Role, obowiązki i uprawnienia Cele SZBI i plany ich realizacji Kompetencje Świadomość Komunikacja Ewaluacja ryzyka w zakresie bezpieczeństwa informacji Gotowość i reakcja w sytuacjach wyjątkowych Audit wewnętrzny Przegląd Zarządzania Ciągłe doskonalenie Udokumentowana informacja Plan Do Check Act Copyright 2012 BSI. All rights reserved. 18

Punkty kontroli (Załącznik A ISO/IEC 27002) Zgodność Polityka bezpieczeństwa Organizacja bezpieczeństwa informacji Bezpieczeństwo kadr Wytyczne systemu Zarządzanie aktywami Zarządzanie incydentami w bezpieczeństwie informacji Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Bezpieczeństwo Informacji Kontrola dostępu Bezpieczeństwo sieciowe Pozyskiwanie, rozwój i utrzymanie systemów Wytyczne systemu Bezpieczeństwo fizyczne i środowiskowe Relacje z dostawcami Kryptografia Bezpieczeństwo operacyjne Copyright 2012 BSI. All rights reserved. 29/10/2013 19

Porównanie wytycznych ISO/IEC Części 1 oraz załączników 27001:2005 27001:2013 0 Wprowadzenie 0 Wprowadzenie 1 Zakres normy 1 Zakres normy 2 Powołania normatywne 2 Powołania normatywne 3 Terminy i definicje 3 Terminy i definicje 4 System Zarządzania Bezpieczeństwem Informacji 4 Kontekst organizacji 5 Odpowiedzialność kierownictwa 5 Kierownictwo 6 Wewnętrzne audyty SZBI 6 Planowanie 7 Przeglądy SZBI realizowane przez kierownictwo 7 Wsparcie 8 Doskonalenie SZBI 8 Funkcjonowanie Załącznik A (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia Załącznik B (informacyjny) Zasady OECD i niniejsza Norma Międzynarodowa Załącznik C (informacyjny) Powiązanie ISO 9001:2000, ISO 14001:2004 z niniejszą Normą Międzynarodową 9 Ewaluacja efektywności 10 Doskonalenie Załącznik A (normatywny) Zastosowanie zabezpieczeń i ich cele Copyright 2012 BSI. All rights reserved. 20

Przykładowe zmiany w punktach kontroli 2005 Zarządzanie Ciągłością Działania(14) 2013 Ciągłość bezpieczeństwa informacji(17) Strony zewnętrzne (6.2) i Zarządzanie usługami dostarczanymi przez strony trzecie (10.2) Dostawcy (15) Usługi handlu elektronicznego (10.9) Usługi aplikacyjne (14.1.2, 14.1.3) Ochrona przed kodem złośliwym i kodem mobilnym (10.4.1) Złośliwe oprogramowanie (12.2.1) Copyright 2012 BSI. All rights reserved. 21

Mapowanie grup kontroli w Aneksie A ISO/IEC 27001:2005 ISO/IEC 27001:2013 5 Polityka Bezpieczeństwa 5 Polityka bezpieczeństwa informacji 6 Organizacja bezpieczeństwa informacji 6 Organizacja bezpieczeństwa informacji 8 Bezpieczeństwo zasobów ludzkich 7 Bezpieczeństwo zasobów ludzkich 7 Zarządzanie aktywami 8 Zarządzanie aktywami 11 Kontrola dostępu 9 Kontrola dostępu 12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych 10 Kryptografia 9 Bezpieczeństwo fizyczne i środowiskowe 11 Bezpieczeństwo fizyczne i środowiskowe 10 Zarządzanie systemami i sieciami 12 Bezpieczeństwo operacyjne 13 Bezpieczeństwo sieciowe 12 Pozyskiwanie, rozwój i utrzymanie systemów 14 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych N/A 15 Relacje z dostawcami 13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji 16 Zarządzanie incydentami związanymi z bezpieczeństwem informacji 14 Zarządzanie ciągłością działania 17 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania 15 Zgodność 18 Zgodność Copyright 2012 BSI. All rights reserved. 22

Słabości Trudności Wdrożeniowe Świadomość personelu Dane Wyjściowe (n-1) Dane Wejściowe (n) Dublowanie lub brak działań (algorytm) Systemy alarmowe Nieskuteczność lub nieefektywność Procesy realizowane na zewnątrz Planowanie audytów Rozdzielenie systemów Brak miar skuteczności lub efektywności (KPI) Brak informacji o wynikach skuteczności lub efektywności Odpowiedzialności Miary efektywności i skuteczności Świadomość personelu Zespół audytorów Planowanie audytów Potencjał do doskonalenia Copyright 2012 BSI. All rights reserved. 23

Mocne strony Efekty dla Organizacji Nadzorowanie dokumentacji Zaangażowanie kierownictwa Analiza i raportowanie KPI Powiązanie z wymaganiami prawnymi Swoboda dokumentowania systemu Łatwość integrowania i standaryzacji Skwantyfikowanie skuteczności (KPI) Zaangażowanie kierownictwa Ciągłe doskonalenie (np. kaizen + innowacje) Copyright 2012 BSI. All rights reserved. 24

Korzyści Copyright 2012 BSI. All rights reserved. 25

Przykładowe korzyści wynikające z funkcjonującego systemu zarządzania bezpieczeństwem informacji Ochrona danych Osobowych Zarządzanie uprawnieniami i dostępami Ewidencja upoważnień Spełnienie wymogów ustawy o ODO Bezpieczeństwo fizyczne Obszary przetwarzanie danych Czas pracy Ochrona p.poż Kontrola dostawców, outsourcing (A.6.2.3 lub A.10.2 ISO 27001:2005) Cykl życia aplikacji Kontrola nad źródłem aplikacji i dostawcami Change request Utrzymanie tworzenie rozwój Zarządzanie zasobami Infrastruktura Sprzęt Licencje (czas) Ciągłość Działania Tworzenie kultury bezpieczeństwa w Organizacji nie odnoszącej się wyłącznie do infrastruktury IT Spełnienie wymogów KNF - Rekomendacji D Krajowe Ramy Interoperacyjności - Rozporządzenie RM Zarządzanie ryzykiem Copyright 2012 BSI. All rights reserved. 26

Dziękujemy! Kontakt do nas. W: bsigroup.pl T: 22 330 61 80 Copyright 2012 BSI. All rights reserved. 27

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres