Rozměr: px
Začít zobrazení ze stránky:

Download ""

Transkript

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15 PŘÍLOHA Č. 2 OVĚŘENÍ STAVU INFORMAČNÍ BEZPEČNOSTI Řízení bezpečnosti ICT Centra pro regionální rozvoj ČR Ověření stavu informační bezpečnosti

16 Obsah 1 Úvod Hlavní očekávání zadavatele Klíčová zjištění - přehled Zadání projektu Cíle projektu Popis užitého metodického rámce Úvod do problematiky Rozdílová analýza ISO Certifikace ISO/IEC Hodnocení bezpečnostních rizik Priorita rizik a odvození nápravných opatření Zhodnocení stávajícího stavu Posuzovaná informační aktiva Bezpečnostní politika Organizace bezpečnosti informací Řízení aktiv Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a řízení provozu Řízení přístupu Akvizice, vývoj a údržba informačních systémů Zvládání bezpečnostních incidentů Řízení kontinuity činností organizace Soulad s požadavky Závěrečné hodnocení podle ISO Hlavní nálezy Certifikace dle ISO Hodnota informací Procesní řízení IT Kontinuita provozu a odolnost proti chybám Organizační členění, pracovní role Fyzická bezpečnost /54

17 4.7 Zákony o spisové službě a archivnictví Dohled infrastruktury Vztahy s dodavateli Navrhovaná opatření Řízení nápravy neshod dle ISO Analýza informačních aktiv, přiřazení vlastníků dat Úprava procesů řízení informační bezpečnosti a IT Revize dodavatelských smluv Zavedení systému pro bezpečný vzdálený přístup uživatelů Zavedení systému detekce nežádoucí aktivity Zavedení systému detekce úniku dat Systém důvěryhodného logování Přílohy Popis klíčových procesů Rejstřík použitých pojmů Reference /54

18 Seznam obrázků Obrázek č. 1 Cyklus PDCA...9 Obrázek č. 2 Míra souladu s definovaným PDCA cyklem...27 Seznam tabulek Tabulka č. 1 Stupnice výsledných hodnot rizik...12 Tabulka č. 2 Interpretace jednotlivých úrovní rizik...13 Tabulka č. 3 Seznam posuzovaných aktiv...16 Tabulka č. 4 Nálezy penetračních testů...20 Tabulka č. 5 Shrnutí nálezů dle hlavních kapitol...24 Tabulka č. 6 Popis procesů...51 Tabulka č. 7 Rejstřík základních pojmů /54

19 1 ÚVOD 1.1 HLAVNÍ OČEKÁVÁNÍ ZADAVATELE Z povahy činností zadavatele - Centra pro regionální rozvoj ČR - je zřejmé, že zadavatel plní významnou úlohu v rámci pomoci cílovým skupinám při úspěšné realizaci projektů schválených k spolufinancování z prostředků EU a zásadním způsobem tak přispívá k čerpání finančních prostředků z fondů EU. Politikou zadavatele je poskytovat vysoce kvalitní služby, kde kvalita bude garantována kombinací nastavených procesů a kompetentních pracovníků. Informace, které zadavatel v rámci svých činností zprostředkovává cílovým skupinám, jsou uloženy v elektronické podobě v informačních systémech. Kvalita poskytovaných služeb je tak do značné míry ovlivněna kvalitou příslušných IT procesů a bezpečností zpracovávaných informací. Vzhledem k poměrně vysoké vyzrálosti zadavatele v procesní rovině (dosažení certifikace ISO dle EN ISO 9001:2008) je nyní hlavní očekávání zadavatele směřováno k zajištění odpovídajícího stavu vyzrálosti i v oblasti bezpečnosti informací. Tento stav by měl být dokumentován získáním mezinárodního certifikátu ISO Zadavatel očekává, že v rámci tohoto dokumentu získá: Celkový pohled na stav bezpečnosti v organizaci (v porovnání vůči příslušným mezinárodně uznávaným normativům, a to jak z pohledu provozovaných technologií, organizačního zajištění, tak i z hlediska systematizace řízení), který bude dále objektivizován a kvantifikován dle míry odpovídajícího rizika. Strategii a taktiku dalšího postupu pro získání odpovídající bezpečnostní certifikace (nadefinování příslušných protiopatření, stanovení jejich priorit, hrubého finančního rámce a časové posloupnosti). 1.2 KLÍČOVÁ ZJIŠTĚNÍ - PŘEHLED Celkově je možno konstatovat, že procesní vyspělost zadavatele pozitivně ovlivňuje i jeho vyspělost v oblasti bezpečnosti informací. V porovnání s organizacemi podobného typu lze říci, že úroveň péče o bezpečnost informací je u zadavatele nadprůměrná. Dosažení příslušného certifikátu po odstranění zjištěných nedostatků by tudíž neměl být pro zadavatele v horizontu roku 2010 zásadní problém. Detailní analýzu jednotlivých neshod včetně popisu dopadů a příslušné míry neshody naleznete v kapitole 4. Pro potřeby rychlé prezentace výstupů v rámci tohoto Management Summary kategorizujeme příslušná zjištění dle jejich dopadu do oblastí: nástrojů pro řízení bezpečnosti (procesy), dopadů na pracovníky, případně na organizační strukturu, IT technologie. 5/54

20 1.2.1 Procesní oblast V procesní rovině byl identifikován nesoulad v důsledné dokumentaci realizovaných aktivit a vyhodnocení naplnění cílů, pro které byly tyto aktivity konány. Toto se týká plošně prakticky všech postupů, které jsou v rámci bezpečnosti realizovány. Neexistují plány pro zachování business kontinuity a disaster recovery. V případě vzniku nepředvídané události se organizace musí spolehnout na morálku, svědomí a znalosti pracovníků, což není z pohledu řiditelnosti procesu žádoucí stav. V rámci řízení bezpečnosti informací chybí klasifikace informací, informace nemají přiřazeny své vlastníky, kteří by za ně měli odpovědnost. Tato skutečnost znamená, že zadavatel pečuje o všechny informace se stejným nasazením, což nemusí být z pohledu nákladů optimální. Chybí dokumentace změnových procesů na straně zadavatele. Tento fakt prohlubuje závislost na jednotlivých dodavatelích a představuje riziko Oblast personalistiky Absentuje definice rolí a s nimi spojených kompetencí a odpovědností pro jednotlivé bezpečnostní procesy. Tento stav vede k snížení řiditelné zastupitelnosti Oblast technologií Současný systém logování a bezpečnostního monitoringu neposkytuje nezpochybnitelné údaje pro následné vyšetření incidentů a forenzní audit. Informace mohou být na úrovni správců zpětně modifikovány. V rámci provozní infrastruktury chybí systém pro detekci nežádoucích aktivit. Tato skutečnost znamená neschopnost zadavatele včasně reagovat na nežádoucí aktivity, případně zpětně vyšetřit bezpečnostní incidenty. Odpovídající návrh protiopatření projektových aktivit naleznete v kapitole Navrhovaná opatření. Tento návrh vychází z doporučení příslušných ISO norem a je parametrizován pro podmínky zadavatele. Závěrem tohoto rychlého přehledu si dovolíme upozornit, že celý proces certifikace ISO je poměrně náročný z hlediska disponibilních kapacit uchazeče a odborné zdatnosti při komunikaci s auditorem. 6/54

21 1.3 ZADÁNÍ PROJEKTU V období od září do listopadu 2009 prováděla externí společnost průzkum stavu řízení informační bezpečnosti v Centru pro regionální rozvoj České republiky. Cílem bylo prověřit stav zabezpečení klíčových informačních systémů, nalézt bezpečnostní slabiny a potenciální místa vzniku bezpečnostních incidentů. Zakázka byla specifikována podle výsledků veřejného výběrového řízení podle Výzvy k podání nabídky ze dne Hranice projektu byly definovány následovně: v rámci prověřování stavu řízení informační bezpečnosti nebyla prováděna detailní analýza samotných informačních aktiv, aktiva byla posuzována výhradně z hlediska bezpečnosti informací, nebyla prověřována bezpečnost informací uchovávaných v jiné než v elektronické podobě, nebyly prověřovány smluvní vztahy s dodavateli klíčových informačních systémů, nebyla prověřována softwarová licenční politika, do analýzy nebyly zahrnuty archivy a jejich IT prostředky, hardwarové vybavení je vnímáno především jako podpůrný prostředek, detailnější pohled bude uplatněn v místech, kde vzniknou pochybnosti, do analýzy nebyly zahrnuty koncové stanice pracovníků (běžná PC) a uživatelský software. 1.4 CÍLE PROJEKTU Hlavním cílem projektu je prověřit stav řízení informační bezpečnosti v členění dle ČSN ISO/IEC v rámci organizace Centra pro regionální rozvoj ČR. V jednotlivých oblastech bylo identifikováno pokrytí procesů, dostupnost dokumentace a dále organizační a technická opatření. Dále byl v rámci projektu proveden externí penetrační test k prověření internetového připojení a zabezpečení infrastruktury ICT v organizaci. Výstupem práce je souhrn identifikovaných nedostatků týkajících se bezpečnosti informací v Centru pro regionální rozvoj ČR s ohodnocením jejich významu formou bezpečnostního rizika a návrh opatření doporučených k nápravě. 7/54

22 2 POPIS UŽITÉHO METODICKÉHO RÁMCE 2.1 ÚVOD DO PROBLEMATIKY V dnešním světě je informace považována za velmi cenné aktivum. Informační bezpečnost si klade za cíl postihnout všechny fáze životního cyklu informace a zajistit, aby nedošlo k narušení její důvěryhodnosti, integrity nebo dostupnosti. Je pak odpovědností každé organizace tyto cíle naplnit. Klíčem k úspěchu je koncepční řízení informační bezpečnosti, které je zakotvené v procesech v rámci celé organizace, a to i těch přímo nesouvisejících s IT. Pro organizaci, která chce naplňovat cíle informační bezpečnosti a zároveň účelně a efektivně vynakládat své prostředky, je nezbytné vybudovat sofistikovaný systém řízení bezpečnosti informací (ISMS information security management system). Toho je možné dosáhnout hlavně řízením aktivit na základě analýzy rizik, které ohrožují bezproblémový chod organizace a její snahu o naplňování strategických cílů. K správnému nastavení systému řízení rizik ve společnosti velmi napomáhá rodina norem ISO/IEC A to hlavně tyto dokumenty: ISO/IEC 27001:2005 (Information security management system) Definice systému řízení bezpečnosti informací, odpovědnosti za jeho ustavení a řízení a pokrytí jeho životního cyklu, opatření pro shodu (controls) ISO/IEC 27002:2005 (Information security management system code of practice) Praktické informace ve formě doporučení, jak dosáhnout žádoucího (nutného pro certifikaci) stavu nastavení procesů a aktivit organizace k podpoře efektivního ISMS Tyto normy původně vzešly z britského standardu pokrývajícího bezpečnost informačních systémů (BS17799). Díky rozsáhlému připomínkování a následné standardizaci organizací ISO tyto standardy nabízejí prvotřídní a v praxi velmi použitelné postupy. 8/54

23 ISMS (definovaný v ISO/IEC 27001:2005) využívá pro nastavení a provoz podpůrných procesů implementační a provozní model PDCA (Plan plánuj, Do dělej, Check kontroluj, Act jednej). Ten pokrývá životní cyklus systému následujícím způsobem: Plánuj: V této fázi se definují cíle ISMS a nastavují procesy, které mají k uskutečnění cílů vést. Dělej: V této fázi se naplánované procesy implementují. Kontroluj: V této fázi se hodnotí efektivita výstupu implementovaných procesů a protiopatření, ideálně s nasazením systému monitorování Jednej: Tato fáze zahrnuje hlavně zpětnou vazbu zjištění neefektivního fungování některých procesů nebo opatření z fáze kontroly. Tato zjištění pak slouží k další optimalizaci v předešlých krocích. Obrázek č. 1 Cyklus PDCA Správně nastavený ISMS využívající tento model je potom schopen v rámci správného fungování komplexně řešit informační bezpečnost organizace jako celku za efektivního vynaložení finančních prostředků a zajistit tak kontinuální shodu se současným standardem. Pro organizace, které vyžadují vysokou úroveň zabezpečení z důvodu vysoce hodnotných aktiv (z hlediska důvěrnosti, integrity nebo dostupnosti) je velmi žádoucí udržovat tento systém v souladu s normou v celém životním období. K tomu výrazně napomáhá certifikace systému podle normy ISO/IEC 9/54

24 Systém je pak auditorem kompletně prověřen z pohledu třetí strany. Více o certifikaci v kapitole ROZDÍLOVÁ ANALÝZA ISO27001 Pro správné definování nápravných opatření a kroků vedoucích k nápravě je nutné zajistit objektivní hodnocení fungování a stavu vyspělosti vlastního systému řízení bezpečnosti. V tomto případě je vhodné začít s rozdílovou analýzu oproti normě. Tato analýza si klade následující cíle: Zmapovat stávající funkci organizace bezpečnosti a zastoupení informační bezpečnosti v procesech organizace. Identifikovat případné nedostatky v jednotlivých kapitolách ISO dokumentu, které brání shodě s normou a ohodnotit jejich závažnost (z pohledu míry neshody s normou). Stanovit cestu k nápravě u jednotlivých nedostatků v rámci hodnocení požadavků normy. Uvažovat rizika pro informační aktiva a identifikovat je v relevantních kapitolách dle ISO (To poslouží k vyhodnocení závažných nedostatků v informační bezpečnosti společnosti a doporučí urgentní nápravné opatření). Rozdílová analýza vychází z rozboru podkladů dodaných zadavatelem (dokumentace), šetření v prostředí zadavatele (obvykle forma interview) a následného expertního vyhodnocení konzultanty dodavatele. Informace procházejí cykly validace a doplňování dle aktuálních zjištění a konfirmace zadavatelem. Zadavatel je průběžně informován o stavu zjištění a v případě identifikace nedostatku zásadního rozsahu, které přímo ohrožuje provoz, je ihned notifikován zabezpečeným komunikačním kanálem. 2.3 CERTIFIKACE ISO/IEC Certifikace ISMS oproti normě ISO/IEC je iniciována na požadavek zadavatele, v momentě kdy jsou nedostatky identifikované při rozdílové analýze vyřešeny. Tohoto stavu bude dosaženo po úspěšné realizaci projektů identifikovaných touto studií. Tyto projekty budou mít za cíl odstranit všechny nedostatky a neshody s normou a formou nápravných opatření zajistit shodu s normou v závislosti na stanovené hranici působnosti. Proces certifikace je iniciován organizací (zadavatelem) požadavkem o certifikaci informačního systému řízení bezpečnosti autorizovanému auditorovi (certifikační orgán). Ten musí být registrován a autorizován u národního certifikačního orgánu a autorizován k provedení nezávislé analýzy. Tato analýza obvykle probíhá v těchto krocích: Žádost vybranému certifikačnímu orgánu (autoritě). Setkání s auditorem a základní seznámení s organizací žadatele (případné předání dokumentace pro další fáze auditu). Audit relevantní procesní a organizační dokumentace ISMS, které organizace vlastní (tento audit probíhá bez přítomnosti auditora v prostorách žadatele). Je zkoumána shoda formy a obsahu dokumentace s normou. Audit v prostorách žadatele ( on-site ) 10/54

25 Je zkoumána implementace a míra efektivity procesů prověřených v předchozí fázi ( odpovídá realita dokumentaci? ). Seznámení žadatele s výsledky auditu a vyvození závěru. Pro drobné nedostatky může auditor udělit dobu odkladu při doložení plánu nápravy. Zásadní nedostatky mohou vést k neudělení certifikace. Audit pro obhájení certifikace probíhá každé tři roky. Certifikace systému řízení bezpečnosti informací má pro organizaci nesporné výhody: Záruka správného řízení informační bezpečnosti (díky nastavením interním kontrolám i pravidelným externím auditům). To jak pro organizaci samotnou, tak pro externí partnery. Certifikace je celosvětově uznávaná. Umožnění bezproblémové výměny informací s třetími stranami vyžadujícími certifikaci ISO/IEC Efektivní a systémové vynakládání finančních prostředků díky koncepčnímu plánování V případě, že organizace uvažuje o certifikaci ISMS akreditovaným auditorem třetí strany, je nutné adresovat všechny nedostatky v stávajícím systému řízení informační bezpečnosti. U méně závažných nedostatků může auditor udělit dobu odkladu při doložení konkrétního plánu nápravy. 2.4 HODNOCENÍ BEZPEČNOSTNÍCH RIZIK Hodnocení rizik jednotlivých procesů je exaktně vztaženo ke znění normy ISO/IEC 27001, která má obecnou platnost pro organizace různého zaměření a obchodní činnosti. Nevyhovění liteře normy tak z faktického pohledu nemusí mít vliv na samotný výkon (zajištění provozu, správy atd.) a nemusí nutně znamenat nedostatečnou ochranu aktiv. Z pohledu rozdílové analýzy je největší riziko neshoda systému řízení bezpečnosti informací s normou ISO/IEC Reálná rizika, která ohrožují bezproblémový chod organizace a proces naplňování jejích cílů, jsou adresována součástí ISMS zabývající se řízením informačně bezpečnostních rizik (Risk management). Tato součást využívá kvalitativní analýzy rizik, pracující s relací informačními aktiv a hrozeb. Ve studii jsou tyto poznatky sloučeny v hodnocení jednotlivých složek normy ISO a zároveň adresovány v kapitole vyvozující nápravná opatření. Vyhodnocení rizik v sobě proto spojuje obě tyto složky. Metody použité v rámci studie stanovení rizik pro bezproblémový chod organizace jsou v souladu s ISO/IEC (Metodické pokyny pro řízení informační bezpečnosti). Primárně jsou na základě získaných údajů definována informační aktiva (assets) a jejich význam pro bezproblémové fungování organizace nutné k naplnění jejích strategických cílů. Dále jsou definovány hrozby (threats), které potenciálně negativně působí na informační aktiva (jedno či více). Vztah závažnosti hrozby s klasifikací informačního aktiva (podle dopadu důvěrnosti, integrity a dostupnosti) udává celkový dopad na informační bezpečnost daného aktiva. Jako poslední faktor je nutné stanovit pravděpodobnost, s jakou se může hrozba materializovat a tím fakticky ohrozit informační aktivum a tak narušit informační bezpečnost organizace. Posouzení těchto 11/54

26 veličin vychází z obdržených informací aktualizovaných s konkrétními zaměstnanci klienta a z expertního posouzení konzultanta. Vzájemný vztah těchto veličin vyjadřuje míra rizika, která vychází ze vztahu: Míra rizika = Pravděpodobnost * Celkový dopad na aktivum Rizika jsou poté pojmenována a popsána. Výsledná hodnota rizika je znázorněna na následující stupnici: Vysoký Dopad Střední Nízký Nízká Střední Vysoká Pravděpodobnost Tabulka č. 1 Stupnice výsledných hodnot rizik 12/54

27 Jednotlivým stupňům pak připadá tato interpretace: Stupeň Interpretace rizika 1 Aktuální stav je plně v souladu s normou a neohrožuje informační bezpečnost uvažovaných aktiv organizace klienta. 2 Stav je ve shodě s normou s výjimkou drobných nedostatků (v procesní nebo implementační části), které mohou představovat minoritní ohrožení informačních aktiv. 3 Existuje dílčí nesoulad (ne zásadního rázu) aktuálního stavu ve shodě s normou; absence takových opatření může uvádět informační aktiva organizace v ohrožení. Tuto oblast je doporučeno podrobněji analyzovat v rámci nápravných projektů. 4 V současném stavu byly identifikovány nedostatky či jejich skupiny, které nejsou v souladu s normou a absence těchto opatření může ohrozit získání certifikace. Tuto oblast je nutné podrobněji analyzovat v rámci nápravných projektů. 5 Existuje nesoulad mezi nastavením kontrolního mechanismu, který je v rámci uvažované certifikace nutné řešit (případně doplnit). Tuto oblast je nutné detailně analyzovat v rámci nápravných projektů s vysokou prioritou. Tabulka č. 2 Interpretace jednotlivých úrovní rizik Pro každou klauzuli (vyžadované opatření) ISO/IEC normy je stanoveno riziko dle výše zmíněné metodiky a ohodnoceno příslušným stupněm rizika. Ke každému bodu je k dispozici rovněž dílčí nápravné opatření, které reaguje na aktuální stav požadovaného opatření. Tato dílčí rizika jsou sdružena dle příslušných kapitol ISO normy. Abstrahovaná míra rizika pro jednotlivé kapitoly je pak uvažována při návrhu koncepčních nápravných řešení. Dílčí rizika mohou být seskupena do větších logických celků, na základě kterých je pak možné stanovit efektivní nápravná opatření, která budou koncepčně řešit jejich odstranění nebo zmírnění dopadů. Více o odvození nápravných opatření v kapitole PRIORITA RIZIK A ODVOZENÍ NÁPRAVNÝCH OPATŘENÍ Analyzovaná rizika jsou ohodnocena v závislosti na míře neshody s normou a míře ohrožení informačních aktiv na základě informací čerpaných z primárních (pohovory) a sekundárních (dodané a referenční dokumenty). Pro každý požadavek normy je slovně zhodnocen aktuální stav dané problematiky v organizaci klienta, který vyzdvihuje v čem je proces s normou ve shodě a kde jsou identifikovány nedostatky. Dílčí nápravné opatření potom reaguje na část popisující nedostatky v souladu s normou, které by mohly být problematické při certifikaci a jejich stav se musí aktivně řešit. Detailní tabulkový zápis je možné nalézt v podkapitole 6.1. Obecné závěry hodnotící aktuální stav jsou rozebírány v kapitole 3 (a podkapitolách). Ty jsou tvořeny jako abstrakt detailních zjištění u klienta. Výsledky rozdílové analýzy sloučené s výstupy analýzy rizik jsou rozebírány v kapitole 4. Ty představují hlavní výstup studie a na jejich základě jsou konstruována nápravná opatření. Dílčí nápravná opatření jsou strukturována do bloků, které adresují související skupiny spolu souvisejících nálezů a koncepčně řeší danou situaci. Při návrhu těchto bloků bylo využito interní know-how 13/54

28 společnosti, které reflektuje současné best-practices (technologie, metodologie, koncepty a modely) a zejména těchto zdrojů: Rodina norem ISO27000 COBIT ITIL praxe s jejich implementací v různých prostředích Metodologie zabývající se procesním modelem fungování organizace, optimalizací, řízením a modelem hodnocení vyspělosti procesů Báze znalostí fungování IT procesů a jejich implementací používaná předními IT společnostmi. Pro usnadnění nastavení postupu při adresování příslušných opatřením jsme ohodnotili jednotlivé bloky agregovanou mírou rizika, která zahrnuje všechny výše popsané aspekty (neshoda s normou, analýza rizik) a říká organizaci v jakém pořadí se nápravě nedostatků věnovat. 14/54

29 3 ZHODNOCENÍ STÁVAJÍCÍHO STAVU 3.1 POSUZOVANÁ INFORMAČNÍ AKTIVA Rozsah posuzování platnosti bezpečnostní normy ISO byl omezen na informační aktiva, která jsou nezbytná pro chod společnosti. Za informační aktivum je považována komponenta nebo určitá část celého sytému, které organizace přikládá určitou hodnotu. Aktiva byla rozdělena do dvou významových kategorií: Hlavní Podpůrná U těchto aktiv byla ohodnocena úroveň uplatnění kontrolních mechanismů na dané IT procesy pomocí metodiky definované rodinou norem ISO Pro eliminaci klíčových rizik byla navržena odpovídající protiopatření mající ve většině případů vliv na více procesů (oblastí) najednou. V řadě případů tak řeší ochranu bezpečnosti informačních aktiv komplexně napříč systémy CRR. 15/54

30 V rámci zkoumání byla posuzována následující informační aktiva: Sekce Název Funkce Klasifikace Odůvodnění Popis Hlavní Monit Benefit Moutlook Centrální monitorovací systém Webová front-end aplikace Správa korporátní agendy Mitis Řízení přístupu - Identity management Helios Informační systém organizace vysoká vysoká střední střední střední Přímý vliv na zachování kontinuity hlavní obchodní činnosti organizace. Přímý vliv na zachování kontinuity hlavní obchodní činnosti organizace. Minimální dopad na hlavní obchodní činnost organizace. Obsahuje citlivé interní údaje. Centrální řízení úrovně přístupu do jednotlivých informačních systémů. Informační systém organizace, účetnictví. Slouží k automatizovanému zpracování evidence a vyhodnocení námětů projektů, sledování finančního a věcného plnění projektů v průběhu jejich životního cyklu. Podávání žádostí a podpora projektů, slouží jako základní komunikační nástroj. Smlouvy, docházka, cestovní příkazy, dovolené atd. Zadávání a přidělování přístupových oprávnění. Informační systém organizace. Podpůrná Pracovní stanice RIS Připojení do internetu Uživatelské počítače Regionální informační servis a mapový server Zajištění trvalého a plnohodnotného připojení na internet střední nízká vysoká Na uživatelských stanicích se mohou nacházet citlivé informace. Zpracování veřejných zdrojů informací a publikace na veřejně přístupných místech. Působí jako nedílná součást dostupnosti a poskytování služeb, které jsou hlavní obchodní činnosti organizace. Infrastruktura Správa HW aktiv vysoká Zajišťuje dostupnosti a důvěrnost poskytováných dat a služeb, které jsou hlavní obchodní činnosti organizace. Tabulka č. 3 Seznam posuzovaných aktiv Koncové uživatelské počítače. Agreguje veřejně dostupné regionální informace a je veřejně dostupný krajským úřadům, starostům atd. Zajištění trvalého a plnohodnotného připojení na Internet. Správa HW aktiv a zajištění jejich dostupnosti, důvěrnosti a integrity. 16/54

31 3.2 BEZPEČNOSTNÍ POLITIKA Podpora systematického prosazování bezpečnosti informací je obecně zastřešena předpisy OS-08 Informační systém a MP-11 Bezpečnostní politika IT. Dokumenty jsou schváleny vedením organizace a určují tak směr řízení bezpečnosti a soulad s požadavky, příslušnými zákony a směrnicemi. Bezpečnostní politika vychází z obecných zásad a požadavků organizace, obsahuje povinnosti pro realizaci, speciální postupy bezpečnosti a je dostupná všem zaměstnancům na interním datovém úložišti. Pro zajištění neustálé použitelnosti, přiměřenosti a účinnosti je doporučeno politiku přezkoumávat v plánovaných intervalech a to vždy minimálně jednou ročně nebo když nastane významná změna v systému. Přezkoumání a kontrola dodržování zásad definovaných bezpečnostní politikou v praxi probíhá kontinuálně interním (RD-06 Interní audit) a externím auditem. 3.3 ORGANIZACE BEZPEČNOSTI INFORMACÍ Vedení organizace vyjadřuje podporu systematického řízení bezpečnosti informací v organizaci vydáním a podpisem metodických pokynů MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti IS. Závazek vedení organizace implementovat systém řízení bezpečnosti ISMS nebyl deklarován. Strategie a prostředky pro zpracování informací jsou dlouhodobě plánovány. Na začátku roku je požadavkem odsouhlasen cílový stav, který projde procesem vnitřních kontrol a schvalování. Zajištění bezpečného provozu a administraci klíčových systémů provádí dodavatel systémové integrace. Bezpečnostní požadavky jsou zahrnuty do pracovních povinností, doporučuje se však ověření jejich aplikace v praxi. Vzdělávání o bezpečnosti a aktuální hrozby jsou aktivně sledovány pouze na straně dodavatele systémové integrace a bezpečnostní infrastruktury. Rizika jsou obecně identifikována v MP-21 Rizika a jejich řízení. Bezpečnostní požadavky pro přístup klientů jsou nastaveny genericky a relevantní bezpečnostní požadavky jsou do znění smluv aplikovány jednotlivě podle předmětu dané smlouvy. Míra naplnění požadavků bezpečnosti je v periodických intervalech nezávisle přezkoumávána jak interním oddělěením interního auditu (činnosti a působnost dle RD-06 Interní audit, MP-RD Metodika auditorské činnosti) tak kontrolami daného řídícího orgánu a různými druhy auditu (např. NKÚ, EU). Kontakt s profesními sdruženími či speciálními fóry pro informační bezpečnost není interně udržován. 3.4 ŘÍZENÍ AKTIV Cílem řízení informačních aktiv je nastavit a přiměřeně udržovat jejich ochranu, tudíž je nutné definovat signifikantní informační aktiva a rizika na ně působící. Za tímto účelem je zpracován dokument obecného pojetí rizik MP-21 Rizika a jejich řízení. Informační aktiva organizace však nejsou identifikována ani jinak systematicky evidována, klasifikována s ohledem na jejich hodnotu, důvěrnost, právní požadavky, citlivost a kritičnost. Vlastnictví je přiřazeno vedoucímu daného útvaru. Pravidla pro přípustné použití informací a prostředků pro zpracování informací jsou obsažena v předpisech MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti IS. Povinnosti 17/54

32 a odpovědnosti zaměstnanců jsou definovány popisem pracovních pozic v RD-01 Organizační řád a RD- 01 SP Popisy pracovních míst. 3.5 BEZPEČNOST LIDSKÝCH ZDROJŮ Povinnosti a odpovědnosti zaměstnanců jsou definovány v MP-11 Bezpečnostní politice IT, personální bezpečnost je pak definována popisem pracovního místa a působnosti útvaru v předpisech MP-13 Provozní řád bezpečnosti IS, RD-01 Organizační řád, RD-01 SP Popisy pracovních míst a popisem povinností vyplývajících z pracovního poměru v RD-02 Pracovní řád. Odpovědnosti vedoucích zaměstnanců v oblasti dodržování bezpečnosti informací jsou definovány ve vnitřní řízené dokumentaci (ČSN 9001/2008). Proces zahájení nebo změny pracovního poměru zaměstnanců, smluvních a třetích stran probíhá formálním procesem. V praxi je nastaveno prověření nových zaměstnanců podle interních a zákonných požadavků. Při ukončení pracovního nebo smluvního vztahu je zpracován výstupní list, proti podpisu vedoucího útvaru jsou vráceny svěřené prostředky a zadán požadavek na zrušení uživatelského účtu. Proces disciplinárního řízení proti zaměstnanci či smluvní straně porušující předepsaná bezpečnostní pravidla je popsán v RD-02 Pracovní řád. Vzdělávání a školení v oblasti bezpečnosti informací je zaměřeno na bezpečnostní postupy a správné používaní informací. Nutno ověřit úroveň povědomí mezi zaměstnanci, smluvními a třetími stranami o bezpečnostních hrozbách a problémech s nimi spojených, jejich odpovědností a povinností a připravenosti podílet se na dodržování politiky bezpečnosti informací během své běžné práce. 3.6 FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ Pro zajištění odpovídající úrovně fyzické bezpečnosti je nutné předcházet neautorizovanému fyzickému přístupu do vymezených prostor, poškození a zásahům do provozních budov a informací organizace. Za tímto účelem jsou přístupy do místnosti se síťovým rozvodem ve 4.NP a do datového centra v 1.PP zajištěny pomocí PIN kódu na klávesnici zabezpečovacího zařízení při vstupu do místnosti a je ověřena vstupní karta, která je vydávána pouze povolaným osobám. Přístup k zařízením v serverových skříních je přidělen pouze držitelům rackové vstupní karty. Datové centrum je před hrozbami ztráty, poškození, krádeže nebo kompromitace aktiv chráněno fyzickým perimetrem. Signifikantní výpočetní prostředky jsou umístěny v prostoru datového centra, kde jsou chráněna proti výpadku napájení elektrické energie, poruše klimatizace, poplachovému hlášení, záplavě či požáru. Kabelové rozvody jsou chráněny proti úmyslnému poškození. Není známa úroveň ochrany komunikačních kanálů proti odposlechu. Zařízení zabezpečující provoz datového centra jsou pravidelně kontrolována a udržována. Identifikace návštěv a kontrola totožnosti je prováděna při vstupu do budovy organizace. Fyzické zabezpečení kanceláří a místností volně přístupných během pracovní doby není vynuceno technickými prostředky. Přístup dodavatelů do datového centra je řešen asistovaně a záznam o návštěvě je veden v návštěvní knize. Zařízení obsahující paměťová media nejsou evidována a jejich použití není omezeno, použití tiskáren a obsah tisku není kontrolován. 18/54

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Zdravotnické laboratoře. MUDr. Marcela Šimečková Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

Představení projektu Metodika

Představení projektu Metodika Představení projektu Metodika přípravy veřejných strategií Strategické plánování a řízení v obcích metody, zkušenosti, spolupráce Tematická sekce Národní sítě Zdravých měst Praha, 10. května 2012 Obsah

Více

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti Obsah: 1) Adresa společnosti 2) Historie firmy 3) Rozsah systému kvality 4) Systém managementu kvality 5) Povinnosti

Více

Vnitřní kontrolní systém a jeho audit

Vnitřní kontrolní systém a jeho audit Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního

Více

PŘÍLOHA C Požadavky na Dokumentaci

PŘÍLOHA C Požadavky na Dokumentaci PŘÍLOHA C Požadavky na Dokumentaci Příloha C Požadavky na Dokumentaci Stránka 1 z 5 1. Obecné požadavky Dodavatel dokumentaci zpracuje a bude dokumentaci v celém rozsahu průběžně aktualizovat při každé

Více

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) Oblast 1. STRATEGICKÉ PLÁNOVÁNÍ Jsou identifikovány procesy v takovém rozsahu, aby byly dostačující pro zajištění systému managementu jakosti v oblasti vzdělávání?

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Roční evaluační plán

Roční evaluační plán Roční evaluační plán Regionálního operačního programu regionu soudržnosti Severozápad na rok 2008 návrh verze 1.0 strana 1 z celku 9 EVIDENCE PROCESU PŘÍPRAVY, SCHVÁLENÍ A REVIZÍ (ČÁSTI) EVALUAČNÍHO PLÁNU

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

OBECNÍ ÚŘAD Dolní Krupá

OBECNÍ ÚŘAD Dolní Krupá OBECNÍ ÚŘAD Dolní Krupá Směrnice o zabezpečení zákona č. 320/2001 Sb. o finanční kontrole ve veřejné správě a o změně některých zákonů Obec: Dolní Krupá Adresa: 582 71 Dolní Krupá 55 Směrnici zpracoval:

Více

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -

Více

OBECNÍ ÚŘAD Bříza. I. Úvodní ustanovení Finanční kontrola je součástí finančního řízení zabezpečující hospodaření s veřejnými prostředky.

OBECNÍ ÚŘAD Bříza. I. Úvodní ustanovení Finanční kontrola je součástí finančního řízení zabezpečující hospodaření s veřejnými prostředky. OBECNÍ ÚŘAD Bříza SMĚRNICE Č 2/2015 O ZABEZPEČENÍ ZÁKONA PRO VÝKON KONTROLY č. 320/2001 Sb. O FINANČNÍ KONTROLE a Manuál provádění kontrol k programu průběžných a následných kontrol Obec: Bříza Adresa:

Více

GIS Libereckého kraje

GIS Libereckého kraje Funkční rámec Zpracoval: Odbor informatiky květen 2004 Obsah 1. ÚVOD...3 1.1. Vztah GIS a IS... 3 2. ANALÝZA SOUČASNÉHO STAVU...3 2.1. Technické zázemí... 3 2.2. Personální zázemí... 3 2.3. Datová základna...

Více

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1 POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Řízení rizik ICT účelně a prakticky?

Řízení rizik ICT účelně a prakticky? Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby

Více

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled Ing. Lenka Žďárská Proč systém kvality? Vyhláška 306/2012 Sb., příloha IV, článek IV.I., odstavec 2 Pro sterilizování zdravotnických

Více

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,

Více

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost resortu MV Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti

Více

Jak být online a ušetřit? Ing. Ondřej Helar

Jak být online a ušetřit? Ing. Ondřej Helar Jak být online a ušetřit? Ing. Ondřej Helar Obsah Co znamená být online ve škole? Rizika online přístupu Skryté náklady na straně školy Jak snížit rizika a náklady? Koncepce SaaS (Software as a Service)

Více

Politika bezpečnosti informací

Politika bezpečnosti informací ORGANIZAČNÍ SMĚRNICE Název : Politika bezpečnosti informací Číslo dokumentu: OS4402 Vydání č.: 04 Výtisk č.: 01 Platnost od: 03.06.2013 Účinnost od : 18.06.2013 Platnost do: Zpracoval: Ing. Vladimír Fikejs

Více

Outsourcing v podmínkách Statutárního města Ostravy

Outsourcing v podmínkách Statutárního města Ostravy Outsourcing v podmínkách Statutárního města Ostravy Říjen 2009 Ing. Stanislav Richtar Ředitel společnosti 1 OBSAH PREZENTACE 1. Outsourcing - obecně 2. Výchozí stav projektu 3. Model poskytovaných služeb

Více

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému

Více

KATALOG SLUŽEB NÁSLEDNÉ PODPORY

KATALOG SLUŽEB NÁSLEDNÉ PODPORY KATALOG SLUŽEB NÁSLEDNÉ PODPORY Společnost WEBCOM a. s. Vám nabízí kompletní pokrytí Vašich požadavků na zajištění služeb technické podpory Microsoft Dynamics přesně podle Vašich potřeb a v požadovaném

Více

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci

Více

SMĚRNICE DĚKANA Č. 4/2013

SMĚRNICE DĚKANA Č. 4/2013 Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:

Více

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB #

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná vazba o Příklad o Zákon č. 181/2014 Sb., o kybernetické

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Vstupní analýza absorpční kapacity OPTP. pro programové období 2014 2020

Vstupní analýza absorpční kapacity OPTP. pro programové období 2014 2020 Manažerské shrnutí 1 Výstup zpracovaný k datu: 10. 2. 2014, aktualizace k 7.5. 2014 Zpráva zpracována pro: Ministerstvo pro místní rozvoj ČR Staroměstské náměstí 6 110 15 Praha 1 Dodavatel: HOPE-E.S.,

Více

Personální audit. a personální strategie na úřadech. územních samosprávných celků

Personální audit. a personální strategie na úřadech. územních samosprávných celků Personální audit a personální strategie na úřadech územních samosprávných celků Dělat (vybrat) správné věci je úkolem zejména zastupitelů města. Dělat (vybrat) správné věci Správně je provádět Správně

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 5 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

2. setkání interních auditorů ze zdravotních pojišťoven

2. setkání interních auditorů ze zdravotních pojišťoven 2. setkání interních auditorů ze zdravotních pojišťoven Současné výzvy IT interního auditu 20. června 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu

Více

Certifikace pro výrobu čipové karty třetí stranou

Certifikace pro výrobu čipové karty třetí stranou Certifikace pro výrobu čipové karty třetí stranou Obsah: 1. Obsah 2. Seznam použitých zkratek 3. Úvod a cíl dokumentu 4. Certifikovaný dodavatel 5. Postup certifikace výroby BČK 6. Popis technologií 7.

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů

Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb., ve znění pozdějších předpisů Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických

Více

Struktura Pre-auditní zprávy

Struktura Pre-auditní zprávy Příloha č. 1 k Smlouvě o Pre-auditu: Struktura Pre-auditní zprávy 1. Manažerské shrnutí Manažerské shrnutí poskytuje nejdůležitější informace vyplývající z Pre-auditní zprávy. 2. Prohlášení o účelu a cílů

Více

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D. Prezentace k zahájení projektu pro Radu kraje Vysočina Projektový manažer - Ing. Ivan Sokolov, Ph.D. Obsah Úvod Cíle projektu Rozsah projektu Projektové řízení základní východiska Základní organizační

Více

Audit? Audit! RNDr. Hana Žufanová

Audit? Audit! RNDr. Hana Žufanová Audit? Audit! RNDr. Hana Žufanová Audit (z lat. auditus, slyšení) znamená úřední přezkoumání a zhodnocení dokumentů, zejména účtů, nezávislou osobou. Účelem je zjistit, zda doklady podávají platné a spolehlivé

Více

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. 1. Struktura Nová norma obsahuje 10 hlavních ustanovení: 1. OBLAST PLATNOSTI Kdy/proč by organizace měla použít tuto normu? 2. NORMATIVNÍ DOKUMENTY Prázdný

Více

Systémy řízení EMS/QMS/SMS

Systémy řízení EMS/QMS/SMS Systémy řízení EMS/QMS/SMS Ústí nad Labem 10/2014 Ing. Jaromír Vachta Systém řízení EMS Systém environmentálního managementu Systém řízení podle ČSN EN ISO 14001:2004 Podstata EMS - detailní informace

Více

Příručka jakosti a environmentu

Příručka jakosti a environmentu Příručka jakosti a environmentu Datum platnosti: Datum účinnosti: Změna: 1.5.2005 1.5.2005 0 Dne: 13.4.2005 Dne: 25.4.2005 1 / 6 O B S A H : 1. Úvod 3 2. Oblast použití systému řízení 3 3. Politika 3 4.

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

ISO 9001 : 2015. Certifikační praxe po velké revizi

ISO 9001 : 2015. Certifikační praxe po velké revizi ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,

Více

Specifikace předmětu zakázky

Specifikace předmětu zakázky Specifikace předmětu zakázky Příloha č. 3a: První dílčí část: Procesní a bezpečnostní audit Procesní audit - identifikace průběhu současných procesů, rezerv v současném průběhu a identifikace rizik - vytvoření

Více

Příklad I.vrstvy integrované dokumentace

Příklad I.vrstvy integrované dokumentace Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,

Více

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační číslo projektu: CZ.1.07/2.2.00/28.0326 PROJEKT

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 7 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

Návrh VYHLÁŠKA. ze dne 2014

Návrh VYHLÁŠKA. ze dne 2014 Návrh VYHLÁŠKA ze dne 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o

Více

Stav řešení Enterprise Architektury na Moravskoslezském kraji

Stav řešení Enterprise Architektury na Moravskoslezském kraji Stav řešení Enterprise Architektury na Moravskoslezském kraji Zpracoval(a): Ing. Tomáš Vašica Datum: 23. 9. 2015 Obsah prezentace 1. Představení projektového záměru 2. Co očekává Moravskoslezský kraj od

Více

Systém managementu hospodaření s energií podle normy ČSN EN ISO 50001:2012. Ing. František MOLER Technický a zkušební ústav stavební Praha, s.p.

Systém managementu hospodaření s energií podle normy ČSN EN ISO 50001:2012. Ing. František MOLER Technický a zkušební ústav stavební Praha, s.p. Systém managementu hospodaření s energií podle normy ČSN EN ISO 50001:2012 Ing. František MOLER Technický a zkušební ústav stavební Praha, s.p. Norma ČSN EN ISO 50001:2012 Systémy managementu hospodaření

Více

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s. Hardening ICT platforem: teorie nebo praxe Pavel Hejduk ČEZ ICT Services, a. s. Agenda ICT prostředí ČEZ ICT Services a. s. Hardening ICT platforem - definice Obvyklý přístup a jeho omezení zhodnocení

Více

ZÁKON O FINANČNÍ KONTROLE Zákon č. 320/2001, o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole) Praha 2009

ZÁKON O FINANČNÍ KONTROLE Zákon č. 320/2001, o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole) Praha 2009 ZÁKON O FINANČNÍ KONTROLE Zákon č. 320/2001, o finanční kontrole ve veřejné správě a o změně některých zákonů (zákon o finanční kontrole) Praha 2009 1 ZÁKON O FINANČNÍ KONTROLE Úvod 1. Zhodnocení legislativního

Více

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory Příloha č. 2 ke smlouvě Rozsah a podmínky provozní podpory Předmět smlouvy v části Provozní podpora zahrnuje zejména: A) Technickou, uživatelskou a administrativní správu a provozní podporu APV IS ROS

Více

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s. Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů

Více

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. Management bezpečnosti informací dle ISO 27001:2006 Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. ENVIRO 15.4.2010 Ing. Jaroslav Březina 1 O autorovi Ing. Jaroslav Březina Pracuje ve společnosti

Více

Atestace informačních systémů veřejné správy. Vladimír Matějíček 5.12.2007

Atestace informačních systémů veřejné správy. Vladimír Matějíček 5.12.2007 Atestace informačních systémů veřejné správy Vladimír Matějíček 5.12.2007 Co se atestuje a jak? Předmět atestace Dlouhodobé řízení ISVS informační koncepce provozní dokumentace (bezpečnostní politika)

Více

Úvod - Podniková informační bezpečnost PS1-1

Úvod - Podniková informační bezpečnost PS1-1 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-1 VŠFS; Aplikovaná informatika - 2006/2007 2 Osnova I principy informační

Více

Zkušenosti s budováním základního registru obyvatel

Zkušenosti s budováním základního registru obyvatel Zkušenosti s budováním základního registru obyvatel Jiří Dohnal, ICZ a.s. ISSS 2012 1 ROB - EDITOŘI Primární: evidence obyvatel (IS EO), cizinecký informační systém (CIS) UFO v rámci CIS? Potřeba pro:

Více

Zákon o kybernetické bezpečnosti: kdo je připraven?

Zákon o kybernetické bezpečnosti: kdo je připraven? Zákon o kybernetické bezpečnosti: kdo je připraven? Pavel Minařík minarik@invea.com Dobrá praxe v IT Ochrana sítě na perimetru Separace do VLAN Antiviry na koncových stancích Striktní oddělení LAN/DMZ

Více

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od: ABC s.r.o. PŘÍRUČKA EMS Výtisk číslo: Zpracoval: Ověřil: Schválil: Tento dokument je duševním vlastnictvím společnosti ABC s.r.o. Rozmnožování a předávání třetí straně bez souhlasu jejího jednatele není

Více

STŘEDNĚDOBÝ PLÁN INTERNÍHO AUDITU

STŘEDNĚDOBÝ PLÁN INTERNÍHO AUDITU PLÁN INTERNÍHO AUDITU PRO ROK 2013 A STŘEDNĚDOBÝ PLÁN INTERNÍHO AUDITU PRO OBDOBÍ 2013-2015 VERZE 1.0 PLATNOST A ÚČINNOST OD 1. LEDNA 2013 Počet stran: Č. j.: RRSZ 1069/2013 Obsah 1 Úvod... 3 1.1 Interní

Více

Strategický plán udržitelného rozvoje města Sokolov

Strategický plán udržitelného rozvoje města Sokolov Strategický plán udržitelného rozvoje města Sokolov Implementační dokument MĚSTO SOKOLOV May 29, 2015 Autor: Profesionální servis s.r.o. Mgr. Bc. Jindřich Hlavatý, PhD. Mgr. Bc. Miloš Podlipný Pro účely

Více

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz ZÁKON O KYBERNETICKÉ BEZPEČNOSTI JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz PRÁVNÍ ZAKOTVENÍ KYBERNETICKÉ BEZPEČNOSTI zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů

Více

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW Příloha č. 4 - Specifikace a informace o předmětu veřejné zakázky Předmětem veřejné zakázky je řízení projektu, správa a údržba programového vybavení pro informační systém Základní Registr osob (dále rovněž

Více

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části.

BEZPEČNOST IS. Ukončení předmětu: Předmět je zakončen zkouškou sestávající z písemné a doplňkové ústní části. BEZPEČNOST IS Předmět Bezpečnost IS je zaměřen na bezpečnostní aspekty informačních systémů a na zkoumání základních prvků vytváření podnikového bezpečnostního programu. Má představit studentům hlavní

Více

Příloha č. 3. Charta projektu plné znění (pro jiné OSS než MŠMT)

Příloha č. 3. Charta projektu plné znění (pro jiné OSS než MŠMT) Příloha č. 3. Charta projektu plné znění (pro jiné OSS než MŠMT) Charta projektu má za cíl poskytnout úplné a pevné informační základy pro schválení projektu. Následně je Charta projektu rozpracována do

Více

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 610 VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ MEZINÁRODNÍ AUDITORSKÝ STANDARD VYUŽITÍ PRÁCE INTERNÍCH AUDITORŮ (Účinný pro audity účetních závěrek sestavených za období počínající 15. prosincem 2009 nebo po tomto datu) OBSAH Odstavec Úvod Předmět

Více

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci. Mgr. Monika Johaníková Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN 1805-5656 Stanovení strategie řízení kontinuity činností Anotace Příspěvek je věnován základním informacím o způsobu volby

Více

2015-2020 STRATEGICKÝ PLÁN ROZVOJE MĚSTA NOVÁ ROLE Část C Implementační část

2015-2020 STRATEGICKÝ PLÁN ROZVOJE MĚSTA NOVÁ ROLE Část C Implementační část STRATEGICKÝ PLÁN ROZVOJE MĚSTA NOVÁ ROLE Část C Implementační část ABRI, s.r.o. Zpracováno ke dni 01. 09. 2015 Strategický dokument zpracoval pracovní tým společnosti ABRI, s.r.o. Vedoucí týmu: Mgr. Miloslav

Více

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Procesy, procesní řízení organizace Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Co nového přináší ISO 9001:2008? Vnímání jednotlivých procesů organizace jako prostředku a nástroje

Více

Systémy řízení QMS, EMS, SMS, SLP

Systémy řízení QMS, EMS, SMS, SLP Systémy řízení QMS, EMS, SMS, SLP Ústí nad Labem 11/2013 Ing. Jaromír Vachta Systém řízení QMS Systém managementu kvality Systém řízení podle ČSN EN ISO 9001:2009 - stanovení, pochopení a zajištění plnění

Více

Zavedení a certifikace systému managementu kvality dle ČSN EN ISO 9001:2009

Zavedení a certifikace systému managementu kvality dle ČSN EN ISO 9001:2009 VÝZVA K PODÁNÍ NABÍDKY V RÁMCI ZADÁNÍ VEŘEJNÉ ZAKÁZKY MALÉHO ROZSAHU: č.9/2012/mrfp Zavedení a certifikace systému managementu kvality dle ČSN EN ISO 9001:2009 1. Základní údaje o zadavateli: Městský rozvojový

Více

Úvod. Projektový záměr

Úvod. Projektový záměr Vzdělávací program Řízení jakosti a management kvality Realizátor projektu: Okresní hospodářská komora Karviná Kontakt: Svatováclavská 97/6 733 01 KARVINÁ +420 596 311 707 hkok@hkok.cz www.akademieok.cz

Více

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice Účelem veřejné zakázky je vybudování, provoz a údržba infrastruktury pro provozování aplikací a služeb

Více

www.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

www.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001 www.tuv-sud.cz s.r.o. Systém energetického managementu dle ČSN EN 16001 Zavádění sytému energetického managementu dle ČSN EN 16001 Záměr zvyšování energetické účinnosti trvalý proces zefektivňování snížení

Více

KONTROLNÍ ŘÁD OBCE BRLOH

KONTROLNÍ ŘÁD OBCE BRLOH KONTROLNÍ ŘÁD OBCE BRLOH I. Obecná část Finanční kontrola, vykonávaná podle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, ve znění pozdějších předpisů (dále jen zákon o finanční kontrole)

Více

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. 9. přednáška Normy ISO 9001, ISO 14001 a OHSAS 18001 Doc.

Více

Ing. Pavel Tvrzník Vedoucí odboru informatiky KÚ Libereckého kraje

Ing. Pavel Tvrzník Vedoucí odboru informatiky KÚ Libereckého kraje Efektivní řízení procesů majetkoprávních operací na Krajském úřadě Libereckého kraje za využití elektronického work-flow Ing. Pavel Tvrzník Vedoucí odboru informatiky KÚ Libereckého kraje SPRÁVA NEMOVITÉHO

Více