OCTAVE ÚVOD DO METODIKY OCTAVE

Rozměr: px
Začít zobrazení ze stránky:

Download "OCTAVE ÚVOD DO METODIKY OCTAVE"

Transkript

1 OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita informačních aktiv jsou kritické parametry pro dosažení obchodních cílů organizace. Nicméně velká řada organizací se ve svých bezpečnostních strategiích pro své informační systémy výhradně zaměřuje na technologické zranitelnosti. Zcela zapomínají, že základem bezpečnosti je ochrana informací. To mimo jiné vede k velkému rozkolu mezi požadavky na business organizace a požadavky na informační technologie. Velmi často pracovníci IT nemají téměř ponětí o obchodních cílech své organizace a nerozumí tak interním procesům a potřebám obchodu a výroby. Není vždy jasné, zda jsou velmi důležité informace dostatečně ochráněny nebo zda jsou vynakládány velké prostředky na ochranu něčeho, co pro obchodní cíle organizace má minimální význam. V takové situaci pracovníci IT oddělení ne-

2 dokáží efektivně komunikovat s obchodními a provozními odděleními v rámci organizace. Toto je také stav, kdy lze předpokládat, že je organizace vystavena velkému riziku bezprostředního narušení bezpečnosti svých informačních aktiv. Riziko je možnost způsobení škody nebo ztráty. Je to potenciál pro realizaci negativního dopadu na obchodní cíle organizace a její klíčová aktiva. To se vztahuje na situace, kdy kdokoli může udělat cokoli nechtěného nebo kdy přírodní hrozby způsobí škodu či jiné narušení bezpečnosti a způsobí tak negativní dopad nebo následek. Prvním krokem pro správné řízení rizik je poznání, která rizika mohou organizaci ohrozit a způsobit tak negativní dopady na obchodní cíle organizace a její klíčová aktiva. Komplexní hodnocení rizik je cesta, která odhalí všechna potenciální rizika, jež mohou být brána v úvahu. Pokud jsou rizika identifikována a ohodnocena, mohou pracovníci sestavit plány na jejich snížení. Zpravidla je vždy vhodné se primárně zaobírat riziky, která mohou způsobit nejhorší následky. Některé současné přístupy k řízení informačních rizik mají tendenci být nekompletní. Postrádají identifikaci všech komponent rizika - aktiv, hrozeb anebo zranitelností. Organizace tak nemají dostatečné informace pro vytvoření strategie ochrany informačních aktiv, pro její specifikaci založenou na skutečných ohodnocených rizicích ani pro přizpůsobení této strategie obchodním cílům organizace. Mnoho organizací si také nechává zpracovat hodnocení informačních rizik externě a v nepravidelných intervalech, což s sebou nese značné nevýhody. Organizace tak nemá implementovány procesy, jak hodnotit

3 rizika kontinuálně. Externí hodnocení nemusí vždy postihnout všechny aspekty, které mohou vést ke zvýšení potence rizika, protože nedokáže odhadnout perspektivu, kam se bude organizace v budoucnu ubírat. Vlastní proces pro řízení rizik, implementovaný do vnitřních procesů organizace, zajistí detailní identifikaci, analýzu a vyhodnocení bezpečnostních rizik a také dostatek vstupů pro vytvoření adekvátní a přesně odpovídající strategie pro jejich zvládání, eliminaci či využití. OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) definuje nezbytné součásti pro komplexní, detailní a systematické hodnocení informačních rizik. Při využívání metodiky OCTAVE má organizace dostatek vstupů pro důležitá rozhodnutí týkající se zajištění dostupnosti, důvěrnosti a integrity jejích informačních aktiv a informačních technologií. OCTAVE dává dohromady provozní, obchodní, bezpečnostní a IT oddělení tak, aby všechny procesy řízení rizik byly plně v souladu s obchodními cíli organizace. Pouze tehdy, když je strategie ochrany informačních aktiv v souladu s obchodní strategií organizace, je možné postihnout a zvládnout všechna bezpečnostní rizika. Na základě třífázového přístupu zkoumá metodika OCTAVE všechny organizační a technologické záležitosti k sestavení vyčerpávajícího pohledu na potřeby informační bezpečnosti v organizaci. Fáze metodiky OCTAVE jsou následující: Fáze 1 Sestavení profilu hrozeb a aktiv - V této fázi jsou v rámci organizace identifikována a hodnocena důležitá informační aktiva, hrozby aktiva ohrožující, bezpečnostní slabiny v politikách, procesech a v praktikách organizace (zranitelnosti organizace).

4 Fáze 2 Identifikace zranitelností infrastruktury - V této fázi je identifikována technologická infrastruktura organizace. Klíčové provozní komponenty informačních technologií jsou zkoumány s ohledem na jejich slabiny (technologické zranitelnosti), které mohou vést k narušení bezpečnosti. Fáze 3 Vytvoření bezpečnostní strategie a plánů - V této fázi jsou rizika identifikována, analyzována a vyhodnocena. Jsou zpracovány podklady vytvořené na základě hodnocení organizace, jejích aktiv, hrozeb a zranitelností (fáze 1 a 2) a jsou identifikovány dopady, které mohou organizaci negativně ovlivnit. Je vytvořena bezpečnostní strategie a sestaveny plány na zvládání rizik, které jsou primárně zaměřeny na nejvíce kritická rizika.

5 CHARAKTERISTIKA OCTAVE Pokud si organizace nechává provést hodnocení rizik prostřednictvím outsourcingu, může se stát, že její pracovníci nejsou plně začleněni do rozhodovacích procesů (např. při identifikaci rizik určených k akceptaci). Interní pracovníci se spoléhají na posouzení externích expertů a nemají tak vůli porozumět nebo se spolupodílet na činnostech hodnocení rizik, které jsou prováděny externími konzultanty. Pokud je rozhodnutí nebo doporučení externích expertů přijato bez interního posouzení, pracovníci organizace nemohou zpravidla porozumět, jak k takovému rozhodnutí došlo nebo na základě jakých vstupů bylo dáno určité doporučení. Odpovědnost je tak přenesena na externí konzultanty, kteří však nemohou být odpovědni za interní procesy organizace. Výsledkem je pak nedostatečné zavedení doporučení a opatření na zvýšení bezpečnosti, která musí být v plném souladu s obchodními cíli organizace, její kulturou a musí být bez výjimek Interní zavedení OCTAVE

6 Analytický tým přijata všemi dalšími pracovníky, kteří mohou potenciálně svým chováním způsobit negativní dopad. Nepočetný tým pracovníků organizace - analytický tým - řídí a provádí všechny činnosti OCTAVE a analyzuje všechny informace. Pracovníci organizace jsou tudíž plně a aktivně začleněni do rozhodovacích procesů v rámci řízení informačních rizik. Metodika OCTAVE vyžaduje sestavení mezioborového analytického týmu, který zahrnuje odborné pracovníky z businessu a zároveň bezpečnostní a technologické experty. Typicky tým sestává z třech až pěti odborníků v závislosti na velikosti organizace a na rozsahu analýzy. Základní úkoly analytického týmu jsou: Provedení workshopů v rámci fáze 1 Získání všech podpůrných informací, které jsou potřeba Identifikace aktiv, hrozeb, zranitelností a rizik Analýza a vyhodnocení rizik Vytvoření bezpečnostní strategie pro organizaci Sestavení plánů pro zvládání rizik založených na provedeném hodnocení rizik Je zřejmé, že analytický tým musí znát organizaci, její strukturu, vnitřní procesy a zejména obchodní cíle a strategii. Členové týmu musí mít kvalitní znalosti z oblasti informační i technologické bezpečnosti, dobré komunikační schopnosti a zkušenosti s prezentováním výsledků své práce. Je také velmi důležité, aby měl analytický tým dostatečné pravomoci k rozhodnutím v průběhu analýzy i po ní. I když by měli být členové analytického týmu znalí

7 organizace a jejích procesů, není možné, aby byli detailně zběhlí ve všech činnostech. Proto je běžné, že tým provádí workshopy s dalšími pracovníky organizace, kteří znají dokonale svou specifikou práci. Pro provádění těchto workshopů a tím úkolování dotčených pracovníků musí mít analytický tým dostatečnou pravomoc, aby mohl vyžadovat spolupráci konkrétních lidí. Obdobně je možné dočasné rozšíření týmu o další odborníky z interních nebo externích zdrojů. Například, když jsou analyzovány informační technologie a jejich dopady na informační aktiva, může analytický tým požadovat účast určitých správců systému a administrátorů aplikací, kteří by měli detailně znát technologie a prostředí, v kterém je systém provozován. Obdobně, pokud je stanovována strategie bezpečnosti a jsou sestavovány plány pro zvládání rizik, je více než vhodné přibrat do týmu člena managementu (strategie) a pracovníka, který má znalost interní řídicí dokumentace (plány). Případně je vhodné vždy tyto záležitosti konzultovat s danými odpovědnými pracovníky, nejlépe na úrovni středního a vyššího managementu. Při použití metodiky OCTAVE je vhodné získávat informace a provádět důležitá rozhodnutí v rámci workshopů. Ve fázi 1, kdy jsou shromažďovány informace a další vstupy pro analýzu organizace a souvisejících informačních aktiv, je s pracovníky organizace uspořádána celá řada workshopů, které jsou řízeny analytickým týmem. Účastníci workshopů (dotčené osoby) mohou být z různých oddělení, stejně tak z různých pozic a úrovní řízení. Výstupem z workshopů jsou informace o identifikovaných informačních aktivech, hrozbách ohrožujících aktiva, bezpečnostních poža- Přístup založený na workshopech

8 Katalogy informací davcích na aktiva, zavedených bezpečnostních opatřeních, aktuální strategii bezpečnosti a o slabinách organizace v politikách, procesech a praktikách. Další činnosti, které po workshopech následují ve fázi 1, ale i ve fázi 2 a 3, spočívají v analýze získaných informací a v jejich konsolidaci. Primární odpovědnost za vyhodnocení shromážděných informací je na pracovnících analytického týmu. Workshopy pro vyhodnocení a konsolidaci přinášejí informace o klíčových provozních částech informačního systému, o identifikovaných rizicích působících na organizaci a o možnostech strategie bezpečnosti. Výstupem z těchto workshopů jsou také návrhy na sestavení plánů pro zvládání rizik a návrh dalších bezpečnostních opatření. Metodika OCTAVE využívá následující důležité katalogy informací: Katalog bezpečnostních praktik - seznam opatření pro prosazení strategie bezpečnosti a zajištění ochrany aktiv; Profil hrozeb - seznam hrozeb, které by organizace při analýze měla uvažovat; Katalog zranitelností - seznam technologických zranitelností (závisí na použitých technologiích). Organizace, která pro hodnocení využívá metodiku OCTAVE, porovnává vlastní aktuální stav s výše zmíněnými katalogy informací. V průběhu fáze 1 využívají pracovníci analytického týmu katalogy k identifikaci praktik (protiopatření), které jsou zavedeny a využívány (aktuální zavedená bezpečnostní opatření) a k identifikaci nedostatků v bezpečnosti (slabiny systému, zranitelnosti organizace). Analytický

9 tým rovněž využívá katalog bezpečnostních praktik při vytváření nové strategie bezpečnosti, která je výstupem z fáze 3. Pokud musí být organizace v souladu s určitým standardem nebo normou, měl by být katalog praktik přizpůsoben danému standardu nebo normě. Organizace poté využívá upravený katalog bezpečnostních praktik, které jsou plně v souladu s obchodní strategií organizace a také s průmyslovými standardy, které organizace pro svůj business využívá. Poté, co analytický tým identifikuje kritická aktiva organizace, je využit profil hrozeb, na základě kterého jsou určeny a ohodnoceny dopady na aktiva. Tyto činnosti jsou prováděny na konci fáze 1. Ve fázi 2, kdy jsou analyzovány technologické zranitelnosti systému, je vhodné využít různé softwarové nástroje k identifikaci a ohodnocení daných zranitelností. Vhodný softwarový nástroj by měl obsahovat vlastní seznam zranitelností a slabin technologií, které organizace ve svých informačních systémech využívá. Výběr softwarových nástrojů je závislý na používaných technologiích a při analýze metodikou OCTAVE jsou zpracovávány pouze výsledky těchto technologických analýz. Proto jsou výběr a využití softwarových nástrojů na metodice OCTAVE zcela nezávislé.

10 BEZPEČNÁ POČÍTAČOVÁ SÍŤ

11 FÁZE A PROCESY METODIKY OCTAVE Každá fáze metodiky OCTAVE obsahuje několik procesů. Následující seznam ukazuje, které procesy jsou vykonávány v dané fázi: Fáze 1 Sestavení profilu hrozeb a aktiv - Proces 1: Workshopy s vyšším managementem - Proces 2: Workshopy se středním managementem - Proces 3: Workshopy s dalšími pracovníky organizace - Proces 4: Vytvoření profilu hrozeb Fáze 2 Identifikace zranitelností infrastruktury - Proces 5: Identifikace klíčových částí systému - Proces 6: Hodnocení klíčových částí systému Fáze 3 Vytvoření bezpečnostní strategie a plánů - Proces 7: Provedení analýzy rizik - Proces 8: Vytvoření bezpečnostní strategie a plánů

12 Přípravná fáze: Plánování O důležitosti plánovací fáze není nutné diskutovat. Jedná se o velmi důležitý krok, který tvoří základ pro všechny následující činnosti. Klíčové faktory úspěchu této fáze plánování jsou následující: Získání podpory managementu - Podpora managementu organizace je kritický faktor úspěchu, který může výrazným způsobem ovlivnit průběh i výsledky hodnocení rizik. Každá analýza, aby byla úspěšná, vyžaduje kromě práce analytického týmu participaci dalších pracovníků - respondentů. Pro správné provedení analýzy pomocí metodiky OCTAVE je mj. nutná spolupráce nejvyššího managementu. Pokud se však management bude hned od začátku vyhýbat spolupráci a nebude tak prokazovat svou podporu činnostem analýzy, chuť ostatních respondentů poskytovat vstupní informace bude nulová. Pracovníci se nebudou chtít účastnit workshopů, na kterých analytický tým získává pro hodnocení rizik zásadní informace, bez nichž není možné pokračovat v dalších pracích a projekt hodnocení analýzy dokončit. Pokud nižší personál vidí, že se management zajímá o průběh i výsledky hodnocení rizik, získá analytický tým dostatečnou autoritu ke sjednávání workshopů. Nenastane tak situace, že se činnosti pozastaví nebo nečekaně ukončí z důvodu neúčasti důležitých respondentů na workshopech. Sestavení analytického týmu - Analytický tým je odpovědný za řízení a provádění činností analýzy. Členové týmu musí mít dostatečné schopnosti vést takový projekt a uspokojivé znalosti v oblasti řízení informačních rizik. Je více než vhodné, aby se analytický tým mohl v kritických chvílích opřít o znalosti externích konzultantů nebo jiných odborníků uvnitř nebo vně organizace.

13 Stanovení rozsahu analýzy OCTAVE - Definice rozsahu analýzy je zásadním krokem, který významně ovlivňuje zejména plánování zdrojů na provedení celého projektu. Pokud má být hodnocení rizik opravdu komplexní a detailní, mělo by zahrnovat všechny důležité řídicí i provozní činnosti organizace. Rozsah by však neměl být příliš široký, aby analytický tým dokázal postihnout všechny detaily. Výběr dotčených osob a respondentů - Workshopy s respondenty jsou určeny pro získání informací o detailech vnitřních procesů organizace, které mohou významně ovlivňovat profil hrozeb a celkově úroveň rizik. Respondenti jsou zpravidla pracovníci organizace využívající informační aktiva zahrnuté do rozsahu analýzy OCTAVE. Je důležité, aby respondenti dobře rozuměli hodnocené oblasti, za kterou mají odpovědnost. Není správné, aby se workshopu účastnil pouze pracovník, který má právě čas. Je vhodné, aby pracovníci byli na workshopech zastoupeni napříč všemi úrovněmi organizační struktury organizace. Základními cíli této přípravné plánovací fáze je zajistit, aby rozsah analýzy byl jednoznačně stanoven, aby byla získána maximální podpora ze strany managementu a aby byl řádně sestaven odborný analytický tým. Členové týmu i ostatní dotčené osoby - respondenti - musí správně chápat své role a musí aktivně participovat na činnostech analýzy. Činnosti, které by měly být v rámci této fáze provedeny, jsou následující: 1. Získat podporu managementu. Zásadní krok (viz výše), který musí být proveden jako první. Ideální je představení celého projektu formou prezentace na zasedání managementu.

14 2. Sestavit analytický tým. Kombinace znalostí členů týmu by měly pokrývat oblast bezpečnosti (zejména řízení rizik), vnitřní procesy v organizaci, informační technologie, případně další oblasti. Velikost týmu by měla být tři až pět členů s ohledem na velikost organizace a rozsah projektu. Do výběru členů analytického týmu by měl být začleněn vyšší management (toto také napomůže získání podpory managementu). Některý z členů týmu by měl znát organizaci jako celek, aby mohl optimálně navrhovat respondenty pro workshopy. 3. Vyškolit analytický tým. Analytický tým musí být vyškolen v aplikaci metodiky OCTAVE. Každý z členů týmu musí dokonale chápat svou roli v každé činnosti hodnocení včetně prováděných workshopů. 4. Stanovit rozsah analýzy. Klíčová činnost (viz výše), která zásadním způsobem ovlivňuje úspěch projektu a spotřebu zdrojů. Je velmi vhodné, aby do stanovování rozsahu byl zahrnut vyšší management, případně aby stanovený rozsah schválil před započetím prací. 5. Vybrat respondenty. Workshopy jsou prováděné s respondenty, kteří jsou konkrétními uživateli hodnocených informačních aktiv. Výběr vhodných respondentů je zásadní činností při analýze (viz výše). 6. Zajistit potřebné zdroje. Pokud se analytický tým může spolehnout na podporu vyššího managementu, nemělo by být získání potřebných zdrojů problémem. Je vhodné též pamatovat například na takové detaily, jako že počet workshopů může dosáhnout několika desítek a že je pro ně nutné zajistit zasedací místnosti a případně další zdroje, které

15 mohou být požadovány i jinými pracovníky. Provádění interního hodnocení rizik vždy svým způsobem zatěžuje organizaci a její pracovníky ve všech směrech. 7. Seznámit respondenty s průběhem workshopů. Provedení krátkého školení respondentů a případně dalších dotčených osob zajistí hladký průběh workshopů. Je vhodné je seznámit s průběhem rozhovorů, obsahem a i se způsobem prezentace výsledků hodnocení rizik. Je také nutné respondenty ujistit, že cílem workshopů není kontrola (audit) jejich pracovních náplní, ale spíše získání povědomí, jakou hodnotu pro ně mají analyzovaná informační aktiva. Pokud je přípravná plánovací fáze ukončena, je možné přejít do fáze 1 a začít činnosti vedoucí k vytvoření profilu hrozeb ohrožujících aktiva organizace. OCTAVE umožňuje odpovědným členům analytického týmu vytvořit profil založený na prioritách a na úrovni důležitosti informačních aktiv pro organizaci. V průběhu fáze 1 uskutečňuje analytický tým workshopy s respondenty skrze celou organizaci v souladu s definovaným rozsahem analýzy. Během workshopů identifikují respondenti důležitá informační aktiva a jsou diskutovány dopady na organizaci, pokud by došlo k narušení bezpečnosti těchto aktiv (dat). Workshopy jsou zpravidla rozděleny do třech kategorií podle organizační struktury - vyšší management, střední management, ostatní pracovníci. Je vhodné, aby byly pro různé úrovně vedení uspořádány separátní workshopy, aby se nemíchaly různé pohledu na dopady při narušení bezpečnosti. Je také užitečné, aby byly workshopy rozděleny také podle oddělení, aby nedošlo například k tomu, že při jednom setkání bu- Fáze 1: Sestavení profilu hrozeb a aktiv

16 dou dohromady hodnoceny dopady z pohledu obchodního oddělení a z pohledu facility manažera. Cílem workshopů je z různých pohledů jednotlivých oddělení a úrovní řízení identifikovat následující vstupy pro hodnocení rizik: Důležitá informační aktiva a relevantní dopady narušení bezpečnosti Uvažované hrozby ohrožující aktiva organizace Bezpečnostní požadavky Aktuální strategie bezpečnosti Zranitelnosti organizace (slabiny v politikách, procesech a praktikách) Aktivum je vše, co má pro organizaci určitou hodnotu. Aktivum může zahrnovat například data, systémy, software, hardware a lidi. Metodika OCTAVE vyžaduje, aby respondenti za pomoci analytického týmu prozkoumali a stanovili hodnotu těchto aktiv na základě potenciálních dopadů narušení bezpečnosti. Například, co by se stalo, pokud by byla určitá data vymazána bez možnosti obnovení ze záloh. Nebo jaký by byl dopad na provoz organizace, pokud by nebyl v provozu billingový systém. Pomocí informací od respondentů jsou také identifikovány potenciální hrozby, které mohou aktiva organizace ohrozit. Úroveň hrozby je pravděpodobnost, s jakou může dojít k negativnímu dopadu. Příkladem může být situace, kdy se neidentifikovatelná osoba (např. hacker) snaží získat přístup do systému nebo kdy se zaměstnanec prochází po adresářové struktuře na souborovém serveru a cíleně hledá informace, které jsou pro něj nepřístupné. Hrozbou jsou také pří-

