Když ICT nefungují řízení kontinuity činností organizace 1

Rozměr: px
Začít zobrazení ze stránky:

Download "Když ICT nefungují řízení kontinuity činností organizace 1"

Transkript

1 Když ICT nefungují řízení kontinuity činností organizace 1 Petr Doucek Vysoká škola ekonomická katedra systémové analýz W. Churchilla 4, Praha 3 Luděk Novák ISACA CRC Španělská 2, Praha 2 Abstrakt: Mimořádné situace, které omezují činnosti organizací, představují významné operační riziko. Pokud se jedná o kritické činnosti organizace, tak na jejich úspěšném vyřešení často závisí přežití organizace. Příspěvek obsahuje některé základní návody, jak řešit přerušení činností organizace (koncept normy BS a NIST SP ). Tento základní pohled je doplněn o řízení kontinuity činností v oblasti ICT (norma BS 25777). Kromě teoretické části, obsahuje příspěvek i zkušenosti z praktického zavádění norem britského standardu do praxe. Klíčová slova: Řízení kontinuity činností organizace (), plán obnovy po havárii (DRP), audit, mezinárodní normy. Abstract: Business continuity and related recovery activities are strong tools for support of solving of critical activities and processes for all organizations. This contribution presents three main international standards (BS 25777, BS and NIST SP ) for business continuity and for ICT continuity and disaster management. Common ideas of these standards are primary presented on theoretical dimension and in the second plan are shown practical experience by their improvement. Keywords: Business continuity management (), disaster recovery planning (DRP), audit, international standards. 1. Úvod Permanentní vývoj a inovace v oblasti podnikových informačních systémů (IS) a informačních a komunikačních technologií (ICT) vedou k integraci ICT do činností organizace a tím i na druhou stranu k rostoucí závislosti podniků i organizací na jejich funkčnosti. V současné době je téměř nepředstavitelné, aby procesy a činnosti organizací nebyly podporovány funkcemi ICT. Důležitost ICT na jedné straně představuje významný potenciál konkurenční výhody v globalizujícím se prostředí, na straně druhé představují významné operační riziko. Největším rizikem ICT je, že samy nebudou buď vůbec schopny podporovat požadované procesy, nebo je budou podporovat pouze omezeně. To znamená, že organizace, resp. všichni jejich pracovníci, kteří jsou odpovědni za průběh některého z procesů a 1 Příspěvek byl zpracován v rámci řešení grantu GAČR 201/07/0455 Model vztahů mezi výkonností podnikání, účinností podnikových procesů a efektivností podnikových procesů. SYSTÉMOVÁ INTEGRACE 2/

2 Petr Doucek, Luděk Novák činností organizace, si budou muset nalézt způsoby náhradního zpracování dat a tím i stanovit jejich náhradní průběh po dobu výpadku ICT musí plánovat řízení kontinuity činností organizace. Pro odborníky a pracovníky ICT pak bude ještě následovat druhá povinnost a tou je uvedení ICT do chodu tak, aby podporovaly činnosti organizací, alespoň v původním rozsahu to znamená zajistit obnovu podpory podnikových procesů prostředky ICT. Různé pohledy na kontinuitu činností organizací odráží současná literatura [7], [12]. Jedním z nich je i širší pojetí kontinuity činností organizací: telefonické a datové komunikace, zpracování dat prostřednictvím počítačů a počítačových sítí, zajištění chodu životně důležitých zařízení (klimatizace, řízení přístupů do prostor apod.) zpracování kritických procesů organizací. [12] V dalším textu se bude zabývat zejména posledními třemi odrážkami s rozšířením pohledu na zajištění kontinuity činností v oblasti ICT. Vlastní pohled na plánování kontinuity činností organizací je v různých částech světa různý a tyto pohledy také odrážejí mezinárodní standardy, které upravují problematiku kontinuity činností v jednotlivých zemích nebo na určitých kontinentech. Základem pro tento příspěvek je pojetí, které vyšlo z nejlepších zkušeností ve Velké Británii [1], [2]. Druhým pojetím je to, které využívají organizace státní správy v USA [13]. 2. Mezinárodní přístupy k řízení kontinuity činností Při hodnocení mezinárodních pohledů na řízení kontinuity je možné rozeznat dva důležité zdroje doporučení. V současnosti nejvýznamnějším tvůrcem doporučení je mezinárodní Institut po řízení kontinuity činností (Business Continuity Institute BCI), který vyvinul a dlouhodobě rozvíjí Směrnice nejlepší praxe BCI [15]. Postavení tohoto konceptu řízení kontinuity se promítlo do britského standardu BS 25999, který se stává uznávaným schématem pro certifikaci organizací s vyzrálým systémem řízení kontinuity. Druhý pohled lze spojovat se zákonem FISMA (Federal Information Security Management Act, přijatý do právního systému USA v roce 2002), který reguluje bezpečnost amerických vládních informačních systémů. V rámci definovaných pravidel Národní institut pro standardy a technologie publikuje mnoho doporučení, která jsou určena pro zvýšení bezpečnosti vládních informačních systémů USA. Nicméně tato pravidla a doporučení jsou intenzivně využívána i pro řadu komerčních či nevládních informačních systémů. Mezi organizací NIST publikované dokumenty patří i směrnice pro řešení mimořádných a krizových situací včetně dokumentů pro řízení podpory kontinuity managementu. 1.1 Směrnice nejlepší praxe BCI Institut pro řízení kontinuity činností je odborné sdružení pracovníků, kteří se věnují problematice řízení kontinuity činností. Existující zkušenosti členů BCI, který byl založen ve Velké Británii v roce 1994, jsou soustředěny do dokumentu, který je nazýván Směrnice nejlepší praxe BCI (BCI Good Practice Guidelines GPG). Poslední verze GPG byla vydána v roce 2008 [15]. 44 SYSTÉMOVÁ INTEGRACE 2/2010

3 Když ICT nefungují řízení kontinuity činností organizace Směrnice nejlepší praxe BCI má své nezastupitelné místo, které sehrává důležitou roli v rozvoji teorie řízení kontinuity. V tomto článku se jim ale věnovat nebudeme a případné zájemce odkazujeme na stránky kde je možné si po registraci dokument volně stáhnout. S ohledem na skutečnost, že z jeho základních principů je odvozen i britský standard BS 25999, se v dalším textu budeme již věnovat pouze tomuto standardu s tím, že všechna pravidla uváděná ve standardu jsou pouze zobecněním Směrnice nejlepší praxe BCI. 1.2 Normy pro řízení kontinuity Řízení kontinuity činností organizace je organizací vlastněný a řízený proces, který zakládá pro svůj účel vhodné strategie a operační rámec. Řízení kontinuity především: proaktivně zvyšuje odolnost organizace proti narušení její schopnosti dosahovat soustavy svých klíčových cílů, poskytuje vyzkoušenou metodu obnovy její schopnosti realizovat klíčové produkty a služby na stanovené úrovni a ve stanovený čas po přerušení, přináší prokazatelnou způsobilost zvládat přerušení činností organizace a chránit její reputaci a dobré jméno. Britský standard Norma BS ustavuje proces, principy a terminologii řízení kontinuity činností organizace (Business Continuity Management ). Účelem této normy je poskytnout základní podklady pro porozumění, vytváření a implementaci kontinuity činností v organizaci a tím zajistit důvěru ve vztazích organizace se zákazníky a ostatními subjekty. Zároveň umožňuje organizaci konzistentním a uznávaným způsobem hodnotit způsobilost k zajištění kontinuity činností. Celý proces kontinuity činností organizace probíhá, dle BS 25999, životním cyklem, který je znázorněn na následujícím obrázku Obr. 1. Prověřování, udržování a přezkoumání Porozumění podniku Řízení programu Vytváření a implementace odezvy Určení strategie Obr.1: Životní cyklus řízení kontinuity činností organizace Zdroj: [2] Dle normy BS 25999, se životní cyklus řízení kontinuity činností organizace skládá ze šesti následujících částí. Řízení programu umožňuje rozvíjet zajištění kontinuity činností podniku jako soustavu dílčích projektů. SYSTÉMOVÁ INTEGRACE 2/

4 Petr Doucek, Luděk Novák Porozumění podniku je etapa shromažďování informací o důležitosti dílčích činností a pro jejich význam z pohledu podniku jako celku. Určení strategie stanoví přístupy ke zvýšení odolnosti podniku a způsoby reakce na krizové události. Vytváření a implementace odezvy je etapa realizace potřebných opatření a jednotlivých dílčích projektů vypracování plánů a scénářů pro krizové události. Prověřování, udržování a přezkoumání by mělo prověřit reálnost připravených plánů a postupů a vést k jejich postupnému zdokonalování. (Postup zdokonalování je podobně jako u jiné norem z oblasti řízení bezpečnosti probíhá v souladu s konceptem PDCA). Ukotvení v kultuře podniku umožňuje, aby se rozvoj kontinuity stál jednou ze základních hodnot podniku. Jádrem řízení kontinuity činností organizace je vyhledání tzv. kritických činností organizace, které jsou nezbytné pro dodávku kritických produktů a služeb klíčovým odběratelům. Jinými slovy pro účelné řízení kontinuity procesů organizace je nezbytné věnovat zvláštní pozornost pouze činnostem, které jsou důležité pro její přežití během jakékoli krize. Právě nalezení kritických produktů a služeb a jejich klíčových odběratelů určuje, které činnosti je nutné považovat za kritické v rámci řízení celé organizace. Řízení kontinuity se pak věnuje výhradně těmto kritickým činnostem. Jeho cílem je koncentrace na vše podstatné a ignorování všeho nepodstatného, což je velmi silná a revoluční myšlenka, která dodává řízení kontinuity opravdové strategické rozměry krizového řízení. NIST Ekonomika Spojených států amerických, která řeší problém kontinuity činností organizací i ICT nejdelší dobu, vychází zejména ve státním sektoru z normy NIST SP , Contingency Planning Guide for Federal Information Systems [13]. Základní koncept této normy řeší otázky systému řízení kontinuity činností podniků a státních organizací, počínaje formulací strategického záměru zajištění chodu podnikových procesů při výpadku ICT, přes tvorbu plánů (včetně plánů dílčích) až po doporučené postupy testování těchto plánů. Součástí normy jsou i části, věnující se obnově podpory podnikových procesů prostředky ICT. Všechny části normy jsou propojeny do jednoho celku, který umožňuje řešit krizové situace v organizaci včetně návaznosti na ICT. Podle zaměření rozdělují doporučení NIST SP krizové plánování na následující oblasti: Plán kontinuity organizace (Business Continuity Plan BCP) Cílem plánu je poskytnout návod organizaci, jak vykonávat svoje procesy po mimořádné události, která naruší jejich standardní výkon. Plán je navrhován ve shodě s ustanoveními Plánu kontinuity činností. Kromě toho musí brát plán v úvahu i fakt, že většina podnikových procesů je v současné době podporována informačními systémy (resp. informačními a komunikačními technologiemi) a proto jeho ustanoven bývají koordinována i s plány nouzového chodu podnikových informačních systémů. Plán kontinuity činností (Continuity of Operations Plan COOP) připravuje koncept zajištění náhradního zpracování činností organizace na jiném místě, než byla činnost původně vykonávána. Jedná se kromě jiného 46 SYSTÉMOVÁ INTEGRACE 2/2010

5 Když ICT nefungují řízení kontinuity činností organizace o služby ICT. Činnosti, pro něž není potřeba měnit místo jejich výkonu, nebývají obvykle tímto plánem řešeny. Plán krizové komunikace (Crisis Communication Plan) obsahuje základní pravidla a postupy pro zajištění interní i externí komunikace v případě krizových situací. Plán ochrany kritické infrastruktury (Critical Infrastructure Protection Plan CIP) představuje souhrn politik a procedur, které slouží k ochraně a obnově technických prostředků, které byly zničeny incidentem (včetně prostředků ICT). Cílem plánu je minimalizovat rizika a zranitelnosti (efektivní působení hrozeb) těchto prostředků. Plán reakce na kybernetické incidenty (Cyber Incident Response Plan) definuje postupy, které souvisejí s řešením kybernetických útoků na prostředí informačních systémů, a obsahuje postupy pro odhalení útoků, určuje způsoby správné a vhodné reakce a postupy pro sběr důkazů. Plán obnovy po havárii (Disaster Recovery Plan DRP) se obyčejně soustředí na obnovení činností organizace po významných katastrofách či rozsáhlých haváriích. Velký význam má DRP pro informační technologie, na jejichž podpoře je obvykle závislý výkon většiny činností organizace. Plán zvládání mimořádných událostí informačního systému (Information System Contingency Plan ISCP) obsahuje postupy pro ohodnocení rozsahu škod, které byly v rámci informačního systému způsobeny neočekávanou událostí, a určení správného postupu obnovy chodu systému. Plán evakuace osob (Occupant Emergency Plan OEP) je základním nástrojem pro evakuaci osob v případech, kdy jsou ohroženy životy nebo zdraví těchto osob. Samo o sobě je krizové plánování pro mnohé organizace problémem, ale kromě toho by se měli manažeři organizací zamýšlet i nad plánováním krizových situací pro případ omezené funkčnosti nebo úplného výpadku ICT. Jejich plánování se vyznačuje dvěma hlavními rysy: není možné jej provádět bez úzké součinnosti s krizovým plánováním ostatních činností organizací (je zde jedno, jedná-li se o procesy hlavní nebo vedlejší), protože ICT jsou fenoménem, který prostupuje celou organizací, má určité specifické vlastnosti, které jsou právě dány možnostmi technologií např. přesun zpracování dat a tím i podpory činností organizace do jiné lokality, možnost zpracovávat data na zapůjčené technice nebo zpracování dat formou outsourcingu. 3. Specifické požadavky na řízení kontinuity činností ICT Z pohledu norem pak na požadavky BS úzce navazuje norma BS 25777, která se soustředí na specifika spojená s řízení kontinuity službami ICT, na kterých je dnes řízení kontinuity činností organizace většinou silně závislé. Snahou je sladění přístupů a řízení kontinuity služeb IT tak, aby byly efektivně a spolehlivě naplněny potřeby podniku. Řízení kontinuity činností ICT se opírá o šest následujících principů. SYSTÉMOVÁ INTEGRACE 2/

6 Petr Doucek, Luděk Novák Chránit ochrana prostředí ICT vůči incidentům, selháním a přerušením chodu zvyšováním odolnosti služeb ICT je základem pro udržování potřebné úrovně dostupnosti. Odhalovat zjištění incidentu v počátečním stádiu omezuje škody a dopady incidentu, snižuje míru úsilí, kterou je potřeba vynaložit pro obnovení chodu ICT. Reagovat volba nejvhodnějšího způsobu odezvy znamená nejúčinnější postup obnovy chodu IT a snižuje rozsah výpadku služeb ICT. Naopak špatný postup obnovy podřadného incidentu může přerůst ve vážné problémy. Obnovit použitím přiměření strategie oživení chodu ICT zajistí očekávaný rámec obnovení chodu služeb a udržení požadované kvality dat. Pochopení priorit při oživování služeb ICT dovolí přednostní obnovení kritických služeb a odložení méně zbytných činností na pozdější dobu. Provozovat je možný chod ICT v nouzovém režimu, který zajistí poskytování kritických služeb s omezením výkonových parametrů apod. Navrátit Navržení postupů pro dotažení návratu chodu ICT do stavu, který byl před bezpečnostním incidentem a kdy jsou služby ICT schopny podporovat běžný chod organizace. Řízení kontinuity činnosti ICT je úzce spojeno s řízením kontinuity činností celé organizace, což je zachyceno na Obrázek 2. Ukotvení řízení kontinuity Prověřování, udržování a přezkoumání Porozumění podniku Řízení programu Vytváření a implementace odezvy Určení strategie Prověřování, testování, udržování a přezkoumání Porozumění požadavkům na kontinuitu ICT Řízení programu kontinuity ICT Vytváření a implementace strategie kontinuity ICT Určení strategie kontinuity ICT v kultuře podniku Obr.2: Vztah mezi řízením kontinuity činností podniku a řízením kontinuity ICT Zdroj: [1] V současné době je na základě britského standardu BS připravována nová mezinárodní norma ISO/IEC Směrnice pro připravenost ICT na (Guidelines for ICT Readeness For Business Continuity [11]). Norma je postavena na společném manažerském konceptu PDCA [4]. Jejím cílem je připravit organizaci na zavedení systému. 48 SYSTÉMOVÁ INTEGRACE 2/2010

7 Když ICT nefungují řízení kontinuity činností organizace Obr.3: Znázornění procesu IRBC v konceptu PDCA Zdroj: [11] Samotná norma, jak již její identifikace ukazuje, patří do rodiny norem ISO/IEC a jej její integrální součástí. Vychází z tvorby systému řízení bezpečnosti informací (ISMS) v organizaci a sama se věnuje jedné jeho části. Připravenost ICT organizací na (ICT Readeness For Business Continuity IRBC) představuje pro mnohé organizace základ při zavádění, ISMS a systému řízení a řešení bezpečnostních incidentů [5]. Příprava plánu pro připravenost na je prvním krokem při přípravě prakticky ve všech organizacích. Účinnost i účelnost systému je velmi často závislá na předem zhotoveném plánu připravenosti, který zajistí, aby svých cílů organizace dosahovala i v případě výpadků svých činností. Vlastní přípravenost a příprava na ni představuje proces, jehož cílem predikovat a řídit nežádoucí jevy (incidenty) v oblasti ICT, které mohou ohrozit chod organizace např. formou omezení nebo přerušení dodávky ICT služby. A na základě analýzy zajistit preventivní ochranu před nimi. Tím systém IRBC podporuje, neboť zajistí, že dodávky ICT služeb mohou být obnoveny v požadované úrovni a v čase, který schválila celá organizace, včetně odběratelů těchto služeb. 4. Zkušenosti s budováním systému řízení kontinuity činností Tolik z šedivého stromu teorie a dikce mezinárodních norem, nyní se podívejme, jak se uvedené normy používají v praxi a s jakými způsobem je můžeme aplikovat. Pro ukázku problémů jsme vzhledem k omezenému prostoru příspěvku zvolili dva následující příklady. SYSTÉMOVÁ INTEGRACE 2/

8 Petr Doucek, Luděk Novák 4.1 Cíle a priority Klíčovým principem je snaha určit kritické prvky a procesy organizace a to z hlediska klíčových produktů a služeb, které organizace vytváří, a z hlediska kritických zainteresovaných stran např. nejvýznamějších zákazníků. Stanovení kritičnosti je dano stutečností, zda je daná organizace schopna výpadek určitého produktu či odběratele rozumně překonat či nikoli. Realizace tohoto jednoduše daného principu v praxi není vůbec jednoduchá, protože vyžaduje značný předhled o interních činostech organizace, o jejích prioritách a o významu nejen hlavních i vedlejších a podpůrných procesů pro dosahování soustavy cílů orgnaizace. Často se stává, že organizace dobře nezná svoje klíčové produkty nebo prioritní zákazníky. Bez těcho znalostí není možné vytvořit dobré plány, protože se musí soustřeďovat pouze na podstatné skutečnosti a nepodstatné pochopitelně zcela ignoruje. Ve svém důsledku to znamená, že může fungovat pouze u organizací, které jsou si vědomy svého postavení, znají svoje klíčové produkty a vědí, kdo jsou jejich prioritní zákazníci. Nezanadbatelným přínosem implemantace je hledání business podstaty organizace, které nemá vliv pouze na řízení kontinuity, ale významně ovlivňuje i priority v běžném manažerském rozhodování. V tomto směru je zajímavé, že většina implementací, u kterých probíhala formální certifikace souhlasu s BS 25999, měla problémy právě v určení rozsahu. Jinými slovy dané organizace měly problém správně určit, co je jejich business podstatou. V tomto směru může mít zavádění nedozírné následky na skutečné řízení organizace i mimo sféru krizových situací. Uvědomění si business podstaty je největším přínosem, který se promítá i do dalších priorit každodenního řízení. Testování a prověřování. 1.2 Prověřování a testování Další praktickou zkušeností je skutečnost, že existuje nizké povědomí o možnostech testování a prověřování. Často se setkávám s názorem, že prověřit nelze, protože nikdo neodsouhlasí riziko možných následků spojených se zastavením chodu organizace. Tyto názory jsou hodně dány tím, že lidé neznají možnosti ověřování. Podle vzrůstající složitosti jsou způsoby prověřování rozděleny do následujících katagorií: Nácvik u stolu jedná se o prověření smyslupnosti plánů, které provádí autor případně další jeho spolupracovníci např. u plánů datového centra by byla prověřována úplnost činností spojených se spuštěním záložního prostředí a jejich rámcová časová náročnost. Cvičné procházení plánů je vyšší formou, při které jsou do testování plánů zapojeny prověrky schopností vzájemné komunikace různých útvarů organizace. Pro případ datového centra to znamená modelování komunikace s odpovědnými pracovníky koncových uživatelů a prověření jejich reakcí spojených se schopnostmi nouzového zpracování dat. Simulace je modelování možných forem havárií s tím, že v rámci cvičení jsou simulovány všechny potřebné činnosti např. při nácviku jsou činnosti spojené s aktivovánním datového centra pouze simulovány (činnosti nejsou 50 SYSTÉMOVÁ INTEGRACE 2/2010

9 Když ICT nefungují řízení kontinuity činností organizace reálně prováděny) a snahou je spíše prověřit dostupnost potřebných nástrojů a přípravenost zúčastněných osob. Nácvik kritických činností aktivace vybraných důležitých činností spojených s, při jejichž procvičování nesmí dojit k ohrožení chodu organizace např. reálné prověření plánů pro spuštění záložního datového centra bez toho, aniž by došlo k jeho provoznímu použití. Úplný nácvik celého plánu rozsáhlé cvičení, které prověřuje všechny aspekty tj v případě datového centra by bylo primární datové centrum vypnuto a v rámci testů bylo nutné převést všechny operace do záložního prostředí a poté zpět na primární technologie. Uvedené rozdělení prověrek podle náročnosti je důležitým vodítkem pro přípravu odpovídajícího rozsahu testů. Je zřejmé, že úplný nácvik je vysoce náročnou a často i rizkovou záležitostí. To ale neznamená, že organizace nemohou využít méně náročné možnosti tak, aby měly rozumnou záruku, že jsou jejich plány racionální a opírají se o reálné možnosti. Dalším důležitým momentem je skutečnost, jak koncipovat plány tak, aby je bylo možné prověřovat a testovat. Pouhý výčet činností nebývá v tomto směru dostatečným podkladem. V řadě případů je potřeba doplnit potřebné aktivity o upřesnění závislostí mezi jednotlivými činnostmi plánu a o jejich náročnost na zdroje lidské a zejména časové. Pouze tímto způsobem mohou vzniknout plány, u kterých je možné ověřit zda v plánu uvedené aktivity odpovídají stanoveným cílům pro obnovení činností a tím i k zajištění výkonu kritických činností organizace. 5. Závěry Moderní organizace v současném ekonomickém prostředí musí být připraveny na plnění svých závazků vůči odběratelům a tím i k plnění hlavních procesů bez ohledu na to, jaké nastaly podmínky. Mimořádné události, bezpečnostní incidenty a další události, které mohou narušit jak chod hlavních procesů organizací, tak i jejich podporu prostřednitcvím ICT a tím mohou významně ohrozit i samotnou existenci organizace. K mimořádným situacím musí vedení organizací přistupovat s rozmyslem a po dobré přípravě. Hlavní náměty, jak řešit tyto situace, jsou uvedeny v doporučených mezinárodních normách BS 25999, BS a NIST: SP Kdybychom uvedená doporučení značně zjednodušili, tak se dopracujeme k podstatě řízení kontinuity organizace, kterou je možné spojit s frází Šteští přeje připraveným. V tomto duchu je vhodné a žádoucí, aby si každý občas udělal nějakou představu o tom, jak bude schopen fungovat v případě mimořádných událostí, kdy se nebude možné spolehnout na výkon některých prograsů organizace. Složitost pro organizace bývá v tom, že je potřeba sladit činnosti více pracovních týmů, oddělení nebo i divizí a to vyžaduje rozumnou míru přípravy. A navíc, když využijeme existující zkušenosti schromážděné v mezinárodních normách, nemusíme řadu věcí sami objevovat, čož bývá velmi nákladné a neefektivní.při řízení kontinuity je důležité ještě nezapomínat na další věc a to je skutečnost, že bychom měli řešit zcela mimořádné situace, ve kterých se jedná o přežití dané organizace. Tomu je potřeba podřídit i zvolené přístupy a priority. Ne vždy opravdu potřebujeme všechny organizační prvky a pohodlí, na které jsme zvyklí z běžného života organizace. Správné určení kritických prvků organizace a jejich minimální úrovně SYSTÉMOVÁ INTEGRACE 2/

