Normalizacja dla bezpieczeństwa informacyjnego



Podobne dokumenty
Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Krzysztof Świtała WPiA UKSW

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

SZCZEGÓŁOWY HARMONOGRAM KURSU

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Promotor: dr inż. Krzysztof Różanowski

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Szkolenie otwarte 2016 r.

HARMONOGRAM SZKOLENIA

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

ISO bezpieczeństwo informacji w organizacji

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Bezpieczeństwo informacji. jak i co chronimy

ISO w Banku Spółdzielczym - od decyzji do realizacji

ZARZĄDZENIE NR 111/2011 PREZYDENTA MIASTA TOMASZOWA MAZOWIECKIEGO z dnia 2 maja 2011 roku

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Symbol: PU3. Data: Procedura. Strona: 1/5. Wydanie: N2 AUDYT WEWNĘTRZNY PU3 AUDYT WEWNĘTRZNY

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

PRELEGENT Przemek Frańczak Członek SIODO

Warszawa, dnia 16 marca 2015 r. Poz. 5 ZARZĄDZENIE NR 5 PREZESA KASY ROLNICZEGO UBEZPIECZENIA SPOŁECZNEGO. z dnia 16 marca 2015 r.

Kompleksowe Przygotowanie do Egzaminu CISMP

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Zakład Systemów Komputerowych, Instytut Teleinformatyki i Automatyki WAT, ul. S. Kaliskiego 2, Warszawa

Imed El Fray Włodzimierz Chocianowicz

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Certified IT Manager Training (CITM ) Dni: 3. Opis:

WPROWADZENIE ZMIAN - UAKTUALNIENIA

Program Kontroli Jakości Bezpieczeństwa Informacji

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

POCEDURA SYSTEMU ORGANIZACJI I ZARZĄDZANIA WEWNĘTRZNY AUDYT JAKOŚCI. P 03/01 Obowiązuje od: 01 lutego 2015 r.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

JAK SKUTECZNIE PRZEPROWADZAĆ AUDITY

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I ŚRODOWISKOWEGO WG NORM ISO 9001:2015 I ISO 14001:2015

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

PROGRAM NAUCZANIA KURS ABI

Graficzną prezentację danych dotyczących bezpieczeństwa. usługa system ludzie błąd zabezpieczeń. Sprawdzić Działać Planować Policzyć Wykonać Uzgodnić

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Systemy zarządzania jakością

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Zarządzanie bezpieczeństwem danych osobowych

Dobre praktyki integracji systemów zarządzania w administracji rządowej, na przykładzie Ministerstwa Gospodarki. Warszawa, 25 lutego 2015 r.

Komunikat nr 115 z dnia r.

Plan spotkań DQS Forum 2017

CEL SZKOLENIA: DO KOGO SKIEROWANE JEST SZKOLENIE:

Audyt systemów informatycznych w świetle standardów ISACA

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM I HIGIENĄ PRACY wg OHSAS i PN-N 18001

Opis Przedmiotu Zamówienia

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Egzamin za szkolenia Audytor wewnętrzny ISO nowy zawód, nowe perspektywy z zakresu normy ISO 9001, ISO 14001, ISO 27001

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

SYSTEMY ZARZĄDZANIA. cykl wykładów dr Paweł Szudra

Zarządzanie Jakością. System jakości jako narzędzie zarządzania przedsiębiorstwem. Dr Mariusz Maciejczak

Audyt wewnętrzny jako metoda oceny Systemu Zarządzania Jakością. Piotr Lewandowski Łódź, r.

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA JAKOŚCIĄ wg ISO 9001:2015

SNGO Procedura. Wdrożenie standardu SNGO

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

3 ISO17025_2005 3_1 Księga systemu. 3 ISO17025_2005 4_1 polityka jakości

Marcin Soczko. Agenda

Zasady systemu kontroli wewnętrznej w Banku Spółdzielczym. w Łubnianach

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

I. O P I S S Z K O L E N I A

KONIECZNOŚĆ I OBOWIĄZEK WDROŻENIA POLITYKI BEZPIECZEŃSTWA INFORMACJI W SYSTEMACH ITS

SPIS TREŚCI Audyt wewnętrzny wydanie II

PRZEWODNIK PO NOWEJ NORMIE

System kontroli wewnętrznej w Banku Spółdzielczym w Gogolinie

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Co się zmieni w nowej wersji normy ISO 9001

INFORMACJE SZCZEGÓŁOWE NA TEMAT SZKOLENIA OTWARTEGO: PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY SYSTEMU ZARZĄDZANIA ŚRODOWISKOWEGO wg PN-EN ISO 14001:2015

Opis Systemu Kontroli Wewnętrznej w Toyota Bank Polska S.A.

Sprawozdanie z zadania zapewniającego

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W ŻORACH

SYSTEM EKSPLOATACJI SIECI PRZESYŁOWEJ

Pełnomocnik, Audytor SZJ ISO 9001:2008

ISO nowy standard bezpieczeństwa. CryptoCon,

Opis systemu kontroli wewnętrznej w mbanku S.A.

SPIS TREŚCI SPIS TREŚCI Postanowienia ogólne Zastosowanie POWOŁANIA NORMATYWNE TERMINY I DEFINICJE SYSTEM ZA

OPIS SYSTEMU KONTROLI WEWNĘTRZNEJ W BANKU SPÓŁDZIELCZYM W SIEMIATYCZACH

Maciej Byczkowski ENSI 2017 ENSI 2017

Numer dokumentu: PRC/DSJ/AW. Sprawdził / Zatwierdził : Tomasz Piekoszewski

Jakość. danych w systemach informatycznych adów w ubezpieczeń 25.III Aspekty normalizacyjne zarządzania incydentami bezpieczeństwa w.

Wprowadzenie. Przedstawiciel kierownictwa (Zgodnie z PN-EN ISO 9001:2009, pkt )

ZARZĄDZENIE NR 19/2019 STAROSTY SIEDLECKIEGO. z dnia 4 kwietnia 2019 r.

Bezpieczeństwo dziś i jutro Security InsideOut

PEŁNOMOCNIK I AUDYTOR WEWNĘTRZNY ZINTEGROWANEGO SYSTEMU ZARZĄDZANIA JAKOŚCIĄ I BHP WG NORM ISO 9001:2015 I OHSAS/PN-N

Transkrypt:

Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010

Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) Jak wdrożyć SZBI w organizacji Certyfikować czy nie certyfikować SZBI Jak przygotować się do audytu strony drugiej lub trzeciej

Ogólny model bezpieczeństwa Z R Z RR P B P B RR Z B P ZASOBY P P R Legenda: P podatność B zabezpieczenie R ryzyko RR ryzyko szczątkowe Z - zagrożenia RR Z B Z 3

Rozmyślne Podsłuch Modyfikacja Włamanie do systemu Złośliwy kod Kradzież Zagrożenia Przypadkowe Pomyłki Skasowanie pliku Błędne skierowanie Uszkodzenia fizyczne 4

Klasy bezpieczeństwa A System zweryfikowany B B3 Obszary poufne B2 Zabezpieczenie strukturalne B1 Etykietowany poziom zabezpieczeń C C2 Dostęp p kontrolowany C1 Dobrowolna kontrola dostępu D Ochrona minimalna

Podstawowe atrybuty danych i informacji

Rozliczalność

Oparty na podejściu wynikającym z ryzyka biznesowego SZBI Ustanawianie Wdrażanie anie Eksploatacja Monitorowanie Utrzymywanie Doskonalenie

Procesy zarządzania bezpieczeństwem systemów informacyjnych Zarządzanie zmianami Zarządzanie konfiguracjami Zarządzanie ryzykiem Monitorowanie Uświadamianie Analiza ryzyka

Działaj zgodnie z PDCA

Schemat wdrożenia enia SZBI oparty na modelu PDCA 4. Użytkowanie, utrzymywanie i usprawnianie SZBI 1 1. Planowanie m.in. ustanowienie PBI oraz opracowanie procedur 4 2 3. Sprawdzanie, monitorowanie działania, przeglądy SZBI 3 2. Wdrożenie zabezpieczeń, procedur oraz wykorzystywanie w praktyce SZBI

Planuj

Planuj

Planuj Dokonaj analizy ekonomicznej: kosztów wdrożenia systemu i kosztów ewentualnych strat z tytułu jego braku Podejmij strategiczną decyzję dotyczącą ustanowienia SZBI

Planuj Opracuj harmonogram działań wdrażających Przygotuj plan postępowania z ryzykiem Dokument planu postępowania z ryzykiem przedstawia zabezpieczenia, które będą zastosowane w celu ograniczenia zidentyfikowanego ryzyka

Struktura dokumentów w SZBI Polityka SZBI Deklaracja najwyższego kierownictwa Zakres SZBI Deklaracja Stosowania Procedury i procesy Gdzie, kiedy, jak i przez kogo Instrukcje, formularze, listy kontrolne Opis realizacji konkretnych działań Zapisy Dowody na zgodność działań z wymogami SZBI

Wykonuj Wdrażaj zabezpieczenia zgodnie z celami stosowania zabezpieczeń zapisanymi w Deklaracji stosowania Cele stosowania zabezpieczeń i zabezpieczenia (załącznik A)

Wykonuj Wdrażaj procedury: Działań zapobiegawczych Działań korygujących Nadzoru nad dokumentami Prowadzenia audytów wewnętrznych Wdrażaj programy uświadamiania personelu!