17 rodní katastrofy a jiné fyzické hrozby, jako např. požár, poškození vodou nebo krádeže a úmyslná poškození. Úroveň hrozby je opět stanovena na základě scénářů, které popisují respondenti v průběhu workshopů. Výsledkem je sestavení profilu potenciálních hrozeb včetně jejich úrovní. Dalším krokem je identifikace bezpečnostních požadavků. V rámci metodiky OCTAVE jsou požadavky na ochranu aktiv založeny na třech základních parametrech bezpečnosti, které zmiňuje mj. i norma ISO/IEC 17799: Důvěrnost - potřeba chránit data před neoprávněným přístupem osob; Integrita - potřeba zachovat autenticitu, správnost a úplnost dat; Dostupnost - potřeba zajistit, aby data byla oprávněným osobám k dispozici vždy v případě jejich využívání. Následně je identifikována aktuální strategie bezpečnosti od té nejvyšší úrovně - politiky, standardy - až po konkrétní bezpečnostní opatření - délka hesla, způsoby řízení přístupu apod. Jsou také identifikovány všechny praktiky a procesy s vlivem na bezpečnost, které ji mohou narušit nebo naopak pomoci v jejím prosazení. Aktuální stav bezpečnosti je vhodné diskutovat na workshopu, kterého se účastní pracovníci oddělení informačních technologií a pracovníci oddělení bezpečnosti. Oblast fyzické bezpečnosti je ideální diskutovat s facility manažerem. Při analýze aktuálního stavu bezpečnosti je nutné se dívat na bezpečnostní praktiky a opatření ze dvou pohledů: nejprve zkoumat jejich aktuální stav, tady jak organizace chrání svá aktiva, a poté hledat potenciální slabiny, které mohou být

18 Proces 1-3: Workshopy určitými hrozbami využity, aby byl způsoben negativní dopad. Jsou tedy analyzovány tzv. zranitelnosti organizace, které spočívají v nedostatcích v bezpečnostních politikách či jiné dokumentaci, ve slabých místech vnitřních procesů, kdy aktiva nejsou dostatečně chráněna zejména před oprávněnými uživateli - zaměstnanci organizace. Je nutné poznamenat, že každý výstup z workshopu je ovlivněn aktuálním pohledem zpovídaných respondentů, jejich pozicí v organizaci a pracovní náplní. V průběhu konečného hodnocení výsledků workshopů musí analytický tým konsolidovat získané informace a případně protichůdné názory znovu prodiskutovat. V průběhu workshopů by měly být identifikovány následující informace a provedeny tyto činnosti: 1. Identifikovat aktiva organizace a určit jejich hodnotu z pohledu narušení bezpečnosti. 2. Identifikovat kritické oblasti potenciálních hrozeb. Respondenti za pomoci analytického týmu sestavují různé scénáře narušení bezpečnosti aktiv. Tyto scénáře ukazují potenciální hrozby, které mohou hodnocené následky způsobit. Proto je vhodné v průběhu těchto rozhovorů také identifikovat oblasti hrozeb, které budou detailně zkoumány v procesu Identifikovat bezpečnostní požadavky na důležitá aktiva. Bezpečnostní požadavky jsou definovány z pohledu důvěrnosti, dostupnosti a integrity. 4. Shrnout aktuální strategii bezpečnosti. V průběhu této činnosti jsou identifikovány současné zavedené bezpečnostní praktiky v organizaci, které mohou být porovnány s nejlepšími bezpečnostními

19 praktikami (best practices), aby byly zjištěny slabiny a nedostatky v ochraně aktiv. V průběhu této činnosti členové analytického týmu určují kritická aktiva organizace a hrozby, které mohou způsobit na aktivech potenciální negativní následky. Nyní je vhodné dát dohromady všechny informace získané v předchozích činnostech a vytvořit tak profil hrozeb pro každé kritické aktivum. V rámci procesu 4 jsou provedeny následující činnosti: 1. Seskupit aktiva, bezpečnostní požadavky, oblasti potenciálních hrozeb a další informace, které byly získány z různých pohledů respondentů. Cílem je vytvořit integrovaný pohled na kritická aktiva, oblasti hrozeb a aktuální požadavky na bezpečnost. 2. Vybrat nejvíce kritická aktiva. Seskupené informace jsou detailně analyzovány a jsou určena aktiva, jejichž narušení bezpečnosti může nejvíce ovlivnit podnikatelské cíle a poslání organizace. 3. Detailně specifikovat bezpečnostní požadavky na nejvíce kritická aktiva. S ohledem na minulý krok by měly být detailně upřesněny požadavky na nejvíce kritická aktiva. Tyto požadavky budou později jedním ze základních kamenů nové strategie bezpečnosti. 4. Identifikovat hrozby ohrožující nejvíce kritická aktiva. Pro každé takové aktivum je vytvořen a detailně upřesněn profil (seznam) hrozeb včetně potenciálních zdrojů hrozeb. Zdrojem pro tento detailní seznam je katalog hrozeb, který byl vytvořen v rámci předchozích činností. Fáze 1 hodnotí pohled na rizika z pohledu informačních aktiv, potenciálních hrozeb a následků k nim vzta- Proces 4: Vytvoření profilu hrozeb

20 Fáze 2 Identifikace zranitelností infrastruktury žených. Následující druhá fáze metodiky OCTAVE se zaměřuje na technologie a technickou bezpečnost. Hodnocení zranitelností je systematické zkoumání využívaných technologií tak, aby bylo zjištěno, zda jsou implementovaná bezpečnostní opatření adekvátní k požadovanému zajištění informačních aktiv. Cílem hodnocení zranitelností je odhalit bezpečnostní slabiny a nedostatky, které mohou vést ke způsobení negativních následků. Je také velmi vhodné analyzovat účinnost opatření po jejich implementaci a tím potvrdit jejich správné zavedení a používání. Zranitelnost je slabina v informačním systému a v souvisejících bezpečnostních opatřeních, procesech, procedurách a praktikách. Úroveň zranitelnosti je hodnocena jako pravděpodobnost, s jakou hrozba může úspěšně zranitelnost využít a tím způsobit negativní dopad. Technologické zranitelnosti mohou být seskupeny do následujících oblastí: Zranitelnosti návrhu - slabiny, které vznikly již při návrhu systému, aplikace nebo zařízení. Tyto zranitelnosti přetrvávají i tehdy, pokud je technologie precizně a bez chyb zavedena a používána. Zranitelnosti implementace - slabiny, které vzniknou při nesprávné implementaci hardwaru nebo instalaci softwaru. Zranitelnosti konfigurace - slabiny pramenící z nesprávné konfigurace nebo administrace hardwaru nebo softwaru. Každý informační systém nebo jeho součást má řadu specifických technologických zranitelností. Metodika OCTAVE vyžaduje, aby analyzované části systému

21 byly hodnoceny proti katalogu zranitelností. Jedním z takových katalogů zranitelností, který je běžně využíván, je Common Vulnerabilities and Exposures (CVE). CVE je seznam, případně také terminologický slovník, známých zranitelností různých technologií. Jednotlivé seznamy CVE poskytují velké množství volně přístupných informací o technologických zranitelnostech. Cílem hodnocení zranitelností je zaměřit se na slabiny instalovaných technologií včetně síťových služeb, architektury systému a aplikací. Základní činnosti při hodnocení technologických zranitelností jsou následující: Identifikovat klíčové informační systémy a jejich součásti; Analyzovat zranitelnosti identifikovaných systémů a jejich součástí. Účelem analýzy zranitelností systémů a jejich součástí je zmapovat konfiguraci síťových prvků a ohodnotit jejich schopnost odolat potenciálnímu útoku. Zde je vhodné provést penetrační testování zahrnující všechna aktiva v rozsahu analýzy. Při takovém testování jsou prováděny obdobné útoky, jako kdyby se jednalo o úmyslné neautorizované napadení systému hackerem. Pokud organizace nedisponuje vlastními technologiemi pro penetrační testování ani vlastními odborníky pro tuto oblast, je nutné přizvat externí firmu k provedení takových testů. V průběhu této činnosti spolupracují členové analytického týmu s pracovníky oddělení IT a případně s dalšími specialisty. Prvotně je nutné získat aktuální pohled na stávající infrastrukturu. K tomu je ideální získat dokumentaci o systému a jeho prvcích, různé Proces 5: Identifikace klíčových částí systému

22 Proces 6: Hodnocení klíčových částí systému nákresy topologie sítě apod. Ne vždy je však k dispozici opravdu aktuální dokumentace, proto je nutné úzce komunikovat s pracovníky odpovědnými za provoz a správu systémů a sítí. V rámci procesu 5 jsou provedeny následující činnosti: 1. Identifikovat klíčové části systému. Je nutné vytvořit komplexní náhled na systém zahrnující všechna analyzovaná aktiva - servery, paměťová zařízení, síťové prvky, komunikační linky, aplikace, operační systémy atd. 2. Specifikovat aktiva systému pro každé informační aktivum. Analytický tým, ve spolupráci s pracovníky IT, specifikuje, která aktiva systému jsou potřebná pro určitá informační aktiva. Vytvoří se tak různé modely aktiv, které budou v dalším kroku hodnoceny z pohledu jejich zranitelností. V průběhu této činnosti spolupracují členové analytického týmu s pracovníky oddělení IT a případně s dalšími specialisty. Pro hodnocení zranitelností jsou prováděny testy za použití programových nástrojů a dalších technologií. Výsledky testů jsou analyzovány, hodnoceny a diskutovány na následných workshopech, kterých se účastní kromě analytického týmu také pracovníci IT a další specialisté. V rámci procesu 6 jsou provedeny následující činnosti: 1. Provést testy zranitelností. Za pomoci různých nástrojů jsou prováděny testy zranitelností a penetrační testy aktiv zahrnutých do analýzy. Testy mohou být provedeny pracovníky organizace nebo externími specialisty. Testy jsou prováděny ze třech pozic: vně organizace, uvnitř organizace a v rámci různých oddělených systémů uvnitř organizace.