10 Petr Doucek, Luděk Novák činností je pro řízení kontinuity klíčové. Nalezení této podstaty organizace nicméně nebývá zcela bez obtíží a vyžaduje poměrně značné úsilí, které se ale vyplatí. 6. Literatura [1] BS 25777: 2008 Information and communications technology continuity management Code of practice. [2] BS 25999: 2007 Business continuity management. Specification. [3] DOUCEK, P., NOVÁK, L.: Systém řízení bezpečnosti informací mezinárodní normy a zkušenosti z praxe. Praha In: Role IT v době dynamických změn [CD-ROM]. Praha : Oeconomica, 2009, s ISBN [4] DOUCEK, P., NOVÁK, L., SVATÁ, V.: Řízení bezpečnosti informací, Professional Publishing 2008, ss. 239, ISBN [5] ČSN ISO/IEC 27001:2006, Informační technologie Bezpečnostní techniky Systém managementu bezpečnosti informací Požadavky. [6] ČSN ISO/IEC 27002:2006, Informační technologie Soubor postupů pro management bezpečnosti informací. [7] HILES, A.(ed.): The Definite Handbook of Business Continuity Management, John Wiley and Sons, Inc., 2008, ISBN [8] ISO/IEC 27006: 2007 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systéme [9] ISO/IEC 27007: 2008 Information technology Security techniques Guidelines for security management systems auditing [10] ISO/IEC 24762: 2008 Information technology Security techniques Guidelines for information and communication technology disaster recovery services. [11] ISO/IEC Information Technology Security Techniques Giudelines for ICT Readness For Business Continuity. 1st CD [12] MYERS, K., N.: Business Continuity Strategies, Protection Against Unplanned Disaster, John Wiley and Sons, Inc., 2006, ISBN [13] NIST: SP , rev. 1, Continegency Planning Guide for Federal Information Systems, draft, NIST, 2009, [14] SNEDAKER,S.: Business Continuity and Disaster Recovery Planning for IT Professionals, Syngress Publishing, Inc., 2007, ISBN [15] Business Continuity Institute Good Practice Guidelines, BCI 2008, , Internet: SYSTÉMOVÁ INTEGRACE 2/2010

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

Řízení rizik ICT účelně a prakticky?

Řízení rizik ICT účelně a prakticky? Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby

Více

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci. Mgr. Monika Johaníková Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN 1805-5656 Stanovení strategie řízení kontinuity činností Anotace Příspěvek je věnován základním informacím o způsobu volby

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK Dodržují vaši obchodníci a prodejní zástupci vaše obchodní podmínky? Uplatňují vaše etické principy všichni zaměstnanci vůči svým zákazníkům? Dostávají vaši zákazníci

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému

Více

Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004

Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004 Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004 Jiří Sedláček AIT s.r.o, Sinkulova 83, 140 00 Praha 4 tel. 261 225 072 www.ait.cz AIT, 2004 1 Program Současné postavení IT v podniku

Více

SMĚRNICE DĚKANA Č. 4/2013

SMĚRNICE DĚKANA Č. 4/2013 Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Petr HRŮZA 1 MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Abstract: The article introduces the module cyber security at the University of Defence. This is a new module. University

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky

Více

S T R A T E G I C K Ý M A N A G E M E N T

S T R A T E G I C K Ý M A N A G E M E N T S T R A T E G I C K Ý M A N A G E M E N T 3 LS, akad.rok 2014/2015 Strategický management - VŽ 1 Proces strategického managementu LS, akad.rok 2014/2015 Strategický management - VŽ 2 Strategický management

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

Představení normy ČSN ISO/IEC 20000 Management služeb

Představení normy ČSN ISO/IEC 20000 Management služeb Představení normy ČSN ISO/IEC 20000 Management služeb Luděk k Novák konzultant, ANECT Agenda Historie a souvislosti ISO/IEC 20000 Postavení vůči ITIL Procesy pro řízení služeb PDCA model pro řízení služeb

