Save this PDF as:
 WORD  PNG  TXT  JPG

Rozměr: px
Začít zobrazení ze stránky:

Download ""

Transkript

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15 PŘÍLOHA Č. 2 OVĚŘENÍ STAVU INFORMAČNÍ BEZPEČNOSTI Řízení bezpečnosti ICT Centra pro regionální rozvoj ČR Ověření stavu informační bezpečnosti

16 Obsah 1 Úvod Hlavní očekávání zadavatele Klíčová zjištění - přehled Zadání projektu Cíle projektu Popis užitého metodického rámce Úvod do problematiky Rozdílová analýza ISO Certifikace ISO/IEC Hodnocení bezpečnostních rizik Priorita rizik a odvození nápravných opatření Zhodnocení stávajícího stavu Posuzovaná informační aktiva Bezpečnostní politika Organizace bezpečnosti informací Řízení aktiv Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a řízení provozu Řízení přístupu Akvizice, vývoj a údržba informačních systémů Zvládání bezpečnostních incidentů Řízení kontinuity činností organizace Soulad s požadavky Závěrečné hodnocení podle ISO Hlavní nálezy Certifikace dle ISO Hodnota informací Procesní řízení IT Kontinuita provozu a odolnost proti chybám Organizační členění, pracovní role Fyzická bezpečnost /54

17 4.7 Zákony o spisové službě a archivnictví Dohled infrastruktury Vztahy s dodavateli Navrhovaná opatření Řízení nápravy neshod dle ISO Analýza informačních aktiv, přiřazení vlastníků dat Úprava procesů řízení informační bezpečnosti a IT Revize dodavatelských smluv Zavedení systému pro bezpečný vzdálený přístup uživatelů Zavedení systému detekce nežádoucí aktivity Zavedení systému detekce úniku dat Systém důvěryhodného logování Přílohy Popis klíčových procesů Rejstřík použitých pojmů Reference /54

18 Seznam obrázků Obrázek č. 1 Cyklus PDCA...9 Obrázek č. 2 Míra souladu s definovaným PDCA cyklem...27 Seznam tabulek Tabulka č. 1 Stupnice výsledných hodnot rizik...12 Tabulka č. 2 Interpretace jednotlivých úrovní rizik...13 Tabulka č. 3 Seznam posuzovaných aktiv...16 Tabulka č. 4 Nálezy penetračních testů...20 Tabulka č. 5 Shrnutí nálezů dle hlavních kapitol...24 Tabulka č. 6 Popis procesů...51 Tabulka č. 7 Rejstřík základních pojmů /54

19 1 ÚVOD 1.1 HLAVNÍ OČEKÁVÁNÍ ZADAVATELE Z povahy činností zadavatele - Centra pro regionální rozvoj ČR - je zřejmé, že zadavatel plní významnou úlohu v rámci pomoci cílovým skupinám při úspěšné realizaci projektů schválených k spolufinancování z prostředků EU a zásadním způsobem tak přispívá k čerpání finančních prostředků z fondů EU. Politikou zadavatele je poskytovat vysoce kvalitní služby, kde kvalita bude garantována kombinací nastavených procesů a kompetentních pracovníků. Informace, které zadavatel v rámci svých činností zprostředkovává cílovým skupinám, jsou uloženy v elektronické podobě v informačních systémech. Kvalita poskytovaných služeb je tak do značné míry ovlivněna kvalitou příslušných IT procesů a bezpečností zpracovávaných informací. Vzhledem k poměrně vysoké vyzrálosti zadavatele v procesní rovině (dosažení certifikace ISO dle EN ISO 9001:2008) je nyní hlavní očekávání zadavatele směřováno k zajištění odpovídajícího stavu vyzrálosti i v oblasti bezpečnosti informací. Tento stav by měl být dokumentován získáním mezinárodního certifikátu ISO Zadavatel očekává, že v rámci tohoto dokumentu získá: Celkový pohled na stav bezpečnosti v organizaci (v porovnání vůči příslušným mezinárodně uznávaným normativům, a to jak z pohledu provozovaných technologií, organizačního zajištění, tak i z hlediska systematizace řízení), který bude dále objektivizován a kvantifikován dle míry odpovídajícího rizika. Strategii a taktiku dalšího postupu pro získání odpovídající bezpečnostní certifikace (nadefinování příslušných protiopatření, stanovení jejich priorit, hrubého finančního rámce a časové posloupnosti). 1.2 KLÍČOVÁ ZJIŠTĚNÍ - PŘEHLED Celkově je možno konstatovat, že procesní vyspělost zadavatele pozitivně ovlivňuje i jeho vyspělost v oblasti bezpečnosti informací. V porovnání s organizacemi podobného typu lze říci, že úroveň péče o bezpečnost informací je u zadavatele nadprůměrná. Dosažení příslušného certifikátu po odstranění zjištěných nedostatků by tudíž neměl být pro zadavatele v horizontu roku 2010 zásadní problém. Detailní analýzu jednotlivých neshod včetně popisu dopadů a příslušné míry neshody naleznete v kapitole 4. Pro potřeby rychlé prezentace výstupů v rámci tohoto Management Summary kategorizujeme příslušná zjištění dle jejich dopadu do oblastí: nástrojů pro řízení bezpečnosti (procesy), dopadů na pracovníky, případně na organizační strukturu, IT technologie. 5/54

20 1.2.1 Procesní oblast V procesní rovině byl identifikován nesoulad v důsledné dokumentaci realizovaných aktivit a vyhodnocení naplnění cílů, pro které byly tyto aktivity konány. Toto se týká plošně prakticky všech postupů, které jsou v rámci bezpečnosti realizovány. Neexistují plány pro zachování business kontinuity a disaster recovery. V případě vzniku nepředvídané události se organizace musí spolehnout na morálku, svědomí a znalosti pracovníků, což není z pohledu řiditelnosti procesu žádoucí stav. V rámci řízení bezpečnosti informací chybí klasifikace informací, informace nemají přiřazeny své vlastníky, kteří by za ně měli odpovědnost. Tato skutečnost znamená, že zadavatel pečuje o všechny informace se stejným nasazením, což nemusí být z pohledu nákladů optimální. Chybí dokumentace změnových procesů na straně zadavatele. Tento fakt prohlubuje závislost na jednotlivých dodavatelích a představuje riziko Oblast personalistiky Absentuje definice rolí a s nimi spojených kompetencí a odpovědností pro jednotlivé bezpečnostní procesy. Tento stav vede k snížení řiditelné zastupitelnosti Oblast technologií Současný systém logování a bezpečnostního monitoringu neposkytuje nezpochybnitelné údaje pro následné vyšetření incidentů a forenzní audit. Informace mohou být na úrovni správců zpětně modifikovány. V rámci provozní infrastruktury chybí systém pro detekci nežádoucích aktivit. Tato skutečnost znamená neschopnost zadavatele včasně reagovat na nežádoucí aktivity, případně zpětně vyšetřit bezpečnostní incidenty. Odpovídající návrh protiopatření projektových aktivit naleznete v kapitole Navrhovaná opatření. Tento návrh vychází z doporučení příslušných ISO norem a je parametrizován pro podmínky zadavatele. Závěrem tohoto rychlého přehledu si dovolíme upozornit, že celý proces certifikace ISO je poměrně náročný z hlediska disponibilních kapacit uchazeče a odborné zdatnosti při komunikaci s auditorem. 6/54

21 1.3 ZADÁNÍ PROJEKTU V období od září do listopadu 2009 prováděla externí společnost průzkum stavu řízení informační bezpečnosti v Centru pro regionální rozvoj České republiky. Cílem bylo prověřit stav zabezpečení klíčových informačních systémů, nalézt bezpečnostní slabiny a potenciální místa vzniku bezpečnostních incidentů. Zakázka byla specifikována podle výsledků veřejného výběrového řízení podle Výzvy k podání nabídky ze dne Hranice projektu byly definovány následovně: v rámci prověřování stavu řízení informační bezpečnosti nebyla prováděna detailní analýza samotných informačních aktiv, aktiva byla posuzována výhradně z hlediska bezpečnosti informací, nebyla prověřována bezpečnost informací uchovávaných v jiné než v elektronické podobě, nebyly prověřovány smluvní vztahy s dodavateli klíčových informačních systémů, nebyla prověřována softwarová licenční politika, do analýzy nebyly zahrnuty archivy a jejich IT prostředky, hardwarové vybavení je vnímáno především jako podpůrný prostředek, detailnější pohled bude uplatněn v místech, kde vzniknou pochybnosti, do analýzy nebyly zahrnuty koncové stanice pracovníků (běžná PC) a uživatelský software. 1.4 CÍLE PROJEKTU Hlavním cílem projektu je prověřit stav řízení informační bezpečnosti v členění dle ČSN ISO/IEC v rámci organizace Centra pro regionální rozvoj ČR. V jednotlivých oblastech bylo identifikováno pokrytí procesů, dostupnost dokumentace a dále organizační a technická opatření. Dále byl v rámci projektu proveden externí penetrační test k prověření internetového připojení a zabezpečení infrastruktury ICT v organizaci. Výstupem práce je souhrn identifikovaných nedostatků týkajících se bezpečnosti informací v Centru pro regionální rozvoj ČR s ohodnocením jejich významu formou bezpečnostního rizika a návrh opatření doporučených k nápravě. 7/54

22 2 POPIS UŽITÉHO METODICKÉHO RÁMCE 2.1 ÚVOD DO PROBLEMATIKY V dnešním světě je informace považována za velmi cenné aktivum. Informační bezpečnost si klade za cíl postihnout všechny fáze životního cyklu informace a zajistit, aby nedošlo k narušení její důvěryhodnosti, integrity nebo dostupnosti. Je pak odpovědností každé organizace tyto cíle naplnit. Klíčem k úspěchu je koncepční řízení informační bezpečnosti, které je zakotvené v procesech v rámci celé organizace, a to i těch přímo nesouvisejících s IT. Pro organizaci, která chce naplňovat cíle informační bezpečnosti a zároveň účelně a efektivně vynakládat své prostředky, je nezbytné vybudovat sofistikovaný systém řízení bezpečnosti informací (ISMS information security management system). Toho je možné dosáhnout hlavně řízením aktivit na základě analýzy rizik, které ohrožují bezproblémový chod organizace a její snahu o naplňování strategických cílů. K správnému nastavení systému řízení rizik ve společnosti velmi napomáhá rodina norem ISO/IEC A to hlavně tyto dokumenty: ISO/IEC 27001:2005 (Information security management system) Definice systému řízení bezpečnosti informací, odpovědnosti za jeho ustavení a řízení a pokrytí jeho životního cyklu, opatření pro shodu (controls) ISO/IEC 27002:2005 (Information security management system code of practice) Praktické informace ve formě doporučení, jak dosáhnout žádoucího (nutného pro certifikaci) stavu nastavení procesů a aktivit organizace k podpoře efektivního ISMS Tyto normy původně vzešly z britského standardu pokrývajícího bezpečnost informačních systémů (BS17799). Díky rozsáhlému připomínkování a následné standardizaci organizací ISO tyto standardy nabízejí prvotřídní a v praxi velmi použitelné postupy. 8/54

23 ISMS (definovaný v ISO/IEC 27001:2005) využívá pro nastavení a provoz podpůrných procesů implementační a provozní model PDCA (Plan plánuj, Do dělej, Check kontroluj, Act jednej). Ten pokrývá životní cyklus systému následujícím způsobem: Plánuj: V této fázi se definují cíle ISMS a nastavují procesy, které mají k uskutečnění cílů vést. Dělej: V této fázi se naplánované procesy implementují. Kontroluj: V této fázi se hodnotí efektivita výstupu implementovaných procesů a protiopatření, ideálně s nasazením systému monitorování Jednej: Tato fáze zahrnuje hlavně zpětnou vazbu zjištění neefektivního fungování některých procesů nebo opatření z fáze kontroly. Tato zjištění pak slouží k další optimalizaci v předešlých krocích. Obrázek č. 1 Cyklus PDCA Správně nastavený ISMS využívající tento model je potom schopen v rámci správného fungování komplexně řešit informační bezpečnost organizace jako celku za efektivního vynaložení finančních prostředků a zajistit tak kontinuální shodu se současným standardem. Pro organizace, které vyžadují vysokou úroveň zabezpečení z důvodu vysoce hodnotných aktiv (z hlediska důvěrnosti, integrity nebo dostupnosti) je velmi žádoucí udržovat tento systém v souladu s normou v celém životním období. K tomu výrazně napomáhá certifikace systému podle normy ISO/IEC 9/54

24 Systém je pak auditorem kompletně prověřen z pohledu třetí strany. Více o certifikaci v kapitole ROZDÍLOVÁ ANALÝZA ISO27001 Pro správné definování nápravných opatření a kroků vedoucích k nápravě je nutné zajistit objektivní hodnocení fungování a stavu vyspělosti vlastního systému řízení bezpečnosti. V tomto případě je vhodné začít s rozdílovou analýzu oproti normě. Tato analýza si klade následující cíle: Zmapovat stávající funkci organizace bezpečnosti a zastoupení informační bezpečnosti v procesech organizace. Identifikovat případné nedostatky v jednotlivých kapitolách ISO dokumentu, které brání shodě s normou a ohodnotit jejich závažnost (z pohledu míry neshody s normou). Stanovit cestu k nápravě u jednotlivých nedostatků v rámci hodnocení požadavků normy. Uvažovat rizika pro informační aktiva a identifikovat je v relevantních kapitolách dle ISO (To poslouží k vyhodnocení závažných nedostatků v informační bezpečnosti společnosti a doporučí urgentní nápravné opatření). Rozdílová analýza vychází z rozboru podkladů dodaných zadavatelem (dokumentace), šetření v prostředí zadavatele (obvykle forma interview) a následného expertního vyhodnocení konzultanty dodavatele. Informace procházejí cykly validace a doplňování dle aktuálních zjištění a konfirmace zadavatelem. Zadavatel je průběžně informován o stavu zjištění a v případě identifikace nedostatku zásadního rozsahu, které přímo ohrožuje provoz, je ihned notifikován zabezpečeným komunikačním kanálem. 2.3 CERTIFIKACE ISO/IEC Certifikace ISMS oproti normě ISO/IEC je iniciována na požadavek zadavatele, v momentě kdy jsou nedostatky identifikované při rozdílové analýze vyřešeny. Tohoto stavu bude dosaženo po úspěšné realizaci projektů identifikovaných touto studií. Tyto projekty budou mít za cíl odstranit všechny nedostatky a neshody s normou a formou nápravných opatření zajistit shodu s normou v závislosti na stanovené hranici působnosti. Proces certifikace je iniciován organizací (zadavatelem) požadavkem o certifikaci informačního systému řízení bezpečnosti autorizovanému auditorovi (certifikační orgán). Ten musí být registrován a autorizován u národního certifikačního orgánu a autorizován k provedení nezávislé analýzy. Tato analýza obvykle probíhá v těchto krocích: Žádost vybranému certifikačnímu orgánu (autoritě). Setkání s auditorem a základní seznámení s organizací žadatele (případné předání dokumentace pro další fáze auditu). Audit relevantní procesní a organizační dokumentace ISMS, které organizace vlastní (tento audit probíhá bez přítomnosti auditora v prostorách žadatele). Je zkoumána shoda formy a obsahu dokumentace s normou. Audit v prostorách žadatele ( on-site ) 10/54

25 Je zkoumána implementace a míra efektivity procesů prověřených v předchozí fázi ( odpovídá realita dokumentaci? ). Seznámení žadatele s výsledky auditu a vyvození závěru. Pro drobné nedostatky může auditor udělit dobu odkladu při doložení plánu nápravy. Zásadní nedostatky mohou vést k neudělení certifikace. Audit pro obhájení certifikace probíhá každé tři roky. Certifikace systému řízení bezpečnosti informací má pro organizaci nesporné výhody: Záruka správného řízení informační bezpečnosti (díky nastavením interním kontrolám i pravidelným externím auditům). To jak pro organizaci samotnou, tak pro externí partnery. Certifikace je celosvětově uznávaná. Umožnění bezproblémové výměny informací s třetími stranami vyžadujícími certifikaci ISO/IEC Efektivní a systémové vynakládání finančních prostředků díky koncepčnímu plánování V případě, že organizace uvažuje o certifikaci ISMS akreditovaným auditorem třetí strany, je nutné adresovat všechny nedostatky v stávajícím systému řízení informační bezpečnosti. U méně závažných nedostatků může auditor udělit dobu odkladu při doložení konkrétního plánu nápravy. 2.4 HODNOCENÍ BEZPEČNOSTNÍCH RIZIK Hodnocení rizik jednotlivých procesů je exaktně vztaženo ke znění normy ISO/IEC 27001, která má obecnou platnost pro organizace různého zaměření a obchodní činnosti. Nevyhovění liteře normy tak z faktického pohledu nemusí mít vliv na samotný výkon (zajištění provozu, správy atd.) a nemusí nutně znamenat nedostatečnou ochranu aktiv. Z pohledu rozdílové analýzy je největší riziko neshoda systému řízení bezpečnosti informací s normou ISO/IEC Reálná rizika, která ohrožují bezproblémový chod organizace a proces naplňování jejích cílů, jsou adresována součástí ISMS zabývající se řízením informačně bezpečnostních rizik (Risk management). Tato součást využívá kvalitativní analýzy rizik, pracující s relací informačními aktiv a hrozeb. Ve studii jsou tyto poznatky sloučeny v hodnocení jednotlivých složek normy ISO a zároveň adresovány v kapitole vyvozující nápravná opatření. Vyhodnocení rizik v sobě proto spojuje obě tyto složky. Metody použité v rámci studie stanovení rizik pro bezproblémový chod organizace jsou v souladu s ISO/IEC (Metodické pokyny pro řízení informační bezpečnosti). Primárně jsou na základě získaných údajů definována informační aktiva (assets) a jejich význam pro bezproblémové fungování organizace nutné k naplnění jejích strategických cílů. Dále jsou definovány hrozby (threats), které potenciálně negativně působí na informační aktiva (jedno či více). Vztah závažnosti hrozby s klasifikací informačního aktiva (podle dopadu důvěrnosti, integrity a dostupnosti) udává celkový dopad na informační bezpečnost daného aktiva. Jako poslední faktor je nutné stanovit pravděpodobnost, s jakou se může hrozba materializovat a tím fakticky ohrozit informační aktivum a tak narušit informační bezpečnost organizace. Posouzení těchto 11/54

26 veličin vychází z obdržených informací aktualizovaných s konkrétními zaměstnanci klienta a z expertního posouzení konzultanta. Vzájemný vztah těchto veličin vyjadřuje míra rizika, která vychází ze vztahu: Míra rizika = Pravděpodobnost * Celkový dopad na aktivum Rizika jsou poté pojmenována a popsána. Výsledná hodnota rizika je znázorněna na následující stupnici: Vysoký Dopad Střední Nízký Nízká Střední Vysoká Pravděpodobnost Tabulka č. 1 Stupnice výsledných hodnot rizik 12/54

27 Jednotlivým stupňům pak připadá tato interpretace: Stupeň Interpretace rizika 1 Aktuální stav je plně v souladu s normou a neohrožuje informační bezpečnost uvažovaných aktiv organizace klienta. 2 Stav je ve shodě s normou s výjimkou drobných nedostatků (v procesní nebo implementační části), které mohou představovat minoritní ohrožení informačních aktiv. 3 Existuje dílčí nesoulad (ne zásadního rázu) aktuálního stavu ve shodě s normou; absence takových opatření může uvádět informační aktiva organizace v ohrožení. Tuto oblast je doporučeno podrobněji analyzovat v rámci nápravných projektů. 4 V současném stavu byly identifikovány nedostatky či jejich skupiny, které nejsou v souladu s normou a absence těchto opatření může ohrozit získání certifikace. Tuto oblast je nutné podrobněji analyzovat v rámci nápravných projektů. 5 Existuje nesoulad mezi nastavením kontrolního mechanismu, který je v rámci uvažované certifikace nutné řešit (případně doplnit). Tuto oblast je nutné detailně analyzovat v rámci nápravných projektů s vysokou prioritou. Tabulka č. 2 Interpretace jednotlivých úrovní rizik Pro každou klauzuli (vyžadované opatření) ISO/IEC normy je stanoveno riziko dle výše zmíněné metodiky a ohodnoceno příslušným stupněm rizika. Ke každému bodu je k dispozici rovněž dílčí nápravné opatření, které reaguje na aktuální stav požadovaného opatření. Tato dílčí rizika jsou sdružena dle příslušných kapitol ISO normy. Abstrahovaná míra rizika pro jednotlivé kapitoly je pak uvažována při návrhu koncepčních nápravných řešení. Dílčí rizika mohou být seskupena do větších logických celků, na základě kterých je pak možné stanovit efektivní nápravná opatření, která budou koncepčně řešit jejich odstranění nebo zmírnění dopadů. Více o odvození nápravných opatření v kapitole PRIORITA RIZIK A ODVOZENÍ NÁPRAVNÝCH OPATŘENÍ Analyzovaná rizika jsou ohodnocena v závislosti na míře neshody s normou a míře ohrožení informačních aktiv na základě informací čerpaných z primárních (pohovory) a sekundárních (dodané a referenční dokumenty). Pro každý požadavek normy je slovně zhodnocen aktuální stav dané problematiky v organizaci klienta, který vyzdvihuje v čem je proces s normou ve shodě a kde jsou identifikovány nedostatky. Dílčí nápravné opatření potom reaguje na část popisující nedostatky v souladu s normou, které by mohly být problematické při certifikaci a jejich stav se musí aktivně řešit. Detailní tabulkový zápis je možné nalézt v podkapitole 6.1. Obecné závěry hodnotící aktuální stav jsou rozebírány v kapitole 3 (a podkapitolách). Ty jsou tvořeny jako abstrakt detailních zjištění u klienta. Výsledky rozdílové analýzy sloučené s výstupy analýzy rizik jsou rozebírány v kapitole 4. Ty představují hlavní výstup studie a na jejich základě jsou konstruována nápravná opatření. Dílčí nápravná opatření jsou strukturována do bloků, které adresují související skupiny spolu souvisejících nálezů a koncepčně řeší danou situaci. Při návrhu těchto bloků bylo využito interní know-how 13/54

28 společnosti, které reflektuje současné best-practices (technologie, metodologie, koncepty a modely) a zejména těchto zdrojů: Rodina norem ISO27000 COBIT ITIL praxe s jejich implementací v různých prostředích Metodologie zabývající se procesním modelem fungování organizace, optimalizací, řízením a modelem hodnocení vyspělosti procesů Báze znalostí fungování IT procesů a jejich implementací používaná předními IT společnostmi. Pro usnadnění nastavení postupu při adresování příslušných opatřením jsme ohodnotili jednotlivé bloky agregovanou mírou rizika, která zahrnuje všechny výše popsané aspekty (neshoda s normou, analýza rizik) a říká organizaci v jakém pořadí se nápravě nedostatků věnovat. 14/54

29 3 ZHODNOCENÍ STÁVAJÍCÍHO STAVU 3.1 POSUZOVANÁ INFORMAČNÍ AKTIVA Rozsah posuzování platnosti bezpečnostní normy ISO byl omezen na informační aktiva, která jsou nezbytná pro chod společnosti. Za informační aktivum je považována komponenta nebo určitá část celého sytému, které organizace přikládá určitou hodnotu. Aktiva byla rozdělena do dvou významových kategorií: Hlavní Podpůrná U těchto aktiv byla ohodnocena úroveň uplatnění kontrolních mechanismů na dané IT procesy pomocí metodiky definované rodinou norem ISO Pro eliminaci klíčových rizik byla navržena odpovídající protiopatření mající ve většině případů vliv na více procesů (oblastí) najednou. V řadě případů tak řeší ochranu bezpečnosti informačních aktiv komplexně napříč systémy CRR. 15/54

30 V rámci zkoumání byla posuzována následující informační aktiva: Sekce Název Funkce Klasifikace Odůvodnění Popis Hlavní Monit Benefit Moutlook Centrální monitorovací systém Webová front-end aplikace Správa korporátní agendy Mitis Řízení přístupu - Identity management Helios Informační systém organizace vysoká vysoká střední střední střední Přímý vliv na zachování kontinuity hlavní obchodní činnosti organizace. Přímý vliv na zachování kontinuity hlavní obchodní činnosti organizace. Minimální dopad na hlavní obchodní činnost organizace. Obsahuje citlivé interní údaje. Centrální řízení úrovně přístupu do jednotlivých informačních systémů. Informační systém organizace, účetnictví. Slouží k automatizovanému zpracování evidence a vyhodnocení námětů projektů, sledování finančního a věcného plnění projektů v průběhu jejich životního cyklu. Podávání žádostí a podpora projektů, slouží jako základní komunikační nástroj. Smlouvy, docházka, cestovní příkazy, dovolené atd. Zadávání a přidělování přístupových oprávnění. Informační systém organizace. Podpůrná Pracovní stanice RIS Připojení do internetu Uživatelské počítače Regionální informační servis a mapový server Zajištění trvalého a plnohodnotného připojení na internet střední nízká vysoká Na uživatelských stanicích se mohou nacházet citlivé informace. Zpracování veřejných zdrojů informací a publikace na veřejně přístupných místech. Působí jako nedílná součást dostupnosti a poskytování služeb, které jsou hlavní obchodní činnosti organizace. Infrastruktura Správa HW aktiv vysoká Zajišťuje dostupnosti a důvěrnost poskytováných dat a služeb, které jsou hlavní obchodní činnosti organizace. Tabulka č. 3 Seznam posuzovaných aktiv Koncové uživatelské počítače. Agreguje veřejně dostupné regionální informace a je veřejně dostupný krajským úřadům, starostům atd. Zajištění trvalého a plnohodnotného připojení na Internet. Správa HW aktiv a zajištění jejich dostupnosti, důvěrnosti a integrity. 16/54

31 3.2 BEZPEČNOSTNÍ POLITIKA Podpora systematického prosazování bezpečnosti informací je obecně zastřešena předpisy OS-08 Informační systém a MP-11 Bezpečnostní politika IT. Dokumenty jsou schváleny vedením organizace a určují tak směr řízení bezpečnosti a soulad s požadavky, příslušnými zákony a směrnicemi. Bezpečnostní politika vychází z obecných zásad a požadavků organizace, obsahuje povinnosti pro realizaci, speciální postupy bezpečnosti a je dostupná všem zaměstnancům na interním datovém úložišti. Pro zajištění neustálé použitelnosti, přiměřenosti a účinnosti je doporučeno politiku přezkoumávat v plánovaných intervalech a to vždy minimálně jednou ročně nebo když nastane významná změna v systému. Přezkoumání a kontrola dodržování zásad definovaných bezpečnostní politikou v praxi probíhá kontinuálně interním (RD-06 Interní audit) a externím auditem. 3.3 ORGANIZACE BEZPEČNOSTI INFORMACÍ Vedení organizace vyjadřuje podporu systematického řízení bezpečnosti informací v organizaci vydáním a podpisem metodických pokynů MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti IS. Závazek vedení organizace implementovat systém řízení bezpečnosti ISMS nebyl deklarován. Strategie a prostředky pro zpracování informací jsou dlouhodobě plánovány. Na začátku roku je požadavkem odsouhlasen cílový stav, který projde procesem vnitřních kontrol a schvalování. Zajištění bezpečného provozu a administraci klíčových systémů provádí dodavatel systémové integrace. Bezpečnostní požadavky jsou zahrnuty do pracovních povinností, doporučuje se však ověření jejich aplikace v praxi. Vzdělávání o bezpečnosti a aktuální hrozby jsou aktivně sledovány pouze na straně dodavatele systémové integrace a bezpečnostní infrastruktury. Rizika jsou obecně identifikována v MP-21 Rizika a jejich řízení. Bezpečnostní požadavky pro přístup klientů jsou nastaveny genericky a relevantní bezpečnostní požadavky jsou do znění smluv aplikovány jednotlivě podle předmětu dané smlouvy. Míra naplnění požadavků bezpečnosti je v periodických intervalech nezávisle přezkoumávána jak interním oddělěením interního auditu (činnosti a působnost dle RD-06 Interní audit, MP-RD Metodika auditorské činnosti) tak kontrolami daného řídícího orgánu a různými druhy auditu (např. NKÚ, EU). Kontakt s profesními sdruženími či speciálními fóry pro informační bezpečnost není interně udržován. 3.4 ŘÍZENÍ AKTIV Cílem řízení informačních aktiv je nastavit a přiměřeně udržovat jejich ochranu, tudíž je nutné definovat signifikantní informační aktiva a rizika na ně působící. Za tímto účelem je zpracován dokument obecného pojetí rizik MP-21 Rizika a jejich řízení. Informační aktiva organizace však nejsou identifikována ani jinak systematicky evidována, klasifikována s ohledem na jejich hodnotu, důvěrnost, právní požadavky, citlivost a kritičnost. Vlastnictví je přiřazeno vedoucímu daného útvaru. Pravidla pro přípustné použití informací a prostředků pro zpracování informací jsou obsažena v předpisech MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti IS. Povinnosti 17/54