23 2. Ohodnotit zranitelnosti. Na základě výsledků testů jsou sumarizovány závěry z hodnocení zranitelností. Pokud byly testy prováděny externí organizací, měla by být na workshopu diskutována závěrečná zpráva z testování. Pokud jsou k dispozici výsledky hodnocení zranitelností infrastruktury (fáze 2) a hodnocení aktiv, hrozeb a zranitelností organizace (fáze 1), je možné určit míru rizika a stanovit strategii bezpečnosti. Toto je obsahem fáze 3. Jakmile jsou k dispozici všechny vstupy, je možné identifikovat všechna rizika pro každé analyzované aktivum a uvažovanou hrozbu. Míra rizika je stanovena na základě úrovně hrozby a velikosti potenciálně způsobeného následku, který je určen na základě: Prozrazení kritických aktiv Modifikace kritických aktiv Ztráty nebo zničení kritických aktiv Nedostupnosti kritických aktiv Míra rizika odpovídá očekávané ztrátě, pokud nejsou k dispozici nástroje na ochranu aktiv nebo byla překonána implementovaná bezpečnostní opatření. Míra rizika může být stanovena kvantitativním nebo kvalitativním způsobem. Kvalitativní hodnocení vyžaduje nominální (slovní) nebo číselné škály pro stanovení hodnot (malá, střední, velká; 1-10 apod.). Kvantitativní přístup je založen na kalkulaci s přesnými hodnotami, které odpovídají skutečnosti (přesné vyčíslení finanční ztráty, ztracená procenta trhu, konkrétní počet ztracených zákazníků nebo obchodů apod.). Fáze 3 Vytvoření bezpečnostní strategie a plánů

24 Hodnocení informačních rizik je velmi složité, protože už jen stanovení hodnoty informačních aktiv není jednoduchý proces. Stejně tak stanovení úrovně (pravděpodobnosti) hrozby je záležitost, která může obsahovat velkou míru subjektivity. Metodika OCTAVE je založena na kvalitativním způsobu hodnocení rizik a nepracuje tedy s konkrétními hodnotami jako jiné kvantitativní metodiky. Analýza prováděná metodikou OCTAVE je založena na potenciálních scénářích určitých následků a relevantních hrozeb. Analytický tým sestaví a prozkoumá rozsáhlou řadu rizikových scénářů pro všechna kritická aktiva. Na základě těchto scénářů je vytvořen profil rizik, který zahrnuje hrozby působící na kritická aktiva a detailní popis scénářů pro všechny potenciální dopady. Pro každý takový scénář je stanovena hodnota způsobeného dopadu, která tvoří společně s úrovní hrozby parametry pro výpočet míry rizika. Pokud je analýza rizik dokončena, cílem je zvládnout (snížit, eliminovat) riziko prostřednictvím kombinace následujících třech činností: Implementovat nová bezpečnostní opatření a zavést nové bezpečnostní praktiky; Upravit existující bezpečnostní opatření a bezpečnostní praktiky; Odstranit identifikované zranitelnosti. Informační bezpečnost postihuje celou organizaci a při hodnocení rizik je důležité stále brát ohled na cíle a poslání organizace. Je nutné, aby byl v rámci organizace vytvořen strategický pohled na informační rizika, která mohou významně ohrozit činnost organizace. Hodnocení informačních rizik může ukázat kritické

25 nedostatky v různých činnostech, stejně jako slabiny instalovaných technologií. V průběhu této činnosti hodnotí členové analytického týmu získané vstupy z předchozích fází a určují míru a profil rizik. V rámci procesu 7 jsou provedeny následující činnosti: 1. Identifikovat dopady na aktiva způsobené relevantními hrozbami. Profil rizik je vytvořen pro každé kritické aktivum prostřednictvím popisu potenciálních scénářů narušení bezpečnosti (prozrazení, modifikace, ztráta a nedostupnost). 2. Vytvořit hodnotící kritéria. Pro každý scénář je určena hodnota a je tak vytvořena kvalitativní škála, která se využívá pro hodnocení následků. Škála je také vytvořena pro hodnocení hrozeb. 3. Stanovit hodnoty dopadů a hrozeb. Analytický tým určí hodnoty jednotlivých parametrů a stanoví míru rizika pro každou hrozbu a aktivum. V průběhu této činnosti jsou provedeny dva druhy workshopů. Účastníci první řady workshopů jsou primárně členové analytického týmu, je však možné přizvat další pracovníky, případně externí konzultanty. Cílem první části procesu 8 je vytvořit strategii ochrany aktiv organizace, sestavit plány pro zvládání rizik a navrhnout akce, které musí být ihned provedeny pro pokrytí největších rizik nebo na odstranění nejzávažnějších zranitelností. V rámci první části procesu 8 jsou provedeny následující činnosti: 1. Konsolidovat vstupy pro vytvoření strategie. Ještě před uskutečněním workshopu musí být sumarizovány všechny vstupy pro vytvoření nové strategie bezpečnosti, tzn. popis stávající strategie, Proces 7: Provedení analýzy rizik Proces 8: Vytvoření bezpečnostní strategie a plánů

26 výsledky hodnocení rizik, identifikované nedostatky a zranitelnosti atd. 2. Vytvořit strategii bezpečnosti. Analytický tým musí navrhnout novou strategii pro ochranu aktiv. Při vytváření je nutné brát v úvahu, kromě výsledků hodnocení rizik, zejména podnikatelské cíle organizace a její poslání. Strategie bezpečnosti musí být plně v souladu s globální strategií organizace. Základem pro vytvoření strategie mohou být bezpečnostní standardy, normy a nejlepší bezpečnostní praktiky (best practices). 3. Sestavit plány pro zvládání rizik. Analytický tým navrhne plány na snížení rizik na akceptovatelnou úroveň. 4. Vytvořit plán okamžitých činností. Hodnocení rizik mohlo odhalit velmi vysoká rizika nebo závažné zranitelnosti. Vedle vytváření strategie a plánů může být nutné okamžitě pokrýt některá rizika nebo odstranit významné nedostatky. Z tohoto důvodu musí být vytvořen a proveden plán okamžitých činností. Druhá řada workshopů je určena k prezentaci navržené strategie bezpečnosti a plánů pro zvládání rizik. Analytický tým předkládá strategii a plány vyššímu managementu k revizi a následnému schválení. Je vhodné, aby konzultace s vyšším managementem probíhaly již v průběhu tvorby strategie ochrany aktiv organizace. V rámci druhé části procesu 8 jsou provedeny následující činnosti: 1. Prezentovat výsledky hodnocení rizik. Analytický tým by měl prezentovat výsledky vyššímu managementu, který by se měl s nimi ztotožnit. Měla by být vyzdvižena nejvyšší rizika, která mohou způsobit u kritických aktiv zásadní následky. Vyšší ma-

27 nagement by měl být v této chvíli také seznámen s aktuálním stavem informační bezpečnosti v organizaci. 2. Prezentovat navrženou novou strategii a plány. Analytický tým by měl představit managementu novou strategii na ochranu aktiv organizace. Plány pro zvládání rizik by měly být prezentovány vyššímu managementu pouze v omezené formě, protože plány mohou být velmi detailní a jejich prezentace může být z pohledu managementu zbytečná. 3. Navrhnout navazující projekty. Pokud management schválí navrženou strategii bezpečnosti a plány pro zvládání rizik, je vhodné co nejdříve začít s jejich implementací. Ideální je implementovat strategii a opatření z plánů formou navazujících projektů, které jsou plánovány s ohledem na oblast bezpečnosti (technická, komunikační, fyzická apod.), zahrnutá aktiva (protiopatření doporučená pro servery, protiopatření pro síťové prvky atd.) a pokrývaná rizika. Navržením navazujících projektů končí hodnocení rizik, ale nekončí jejich řízení. Neustále je nutné monitorovat identifikovaná rizika, zda se nezměnila jejich míra a identifikovat a ohodnocovat rizika nová. Proces řízení informačních rizik musí být kontinuální po celý život organizace. Metodika OCTAVE je výtečným pomocníkem, který efektivním způsobem pomáhá rizika objektivně hodnotit.

28 BEZPEČNÁ POČÍTAČOVÁ SÍŤ

29 DALŠÍ ZDROJE PRO POUŽITÍ METODIKY OCTAVE Na internetu lze najít řadu publikací, předpřipravených tabulek a formulářů a dalších podpůrných materiálů týkajících se metodiky OCTAVE. Prvním cílem každého uživatele metodiky by měla být stránka CERT: Introduction to the OCTAVE Approach - úvod do metodiky OCTAVE Criteria, Version popis metodiky včetně detailní specifikace fází a procesů. OCTAVE Method Implementation Guide - návod na použití metodiky

30 OCTAVE-S Implementation Guide - návod na použití metodiky upravené pro malé organizace

31 ZÁVĚREČNÉ SHRNUTÍ Dnešní informační prostředí založené na elektronické formě informací, které jsou široce využívány pomocí propojených sítí, definuje vysoké požadavky na bezpečné řízení přístupu uživatelů k systémům a na zajištění dostupnosti a integrity dat v nich uložených a zpracovávaných. Toto s sebou nese vysoká rizika narušení důvěrnosti, integrity nebo dostupnosti informačních aktiv. Každý den jsou organizace vystaveny novým hrozbám, které mohou bezprostředně způsobit obrovské negativní dopady na business organizace. Proto je nutné, aby odpovědní pracovníci plně rozuměli řízení informačních rizik, aby dokázali navrhnout vždy tu optimální strategii na jejich snížení nebo eliminaci. Systematický přístup k hodnocení bezpečnostních rizik a k vytváření vhodné strategie bezpečnosti je základem pro všechny činnosti související s ochranou aktiv organizace. Metodika OCTAVE takový systematický přístup zajišťuje.

32 Metodika OCTAVE definuje zásadní a vyčerpávající principy pro hodnocení rizik a zajišťuje, aby odpovědní pracovníci prováděli svá rozhodnutí týkající se bezpečnosti vždy bez opomenutí identifikovaných rizik. Při využívání přístupu metodiky OCTAVE, která je založena na workshopech, jsou do hodnocení rizik zahrnuty všechny organizační složky a nepřímo se tak zvyšuje bezpečnostní povědomí v rámci celé organizace. Zahrnutí managementu a akceptace ostatních uživatelů je zcela zásadní pro implementaci jakýchkoli bezpečnostních opatření. Metodika OCTAVE nabízí velmi dobré kvalitativní hodnocení rizik. Její velkou nevýhodou je fakt, že prozatím není vytvořen žádný komplexní programový nástroj, který by použití metodiky usnadnil a zrychlil. Různé excelové tabulky a makra, které lze najít na webu, nejsou dostatečné a zejména nenabízejí široké možnosti reportování a prezentace zpracovaných výsledků. Pokud by byl k dispozici kvalitní programový nástroj, vznikla by velmi výrazná konkurence metodice CRAMM.

Projektové řízení a rizika v projektech

Projektové řízení a rizika v projektech Projektové řízení a rizika v projektech Zainteresované strany Zainteresované strany (tzv. stakeholders) jsou subjekty (organizace, lidé, prostory, jiné projekty), které realizace projektu ovlivňuje. Tyto

Více

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

RiJ ŘÍZENÍ JAKOSTI L 1 1-2 RiJ ŘÍZENÍ JAKOSTI ML 1-2 Normy řady ISO 9000 0 Úvod 1 Předmět QMS podle ISO 9001 2 Citované normativní dokumenty 3 Termíny a definice 4 Systém managementu kvality 5 Odpovědnost managementu 6 Management

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

Konsolidovaný statut útvaru interního auditu a nesrovnalostí

Konsolidovaný statut útvaru interního auditu a nesrovnalostí Konsolidovaný statut útvaru interního auditu a nesrovnalostí Verze 2.0 Revize č. 1 platná od 1. 10. 2011 Rev. č. Platná od Předmět revize Zpracoval Zrevidoval Schválil 1 1. 10. 2011 Komplexní aktualizace

Více

1.1 Zátěžové testování

1.1 Zátěžové testování 1.1 Zátěžové testování Předpokladem pro toto stádium testování je ukončení funkčních testů a zamražení systému pro zátěžové testování. Toto stádium testování má podpořit systémové testování a poukázat

Více

POŽADADAVKY NA ORGANIZACI SYSTÉMU SPOLEČENSKÉ ODPOVĚDNOSTI (ZÁKLADNÍ INFORMACE)

POŽADADAVKY NA ORGANIZACI SYSTÉMU SPOLEČENSKÉ ODPOVĚDNOSTI (ZÁKLADNÍ INFORMACE) Příloha A (Informativní) POŽADADAVKY NA ORGANIZACI SYSTÉMU SPOLEČENSKÉ ODPOVĚDNOSTI (ZÁKLADNÍ INFORMACE) 1. MODEL SYSTÉMU MANAGEMENTU SPOLEČENSKÉ ODPOVĚDNOSTI FIRMY Současný pohled na problematiku společenské

Více

Rámec pro posouzení dopadů na ochranu soukromí a údajů pro aplikace RFID. 11. února 2011

Rámec pro posouzení dopadů na ochranu soukromí a údajů pro aplikace RFID. 11. února 2011 Rámec pro posouzení dopadů na ochranu soukromí a údajů pro aplikace RFID 11. února 2011 1 OBSAH 1. Úvod...3 1.1. Klíčové pojmy...4 1.2. Vnitřní postupy...5 2. Proces posouzení dopadů na ochranu soukromí

Více

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok Bezpečnost - úvod Zranitelné místo Slabinu IS využitelnou ke způsobení škod nebo ztrát útokem na IS nazýváme zranitelné místo. Existence zranitelných míst je důsledek chyb, selhání v analýze, v návrhu

Více

24. 10. 2012. Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

24. 10. 2012. Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie 24. 10. 2012 Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie Obsah 1 Základní ustanovení... 4 1.1 Popis metodiky... 4 1.2 Cíle Metodiky... 4

Více

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

Fyzická bezpečnost. Bezpečnost informací v ČR. Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz Fyzická bezpečnost Bezpečnost informací v ČR Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.

Více

Katalog služeb a podmínky poskytování provozu

Katalog služeb a podmínky poskytování provozu Příloha č. 1 Servisní smlouvy Katalog služeb a podmínky poskytování provozu Část P2_1 P2_1_Katalog služeb a podmínky poskytování provozu 1 Obsah 1 OBSAH... 2 2 DEFINICE POJMŮ... 3 3 DEFINICE SLUŽEB, KOMPONENT

Více

Příručka kvality společnosti CZECHOSLOVAK REAL (CZ), s.r.o.

Příručka kvality společnosti CZECHOSLOVAK REAL (CZ), s.r.o. CZECHOSLOVAK REAL (CZ), s.r.o., Křenova 438/7, 162 00 Praha 6 Veleslavín Označení dokumentu: PK 01/CSR Strana 1 společnosti CZECHOSLOVAK REAL (CZ), s.r.o. Zpracoval: Jitka Neumannová, DiS. Schválil: Ing.

Více

Příloha Vyhlášky č.9/2011

Příloha Vyhlášky č.9/2011 Tematické setkání AVZ - Květen 2011 Příloha Vyhlášky č.9/2011 SPECIFIKACE POŽADAVKŮ PRO PROKAZOVÁNÍ SHODY ELEKTRONICKÝCH NÁSTROJŮ (STANDARD) Představení Ing. Ondřej Antoš Odborný posuzovatel ČIA pro oblast

Více

Systém řízení energetického hospodářství

Systém řízení energetického hospodářství Systém řízení energetického hospodářství Návrh kroků a opatření vedoucích k zavedení energetického managementu Projekt je zaměřený na zavedení energetického managementu pro potřeby města Pardubice V Pardubicích

Více

Strategický rámec rozvoje veřejné správy České republiky pro období 2014 2020

Strategický rámec rozvoje veřejné správy České republiky pro období 2014 2020 Strategický rámec rozvoje veřejné správy České republiky pro období 2014 2020 IMPLEMENTAČNÍ PLÁN PRO STRATEGICKÝ CÍL 4: Profesionalizace a rozvoj lidských zdrojů ve veřejné správě Verze 5 k 30. 6. 2015

Více

Etický kodex. Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu

Etický kodex. Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu Etický kodex Asociace pro kapitálový trh (AKAT) Část A pro společnosti působící v oblasti investičního managementu Základní principy a doporučené postupy 1/21 I. ÚVOD, CÍLE, ROZSAH A PLATNOST Etický kodex

Více

Článek I. Smluvní strany

Článek I. Smluvní strany STATUTÁRNÍ MĚSTO OPAVA MMOPP00GBYAR Smlouva na zhotovení Auditu bezpečnosti IT Objednatel: Sídlo: IČ: 00300535 DIČ: Statutární město Opava Článek I. Smluvní strany Horní náměstí 69, 746 26 Opava CZ00300535

Více

NABÍDKA PROGRAMŮ. Moje vedení. Moje řízení. Moji zákazníci. Moje výsledky. Můj prodej. Moje schopnosti

NABÍDKA PROGRAMŮ. Moje vedení. Moje řízení. Moji zákazníci. Moje výsledky. Můj prodej. Moje schopnosti Moje řízení Moje vedení Moji zákazníci Moje výsledky Můj prodej Moje schopnosti NABÍDKA PROGRAMŮ Můžete řídit jen to, co dokážete efektivně změřit Dlouhodobější projekty rozvoje a vzdělávání dokážeme s

Více

ADVANTA 2.0. www.advanta- group.cz Strana 1 ze 40. Popis řešení Řízení IT projektů. www.advanta- group.cz

ADVANTA 2.0. www.advanta- group.cz Strana 1 ze 40. Popis řešení Řízení IT projektů. www.advanta- group.cz www.advanta- group.cz ADVANTA 2.0 Popis řešení Řízení IT projektů Advanta pomáhá firmám s realizací krátkodobých i dlouhodobých projektů. Díky kombinaci tradičních metod a inovativních přístupů v projektovém

Více

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují:

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují: Popis služeb Služby Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services poskytují služby poradenství a prototypování k podpoře inovace a transformace Zákazníka

Více

Rámcový rezortní interní protikorupční program

Rámcový rezortní interní protikorupční program III. Rámcový rezortní interní protikorupční program Ministerstvům a dalším ústředním správním úřadům je předkládána osnova představující minimální rámec rezortního interního protikorupčního programu. Její

Více

B e z p e č n ý p o d n i k

B e z p e č n ý p o d n i k STÁTNÍ ÚŘAD INSPEKCE PRÁCE B e z p e č n ý p o d n i k Systém řízení bezpečnosti a ochrany zdraví při práci Politika BOZP Přezkoumání a zlepšování Neustálé zlepšování Plánování Kontrola, měření a hodnocení

Více

BEZPEČNOST ICT. Marek Chlup

BEZPEČNOST ICT. Marek Chlup BEZPEČNOST ICT Marek Chlup Obsah Předmluva... 3 1. Zavedení systému řízení bezpečnosti ISMS... 4 2. Zavedení systému řízení bezpečnosti ISMS Model PDCA... 7 3. ISMS - ohodnocení aktiv...11 4. Analýza rizik...14

Více

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s. Efektivní řízení rizik ISMS Luděk Novák, Petr Svojanovský ANECT a.s. Obsah Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto:

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním materiálem o normě. ICS 35.240.60; 03.220.20 Elektronický výběr poplatků (EFC) Architektura systému

Více

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI? MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI? Milan Balážik, CISSP, CISA Senior Security Solutions Architect Corpus Solutions a.s. Na Vítězné pláni 1719/4 140 00 Praha 4 E-mail: milan.balazik@corpus.cz

Více

Technica Solutions. Půjčovna nářadí. Úvodní studie pro Q&X Trading

Technica Solutions. Půjčovna nářadí. Úvodní studie pro Q&X Trading Technica Solutions Úvodní studie pro Q&X Trading Verze dokumentu Datum Autor Popis změn 0.8 24.11. Michal Kvasničák Doplnění harmonogramů 0.7 23.11. Tomáš Klinský Doplnění kapitoly Roadmapa 0.2 9.11. Petr

Více

PRINCIPY PRO PŘÍPRAVU NÁRODNÍCH PRIORIT VÝZKUMU, EXPERIMENTÁLNÍHO VÝVOJE A INOVACÍ

PRINCIPY PRO PŘÍPRAVU NÁRODNÍCH PRIORIT VÝZKUMU, EXPERIMENTÁLNÍHO VÝVOJE A INOVACÍ RADA PRO VÝZKUM, VÝVOJ A INOVACE PRINCIPY PRO PŘÍPRAVU NÁRODNÍCH PRIORIT VÝZKUMU, EXPERIMENTÁLNÍHO VÝVOJE A INOVACÍ 1. Úvod Národní politika výzkumu, vývoje a inovací České republiky na léta 2009 až 2015

Více

Zpráva o výsledcích šetření za rok 2012. Ministerstvo pro místní rozvoj ČR Odbor veřejného investování

Zpráva o výsledcích šetření za rok 2012. Ministerstvo pro místní rozvoj ČR Odbor veřejného investování Vytvoření adekvátního systému získávání informací o legislativních, veřejných zakázek a informací od jednotlivých zadavatelů ohledně přijímání elektronických obchodních praktik Objednatel: Ministerstvo

Více

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 265 OBSAH

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 265 OBSAH MEZINÁRODNÍ AUDITORSKÝ STANDARD PŘEDÁVÁNÍ INFORMACÍ OSOBÁM POVĚŘENÝM SPRÁVOU A ŘÍZENÍM ÚČETNÍ JEDNOTKY A VEDENÍ (Účinný pro audity účetních závěrek sestavených za období počínající 15. prosincem 2009 nebo

Více

EURO CERT CZ, a.s. Pravidla procesu hodnocení kvality a bezpečí lůžkové zdravotní péče (SD 15)

EURO CERT CZ, a.s. Pravidla procesu hodnocení kvality a bezpečí lůžkové zdravotní péče (SD 15) Certifikační orgán pro certifikaci systémů managementu bezpečí lůžkové zdravotní péče () Datum platnosti: 1.12.2014 Výtisk číslo: 1 Funkce Jméno Datum Podpis Zpracoval: ZMK Ing.Monika Becková 24.11.2014

Více

Evropský Habitat Praha, 16.-18. března 2016. Pražská deklarace

Evropský Habitat Praha, 16.-18. března 2016. Pražská deklarace Evropský Habitat Praha, 16.-18. března 2016 Pražská deklarace My, delegace národních vlád členských států regionu Evropské hospodářské komise Organizace spojených národů (EHK OSN), dále jen region, jakož

Více

Věc: Strategie EZÚ pro přechodné období zavádění změn normy ISO 9001:2008

Věc: Strategie EZÚ pro přechodné období zavádění změn normy ISO 9001:2008 Váš dopis značky / ze dne Naše značka Vyřizuje/linka Praha Věc: Strategie EZÚ pro přechodné období zavádění změn normy ISO 9001:2008 Vážení přátelé, ISO (Mezinárodní organizace pro normalizaci) a IAF (Mezinárodní

Více

Evaluace projektu Sociálně vyloučené lokality Ústeckého kraje Evaluační zpráva

Evaluace projektu Sociálně vyloučené lokality Ústeckého kraje Evaluační zpráva Evaluace projektu Sociálně vyloučené lokality Ústeckého kraje Evaluační zpráva Příloha Metodiky pro evaluaci dopadů nesoutěžních projektů OP Zaměstnanost 2014 2020 OBSAH MANAŽERSKÉ SHRNUTÍ... 3 1 CÍL A

Více

Ministerstvo pro místní rozvoj

Ministerstvo pro místní rozvoj Ministerstvo pro místní rozvoj VÝZKUMNÝ PROGRAM MINISTERSTVA PRO MÍSTNÍ ROZVOJ NA LÉTA 200 2011 Název: VÝZKUM PRO ŘEŠENÍ REGIONÁLNÍCH DISPARIT ZADÁVACÍ DOKUMENTACE PRO VEŘEJNOU SOUTĚŽ VE VÝZKUMU A VÝVOJI

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ

SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ EVROPSKÁ KOMISE V Bruselu dne 19.7.2011 KOM(2011) 454 v konečném znění SDĚLENÍ KOMISE EVROPSKÉMU PARLAMENTU, RADĚ, EVROPSKÉMU HOSPODÁŘSKÉMU A SOCIÁLNÍMU VÝBORU A VÝBORU REGIONŮ Digitální tachograf: Plán

Více

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb Příloha č. 1 Servisní smlouvy Katalog služeb S2_P1_Katalog služeb 1 Obsah 1 OBSAH... 2 2 DEFINICE SLUŽEB... 3 3 SPECIFIKACE SLUŽEB... 6 3.1 SLUŽBA PS01_PROVOZ A SPRÁVA... 6 3.2 SLUŽBA PS02_ZÁLOHA A OBNOVA...

Více

ZÁPADOČESKÁ UNIVERZITA V PLZNI FAKULTA EKONOMICKÁ. Bakalářská práce. Řízení rizik projektu přesunu sběrného dvora

ZÁPADOČESKÁ UNIVERZITA V PLZNI FAKULTA EKONOMICKÁ. Bakalářská práce. Řízení rizik projektu přesunu sběrného dvora ZÁPADOČESKÁ UNIVERZITA V PLZNI FAKULTA EKONOMICKÁ Bakalářská práce Řízení rizik projektu přesunu sběrného dvora Risk management of the scrap yard dislocation Jana Široká Plzeň 2014 Prohlašuji, že jsem

Více

10. blok Logický návrh databáze

10. blok Logický návrh databáze 10. blok Logický návrh databáze Studijní cíl Tento blok je věnován převodu konceptuálního návrhu databáze na návrh logický. Blok se věnuje tvorbě tabulek na základě entit z konceptuálního modelu a dále

Více

IMPLEMENTAČNÍ PLÁN PRO STRATEGICKÝ CÍL 2: Revize a optimalizace výkonu veřejné správy v území

IMPLEMENTAČNÍ PLÁN PRO STRATEGICKÝ CÍL 2: Revize a optimalizace výkonu veřejné správy v území Strategický rámec rozvoje veřejné správy České republiky pro období 2014 2020 IMPLEMENTAČNÍ PLÁN PRO STRATEGICKÝ CÍL 2: Revize a optimalizace výkonu veřejné správy v území Verze 3 k 15. 12. 2014 Obsah

Více

European Energy Award

European Energy Award European Energy Award European Energy Award (EEA ) EEA je program na realizaci politiky ochrany klimatu a efektivnosti využívání energie v obcích. Program se vztahuje na města a obce, ale i okresy a je

Více

Ing. Zdeněk Fildán PŘÍRUČKA PRO ENVIRONMENTÁLNÍ MANAGEMENT (EMS) PODLE NORMY ČSN EN ISO 14 001

Ing. Zdeněk Fildán PŘÍRUČKA PRO ENVIRONMENTÁLNÍ MANAGEMENT (EMS) PODLE NORMY ČSN EN ISO 14 001 Ing. Zdeněk Fildán PŘÍRUČKA PRO ENVIRONMENTÁLNÍ MANAGEMENT (EMS) PODLE NORMY ČSN EN ISO 14 001 Obsah 1.0 Úvod 1.1 Oblast environmentálního managementu (EMS, EMAS) 1.2 Oblast managementu bezpečnosti a

Více

Prof. Ing. Miloš Konečný, DrSc. Nedostatky ve výzkumu a vývoji. Klíčové problémy. Tyto nedostatky vznikají v následujících podmínkách:

Prof. Ing. Miloš Konečný, DrSc. Nedostatky ve výzkumu a vývoji. Klíčové problémy. Tyto nedostatky vznikají v následujících podmínkách: Podnik je konkurenčně schopný, když může novými výrobky a službami s vysokou hodnotou pro zákazníky dobýt vedoucí pozice v oboru a na trhu. Prof. Ing. Miloš Konečný, DrSc. Brno University of Technology

Více

ZÁKLADNÍ INFORMACE O SLUŽBÁCH CERTIFIKAČNÍHO ORGÁNU PRO SYSTÉMY MANAGEMENTU

ZÁKLADNÍ INFORMACE O SLUŽBÁCH CERTIFIKAČNÍHO ORGÁNU PRO SYSTÉMY MANAGEMENTU ZÁKLADNÍ INFORMACE O SLUŽBÁCH CERTIFIKAČNÍHO ORGÁNU PRO SYSTÉMY MANAGEMENTU Únor 2014 1 1. Úvod Certifikační orgán pro systémy managementu získal svou první akreditaci v roce 1996, v současné právní podobě

Více

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW Příloha č. 4 - Specifikace a informace o předmětu veřejné zakázky Předmětem veřejné zakázky je řízení projektu, správa a údržba programového vybavení pro informační systém Základní Registr osob (dále rovněž

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

III. Systemizace. služebních a pracovních míst s účinností od 1. 1. 2016. Strana 1 (celkem 23)

III. Systemizace. služebních a pracovních míst s účinností od 1. 1. 2016. Strana 1 (celkem 23) III. Systemizace služebních a pracovních míst s účinností od 1. 1. 2016 Strana 1 ( 23) OBSAH 1. ÚVOD 2. SYSTEMIZAČNÍ ÚDAJE 2.1. Služební a pracovní místa 2.2. Místa představených a vedoucích zaměstnanců

Více

Metodické postupy tvorby architektury

Metodické postupy tvorby architektury Metodické postupy tvorby architektury Název Metodické postupy tvorby architektury Datum zhotovení 14. 3. 2016 Zhotovitel KPMG Česká republika, s.r.o. Zpracoval za zhotovitele Tomáš Martinka Verze 2.1 Veřejná

Více

GENERÁLNÍ FINANČNÍ ŘEDITELSTVÍ Lazarská 15/7, 117 22 Praha 1. V Praze dne 29. dubna 2014 Č. j.: 19086/14/7000-01200

GENERÁLNÍ FINANČNÍ ŘEDITELSTVÍ Lazarská 15/7, 117 22 Praha 1. V Praze dne 29. dubna 2014 Č. j.: 19086/14/7000-01200 GENERÁLNÍ FINANČNÍ ŘEDITELSTVÍ Lazarská 15/7, 117 22 Praha 1 V Praze dne 29. dubna 2014 Č. j.: 19086/14/7000-01200 I N T E R N Í P R O T I K O R U P Č N Í P R O G R A M Finanční správy České republiky

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

EVROPSKÁ ŽELEZNIČNÍ AGENTURA. SYSTÉMOVÝ PŘÍSTUP Prováděcí pokyny pro tvorbu a zavádění systému zajišťování bezpečnosti železnic

EVROPSKÁ ŽELEZNIČNÍ AGENTURA. SYSTÉMOVÝ PŘÍSTUP Prováděcí pokyny pro tvorbu a zavádění systému zajišťování bezpečnosti železnic EVROPSKÁ ŽELEZNIČNÍ AGENTURA SYSTÉMOVÝ PŘÍSTUP Prováděcí pokyny pro tvorbu a zavádění systému zajišťování bezpečnosti železnic Verze 1.0 13. 12. 2010 Správa verze Dokument zpracovala: Vydal: Kontrolu provedl:

Více

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci ZÆhlav A5 oranzove.qxd 21.10.2003 8:50 StrÆnka 1 MINISTERSTVO PRÁCE A SOCIÁLNÍCH VĚCÍ Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci new BOZP narod prirucka.qxd 21.10.2003 8:45 StrÆnka

Více

PROJEKTOVÝ ZÁMĚR. I. Identifikace vazby projektového záměru na OPZ. Identifikace žadatele a partnerů. Specifikace připravovaného projektu

PROJEKTOVÝ ZÁMĚR. I. Identifikace vazby projektového záměru na OPZ. Identifikace žadatele a partnerů. Specifikace připravovaného projektu PROJEKTOVÝ ZÁMĚR I. Identifikace vazby projektového záměru na OPZ Operační program Prioritní osa Investiční priorita Specifický cíl OP Zaměstnanost 4 Efektivní veřejná správa 4.1 Investice do institucionální

Více

Obecné pokyny k operativní činnosti kolegií

Obecné pokyny k operativní činnosti kolegií EIOPA-BoS-14/146 CS Obecné pokyny k operativní činnosti kolegií EIOPA Westhafen Tower, Westhafenplatz 1-60327 Frankfurt Germany - Tel. + 49 69-951119-20; Fax. + 49 69-951119-19; email: info@eiopa.europa.eu

Více

Podklady pro ICT plán

Podklady pro ICT plán Podklady pro ICT plán Škola: Základní škola a Mateřská škola Děčín XXVII, Kosmonautů 177, příspěvková organizace - Hodnocení: Dotyk Indikátor Aktuální stav k 20.8.2015 Plánovaný stav k 30.6.2016 1. řízení

Více

s názvem Konsolidace HW technologického centra Moravská Třebová

s názvem Konsolidace HW technologického centra Moravská Třebová VÝZVA K PODÁNÍ NABÍDEK A ZADÁVACÍ DOKUMENTACE (oprava ze dne 29. 5. 2015) pro zjednodušené podlimitní řízení dle 38 zákona č. 137/2006 Sb., o veřejných zakázkách (dále jen ZVZ ), ve znění pozdějších předpisů

Více

Zadávací dokumentace. Rozvoj služeb TC ORP Cheb. v otevřeném řízení

Zadávací dokumentace. Rozvoj služeb TC ORP Cheb. v otevřeném řízení Zadávací dokumentace k nadlimitní veřejné zakázce na dodávky Veřejná zakázka je zadávána dle zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen ZVZ ) v otevřeném řízení

Více

Univerzita Pardubice Fakulta ekonomicko-správní. Organizace bezpečnosti a ochrany zdraví při práci ve firmě Komfi s. r. o.

Univerzita Pardubice Fakulta ekonomicko-správní. Organizace bezpečnosti a ochrany zdraví při práci ve firmě Komfi s. r. o. Univerzita Pardubice Fakulta ekonomicko-správní Organizace bezpečnosti a ochrany zdraví při práci ve firmě Komfi s. r. o. Veronika Švédová Bakalářská práce 2013 PROHLÁŠENÍ Prohlašuji, že jsem tuto práci

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001

Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001 Váš dopis značky/ze dne Naše značka Vyřizuje / linka Praha Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001 Vážení přátelé, Dne 1.7.2007 vyšlo nové vydání původní specifikace OHSAS

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

ATONA_BLANSKO_MKE PŘÍRUČKA JAKOSTI A ENVIRONMENTU. Příručka managementu. Vydání: 3 Nahrazuje: 2. Schváleno: GR. Vyhotovil: Dne: Ing.

ATONA_BLANSKO_MKE PŘÍRUČKA JAKOSTI A ENVIRONMENTU. Příručka managementu. Vydání: 3 Nahrazuje: 2. Schváleno: GR. Vyhotovil: Dne: Ing. PŘÍRUČKA JAKOSTI A ENVIRONMENTU Strana: 1 ÚVOD Společnost ATONA s.r.o. působí na trhu od roku 2000 a prosazuje se v oblasti zpracování plechu díky použití nejmodernějších technologií, hlavně však díky

Více

Popis procesu Příručka kvality Číslo_Verze Vlastník procesu: Platnost od: Schválila: dokumentu PMK 18.09.2015 Ředitelka školy PK_04.

Popis procesu Příručka kvality Číslo_Verze Vlastník procesu: Platnost od: Schválila: dokumentu PMK 18.09.2015 Ředitelka školy PK_04. Příručka kvality Střední škola a Vyšší odborná škola Liberec Příručka kvality 1/16 Obsah: 1 Úvod... 5 1.1 Základní informace o škole... 5 1.2 Předmětem certifikace dle ČSN EN ISO 9001:2009 je:... 5 Vzdělávání...

Více

INFORMACE PRO ŽADATELE / DRŽITELE CERTIFIKÁTŮ

INFORMACE PRO ŽADATELE / DRŽITELE CERTIFIKÁTŮ INFORMACE PRO ŽADATELE / DRŽITELE CERTIFIKÁTŮ SYSTÉM MANAGEMENTU BEZPEČNOSTI A OCHRANY ZDRAVÍ PŘI PRÁCI (BOZP) podle BS OHSAS 18001:2007 ČSN OHSAS 18001:2008 BOZP_Informace pro žadatele OHSAS 18001 Rev

Více

Bezpečnostní management - Základní postupy při budování bezpečnostního systému

Bezpečnostní management - Základní postupy při budování bezpečnostního systému Bezpečnostní management - Základní postupy při budování bezpečnostního systému ŠMP AMG ČR 2014 Pavel Jirásek CultureTech, s.r.o. Prezentace Základní definice Přínosy kvalitní bezpečnostní strategie pro

Více

KOMISE EVROPSKÝCH SPOLEČENSTVÍ ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ

KOMISE EVROPSKÝCH SPOLEČENSTVÍ ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ CS CS CS KOMISE EVROPSKÝCH SPOLEČENSTVÍ V Bruselu dne 13.6.2008 KOM(2008) 355 v konečném znění ZPRÁVA KOMISE EVROPSKÉMU PARLAMENTU A RADĚ o statistikách sestavených podle nařízení (ES) č. 2150/2002 o statistice

Více

ESET Pokyny pro firmy. Datum: červenec 2015. Stav: Final 1.2

ESET Pokyny pro firmy. Datum: červenec 2015. Stav: Final 1.2 ESET Pokyny pro firmy Vedoucí autor: CITEVE Datum: červenec 2015 Stav: Final 1.2 Obsah Obsah... 2 1. Úvod... 3 2. O projektu SET... 4 3. ESET Tool (nástroj)... 5 3.1. Postup, vstupy a výstupy... 5 3.2.

Více

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz Regulace a normy v IT IT Governance Sociotechnický útok michal.sláma@opava.cz Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices

Více

Memorandum BISE 1. k inteligentní energii ve městech a obcích nových členských zemí, kandidátských zemí a zemí západního Balkánu. 29.

Memorandum BISE 1. k inteligentní energii ve městech a obcích nových členských zemí, kandidátských zemí a zemí západního Balkánu. 29. Memorandum BISE 1 k inteligentní energii ve městech a obcích nových členských zemí, kandidátských zemí a zemí západního Balkánu 29. října 2004 118 účastníků 2 ze sedmdesáti východoevropských zemí zahrnujících:

Více

Rozvoj profesních kompetencí pedagogických pracovníků ve Středočeském kraji PROFESNÍ VZDĚLÁVÁNÍ ŠKOLA 21

Rozvoj profesních kompetencí pedagogických pracovníků ve Středočeském kraji PROFESNÍ VZDĚLÁVÁNÍ ŠKOLA 21 Grantový projekt CZ.1.07/1.3.04/02.0016 Rozvoj profesních kompetencí pedagogických pracovníků ve Středočeském kraji PROFESNÍ VZDĚLÁVÁNÍ ŠKOLA 21 ČÁST II. PROFESNÍ MANAŽERSKÉ VZDĚLÁVÁNÍ ŘEDITELŮ / ZÁSTUPCŮ

Více

Přijímání pracovníků

Přijímání pracovníků Přijímání pracovníků Postup Zahrnuje řadu procedur pro vybrání uchazeče (pokud ZC přijetí akceptuje) Hlavní je sepsání pracovní smlouvy (případně jiného dokumentu upravujícího PP vztah) + dodatek k pracovní

Více

METODIKA PRO HODNOCENÍ VÝKONU ZAMĚSTNANCE

METODIKA PRO HODNOCENÍ VÝKONU ZAMĚSTNANCE ZVÝŠENÍ KVALITY ŘÍZENÍ, FINANČNÍ ŘÍZENÍ A GOOD GOVERNANCE NA MĚSTSKÉM ÚŘADU BŘECLAV ČÁST C Registrační číslo projektu CZ.1.04/4.1.01/89.00040 METODIKA PRO HODNOCENÍ VÝKONU ZAMĚSTNANCE PRAHA, 2015 PRO MĚSTSKÝ

Více

Právní úprava kontrolního postupu při výkonu správního dozoru a působnost připravovaného zákona o kontrole 1)

Právní úprava kontrolního postupu při výkonu správního dozoru a působnost připravovaného zákona o kontrole 1) Miloslava Hálová Právní úprava kontrolního postupu při výkonu správního dozoru a působnost připravovaného zákona o kontrole 1) I. Kontrola je nedílnou součástí jakékoli účelné a cílevědomé lidské činnosti.

Více

KA 1 Strategická mapa výzkumu, experimentálního vývoje a inovací

KA 1 Strategická mapa výzkumu, experimentálního vývoje a inovací KA 1 Strategická mapa výzkumu, experimentálního vývoje a inovací Tento výstup byl vytvořen v rámci realizace projektu Zefektivnění činnosti Technologické agentury ČR v oblasti podpory výzkumu, vývoje a

Více

Dodávka a implementace informačního systému pro dohled nad hazardními hrami

Dodávka a implementace informačního systému pro dohled nad hazardními hrami ZADÁVACÍ DOKUMENTACE ve smyslu ustanovení 44 zákona č. 137/2006 Sb., o veřejných zakázkách, ve znění pozdějších předpisů (dále jen zákon nebo ZVZ ) ve znění Dodatečných informací č. 9 Zadávací řízení:

Více

3. STRATEGICKÉ TAKTICKÉ OPERATIVNÍ ŘÍZENÍ, OBSAH, NÁPLŇ A FORMY

3. STRATEGICKÉ TAKTICKÉ OPERATIVNÍ ŘÍZENÍ, OBSAH, NÁPLŇ A FORMY 3. STRATEGICKÉ TAKTICKÉ OPERATIVNÍ ŘÍZENÍ, OBSAH, NÁPLŇ A FORMY Vysoká škola technická a ekonomická v Českých Budějovicích Institute of Technology And Business In České Budějovice Tento učební materiál

Více

Co je to COBIT? metodika

Co je to COBIT? metodika COBIT Houška, Kunc Co je to COBIT? COBIT (Control OBjectives for Information and related Technology) soubor těch nejlepších praktik pro řízení informatiky (IT Governance) metodika určena především pro

Více

RUKOVĚŤ ÚSPĚŠNÉHO ŽADATELE V RÁMCI VÝZVY 06

RUKOVĚŤ ÚSPĚŠNÉHO ŽADATELE V RÁMCI VÝZVY 06 RUKOVĚŤ ÚSPĚŠNÉHO ŽADATELE V RÁMCI VÝZVY 06 v rámci INTEGROVANÉHO OPERAČNÍHO PROGRAMU pro prioritní osu 2 Oblasti intervence 2.1 Zavádění ICT v územní veřejné správě VÝZVA ČÍSLO 06 KOMTINUÁLNÍ ROZVOJ SLUŽEB

Více

Práce s velkými sestavami

Práce s velkými sestavami Práce s velkými sestavami Číslo publikace spse01650 Práce s velkými sestavami Číslo publikace spse01650 Poznámky a omezení vlastnických práv Tento software a související dokumentace je majetkem společnosti

Více

Adresa: Kontaktní osoba: Ing. Václav Krumphanzl Nábř. L. Svobody 12/ Telefon: 225131407 110 15 Praha 1 Fax: E-mail: vaclav.krumphanzl@mdcr.

Adresa: Kontaktní osoba: Ing. Václav Krumphanzl Nábř. L. Svobody 12/ Telefon: 225131407 110 15 Praha 1 Fax: E-mail: vaclav.krumphanzl@mdcr. Návrh výzkumné potřeby státní správy pro zadání veřejné zakázky na projekt z programu veřejných zakázek ve výzkumu, experimentálním vývoji a inovacích pro potřeby státní správy BETA Předkladatel - garant

Více

Vedení a technologie: Výhody videokomunikace pro středně velké podniky

Vedení a technologie: Výhody videokomunikace pro středně velké podniky DOKUMENT WHITE PAPER Vedení a technologie: Výhody videokomunikace pro středně velké podniky Prosinec 2012 Shrnutí Středně velké podniky se snaží dosáhnout úspěchu v silně konkurenčním prostředí. Být úspěšný

Více

Kritéria zelených veřejných zakázek v EU pro zařízení k tisku a kopírování

Kritéria zelených veřejných zakázek v EU pro zařízení k tisku a kopírování Kritéria zelených veřejných zakázek v EU pro zařízení k tisku a kopírování Zelené veřejné zakázky jsou dobrovolným nástrojem. V tomto dokumentu jsou uvedena kritéria EU, která byla vypracována pro skupinu

Více

Novinky a změny v oblasti Mezinárodních standardů účetního výkaznictví (IFRS)

Novinky a změny v oblasti Mezinárodních standardů účetního výkaznictví (IFRS) MEZINÁRODNÍ STANDARDY ÚČETNÍHO VÝKAZNICTVÍ praktické aplikace Ing. Martina Janoušková Ing. Alice Šrámková Dodatek k publikaci Mezinárodní standardy účetního výkaznictví (vyd. ICÚ, 2009), březen 2012 Novinky

Více

Plán dalšího postupu procesního modelování a standardizace agend veřejné správy a způsob jeho financování

Plán dalšího postupu procesního modelování a standardizace agend veřejné správy a způsob jeho financování Příloha č. 2 usnesení vlády ze dne 13. července 2015 č. 565 Plán dalšího postupu procesního modelování a standardizace agend veřejné správy a způsob jeho financování 1.0 Úvod: strategické zakotvení a základní

Více

USNESENÍ VLÁDY ČESKÉ REPUBLIKY č. 624/2001

USNESENÍ VLÁDY ČESKÉ REPUBLIKY č. 624/2001 USNESENÍ VLÁDY ČESKÉ REPUBLIKY č. 624/2001 V l á d a I. s c h v a l u j e Pravidla, zásady a způsob zabezpečování kontroly užívání počítačových programů uvedená v příloze tohoto usnesení (dále jen "Pravidla")

Více

1 ÚVOD DO BPM. 1.1 Stručná historie BPM 5 KONTROLNÍ OTÁZKA 1. 1.1.1 Potřeba ohodnocení obchodu

1 ÚVOD DO BPM. 1.1 Stručná historie BPM 5 KONTROLNÍ OTÁZKA 1. 1.1.1 Potřeba ohodnocení obchodu 5 KONTROLNÍ OTÁZKA 1 1 ÚVOD DO BPM 1.1 Stručná historie BPM 1.1.1 Potřeba ohodnocení obchodu Když lidé poprvé začali žití ve společenských skupinách, několik lidí objevilo příležitost obchodovat se zbožím

Více

Jak hodnotit zranitelnost území MAS a vybrat nejzávažnější hrozby?

Jak hodnotit zranitelnost území MAS a vybrat nejzávažnější hrozby? Jak hodnotit zranitelnost území MAS a vybrat nejzávažnější hrozby? 15. 3. 02016 Havlíčkův Brod Ing. Jakub Dlabka, Ph.D. Vysoká škola báňská Technická univerzita Ostrava, Fakulta bezpečnostního inženýrství

Více

Spotřebitelský řetězec lesních produktů Požadavky

Spotřebitelský řetězec lesních produktů Požadavky ČESKÝ SYSTÉM CERTIFIKACE LESŮ Spotřebitelský řetězec lesních produktů Požadavky CFCS 1004:2005 duben 2005 Platí od 1.5.2005 Chain-of-Custody of Forest Based Product - Requirements La chaîne de contrôle

Více

Územní studie veřejného prostranství

Územní studie veřejného prostranství Územní studie veřejného prostranství Metodický návod pro pořízení a zpracování Rozvoj ve všech oblastech www.mmr.cz Obsah A Úvod... 1 A.1 Komu je metodický návod určen... 1 A.2 Kdo je autorem metodického

Více

Potřeba vypracovat Strategický plán rozvoje ITS pro ČR

Potřeba vypracovat Strategický plán rozvoje ITS pro ČR Potřeba vypracovat Strategický plán rozvoje ITS pro ČR Poziční dokument Sdružení pro dopravní telematiku Předkládaný text je pozičním dokumentem Sdružení pro dopravní telematiku navazujícím na předchozí

Více

SIMPROKIM METODIKA PRO ŠKOLENÍ PRACOVNÍKŮ K IZOVÉHO MANAGEMENTU

SIMPROKIM METODIKA PRO ŠKOLENÍ PRACOVNÍKŮ K IZOVÉHO MANAGEMENTU SIMPROKIM METODIKA PRO ŠKOLENÍ PRACOVNÍKŮ K IZOVÉHO MANAGEMENTU SIMPROKIM Metodika pro školení pracovníků krizového managementu Kolektiv autorů Ostrava, 2014 Autorský kolektiv: doc. Ing. Vilém Adamec,

Více

MINISTERSTVO VNITRA ČR

MINISTERSTVO VNITRA ČR Standard agendy 20.3.2016 A 3 Verze 1.0 (Návrh standardu) Úroveň: ústřední správní úřady Odbor egovernmentu MINISTERSTVO VNITRA ČR OBSAH 1 STANDARDIZACE AGEND... 2 1.1 CÍLE A DŮVODY PRO VYTVÁŘENÍ STANDARDŮ...

Více

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2009/136/ES

SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2009/136/ES 18.12.2009 Úřední věstník Evropské unie L 337/11 SMĚRNICE SMĚRNICE EVROPSKÉHO PARLAMENTU A RADY 2009/136/ES ze dne 25. listopadu 2009, kterou se mění směrnice 2002/22/ES o univerzální službě a právech

Více

Metodika využití národního rámce kvality při inspekční činnosti ve školách a školských zařízeních

Metodika využití národního rámce kvality při inspekční činnosti ve školách a školských zařízeních Metodika využití národního rámce kvality při inspekční činnosti Praha, červen 2015 Obsah 1 Úvod... 3 2 Role národního rámce kvality při inspekční činnosti... 3 3 Cíle metodiky využití národního rámce kvality

Více

Inovace Dlouhodobého záměru EPI, s.r.o. 2012

Inovace Dlouhodobého záměru EPI, s.r.o. 2012 J:\EPI\epi_2012_2013\a35_vyzkum_DZ_publikace\dlouhodoby_zamer\inovace_dz_2012.doc - 1 - Inovace Dlouhodobého záměru EPI, s.r.o. 2012 Cíle stanovené akademické obci EPI, s.r.o. k plnění požadavků MŠMT ČR

Více

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 705

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 705 MEZINÁRODNÍ AUDITORSKÝ STANDARD MODIFIKACE VÝROKU VE ZPRÁVĚ NEZÁVISLÉHO AUDITORA (Účinný pro audity účetních závěrek sestavených za období počínající 15. prosincem 2009 nebo po tomto datu) OBSAH Odstavec

Více

Struktura Pre-auditní zprávy

Struktura Pre-auditní zprávy Příloha č. 1 k Smlouvě o Pre-auditu: Struktura Pre-auditní zprávy 1. Manažerské shrnutí Manažerské shrnutí poskytuje nejdůležitější informace vyplývající z Pre-auditní zprávy. 2. Prohlášení o účelu a cílů

Více

ŘÍZENÍ OBCHODU (N_ROb)

ŘÍZENÍ OBCHODU (N_ROb) Katedra řízení podniku ŘÍZENÍ OBCHODU (N_ROb) Pavla Břečková pavla.breckova@vsfs.cz Vedoucí Katedry řízení podniku Fakulta ekonomických studií ŘÍZENÍ OBCHODU struktura 5 řízených konzultací 1. Podnik a

Více

Příležitosti nového zákona o zadávání veřejných zakázek pro soutěžení energeticky úsporných a šetrných budov

Příležitosti nového zákona o zadávání veřejných zakázek pro soutěžení energeticky úsporných a šetrných budov Příležitosti nového zákona o zadávání veřejných zakázek pro soutěžení energeticky úsporných a šetrných budov Mgr. David Dvořák, LL.M., Ph.D. Mgr. Aleš Chamrád, LL.M. Mgr. Veronika Müller MT Legal s.r.o.,

Více