Wykonuj Zdefiniuj pomiar skuteczności zabezpieczeń Wykorzystuj w praktyce SZBI

Sprawdzaj Monitoruj system w celu identyfikowania naruszeń bezpieczeństwa, wykrywania błędów przetwarzania, wykrywania incydentów Wykonuj pomiar skuteczności zabezpieczeń Wykonuj przeglądy szacowania ryzyka

Sprawdzaj Badaj działanie systemu jego wydajność, efektywność

Składowe kompetencji audytorów Jakość Ogólna wiedza i umiejętno tności Środowisko Wykształcenie Doświadczenie w pracy Szkolenie audytorów Doświadczenie w audytowaniu Cechy osobowości

Etapy oceny audytora Nabywanie kompetencji Kryteria niespełnione nione Ocena wstępna Kryteria spełnione Ciągła a ocena dokonań Audytor Kryteria niespełnione nione Nie wybrany Wyznaczenie zespołu audytującego Utrzymanie i doskonalenie kompetencji Audytowanie

Standardowy proces audytu Inicjowanie audytu - wyznaczenie audytora wiodącego - określenie celów, zakresu i kryteriów w audytu - określenie wykonalności audytu - wyznaczenie zespołu audytującego - ustalenie początkowego kontaktu z audytowanym Przegląd d dokumentów przegląd d dokumentów w systemu zarządzania oraz określenie ich adekwatności w odniesieniu do kryteriów w audytu Przygotowanie działań audytowych na miejscu - przygotowanie planu audytu - przydzielenie zadań zespołowi owi audytującemu - przygotowanie dokumentów w roboczych Prowadzenie działań audytowych na miejscu - spotkanie otwierające - komunikowanie się podczas audytu - rola i odpowiedzialność przewodników w i obserwatorów - zbieranie i weryfikowanie informacji - opracowanie ustaleń z audytu - przygotowanie wniosków w z audytu - spotkanie zamykające Zakończenie audytu Działania ania poaudytowe

Proces zarządzania programem audytu Uprawnienia do zarządzania programem audytów Działaj aj D Doskonalenie programów audytów Ustalenia programu audytów 1) ) cele i zakres 2) odpowiedzialność 3) zasoby 4) procedury Wdrożenie programu audytów 1) harmonogram audytów 2) ocena audytorów 3) dobór r zespołów audytujących 4) kierowanie działaniami aniami audytowymi 5) utrzymywanie zapisów Monitorowanie i przeglądy programu audytów 1) monitorowanie i przeglądy 2) identyfikowanie potrzeb w zakresie działań korygujących i zapobiegawczych 3) identyfikowanie możliwo liwości doskonalenia Planuj Kompetencje i ocena audytorów Wykonaj Działania ania audytowe Sprawdź

Działaj Konserwuj i usprawniaj funkcjonowanie systemu Wdrażaj zidentyfikowane udoskonalenia Podejmuj stosowne działania korygujące lub zapobiegawcze

Uwaga! Norma PN-ISO/IEC 27001 nie jest typową normą IT Jest sui generis przewodnikiem ukazującym tworzenie kultury bezpieczeństwa informacyjnego

Certyfikować czy nie certyfikować SZBI? Certyfikat to świadectwo dojrzałości

Przygotowanie do audytu zewnętrznego - jakie dokumenty? Polityka bezpieczeństwa informacyjnego Dokumenty wymagane przez PN-ISO/IEC 27001 oraz opis SZBI Deklaracja stosowania Opis metody i raport z szacowania ryzyka Udokumentowane procedury Plan postępowania z ryzykiem Zapisy z realizacji procesów, incydentów Opis skuteczności zabezpieczeń

Co interesuje audytorów? Zgodność dokumentacji z wymaganiami Dostępność dokumentacji Zarządzanie dokumentacją Wdrożenie zapisów dla wybranych zabezpieczeń

Korzyści Straty Czas Nakłady finansowe Mniejsze Usługi wykonywane w warunkach bezpieczeństwa informacyjnego Uświadomienie zagrożeń i przeciwdziałanie Przewaga konkurencyjna Zapewnienie ciągłości działania ania Zgodność z przepisami prawa Wrażliwe dane są skutecznie chronione

Źródło: PN-ISO/IEC 27001:2007 PN-ISO/IEC 27006:2009 PN-I-13335-1:1999 Krawiec J., Ożarek G.: Certyfikacja w informatyce. Wyd. PKN, Warszawa, 2010 www.pkn.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres