Rozměr: px
Začít zobrazení ze stránky:

Download ""

Transkript

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15 PŘÍLOHA Č. 2 OVĚŘENÍ STAVU INFORMAČNÍ BEZPEČNOSTI Řízení bezpečnosti ICT Centra pro regionální rozvoj ČR Ověření stavu informační bezpečnosti

16 Obsah 1 Úvod Hlavní očekávání zadavatele Klíčová zjištění - přehled Zadání projektu Cíle projektu Popis užitého metodického rámce Úvod do problematiky Rozdílová analýza ISO Certifikace ISO/IEC Hodnocení bezpečnostních rizik Priorita rizik a odvození nápravných opatření Zhodnocení stávajícího stavu Posuzovaná informační aktiva Bezpečnostní politika Organizace bezpečnosti informací Řízení aktiv Bezpečnost lidských zdrojů Fyzická bezpečnost a bezpečnost prostředí Řízení komunikací a řízení provozu Řízení přístupu Akvizice, vývoj a údržba informačních systémů Zvládání bezpečnostních incidentů Řízení kontinuity činností organizace Soulad s požadavky Závěrečné hodnocení podle ISO Hlavní nálezy Certifikace dle ISO Hodnota informací Procesní řízení IT Kontinuita provozu a odolnost proti chybám Organizační členění, pracovní role Fyzická bezpečnost /54

17 4.7 Zákony o spisové službě a archivnictví Dohled infrastruktury Vztahy s dodavateli Navrhovaná opatření Řízení nápravy neshod dle ISO Analýza informačních aktiv, přiřazení vlastníků dat Úprava procesů řízení informační bezpečnosti a IT Revize dodavatelských smluv Zavedení systému pro bezpečný vzdálený přístup uživatelů Zavedení systému detekce nežádoucí aktivity Zavedení systému detekce úniku dat Systém důvěryhodného logování Přílohy Popis klíčových procesů Rejstřík použitých pojmů Reference /54

18 Seznam obrázků Obrázek č. 1 Cyklus PDCA...9 Obrázek č. 2 Míra souladu s definovaným PDCA cyklem...27 Seznam tabulek Tabulka č. 1 Stupnice výsledných hodnot rizik...12 Tabulka č. 2 Interpretace jednotlivých úrovní rizik...13 Tabulka č. 3 Seznam posuzovaných aktiv...16 Tabulka č. 4 Nálezy penetračních testů...20 Tabulka č. 5 Shrnutí nálezů dle hlavních kapitol...24 Tabulka č. 6 Popis procesů...51 Tabulka č. 7 Rejstřík základních pojmů /54

19 1 ÚVOD 1.1 HLAVNÍ OČEKÁVÁNÍ ZADAVATELE Z povahy činností zadavatele - Centra pro regionální rozvoj ČR - je zřejmé, že zadavatel plní významnou úlohu v rámci pomoci cílovým skupinám při úspěšné realizaci projektů schválených k spolufinancování z prostředků EU a zásadním způsobem tak přispívá k čerpání finančních prostředků z fondů EU. Politikou zadavatele je poskytovat vysoce kvalitní služby, kde kvalita bude garantována kombinací nastavených procesů a kompetentních pracovníků. Informace, které zadavatel v rámci svých činností zprostředkovává cílovým skupinám, jsou uloženy v elektronické podobě v informačních systémech. Kvalita poskytovaných služeb je tak do značné míry ovlivněna kvalitou příslušných IT procesů a bezpečností zpracovávaných informací. Vzhledem k poměrně vysoké vyzrálosti zadavatele v procesní rovině (dosažení certifikace ISO dle EN ISO 9001:2008) je nyní hlavní očekávání zadavatele směřováno k zajištění odpovídajícího stavu vyzrálosti i v oblasti bezpečnosti informací. Tento stav by měl být dokumentován získáním mezinárodního certifikátu ISO Zadavatel očekává, že v rámci tohoto dokumentu získá: Celkový pohled na stav bezpečnosti v organizaci (v porovnání vůči příslušným mezinárodně uznávaným normativům, a to jak z pohledu provozovaných technologií, organizačního zajištění, tak i z hlediska systematizace řízení), který bude dále objektivizován a kvantifikován dle míry odpovídajícího rizika. Strategii a taktiku dalšího postupu pro získání odpovídající bezpečnostní certifikace (nadefinování příslušných protiopatření, stanovení jejich priorit, hrubého finančního rámce a časové posloupnosti). 1.2 KLÍČOVÁ ZJIŠTĚNÍ - PŘEHLED Celkově je možno konstatovat, že procesní vyspělost zadavatele pozitivně ovlivňuje i jeho vyspělost v oblasti bezpečnosti informací. V porovnání s organizacemi podobného typu lze říci, že úroveň péče o bezpečnost informací je u zadavatele nadprůměrná. Dosažení příslušného certifikátu po odstranění zjištěných nedostatků by tudíž neměl být pro zadavatele v horizontu roku 2010 zásadní problém. Detailní analýzu jednotlivých neshod včetně popisu dopadů a příslušné míry neshody naleznete v kapitole 4. Pro potřeby rychlé prezentace výstupů v rámci tohoto Management Summary kategorizujeme příslušná zjištění dle jejich dopadu do oblastí: nástrojů pro řízení bezpečnosti (procesy), dopadů na pracovníky, případně na organizační strukturu, IT technologie. 5/54

20 1.2.1 Procesní oblast V procesní rovině byl identifikován nesoulad v důsledné dokumentaci realizovaných aktivit a vyhodnocení naplnění cílů, pro které byly tyto aktivity konány. Toto se týká plošně prakticky všech postupů, které jsou v rámci bezpečnosti realizovány. Neexistují plány pro zachování business kontinuity a disaster recovery. V případě vzniku nepředvídané události se organizace musí spolehnout na morálku, svědomí a znalosti pracovníků, což není z pohledu řiditelnosti procesu žádoucí stav. V rámci řízení bezpečnosti informací chybí klasifikace informací, informace nemají přiřazeny své vlastníky, kteří by za ně měli odpovědnost. Tato skutečnost znamená, že zadavatel pečuje o všechny informace se stejným nasazením, což nemusí být z pohledu nákladů optimální. Chybí dokumentace změnových procesů na straně zadavatele. Tento fakt prohlubuje závislost na jednotlivých dodavatelích a představuje riziko Oblast personalistiky Absentuje definice rolí a s nimi spojených kompetencí a odpovědností pro jednotlivé bezpečnostní procesy. Tento stav vede k snížení řiditelné zastupitelnosti Oblast technologií Současný systém logování a bezpečnostního monitoringu neposkytuje nezpochybnitelné údaje pro následné vyšetření incidentů a forenzní audit. Informace mohou být na úrovni správců zpětně modifikovány. V rámci provozní infrastruktury chybí systém pro detekci nežádoucích aktivit. Tato skutečnost znamená neschopnost zadavatele včasně reagovat na nežádoucí aktivity, případně zpětně vyšetřit bezpečnostní incidenty. Odpovídající návrh protiopatření projektových aktivit naleznete v kapitole Navrhovaná opatření. Tento návrh vychází z doporučení příslušných ISO norem a je parametrizován pro podmínky zadavatele. Závěrem tohoto rychlého přehledu si dovolíme upozornit, že celý proces certifikace ISO je poměrně náročný z hlediska disponibilních kapacit uchazeče a odborné zdatnosti při komunikaci s auditorem. 6/54

21 1.3 ZADÁNÍ PROJEKTU V období od září do listopadu 2009 prováděla externí společnost průzkum stavu řízení informační bezpečnosti v Centru pro regionální rozvoj České republiky. Cílem bylo prověřit stav zabezpečení klíčových informačních systémů, nalézt bezpečnostní slabiny a potenciální místa vzniku bezpečnostních incidentů. Zakázka byla specifikována podle výsledků veřejného výběrového řízení podle Výzvy k podání nabídky ze dne Hranice projektu byly definovány následovně: v rámci prověřování stavu řízení informační bezpečnosti nebyla prováděna detailní analýza samotných informačních aktiv, aktiva byla posuzována výhradně z hlediska bezpečnosti informací, nebyla prověřována bezpečnost informací uchovávaných v jiné než v elektronické podobě, nebyly prověřovány smluvní vztahy s dodavateli klíčových informačních systémů, nebyla prověřována softwarová licenční politika, do analýzy nebyly zahrnuty archivy a jejich IT prostředky, hardwarové vybavení je vnímáno především jako podpůrný prostředek, detailnější pohled bude uplatněn v místech, kde vzniknou pochybnosti, do analýzy nebyly zahrnuty koncové stanice pracovníků (běžná PC) a uživatelský software. 1.4 CÍLE PROJEKTU Hlavním cílem projektu je prověřit stav řízení informační bezpečnosti v členění dle ČSN ISO/IEC v rámci organizace Centra pro regionální rozvoj ČR. V jednotlivých oblastech bylo identifikováno pokrytí procesů, dostupnost dokumentace a dále organizační a technická opatření. Dále byl v rámci projektu proveden externí penetrační test k prověření internetového připojení a zabezpečení infrastruktury ICT v organizaci. Výstupem práce je souhrn identifikovaných nedostatků týkajících se bezpečnosti informací v Centru pro regionální rozvoj ČR s ohodnocením jejich významu formou bezpečnostního rizika a návrh opatření doporučených k nápravě. 7/54

22 2 POPIS UŽITÉHO METODICKÉHO RÁMCE 2.1 ÚVOD DO PROBLEMATIKY V dnešním světě je informace považována za velmi cenné aktivum. Informační bezpečnost si klade za cíl postihnout všechny fáze životního cyklu informace a zajistit, aby nedošlo k narušení její důvěryhodnosti, integrity nebo dostupnosti. Je pak odpovědností každé organizace tyto cíle naplnit. Klíčem k úspěchu je koncepční řízení informační bezpečnosti, které je zakotvené v procesech v rámci celé organizace, a to i těch přímo nesouvisejících s IT. Pro organizaci, která chce naplňovat cíle informační bezpečnosti a zároveň účelně a efektivně vynakládat své prostředky, je nezbytné vybudovat sofistikovaný systém řízení bezpečnosti informací (ISMS information security management system). Toho je možné dosáhnout hlavně řízením aktivit na základě analýzy rizik, které ohrožují bezproblémový chod organizace a její snahu o naplňování strategických cílů. K správnému nastavení systému řízení rizik ve společnosti velmi napomáhá rodina norem ISO/IEC A to hlavně tyto dokumenty: ISO/IEC 27001:2005 (Information security management system) Definice systému řízení bezpečnosti informací, odpovědnosti za jeho ustavení a řízení a pokrytí jeho životního cyklu, opatření pro shodu (controls) ISO/IEC 27002:2005 (Information security management system code of practice) Praktické informace ve formě doporučení, jak dosáhnout žádoucího (nutného pro certifikaci) stavu nastavení procesů a aktivit organizace k podpoře efektivního ISMS Tyto normy původně vzešly z britského standardu pokrývajícího bezpečnost informačních systémů (BS17799). Díky rozsáhlému připomínkování a následné standardizaci organizací ISO tyto standardy nabízejí prvotřídní a v praxi velmi použitelné postupy. 8/54

23 ISMS (definovaný v ISO/IEC 27001:2005) využívá pro nastavení a provoz podpůrných procesů implementační a provozní model PDCA (Plan plánuj, Do dělej, Check kontroluj, Act jednej). Ten pokrývá životní cyklus systému následujícím způsobem: Plánuj: V této fázi se definují cíle ISMS a nastavují procesy, které mají k uskutečnění cílů vést. Dělej: V této fázi se naplánované procesy implementují. Kontroluj: V této fázi se hodnotí efektivita výstupu implementovaných procesů a protiopatření, ideálně s nasazením systému monitorování Jednej: Tato fáze zahrnuje hlavně zpětnou vazbu zjištění neefektivního fungování některých procesů nebo opatření z fáze kontroly. Tato zjištění pak slouží k další optimalizaci v předešlých krocích. Obrázek č. 1 Cyklus PDCA Správně nastavený ISMS využívající tento model je potom schopen v rámci správného fungování komplexně řešit informační bezpečnost organizace jako celku za efektivního vynaložení finančních prostředků a zajistit tak kontinuální shodu se současným standardem. Pro organizace, které vyžadují vysokou úroveň zabezpečení z důvodu vysoce hodnotných aktiv (z hlediska důvěrnosti, integrity nebo dostupnosti) je velmi žádoucí udržovat tento systém v souladu s normou v celém životním období. K tomu výrazně napomáhá certifikace systému podle normy ISO/IEC 9/54

24 Systém je pak auditorem kompletně prověřen z pohledu třetí strany. Více o certifikaci v kapitole ROZDÍLOVÁ ANALÝZA ISO27001 Pro správné definování nápravných opatření a kroků vedoucích k nápravě je nutné zajistit objektivní hodnocení fungování a stavu vyspělosti vlastního systému řízení bezpečnosti. V tomto případě je vhodné začít s rozdílovou analýzu oproti normě. Tato analýza si klade následující cíle: Zmapovat stávající funkci organizace bezpečnosti a zastoupení informační bezpečnosti v procesech organizace. Identifikovat případné nedostatky v jednotlivých kapitolách ISO dokumentu, které brání shodě s normou a ohodnotit jejich závažnost (z pohledu míry neshody s normou). Stanovit cestu k nápravě u jednotlivých nedostatků v rámci hodnocení požadavků normy. Uvažovat rizika pro informační aktiva a identifikovat je v relevantních kapitolách dle ISO (To poslouží k vyhodnocení závažných nedostatků v informační bezpečnosti společnosti a doporučí urgentní nápravné opatření). Rozdílová analýza vychází z rozboru podkladů dodaných zadavatelem (dokumentace), šetření v prostředí zadavatele (obvykle forma interview) a následného expertního vyhodnocení konzultanty dodavatele. Informace procházejí cykly validace a doplňování dle aktuálních zjištění a konfirmace zadavatelem. Zadavatel je průběžně informován o stavu zjištění a v případě identifikace nedostatku zásadního rozsahu, které přímo ohrožuje provoz, je ihned notifikován zabezpečeným komunikačním kanálem. 2.3 CERTIFIKACE ISO/IEC Certifikace ISMS oproti normě ISO/IEC je iniciována na požadavek zadavatele, v momentě kdy jsou nedostatky identifikované při rozdílové analýze vyřešeny. Tohoto stavu bude dosaženo po úspěšné realizaci projektů identifikovaných touto studií. Tyto projekty budou mít za cíl odstranit všechny nedostatky a neshody s normou a formou nápravných opatření zajistit shodu s normou v závislosti na stanovené hranici působnosti. Proces certifikace je iniciován organizací (zadavatelem) požadavkem o certifikaci informačního systému řízení bezpečnosti autorizovanému auditorovi (certifikační orgán). Ten musí být registrován a autorizován u národního certifikačního orgánu a autorizován k provedení nezávislé analýzy. Tato analýza obvykle probíhá v těchto krocích: Žádost vybranému certifikačnímu orgánu (autoritě). Setkání s auditorem a základní seznámení s organizací žadatele (případné předání dokumentace pro další fáze auditu). Audit relevantní procesní a organizační dokumentace ISMS, které organizace vlastní (tento audit probíhá bez přítomnosti auditora v prostorách žadatele). Je zkoumána shoda formy a obsahu dokumentace s normou. Audit v prostorách žadatele ( on-site ) 10/54

25 Je zkoumána implementace a míra efektivity procesů prověřených v předchozí fázi ( odpovídá realita dokumentaci? ). Seznámení žadatele s výsledky auditu a vyvození závěru. Pro drobné nedostatky může auditor udělit dobu odkladu při doložení plánu nápravy. Zásadní nedostatky mohou vést k neudělení certifikace. Audit pro obhájení certifikace probíhá každé tři roky. Certifikace systému řízení bezpečnosti informací má pro organizaci nesporné výhody: Záruka správného řízení informační bezpečnosti (díky nastavením interním kontrolám i pravidelným externím auditům). To jak pro organizaci samotnou, tak pro externí partnery. Certifikace je celosvětově uznávaná. Umožnění bezproblémové výměny informací s třetími stranami vyžadujícími certifikaci ISO/IEC Efektivní a systémové vynakládání finančních prostředků díky koncepčnímu plánování V případě, že organizace uvažuje o certifikaci ISMS akreditovaným auditorem třetí strany, je nutné adresovat všechny nedostatky v stávajícím systému řízení informační bezpečnosti. U méně závažných nedostatků může auditor udělit dobu odkladu při doložení konkrétního plánu nápravy. 2.4 HODNOCENÍ BEZPEČNOSTNÍCH RIZIK Hodnocení rizik jednotlivých procesů je exaktně vztaženo ke znění normy ISO/IEC 27001, která má obecnou platnost pro organizace různého zaměření a obchodní činnosti. Nevyhovění liteře normy tak z faktického pohledu nemusí mít vliv na samotný výkon (zajištění provozu, správy atd.) a nemusí nutně znamenat nedostatečnou ochranu aktiv. Z pohledu rozdílové analýzy je největší riziko neshoda systému řízení bezpečnosti informací s normou ISO/IEC Reálná rizika, která ohrožují bezproblémový chod organizace a proces naplňování jejích cílů, jsou adresována součástí ISMS zabývající se řízením informačně bezpečnostních rizik (Risk management). Tato součást využívá kvalitativní analýzy rizik, pracující s relací informačními aktiv a hrozeb. Ve studii jsou tyto poznatky sloučeny v hodnocení jednotlivých složek normy ISO a zároveň adresovány v kapitole vyvozující nápravná opatření. Vyhodnocení rizik v sobě proto spojuje obě tyto složky. Metody použité v rámci studie stanovení rizik pro bezproblémový chod organizace jsou v souladu s ISO/IEC (Metodické pokyny pro řízení informační bezpečnosti). Primárně jsou na základě získaných údajů definována informační aktiva (assets) a jejich význam pro bezproblémové fungování organizace nutné k naplnění jejích strategických cílů. Dále jsou definovány hrozby (threats), které potenciálně negativně působí na informační aktiva (jedno či více). Vztah závažnosti hrozby s klasifikací informačního aktiva (podle dopadu důvěrnosti, integrity a dostupnosti) udává celkový dopad na informační bezpečnost daného aktiva. Jako poslední faktor je nutné stanovit pravděpodobnost, s jakou se může hrozba materializovat a tím fakticky ohrozit informační aktivum a tak narušit informační bezpečnost organizace. Posouzení těchto 11/54

26 veličin vychází z obdržených informací aktualizovaných s konkrétními zaměstnanci klienta a z expertního posouzení konzultanta. Vzájemný vztah těchto veličin vyjadřuje míra rizika, která vychází ze vztahu: Míra rizika = Pravděpodobnost * Celkový dopad na aktivum Rizika jsou poté pojmenována a popsána. Výsledná hodnota rizika je znázorněna na následující stupnici: Vysoký Dopad Střední Nízký Nízká Střední Vysoká Pravděpodobnost Tabulka č. 1 Stupnice výsledných hodnot rizik 12/54

27 Jednotlivým stupňům pak připadá tato interpretace: Stupeň Interpretace rizika 1 Aktuální stav je plně v souladu s normou a neohrožuje informační bezpečnost uvažovaných aktiv organizace klienta. 2 Stav je ve shodě s normou s výjimkou drobných nedostatků (v procesní nebo implementační části), které mohou představovat minoritní ohrožení informačních aktiv. 3 Existuje dílčí nesoulad (ne zásadního rázu) aktuálního stavu ve shodě s normou; absence takových opatření může uvádět informační aktiva organizace v ohrožení. Tuto oblast je doporučeno podrobněji analyzovat v rámci nápravných projektů. 4 V současném stavu byly identifikovány nedostatky či jejich skupiny, které nejsou v souladu s normou a absence těchto opatření může ohrozit získání certifikace. Tuto oblast je nutné podrobněji analyzovat v rámci nápravných projektů. 5 Existuje nesoulad mezi nastavením kontrolního mechanismu, který je v rámci uvažované certifikace nutné řešit (případně doplnit). Tuto oblast je nutné detailně analyzovat v rámci nápravných projektů s vysokou prioritou. Tabulka č. 2 Interpretace jednotlivých úrovní rizik Pro každou klauzuli (vyžadované opatření) ISO/IEC normy je stanoveno riziko dle výše zmíněné metodiky a ohodnoceno příslušným stupněm rizika. Ke každému bodu je k dispozici rovněž dílčí nápravné opatření, které reaguje na aktuální stav požadovaného opatření. Tato dílčí rizika jsou sdružena dle příslušných kapitol ISO normy. Abstrahovaná míra rizika pro jednotlivé kapitoly je pak uvažována při návrhu koncepčních nápravných řešení. Dílčí rizika mohou být seskupena do větších logických celků, na základě kterých je pak možné stanovit efektivní nápravná opatření, která budou koncepčně řešit jejich odstranění nebo zmírnění dopadů. Více o odvození nápravných opatření v kapitole PRIORITA RIZIK A ODVOZENÍ NÁPRAVNÝCH OPATŘENÍ Analyzovaná rizika jsou ohodnocena v závislosti na míře neshody s normou a míře ohrožení informačních aktiv na základě informací čerpaných z primárních (pohovory) a sekundárních (dodané a referenční dokumenty). Pro každý požadavek normy je slovně zhodnocen aktuální stav dané problematiky v organizaci klienta, který vyzdvihuje v čem je proces s normou ve shodě a kde jsou identifikovány nedostatky. Dílčí nápravné opatření potom reaguje na část popisující nedostatky v souladu s normou, které by mohly být problematické při certifikaci a jejich stav se musí aktivně řešit. Detailní tabulkový zápis je možné nalézt v podkapitole 6.1. Obecné závěry hodnotící aktuální stav jsou rozebírány v kapitole 3 (a podkapitolách). Ty jsou tvořeny jako abstrakt detailních zjištění u klienta. Výsledky rozdílové analýzy sloučené s výstupy analýzy rizik jsou rozebírány v kapitole 4. Ty představují hlavní výstup studie a na jejich základě jsou konstruována nápravná opatření. Dílčí nápravná opatření jsou strukturována do bloků, které adresují související skupiny spolu souvisejících nálezů a koncepčně řeší danou situaci. Při návrhu těchto bloků bylo využito interní know-how 13/54

28 společnosti, které reflektuje současné best-practices (technologie, metodologie, koncepty a modely) a zejména těchto zdrojů: Rodina norem ISO27000 COBIT ITIL praxe s jejich implementací v různých prostředích Metodologie zabývající se procesním modelem fungování organizace, optimalizací, řízením a modelem hodnocení vyspělosti procesů Báze znalostí fungování IT procesů a jejich implementací používaná předními IT společnostmi. Pro usnadnění nastavení postupu při adresování příslušných opatřením jsme ohodnotili jednotlivé bloky agregovanou mírou rizika, která zahrnuje všechny výše popsané aspekty (neshoda s normou, analýza rizik) a říká organizaci v jakém pořadí se nápravě nedostatků věnovat. 14/54

29 3 ZHODNOCENÍ STÁVAJÍCÍHO STAVU 3.1 POSUZOVANÁ INFORMAČNÍ AKTIVA Rozsah posuzování platnosti bezpečnostní normy ISO byl omezen na informační aktiva, která jsou nezbytná pro chod společnosti. Za informační aktivum je považována komponenta nebo určitá část celého sytému, které organizace přikládá určitou hodnotu. Aktiva byla rozdělena do dvou významových kategorií: Hlavní Podpůrná U těchto aktiv byla ohodnocena úroveň uplatnění kontrolních mechanismů na dané IT procesy pomocí metodiky definované rodinou norem ISO Pro eliminaci klíčových rizik byla navržena odpovídající protiopatření mající ve většině případů vliv na více procesů (oblastí) najednou. V řadě případů tak řeší ochranu bezpečnosti informačních aktiv komplexně napříč systémy CRR. 15/54

30 V rámci zkoumání byla posuzována následující informační aktiva: Sekce Název Funkce Klasifikace Odůvodnění Popis Hlavní Monit Benefit Moutlook Centrální monitorovací systém Webová front-end aplikace Správa korporátní agendy Mitis Řízení přístupu - Identity management Helios Informační systém organizace vysoká vysoká střední střední střední Přímý vliv na zachování kontinuity hlavní obchodní činnosti organizace. Přímý vliv na zachování kontinuity hlavní obchodní činnosti organizace. Minimální dopad na hlavní obchodní činnost organizace. Obsahuje citlivé interní údaje. Centrální řízení úrovně přístupu do jednotlivých informačních systémů. Informační systém organizace, účetnictví. Slouží k automatizovanému zpracování evidence a vyhodnocení námětů projektů, sledování finančního a věcného plnění projektů v průběhu jejich životního cyklu. Podávání žádostí a podpora projektů, slouží jako základní komunikační nástroj. Smlouvy, docházka, cestovní příkazy, dovolené atd. Zadávání a přidělování přístupových oprávnění. Informační systém organizace. Podpůrná Pracovní stanice RIS Připojení do internetu Uživatelské počítače Regionální informační servis a mapový server Zajištění trvalého a plnohodnotného připojení na internet střední nízká vysoká Na uživatelských stanicích se mohou nacházet citlivé informace. Zpracování veřejných zdrojů informací a publikace na veřejně přístupných místech. Působí jako nedílná součást dostupnosti a poskytování služeb, které jsou hlavní obchodní činnosti organizace. Infrastruktura Správa HW aktiv vysoká Zajišťuje dostupnosti a důvěrnost poskytováných dat a služeb, které jsou hlavní obchodní činnosti organizace. Tabulka č. 3 Seznam posuzovaných aktiv Koncové uživatelské počítače. Agreguje veřejně dostupné regionální informace a je veřejně dostupný krajským úřadům, starostům atd. Zajištění trvalého a plnohodnotného připojení na Internet. Správa HW aktiv a zajištění jejich dostupnosti, důvěrnosti a integrity. 16/54

31 3.2 BEZPEČNOSTNÍ POLITIKA Podpora systematického prosazování bezpečnosti informací je obecně zastřešena předpisy OS-08 Informační systém a MP-11 Bezpečnostní politika IT. Dokumenty jsou schváleny vedením organizace a určují tak směr řízení bezpečnosti a soulad s požadavky, příslušnými zákony a směrnicemi. Bezpečnostní politika vychází z obecných zásad a požadavků organizace, obsahuje povinnosti pro realizaci, speciální postupy bezpečnosti a je dostupná všem zaměstnancům na interním datovém úložišti. Pro zajištění neustálé použitelnosti, přiměřenosti a účinnosti je doporučeno politiku přezkoumávat v plánovaných intervalech a to vždy minimálně jednou ročně nebo když nastane významná změna v systému. Přezkoumání a kontrola dodržování zásad definovaných bezpečnostní politikou v praxi probíhá kontinuálně interním (RD-06 Interní audit) a externím auditem. 3.3 ORGANIZACE BEZPEČNOSTI INFORMACÍ Vedení organizace vyjadřuje podporu systematického řízení bezpečnosti informací v organizaci vydáním a podpisem metodických pokynů MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti IS. Závazek vedení organizace implementovat systém řízení bezpečnosti ISMS nebyl deklarován. Strategie a prostředky pro zpracování informací jsou dlouhodobě plánovány. Na začátku roku je požadavkem odsouhlasen cílový stav, který projde procesem vnitřních kontrol a schvalování. Zajištění bezpečného provozu a administraci klíčových systémů provádí dodavatel systémové integrace. Bezpečnostní požadavky jsou zahrnuty do pracovních povinností, doporučuje se však ověření jejich aplikace v praxi. Vzdělávání o bezpečnosti a aktuální hrozby jsou aktivně sledovány pouze na straně dodavatele systémové integrace a bezpečnostní infrastruktury. Rizika jsou obecně identifikována v MP-21 Rizika a jejich řízení. Bezpečnostní požadavky pro přístup klientů jsou nastaveny genericky a relevantní bezpečnostní požadavky jsou do znění smluv aplikovány jednotlivě podle předmětu dané smlouvy. Míra naplnění požadavků bezpečnosti je v periodických intervalech nezávisle přezkoumávána jak interním oddělěením interního auditu (činnosti a působnost dle RD-06 Interní audit, MP-RD Metodika auditorské činnosti) tak kontrolami daného řídícího orgánu a různými druhy auditu (např. NKÚ, EU). Kontakt s profesními sdruženími či speciálními fóry pro informační bezpečnost není interně udržován. 3.4 ŘÍZENÍ AKTIV Cílem řízení informačních aktiv je nastavit a přiměřeně udržovat jejich ochranu, tudíž je nutné definovat signifikantní informační aktiva a rizika na ně působící. Za tímto účelem je zpracován dokument obecného pojetí rizik MP-21 Rizika a jejich řízení. Informační aktiva organizace však nejsou identifikována ani jinak systematicky evidována, klasifikována s ohledem na jejich hodnotu, důvěrnost, právní požadavky, citlivost a kritičnost. Vlastnictví je přiřazeno vedoucímu daného útvaru. Pravidla pro přípustné použití informací a prostředků pro zpracování informací jsou obsažena v předpisech MP-11 Bezpečnostní politika IT a MP-13 Provozní řád bezpečnosti IS. Povinnosti 17/54

32 a odpovědnosti zaměstnanců jsou definovány popisem pracovních pozic v RD-01 Organizační řád a RD- 01 SP Popisy pracovních míst. 3.5 BEZPEČNOST LIDSKÝCH ZDROJŮ Povinnosti a odpovědnosti zaměstnanců jsou definovány v MP-11 Bezpečnostní politice IT, personální bezpečnost je pak definována popisem pracovního místa a působnosti útvaru v předpisech MP-13 Provozní řád bezpečnosti IS, RD-01 Organizační řád, RD-01 SP Popisy pracovních míst a popisem povinností vyplývajících z pracovního poměru v RD-02 Pracovní řád. Odpovědnosti vedoucích zaměstnanců v oblasti dodržování bezpečnosti informací jsou definovány ve vnitřní řízené dokumentaci (ČSN 9001/2008). Proces zahájení nebo změny pracovního poměru zaměstnanců, smluvních a třetích stran probíhá formálním procesem. V praxi je nastaveno prověření nových zaměstnanců podle interních a zákonných požadavků. Při ukončení pracovního nebo smluvního vztahu je zpracován výstupní list, proti podpisu vedoucího útvaru jsou vráceny svěřené prostředky a zadán požadavek na zrušení uživatelského účtu. Proces disciplinárního řízení proti zaměstnanci či smluvní straně porušující předepsaná bezpečnostní pravidla je popsán v RD-02 Pracovní řád. Vzdělávání a školení v oblasti bezpečnosti informací je zaměřeno na bezpečnostní postupy a správné používaní informací. Nutno ověřit úroveň povědomí mezi zaměstnanci, smluvními a třetími stranami o bezpečnostních hrozbách a problémech s nimi spojených, jejich odpovědností a povinností a připravenosti podílet se na dodržování politiky bezpečnosti informací během své běžné práce. 3.6 FYZICKÁ BEZPEČNOST A BEZPEČNOST PROSTŘEDÍ Pro zajištění odpovídající úrovně fyzické bezpečnosti je nutné předcházet neautorizovanému fyzickému přístupu do vymezených prostor, poškození a zásahům do provozních budov a informací organizace. Za tímto účelem jsou přístupy do místnosti se síťovým rozvodem ve 4.NP a do datového centra v 1.PP zajištěny pomocí PIN kódu na klávesnici zabezpečovacího zařízení při vstupu do místnosti a je ověřena vstupní karta, která je vydávána pouze povolaným osobám. Přístup k zařízením v serverových skříních je přidělen pouze držitelům rackové vstupní karty. Datové centrum je před hrozbami ztráty, poškození, krádeže nebo kompromitace aktiv chráněno fyzickým perimetrem. Signifikantní výpočetní prostředky jsou umístěny v prostoru datového centra, kde jsou chráněna proti výpadku napájení elektrické energie, poruše klimatizace, poplachovému hlášení, záplavě či požáru. Kabelové rozvody jsou chráněny proti úmyslnému poškození. Není známa úroveň ochrany komunikačních kanálů proti odposlechu. Zařízení zabezpečující provoz datového centra jsou pravidelně kontrolována a udržována. Identifikace návštěv a kontrola totožnosti je prováděna při vstupu do budovy organizace. Fyzické zabezpečení kanceláří a místností volně přístupných během pracovní doby není vynuceno technickými prostředky. Přístup dodavatelů do datového centra je řešen asistovaně a záznam o návštěvě je veden v návštěvní knize. Zařízení obsahující paměťová media nejsou evidována a jejich použití není omezeno, použití tiskáren a obsah tisku není kontrolován. 18/54

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o. Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,

Více

Představení projektu Metodika

Představení projektu Metodika Představení projektu Metodika přípravy veřejných strategií Strategické plánování a řízení v obcích metody, zkušenosti, spolupráce Tematická sekce Národní sítě Zdravých měst Praha, 10. května 2012 Obsah

Více

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Dokumentace pro plánování a realizaci managementu jakosti dle požadavků Požadavek norem ISO 9001 ISO/TS 16949 : 4.2 na dokumentaci Dokumentace systému managementu jakosti musí zahrnovat: a) dokumentované

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Zdravotnické laboratoře. MUDr. Marcela Šimečková Zdravotnické laboratoře MUDr. Marcela Šimečková Český institut pro akreditaci o.p.s. 14.2.2006 Obsah sdělení Zásady uvedené v ISO/TR 22869- připravené technickou komisí ISO/TC 212 Procesní uspořádání normy

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

ČSN EN ISO (únor 2012)

ČSN EN ISO (únor 2012) ČSN EN ISO 50001 (únor 2012) nahrazuje ČSN EN 16001 z 02/2010 kompatibilní s ISO 9001 a ISO 14001 Seminář: ČSN EN ISO 50001: 2012 Zadavatel: EKIS Délka přednášky: 1 hodina Přednášející: Ing. Vladimír Novotný

Více

Vnitřní kontrolní systém a jeho audit

Vnitřní kontrolní systém a jeho audit Vnitřní kontrolní systém a jeho audit 7. SETKÁNÍ AUDITORŮ PRŮMYSLU 11. 5. 2012 Vlastimil Červený, CIA, CISA Agenda Požadavky na VŘKS dle metodik a standardů Definice VŘKS dle rámce COSO Role interního

Více

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -

Více

WS PŘÍKLADY DOBRÉ PRAXE

WS PŘÍKLADY DOBRÉ PRAXE WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

Bezpečnost na internetu. přednáška

Bezpečnost na internetu. přednáška Bezpečnost na internetu přednáška Autorské právo a bezpečnost na internetu Bezpečnost informačního systému školy Ing. Ludmila Kunderová Ústav informatiky PEF MENDELU v Brně lidak@pef.mendelu.cz internetu

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti Obsah: 1) Adresa společnosti 2) Historie firmy 3) Rozsah systému kvality 4) Systém managementu kvality 5) Povinnosti

Více

PŘÍLOHA C Požadavky na Dokumentaci

PŘÍLOHA C Požadavky na Dokumentaci PŘÍLOHA C Požadavky na Dokumentaci Příloha C Požadavky na Dokumentaci Stránka 1 z 5 1. Obecné požadavky Dodavatel dokumentaci zpracuje a bude dokumentaci v celém rozsahu průběžně aktualizovat při každé

Více

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist)

SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) SOUBOR OTÁZEK PRO INTERNÍ AUDIT (Checklist) Oblast 1. STRATEGICKÉ PLÁNOVÁNÍ Jsou identifikovány procesy v takovém rozsahu, aby byly dostačující pro zajištění systému managementu jakosti v oblasti vzdělávání?

Více

KATALOG SLUŽEB NÁSLEDNÉ PODPORY

KATALOG SLUŽEB NÁSLEDNÉ PODPORY KATALOG SLUŽEB NÁSLEDNÉ PODPORY Společnost WEBCOM a. s. Vám nabízí kompletní pokrytí Vašich požadavků na zajištění služeb technické podpory Microsoft Dynamics přesně podle Vašich potřeb a v požadovaném

Více

10. setkání interních auditorů v oblasti průmyslu

10. setkání interních auditorů v oblasti průmyslu 10. setkání interních auditorů v oblasti průmyslu Současné výzvy IT interního auditu 7. Března 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu IT 3 KPMG

Více

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1 POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.

Více

Řízení informační bezpečnosti a veřejná správa

Řízení informační bezpečnosti a veřejná správa Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 5 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

Vstupní analýza absorpční kapacity OPTP. pro programové období 2014 2020

Vstupní analýza absorpční kapacity OPTP. pro programové období 2014 2020 Manažerské shrnutí 1 Výstup zpracovaný k datu: 10. 2. 2014, aktualizace k 7.5. 2014 Zpráva zpracována pro: Ministerstvo pro místní rozvoj ČR Staroměstské náměstí 6 110 15 Praha 1 Dodavatel: HOPE-E.S.,

Více

Systém řízení informační bezpečnosti (ISMS)

Systém řízení informační bezpečnosti (ISMS) Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Co je riziko? Řízení rizik v MHMP

Co je riziko? Řízení rizik v MHMP Co je riziko? Hrozba, že při zajišťování činností nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění stanovených povinností, úkolů a schválených záměrů a cílů SPÚ. Je definováno

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

GIS Libereckého kraje

GIS Libereckého kraje Funkční rámec Zpracoval: Odbor informatiky květen 2004 Obsah 1. ÚVOD...3 1.1. Vztah GIS a IS... 3 2. ANALÝZA SOUČASNÉHO STAVU...3 2.1. Technické zázemí... 3 2.2. Personální zázemí... 3 2.3. Datová základna...

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení Návrh II. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení Státní úřad pro jadernou bezpečnost stanoví podle 236 zákona č..../... Sb., atomový zákon, k provedení 24 odst. 7, 29 odst. 7 a 30 odst. 9:

Více

Aplikace modelu CAF 2006 za podpory procesního řízení. Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD.

Aplikace modelu CAF 2006 za podpory procesního řízení. Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD. Aplikace modelu CAF 2006 za podpory procesního řízení Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD. Cíle prezentace 1. Přiblížit důvody zavádění modelu CAF 2009 za podpory procesního řízení. 2. Shrnutí

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Audit? Audit! RNDr. Hana Žufanová

Audit? Audit! RNDr. Hana Žufanová Audit? Audit! RNDr. Hana Žufanová Audit (z lat. auditus, slyšení) znamená úřední přezkoumání a zhodnocení dokumentů, zejména účtů, nezávislou osobou. Účelem je zjistit, zda doklady podávají platné a spolehlivé

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Řízení rizik ICT účelně a prakticky?

Řízení rizik ICT účelně a prakticky? Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby

Více

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná vazba o Příklad o Zákon č. 181/2014 Sb., o kybernetické

Více

Outsourcing v podmínkách Statutárního města Ostravy

Outsourcing v podmínkách Statutárního města Ostravy Outsourcing v podmínkách Statutárního města Ostravy Říjen 2009 Ing. Stanislav Richtar Ředitel společnosti 1 OBSAH PREZENTACE 1. Outsourcing - obecně 2. Výchozí stav projektu 3. Model poskytovaných služeb

Více

Roční evaluační plán

Roční evaluační plán Roční evaluační plán Regionálního operačního programu regionu soudržnosti Severozápad na rok 2008 návrh verze 1.0 strana 1 z celku 9 EVIDENCE PROCESU PŘÍPRAVY, SCHVÁLENÍ A REVIZÍ (ČÁSTI) EVALUAČNÍHO PLÁNU

Více

Management informační bezpečnosti

Management informační bezpečnosti Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria

Více

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská ISO 9001 a ISO 13485 aplikace na pracovištích sterilizace stručný přehled Ing. Lenka Žďárská Proč systém kvality? Vyhláška 306/2012 Sb., příloha IV, článek IV.I., odstavec 2 Pro sterilizování zdravotnických

Více

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému

Více

2. setkání interních auditorů ze zdravotních pojišťoven

2. setkání interních auditorů ze zdravotních pojišťoven 2. setkání interních auditorů ze zdravotních pojišťoven Současné výzvy IT interního auditu 20. června 2014 Obsah Kontakt: Strana KPMG průzkum stavu interního auditu IT 2 Klíčové výzvy interního auditu

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

1.05 Informační systémy a technologie

1.05 Informační systémy a technologie Vypracoval Gestor Schválil Listů Příloh D. Marek(EOS/2) EOS VS 7 Směrnice platí pro všechny závody ŠKODA AUTO. Obsah: 1. Použité pojmy a zkratky 2. Plánování IT 3. Pořízení IT 4. Dodání IT 5. Provoz a

Více

Příklad I.vrstvy integrované dokumentace

Příklad I.vrstvy integrované dokumentace Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,

Více

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,

Více

V Brně dne a

V Brně dne a Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná

Více

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

ISO 9001:2015 CERTIFIKACE ISO 9001:2015 CERTIFIKACE ISO 9001:2015 Akreditace UKAS ISO 9001:2015 Požadavky UKAS Zvažování rizik se znalostí kontextu organizace Efektivní vedení (leadership) Méně dokumentace v systému managementu kvality Aplikace

Více

Jak být online a ušetřit? Ing. Ondřej Helar

Jak být online a ušetřit? Ing. Ondřej Helar Jak být online a ušetřit? Ing. Ondřej Helar Obsah Co znamená být online ve škole? Rizika online přístupu Skryté náklady na straně školy Jak snížit rizika a náklady? Koncepce SaaS (Software as a Service)

Více

Struktura Pre-auditní zprávy

Struktura Pre-auditní zprávy Příloha č. 1 k Smlouvě o Pre-auditu: Struktura Pre-auditní zprávy 1. Manažerské shrnutí Manažerské shrnutí poskytuje nejdůležitější informace vyplývající z Pre-auditní zprávy. 2. Prohlášení o účelu a cílů

Více

Odbor městské informatiky

Odbor městské informatiky Odbor městské informatiky 1 - vytváří, ve spolupráci s Komisí informatiky RMB, koncepci Informačního systému města Brna (dále jen "ISMB") v souladu se standardy VIS 2 - zajišťuje a koordinuje rozvoj informatiky

Více

Návrh VYHLÁŠKA. ze dne 2014

Návrh VYHLÁŠKA. ze dne 2014 Návrh VYHLÁŠKA ze dne 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o

Více

Výtisk č. : Platnost od: Schválil: Podpis:

Výtisk č. : Platnost od: Schválil: Podpis: SM-05 INTERNÍ AUDITY Výtisk č. : Platnost od: Schválil: Podpis: 1 OBSAH Číslo kapitola strana 1 OBSAH... 2 2 PŘEHLED ZMĚN A REVIZÍ... 2 3 ÚČEL... 2 3.1 ROZSAH PLATNOSTI... 3 3.2 DEFINICE... 3 3.3 POUŽITÉ

Více

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci

Více

Personální audit. a personální strategie na úřadech. územních samosprávných celků

Personální audit. a personální strategie na úřadech. územních samosprávných celků Personální audit a personální strategie na úřadech územních samosprávných celků Dělat (vybrat) správné věci je úkolem zejména zastupitelů města. Dělat (vybrat) správné věci Správně je provádět Správně

Více

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK Identifikační kód: Č.j.: 22 858/2010-M1 Datum účinnosti: 15.9.2010 Verze: 1.0 ZPRACOVAL: SCHVÁLIL: Ing. Martin Ryšavý vedoucí oddělení

Více

Politika bezpečnosti informací

Politika bezpečnosti informací ORGANIZAČNÍ SMĚRNICE Název : Politika bezpečnosti informací Číslo dokumentu: OS4402 Vydání č.: 04 Výtisk č.: 01 Platnost od: 03.06.2013 Účinnost od : 18.06.2013 Platnost do: Zpracoval: Ing. Vladimír Fikejs

Více

POŽADAVKY NORMY ISO 9001

POŽADAVKY NORMY ISO 9001 Kapitola Název Obsah - musí MUSÍ MŮŽE NESMÍ Záznam POČET Dokumentovaný postup Obecné požadavky staus národní normy 1 Předmluva požadavek organizacím, které musí dodržovat evropské směrnice 2 1 0.2 Procesní

Více

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB #

Více

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. Management bezpečnosti informací dle ISO 27001:2006 Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. ENVIRO 15.4.2010 Ing. Jaroslav Březina 1 O autorovi Ing. Jaroslav Březina Pracuje ve společnosti

Více

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická

Více

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ Návrh VYHLÁŠKA ze dne 2014 o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o

Více

Příručka jakosti a environmentu

Příručka jakosti a environmentu Příručka jakosti a environmentu Datum platnosti: Datum účinnosti: Změna: 1.5.2005 1.5.2005 0 Dne: 13.4.2005 Dne: 25.4.2005 1 / 6 O B S A H : 1. Úvod 3 2. Oblast použití systému řízení 3 3. Politika 3 4.

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

Metodika věcného auditu projektu Příloha č. 06. Kariéra projektového manažera začíná u nás! CHECK-LIST. Celkové zhodnocení projektu

Metodika věcného auditu projektu Příloha č. 06. Kariéra projektového manažera začíná u nás! CHECK-LIST. Celkové zhodnocení projektu CHECK-LIST Auditovaná fáze projektu: Auditor: Název projektu: Zpracoval: Datum: Celkové zhodnocení projektu Návod na vyplnění: Při vyplňování Check-listu posuzujte skutečný obsah auditované dokumentace,

Více

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost resortu MV Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti

Více

SMĚRNICE DĚKANA Č. 4/2013

SMĚRNICE DĚKANA Č. 4/2013 Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:

Více

Role NKÚ v systému kontrolní činnosti ve veřejné správě. Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012

Role NKÚ v systému kontrolní činnosti ve veřejné správě. Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012 Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012 Nejvyšší kontrolní úřad v systému kontroly ve veřejné správě Institucionální zajištění kontroly Parlament ČR systém finanční kontroly systém

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW Příloha č. 4 - Specifikace a informace o předmětu veřejné zakázky Předmětem veřejné zakázky je řízení projektu, správa a údržba programového vybavení pro informační systém Základní Registr osob (dále rovněž

Více

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002 Třídící znak 1 1 2 0 2 5 1 0 OPATŘENÍ ČESKÉ NÁRODNÍ BANKY Č. 12 ZE DNE 11. PROSINCE 2002 K VNITŘNÍMU ŘÍDICÍMU A KONTROLNÍMU SYSTÉMU BANKY 0 Česká národní banka podle 15 s přihlédnutím k 12 odst. 1 a 8

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY

Více

OBECNÍ ÚŘAD Dolní Krupá

OBECNÍ ÚŘAD Dolní Krupá OBECNÍ ÚŘAD Dolní Krupá Směrnice o zabezpečení zákona č. 320/2001 Sb. o finanční kontrole ve veřejné správě a o změně některých zákonů Obec: Dolní Krupá Adresa: 582 71 Dolní Krupá 55 Směrnici zpracoval:

Více

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory

Příloha č. 2 ke smlouvě. Rozsah a podmínky provozní podpory Příloha č. 2 ke smlouvě Rozsah a podmínky provozní podpory Předmět smlouvy v části Provozní podpora zahrnuje zejména: A) Technickou, uživatelskou a administrativní správu a provozní podporu APV IS ROS

Více

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s. Hardening ICT platforem: teorie nebo praxe Pavel Hejduk ČEZ ICT Services, a. s. Agenda ICT prostředí ČEZ ICT Services a. s. Hardening ICT platforem - definice Obvyklý přístup a jeho omezení zhodnocení

Více

Praha PROJECT INSTINCT

Praha PROJECT INSTINCT Atestační středisko Equica Inspekční orgán č. 4045 INSPEKČNÍ ZPRÁVA Protokol o provedené zkoušce ATESTACE DLOUHODOBÉHO ŘÍZENÍ ISVS Statutární město Přerov Praha 29. 1. 2015 PROJECT INSTINCT Obsah 1. Identifikace

Více

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s. Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů

Více

Specifikace předmětu zakázky

Specifikace předmětu zakázky Specifikace předmětu zakázky Příloha č. 3a: První dílčí část: Procesní a bezpečnostní audit Procesní audit - identifikace průběhu současných procesů, rezerv v současném průběhu a identifikace rizik - vytvoření

Více

INTERNÍ TECHNICKÝ STANDARD ITS

INTERNÍ TECHNICKÝ STANDARD ITS Vypracoval/Ersteller Gestor/Fachgarant Schválil/Genehmigt Listů/Blätter Příloh/Anlagen Mgr. Rešl EO VF 5 Směrnice platí pro všechny závody ŠkodaAuto. Obsah: 1. Použité zkratky 2. Plánování a nákup IT 3.

Více

ISO 9001 : 2015. Certifikační praxe po velké revizi

ISO 9001 : 2015. Certifikační praxe po velké revizi ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,

Více

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D. Prezentace k zahájení projektu pro Radu kraje Vysočina Projektový manažer - Ing. Ivan Sokolov, Ph.D. Obsah Úvod Cíle projektu Rozsah projektu Projektové řízení základní východiska Základní organizační

Více

KONTROLNÍ ŘÁD OBCE BRLOH

KONTROLNÍ ŘÁD OBCE BRLOH KONTROLNÍ ŘÁD OBCE BRLOH I. Obecná část Finanční kontrola, vykonávaná podle zákona č. 320/2001 Sb., o finanční kontrole ve veřejné správě, ve znění pozdějších předpisů (dále jen zákon o finanční kontrole)

Více

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5 ISO 9000:2005 definuje třídu jako 1) kategorie nebo pořadí dané různým požadavkem na kvalitu produktů, procesů nebo systémů, které mají stejné funkční použití 2) kategorie nebo pořadí dané různým požadavkům

Více