32 a odpovědnosti zaměstnanců jsou definovány popisem pracovních pozic v RD-01 Organizační řád a RD- 01 SP Popisy pracovních míst. 3.5 BEZPEČNOST LIDSKÝCH ZDROJŮ Povinnosti a odpovědnosti zaměstnanců jsou definovány v MP-11 Bezpečnostní politice IT, personální bezpečnost je pak definována popisem pracovního místa a působnosti útvaru v předpisech MP-13 Provozní řád bezpečnosti IS, RD-01 Organizační řád, RD-01 SP Popisy pracovních míst a popisem povinností vyplývajících z pracovního poměru v RD-02 Pracovní řád. Odpovědnosti vedoucích zaměstnanců v oblasti dodržování bezpečnosti informací jsou definovány ve vnitřní řízené dokumentaci (ČSN 9001/2008). Proces zahájení nebo změny pracovního poměru zaměstnanců, smluvních a třetích stran probíhá formálním procesem. V praxi je nastaveno prověření nových zaměstnanců podle interních a zákonných požadavků. Při ukončení pracovního nebo smluvního vztahu je zpracován výstupní list, proti podpisu vedoucího útvaru jsou vráceny svěřené prostředky a zadán požadavek na zrušení uživatelského účtu. Proces disciplinárního řízení proti zaměstnanci či smluvní straně porušující předepsaná bezpečnostní pravidla je popsán v RD-02 Pracovní řád. Vzdělávání a školení v oblasti bezpečnosti informací je zaměřeno na bezpečnostní postupy a správné používaní informací. Nutno ověřit úroveň povědomí mezi zaměstnanci, smluvními a třetími stranami o bezpečnostních hrozbách a problémech s nimi spojených, jejich odpovědností a povinností a připravenosti podílet se na dodržování politiky bezpečnosti informací během své běžné práce. 3.6 FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ Pro zajištění odpovídající úrovně fyzické bezpečnosti je nutné předcházet neautorizovanému fyzickému přístupu do vymezených prostor, poškození a zásahům do provozních budov a informací organizace. Za tímto účelem jsou přístupy do místnosti se síťovým rozvodem ve 4.NP a do datového centra v 1.PP zajištěny pomocí PIN kódu na klávesnici zabezpečovacího zařízení při vstupu do místnosti a je ověřena vstupní karta, která je vydávána pouze povolaným osobám. Přístup k zařízením v serverových skříních je přidělen pouze držitelům rackové vstupní karty. Datové centrum je před hrozbami ztráty, poškození, krádeže nebo kompromitace aktiv chráněno fyzickým perimetrem. Signifikantní výpočetní prostředky jsou umístěny v prostoru datového centra, kde jsou chráněna proti výpadku napájení elektrické energie, poruše klimatizace, poplachovému hlášení, záplavě či požáru. Kabelové rozvody jsou chráněny proti úmyslnému poškození. Není známa úroveň ochrany komunikačních kanálů proti odposlechu. Zařízení zabezpečující provoz datového centra jsou pravidelně kontrolována a udržována. Identifikace návštěv a kontrola totožnosti je prováděna při vstupu do budovy organizace. Fyzické zabezpečení kanceláří a místností volně přístupných během pracovní doby není vynuceno technickými prostředky. Přístup dodavatelů do datového centra je řešen asistovaně a záznam o návštěvě je veden v návštěvní knize. Zařízení obsahující paměťová media nejsou evidována a jejich použití není omezeno, použití tiskáren a obsah tisku není kontrolován. 18/54

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Účelem veřejné zakázky je vybudování, provoz a údržba infrastruktury pro provozování aplikací a služeb

Více

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA WINCOR NIXDORF Certifikovaný PCI DSS auditor - QSA Wincor Nixdorf s.r.o. Evropská 33a 160 00 Praha 6 Tel.: +420 233 034 129 Email: pci@wincor-nixdorf.cz PCI DSS jako norma pro bezpečnost v odvětví platebních

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) Oblast 1. STRATEGICKÉ PLÁNOVÁNÍ Jsou identifikovány procesy v takovém rozsahu, aby byly dostačující pro zajištění systému managementu jakosti v oblasti vzdělávání?

Více

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Zdravotnické laboratoře. MUDr. Marcela Šimečková Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy

Více

1. Politika integrovaného systému řízení

1. Politika integrovaného systému řízení 1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky

Více

Audit? Audit! RNDr. Hana Žufanová

Audit? Audit! RNDr. Hana Žufanová Audit? Audit! RNDr. Hana Žufanová Audit (z lat. auditus, slyšení) znamená úřední přezkoumání a zhodnocení dokumentů, zejména účtů, nezávislou osobou. Účelem je zjistit, zda doklady podávají platné a spolehlivé

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Bezpečnostní politika informací v ČSSZ

Bezpečnostní politika informací v ČSSZ Č. j.: 11 1700 2.6.2006/1641 Praze dne 9.6.2006 SMĚRNICE ŘEDITELE ODBORU BEZPEČNOSTNÍ POLITIKY č. 11/2006 Bezpečnostní politika informací v ČSSZ O B S A H : Čl. 1 Úvodní ustanovení Čl. 2 Cíle a zásady

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 5 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

Poradenské služby pro veřejný sektor

Poradenské služby pro veřejný sektor Poradenské služby pro veřejný sektor Committed to your success Poradenské služby pro veřejný sektor Informační a komunikační technologie Oceňování oceňování, odhady hodnoty / majetkového práva softwaru

Více

Příklad I.vrstvy integrované dokumentace

Příklad I.vrstvy integrované dokumentace Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,

Více

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná vazba o Příklad o Zákon č. 181/2014 Sb., o kybernetické

Více

KATALOG SLUŽEB NÁSLEDNÉ PODPORY

KATALOG SLUŽEB NÁSLEDNÉ PODPORY KATALOG SLUŽEB NÁSLEDNÉ PODPORY Společnost WEBCOM a. s. Vám nabízí kompletní pokrytí Vašich požadavků na zajištění služeb technické podpory Microsoft Dynamics přesně podle Vašich potřeb a v požadovaném

Více

Vstupní analýza absorpční kapacity OPTP. pro programové období 2014 2020

Vstupní analýza absorpční kapacity OPTP. pro programové období 2014 2020 Manažerské shrnutí 1 Výstup zpracovaný k datu: 10. 2. 2014, aktualizace k 7.5. 2014 Zpráva zpracována pro: Ministerstvo pro místní rozvoj ČR Staroměstské náměstí 6 110 15 Praha 1 Dodavatel: HOPE-E.S.,

Více

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK Dodržují vaši obchodníci a prodejní zástupci vaše obchodní podmínky? Uplatňují vaše etické principy všichni zaměstnanci vůči svým zákazníkům? Dostávají vaši zákazníci

Více

SPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE

SPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE SPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE Václav Šebesta Ústav informatiky Akademie věd ČR, e-mail: vasek@cs.cas.cz Abstrakt Jestliže ještě před

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster. Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kdo jsme Kooperační odvětvové uskupení 19 firem se specializací

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Dopravní telematika Dopravní telematika Elektronický výběr poplatků Směrnice

Více

1) Má Váš orgán platnou informační koncepci dle zákona 365/2000 Sb.? ano

1) Má Váš orgán platnou informační koncepci dle zákona 365/2000 Sb.? ano Pokyny pro vyplnění: a) na otázky uvedené v tomto dotazníku by měli být schopni odpovědět minimálně vedoucí pracovníci v oblasti informačních technologií, b) v případě, že některá z požadovaných informací

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti Obsah: 1) Adresa společnosti 2) Historie firmy 3) Rozsah systému kvality 4) Systém managementu kvality 5) Povinnosti

Více

Odbor informatiky a provozu informačních technologií

Odbor informatiky a provozu informačních technologií POLICEJNÍ PREZIDIUM ČR Odbor informatiky a provozu informačních technologií Příloha č. 1 a) název zakázky, Technická podpora software pro systém NS-VIS a VISMAIL b) předmět a rozsah plnění veřejné zakázky

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat Název projektu: Redesign Statistického informačního systému v návaznosti na zavádění egovernmentu v ČR Příjemce: Česká republika Český statistický úřad Registrační číslo projektu: CZ.1.06/1.1.00/07.06396

Více

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s. Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů

Více

STANOVENÍ RIZIKOVÝCH OBLASTÍ

STANOVENÍ RIZIKOVÝCH OBLASTÍ PSYCHIATRICKÁ NEMOCNICE BRNO Húskova 2, 618 32 Brno STANOVENÍ RIZIKOVÝCH OBLASTÍ Tabulka stupnice hodnocení rizik a významnosti vlivu rizika PRAVDĚPODOBNOST VÝSKYTU RIZIKA (P) VÝZNAMNOST VLIVU RIZIKA (V)

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB #

Více

ZABEZPEČENÍ PROTIKORUPČNÍCH OPATŘENÍ VE FNKV, VYTVÁŘENÍ A POSILOVÁNÍ PROTIKORUPČNÍHO PROSTŘEDÍ VE FNKV

ZABEZPEČENÍ PROTIKORUPČNÍCH OPATŘENÍ VE FNKV, VYTVÁŘENÍ A POSILOVÁNÍ PROTIKORUPČNÍHO PROSTŘEDÍ VE FNKV ZABEZPEČENÍ PROTIKORUPČNÍCH OPATŘENÍ VE FNKV, VYTVÁŘENÍ A POSILOVÁNÍ PROTIKORUPČNÍHO PROSTŘEDÍ VE FNKV Hlavní nástroje pro budování a udržování protikorupčního prostředí ve FNKV Hlavními nástroji pro budování

Více

Jak být online a ušetřit? Ing. Ondřej Helar

Jak být online a ušetřit? Ing. Ondřej Helar Jak být online a ušetřit? Ing. Ondřej Helar Obsah Co znamená být online ve škole? Rizika online přístupu Skryté náklady na straně školy Jak snížit rizika a náklady? Koncepce SaaS (Software as a Service)

Více

Úvod. Projektový záměr

Úvod. Projektový záměr Vzdělávací program Řízení jakosti a management kvality Realizátor projektu: Okresní hospodářská komora Karviná Kontakt: Svatováclavská 97/6 733 01 KARVINÁ +420 596 311 707 hkok@hkok.cz www.akademieok.cz

Více

Specifické obchodní podmínky WebStep, s.r.o. pro poskytování služeb Technické podpory

Specifické obchodní podmínky WebStep, s.r.o. pro poskytování služeb Technické podpory Specifické obchodní podmínky WebStep, s.r.o. pro poskytování služeb Technické podpory také jen Podmínky technické podpory, platné od 21.10.2011 Preambule Níže uvedené Specifické obchodní podmínky poskytování

Více

Podrobná analýza k aktivitě č. 3 - implementace procesního řízení do praxe úřadu

Podrobná analýza k aktivitě č. 3 - implementace procesního řízení do praxe úřadu Příjemce dotace: Město Moravská Třebová Název projektu: Zvýšení kvality řízení a poskytovaných služeb MÚ Moravská Třebová Registrační číslo projektu: CZ.1.04/4.1.01/89.00116 Podrobná analýza k aktivitě

Více

Hlavní město Praha RADA HLAVNÍHO MĚSTA PRAHY USNESENÍ. Rady hlavního města Prahy

Hlavní město Praha RADA HLAVNÍHO MĚSTA PRAHY USNESENÍ. Rady hlavního města Prahy Hlavní město Praha RADA HLAVNÍHO MĚSTA PRAHY USNESENÍ Rady hlavního města Prahy číslo 1495 ze dne 24.6.2014 k Manuálu tvorby veřejných prostranství hl.m. Prahy a návrhu Strategie rozvoje veřejných prostranství

Více

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva? Ing. Jiří Sedláček Chief of Security Experts jiri.sedlacek@nsmcluster.com Kybernetická bezpečnost III Kdo jsme Kooperační odvětvové

Více

Výzkumná potřeba (budoucí výzkumný projekt) 1) Název: Výzkum ochrany objektů a prostor malých letišť s mezinárodním provozem

Výzkumná potřeba (budoucí výzkumný projekt) 1) Název: Výzkum ochrany objektů a prostor malých letišť s mezinárodním provozem Návrh výzkumné potřeby státní správy pro zadání veřejné zakázky na projekt z programu veřejných zakázek ve výzkumu, experimentálním vývoji a inovacích pro potřeby státní správy BETA Předkladatel - garant

Více

GIS Libereckého kraje

GIS Libereckého kraje Funkční rámec Zpracoval: Odbor informatiky květen 2004 Obsah 1. ÚVOD...3 1.1. Vztah GIS a IS... 3 2. ANALÝZA SOUČASNÉHO STAVU...3 2.1. Technické zázemí... 3 2.2. Personální zázemí... 3 2.3. Datová základna...

Více

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY

TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Příloha č. 3 k č.j. MV-159754-3/VZ-2013 Počet listů: 7 TECHNICKÁ SPECIFIKACE VEŘEJNÉ ZAKÁZKY Nové funkcionality Czech POINT 2012 Popis rozhraní egon Service Bus Centrální Místo Služeb 2.0 (dále jen CMS

Více

Kybernetická bezpečnost

Kybernetická bezpečnost Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření

Více

Všeobecné obchodní podmínky produktu BUILDpower. Článek I. Úvodní ustanovení

Všeobecné obchodní podmínky produktu BUILDpower. Článek I. Úvodní ustanovení platné od 1. 9. 2009 Článek I. Úvodní ustanovení 1. Všeobecné obchodní podmínky upravují obchodní vztah mezi společností (dále zhotovitelem) a zákazníky či klienty společnosti (dále objednatelem). Obecným

Více

Nástroje IT manažera

Nástroje IT manažera Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Atestace informačních systémů veřejné správy. Vladimír Matějíček 5.12.2007

Atestace informačních systémů veřejné správy. Vladimír Matějíček 5.12.2007 Atestace informačních systémů veřejné správy Vladimír Matějíček 5.12.2007 Co se atestuje a jak? Předmět atestace Dlouhodobé řízení ISVS informační koncepce provozní dokumentace (bezpečnostní politika)

Více

ČSN EN ISO 50001:2012 ZKUŠENOSTI S UPLATŇOVÁNÍM

ČSN EN ISO 50001:2012 ZKUŠENOSTI S UPLATŇOVÁNÍM ČSN EN ISO 50001:2012 ZKUŠENOSTI S UPLATŇOVÁNÍM EnMS 1 SYSTÉM MANAGEMENTU HOSPODAŘENÍ S ENERGIÍ Záměrem je přijetí a zavedení systematického přístupu k dosahování neustálého zlepšování energetické náročnosti,

Více

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H :

SBÍRKA ZÁKONŮ. Ročník 2014 ČESKÁ REPUBLIKA. Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H : Ročník 2014 SBÍRKA ZÁKONŮ ČESKÁ REPUBLIKA Částka 127 Rozeslána dne 19. prosince 2014 Cena Kč 109, O B S A H : 314. Nařízení vlády o úpravě náhrady za ztrátu na služebním příjmu po skončení neschopnosti

Více

Projekt: Koordinační centrum pro zavádění e-gov v územní veřejné správě. Koncepční dokument pro oblast řízení. Procesní model

Projekt: Koordinační centrum pro zavádění e-gov v územní veřejné správě. Koncepční dokument pro oblast řízení. Procesní model Koncepční dokument pro oblast řízení a koordinaci e-gov: Procesní model 18. 09. 2013 OBSAH Obsah... 2 Seznam zkratek... 3 Použité pojmy... 4 1 Úvodní informace... 6 2 Procesní model: životní cyklus e-gov...

Více

Systém environmentálního řízení

Systém environmentálního řízení EMS Systém environmentálního řízení Pavel Růžička, MŽP Seminář k environmentální politice pro MSP Brno, 14.12.2007 Systémy environmentálního řízení Systematický přístup k ochraně ŽP ve všech směrech podnikatelské

Více

PŘÍKAZ REKTORA Č. 111 BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE. Verze 2.0

PŘÍKAZ REKTORA Č. 111 BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE. Verze 2.0 BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze 2.0 2008 Verze 2.0 Účinnost od 1. 3. 2008 Klasifikace Veřejné Počet stran 13 Počet příloh 1 Garant Šup Libor, Bc., bezpečnostní technik ICT Šup

Více

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha Převzetí gesce nad problematikou kybernetické bezpečnosti bezpečnosti, jako

Více

Personální audit. a personální strategie na úřadech. územních samosprávných celků

Personální audit. a personální strategie na úřadech. územních samosprávných celků Personální audit a personální strategie na úřadech územních samosprávných celků Dělat (vybrat) správné věci je úkolem zejména zastupitelů města. Dělat (vybrat) správné věci Správně je provádět Správně

Více

OBECNÍ ÚŘAD Dolní Krupá

OBECNÍ ÚŘAD Dolní Krupá OBECNÍ ÚŘAD Dolní Krupá Směrnice o zabezpečení zákona č. 320/2001 Sb. o finanční kontrole ve veřejné správě a o změně některých zákonů Obec: Dolní Krupá Adresa: 582 71 Dolní Krupá 55 Směrnici zpracoval:

Více

Zadávací dokumentace. Outsourcing odborných služeb provozu ICT Úřadu městského obvodu Moravská Ostrava a Přívoz

Zadávací dokumentace. Outsourcing odborných služeb provozu ICT Úřadu městského obvodu Moravská Ostrava a Přívoz k veřejné zakázce malého rozsahu v souladu s 6, 12 odst. 3 a 18 odst. 3 zákona č. 137/2006 Sb., o veřejných zakázkách, v platném znění (dále jen zákon ) Název zakázky veřejné Outsourcing odborných služeb

Více

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA

NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81. Mgr. Jiří Malý duben 2014, PRAHA NÁVRH ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Tisk 81 Mgr. Jiří Malý duben 2014, PRAHA Gesce kybernetické bezpečnosti Usnesení vlády ze dne 19. října 2011 č. 781 o ustavení Národního bezpečnostního úřadu gestorem

Více

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických

Více

Koncept. Centrálního monitoringu a IP správy sítě

Koncept. Centrálního monitoringu a IP správy sítě Koncept Centrálního monitoringu a IP správy sítě Koncept Centrálního monitoringu a IP správy sítě Společnost Novicom, společně se svým partnerem, společností INVEA-TECH, nabízí unikátní koncept Centralizovaného

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. http://www.relsie.cz/ Současný stav projektů v ICT Procesy dohled řízení Legislativa národní

Více

Ministerstvo pro místní rozvoj ČR

Ministerstvo pro místní rozvoj ČR Ministerstvo pro místní rozvoj ČR vyhlašuje od 14. května 2008 výzvu k podávání žádostí o podporu na období 2007 2010 v rámci Operačního programu Technická pomoc (dále jen OPTP ) Prioritní osy Číslo výzvy

Více

Roční evaluační plán

Roční evaluační plán Roční evaluační plán Regionálního operačního programu regionu soudržnosti Severozápad na rok 2008 návrh verze 1.0 strana 1 z celku 9 EVIDENCE PROCESU PŘÍPRAVY, SCHVÁLENÍ A REVIZÍ (ČÁSTI) EVALUAČNÍHO PLÁNU

Více

Manažerské shrnutí. Národní infrastruktura pro elektronické zadávání veřejných zakázek (NIPEZ) Úvod

Manažerské shrnutí. Národní infrastruktura pro elektronické zadávání veřejných zakázek (NIPEZ) Úvod Národní infrastruktura pro elektronické zadávání veřejných zakázek (NIPEZ) Úvod Oblast zadávání veřejných zakázek upravuje zákon č. 137/2006 Sb., o veřejných zakázkách (ZVZ). Zadávání veřejných zakázek

Více

Systémy řízení QMS, EMS, SMS, SLP

Systémy řízení QMS, EMS, SMS, SLP Systémy řízení QMS, EMS, SMS, SLP Ústí nad Labem 11/2013 Ing. Jaromír Vachta Systém řízení QMS Systém managementu kvality Systém řízení podle ČSN EN ISO 9001:2009 - stanovení, pochopení a zajištění plnění

Více

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D. Prezentace k zahájení projektu pro Radu kraje Vysočina Projektový manažer - Ing. Ivan Sokolov, Ph.D. Obsah Úvod Cíle projektu Rozsah projektu Projektové řízení základní východiska Základní organizační

Více

Systém certifikace a uznávání odbornosti interních auditorů ve veřejné správě

Systém certifikace a uznávání odbornosti interních auditorů ve veřejné správě Národní kvalifikační program vzdělávání a certifikace interního auditu ve veřejné správě Systém certifikace a uznávání odbornosti interních auditorů ve veřejné správě Platnost Od 1. 1. 2014 ČIIA I. ÚVOD

Více

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled Ing. Lenka Žďárská, březen 2013 Proč systém kvality? Vyhláška 306/2012 Sb., příloha IV, článek IV.I., odstavec 2 Pro sterilizování

Více

Elektronizace projektového řízení a nástroje komunikace

Elektronizace projektového řízení a nástroje komunikace Odůvodnění účelnosti nadlimitní veřejné zakázky Elektronizace projektového řízení a nástroje komunikace podle 156 odst. 1 zákona č. 137/2006 Sb., o veřejných zakázkách, v platném znění a v souladu s prováděcí

Více

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Petr HRŮZA 1 MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Abstract: The article introduces the module cyber security at the University of Defence. This is a new module. University

Více

KONTROLNÍ ŘÁD OBCE ČAKOVIČKY

KONTROLNÍ ŘÁD OBCE ČAKOVIČKY KONTROLNÍ ŘÁD OBCE ČAKOVIČKY Podle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě ve znění pozdějších předpisů Obsah směrnice: I. Obecná část II. Vnitřní kontrolní systém III. Řídící kontrola

Více

Klasifikace informací: Veřejné BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE PŘÍLOHA Č. 1 BEZPEČNOSTNÍ POLITIKA INFORMACÍ. Verze 2.

Klasifikace informací: Veřejné BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE PŘÍLOHA Č. 1 BEZPEČNOSTNÍ POLITIKA INFORMACÍ. Verze 2. BEZPEČNOSTNÍ ŘÁD ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE PŘÍLOHA Č. 1 INFORMACÍ ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V PRAZE Verze 2.0 2008 PŘÍLOHA Č. 1 BEZPEČNOSTNÍHO ŘÁDU - INFORMACÍ ČESKÉ ZEMĚDĚLSKÉ UNIVERZITY V

Více

Důvěryhodná výpočetní základna -DVZ

Důvěryhodná výpočetní základna -DVZ Důvěryhodná výpočetní základna -DVZ Petr Krůček, ICZ a. s. 12. 4. 2010, Hradec Králové 1 Důvěryhodná výpočetní základna -DVZ Bezpečná platforma budoucnosti Komplexní řešení zabezpečené výpočetní infrastruktury

Více

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář 4.2.2014, Praha, Cyber Security konference 2014

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář 4.2.2014, Praha, Cyber Security konference 2014 SIEM Mozek pro identifikaci kybernetických útoků Jan Kolář 4.2.2014, Praha, Cyber Security konference 2014 Agenda Prvky bezpečnosti IT Monitoring bezpečnosti IT (MBIT) Co je bezpečnostní incident? Jak

Více

STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ 2011-2015

STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ 2011-2015 III. STRATEGIE PRO OBLAST KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ 2011-2015 Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011-2015 navazuje na Bezpečnostní strategii

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Září 2014 Informační technologie Bezpečnostní techniky Soubor postupů pro opatření bezpečnosti informací ČSN ISO/IEC 27002 36 9798 Information Technology Security techniques

Více

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o. Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o. Bezpečnost informačních systémů Využívání informačních technologií, zejména sofistikovaných ERP systémů jako je SAP, znamená

Více

VIZE INFORMATIKY V PRAZE

VIZE INFORMATIKY V PRAZE VIZE INFORMATIKY V PRAZE Václav Kraus, ŘED INF MHMP 1 / 30. 4. 2009 PRAHA MĚSTO PRO ŽIVOT Město mezinárodně uznávané, ekonomicky prosperující a úspěšné. Město bezpečné a přívětivé, město sebevědomých a

Více

Ministerstvo financí Centrální harmonizační jednotka pro finanční kontrolu Josef Svoboda ředitel

Ministerstvo financí Centrální harmonizační jednotka pro finanční kontrolu Josef Svoboda ředitel Ministerstvo financí Centrální harmonizační jednotka pro finanční kontrolu Josef Svoboda ředitel Letenská 15, Praha 1 - Malá Strana, 118 10 Sekretariát tel.: 25704 2381 P o k y n pro výkon finanční kontroly

Více

INTERNÍ PROTIKORUPČNÍ PROGRAM

INTERNÍ PROTIKORUPČNÍ PROGRAM Metodické pokyny Evidenční označení: MP.49 INTERNÍ PROTIKORUPČNÍ PROGRAM Vydání: 1. Revize: 0. Datum vydání: Účinnost od: 22. 04. 2014 Dokument je majetkem Správy úložišť radioaktivních odpadů. Jakékoli

Více

Strana 1 / 36. 316/2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Strana 1 / 36. 316/2014 Sb. VYHLÁKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ 316/2014 Sb. VYHLÁKA ze dne 15. prosince 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti

Více

Fakultní nemocnice Hradec Králové. Interní protikorupční program

Fakultní nemocnice Hradec Králové. Interní protikorupční program Fakultní nemocnice Hradec Králové Interní protikorupční program Hradec Králové 29.9.2014 Vypracoval: Ing. Jaroslav Jakl referát finanční kontroly a interního auditu Schválil: prof. MUDr. Roman Prymula,

Více

Přehled technických norem z oblasti spolehlivosti

Přehled technických norem z oblasti spolehlivosti Příloha č. 1: Přehled technických norem z oblasti spolehlivosti NÁZVOSLOVNÉ NORMY SPOLEHLIVOSTI IDENTIFIKACE NÁZEV Stručná charakteristika ČSN IEC 50(191): 1993 ČSN IEC 60050-191/ Změna A1:2003 ČSN IEC

Více

Představení normy ČSN ISO/IEC 20000 Management služeb

Představení normy ČSN ISO/IEC 20000 Management služeb Představení normy ČSN ISO/IEC 20000 Management služeb Luděk k Novák konzultant, ANECT Agenda Historie a souvislosti ISO/IEC 20000 Postavení vůči ITIL Procesy pro řízení služeb PDCA model pro řízení služeb

Více

MĚSTSKÁ ČÁST PRAHA 3 Zastupitelstvo městské části U S N E S E N Í. č. 393 ze dne 18.06.2013. Akční plán pro rok 2013 Strategického plánu MČ Praha 3

MĚSTSKÁ ČÁST PRAHA 3 Zastupitelstvo městské části U S N E S E N Í. č. 393 ze dne 18.06.2013. Akční plán pro rok 2013 Strategického plánu MČ Praha 3 č.j.: 416/2013 MĚSTSKÁ ČÁST PRAHA 3 Zastupitelstvo městské části U S N E S E N Í č. 393 ze dne 18.06.2013 Akční plán pro rok 2013 Strategického plánu MČ Praha 3 Zastupitelstvo městské části I. b e r e

Více

Systém řízení informační bezpečnosti Information security management systém

Systém řízení informační bezpečnosti Information security management systém Systém řízení informační bezpečnosti Information security management systém Luděk Novák, Josef Požár 1 1. Úvod Na informační bezpečnost se dá nahlížet z různých úhlů a obecně tento pojem zahrnuje celou

Více

Efektivní řízení veřejné správy koncepce a SW nástroje společností:

Efektivní řízení veřejné správy koncepce a SW nástroje společností: Efektivní řízení veřejné správy koncepce a SW nástroje společností: Ing. Ján Debnár obchodní manažer DYNATECH s.r.o. Ing. Alexander Toloch ředitel ATTN s.r.o. Michal Chmelo obchodní manažer QCM s.r.o.

Více

Přístup NKÚ ke kontrole 3E v rámci životního cyklu veřejné zakázky Štefan Kabátek

Přístup NKÚ ke kontrole 3E v rámci životního cyklu veřejné zakázky Štefan Kabátek Přístup NKÚ ke kontrole 3E v rámci životního cyklu veřejné zakázky Štefan Kabátek Principy přístupu NKÚ Audit výkonnosti Posouzení hospodárnosti/efektivnosti a účelnosti (3E) nespočívá v procesním dodržení

Více

EUROPAID/114848/D/SV/CZ

EUROPAID/114848/D/SV/CZ Souhrnné stanovisko Řídicího orgánu Rámce podpory Společenství ke Zprávě o posouzení souladu s předpisy k 29.10.2004 Zahajovacího auditu souladu s předpisy a auditu systémů implementačních struktur SF

Více

A7B36SI2 Tematický okruh SI11 Revidoval: Martin Kvetko

A7B36SI2 Tematický okruh SI11 Revidoval: Martin Kvetko Obsah Kvalita SW, jak zajistit kvalitu SW a jak ji ověřit Zabezpečení kvality, techniky řízení kvality SW. Potřeba kultivovat kvalitu, Cena za jakost Procesy pro řízení kvality, harmonogram řízení kvality

Více

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz KIV/SI Přednáška č.2 Jan Valdman, Ph.D. jvaldman@dns.cz 8.3.2011 ITIL Information Technology Infrastructure Library ITIL v současnosti zahrnuje: Samotnou knihovnu Oblast vzdělávání a certifikace odborné

Více

Příručka Integrovaného systému managementu společnosti

Příručka Integrovaného systému managementu společnosti DOKUMENTACE ISM V Holešovičkách 94/41, 182 00 Praha 8 Příručka ISM ISM 01 Typ dokumentace: Veřejná Verze: 01 Zpracoval: Platnost od: 1.9.2010 Schválil: Výtisk č.: Ostatní informace: E-mail: info@mkm-up.cz

Více