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

1.3 Podstata, předmět a cíle krizového managementu

1.3 Podstata, předmět a cíle krizového managementu KAPITOLA 1: MANAGEMENT A KRIZOVÝ MANAGEMENT 1.3 Podstata, předmět a cíle krizového managementu Krizový management patří do skupiny prediktivního projektového managementu 4. Je to soubor specifických přístupů,

Více

ISO 9001 : 2015. Certifikační praxe po velké revizi

ISO 9001 : 2015. Certifikační praxe po velké revizi ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,

Více

Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN. Konzultace: pondělí 10 00 11 00 nebo dle dohody Spojení: e-mail: jan.skrbek@tul.cz tel.

Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN. Konzultace: pondělí 10 00 11 00 nebo dle dohody Spojení: e-mail: jan.skrbek@tul.cz tel. 1 Informační systémy Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Konzultace: pondělí 10 00 11 00 nebo dle dohody Spojení: e-mail: jan.skrbek@tul.cz tel.: 485 352 442 Přednášky: úterý 12 30 H35 Cvičení: Mgr.

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

1. Politika integrovaného systému řízení

1. Politika integrovaného systému řízení 1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky

Více

Řízení kybernetické a informační bezpečnosti

Řízení kybernetické a informační bezpečnosti Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,

Více

Praktické zkušenosti s certifikací na ISO/IEC 20000

Praktické zkušenosti s certifikací na ISO/IEC 20000 Praktické zkušenosti s certifikací na ISO/IEC 20000 Vladimír r VáňaV Senior business consultant AutoCont CZ a.s. Agenda Proč jsme se rozhodli k implementaci kvalitativního standardu a následné certifikaci?

Více

ENVIRONMENTÁLNÍ BEZPEČNOST

ENVIRONMENTÁLNÍ BEZPEČNOST ENVIRONMENTÁLNÍ BEZPEČNOST INTEGROVANÁ BEZPEČNOST ORGANIZACE Ing. ALENA BUMBOVÁ, Ph.D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

Více

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz KIV/SI Přednáška č.2 Jan Valdman, Ph.D. jvaldman@dns.cz 8.3.2011 ITIL Information Technology Infrastructure Library ITIL v současnosti zahrnuje: Samotnou knihovnu Oblast vzdělávání a certifikace odborné

Více

Obsah. ÚVOD 1 Poděkování 3

Obsah. ÚVOD 1 Poděkování 3 ÚVOD 1 Poděkování 3 Kapitola 1 CO JE TO PROCES? 5 Co všechno musíme vědět o procesním řízení, abychom ho mohli zavést 6 Různá důležitost procesů 13 Strategické plánování 16 Provedení strategické analýzy

Více

Úvod. Projektový záměr

Úvod. Projektový záměr Vzdělávací program Řízení jakosti a management kvality Realizátor projektu: Okresní hospodářská komora Karviná Kontakt: Svatováclavská 97/6 733 01 KARVINÁ +420 596 311 707 hkok@hkok.cz www.akademieok.cz

Více

Bezpečnostní incidenty IS/ICT a jejich řešení

Bezpečnostní incidenty IS/ICT a jejich řešení Abstrakt: Petr Doucek Fakulta informatiky a statistiky, Vysoká škola ekonomická v Praze doucek@vse.cz, http://fis.vse.cz Problematika bezpečnosti informačních systémů a informačních a komunikačních technologií

Více

MANAGEMENT Přístupy k řízení organizace

MANAGEMENT Přístupy k řízení organizace MANAGEMENT Přístupy k řízení organizace doc. Ing. Monika MOTYČKOVÁ (Grasseová), Ph.D. Univerzita obrany Fakulta ekonomika a managementu Katedra vojenského managementu a taktiky Kounicova 44/1. patro/kancelář

Více

Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky. Metodické listy pro předmět ŘÍZENÍ PODNIKU 2

Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky. Metodické listy pro předmět ŘÍZENÍ PODNIKU 2 Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky Metodické listy pro předmět ŘÍZENÍ PODNIKU 2 Studium předmětu umožní studentům základní orientaci v procesech, které

Více

Standardy a definice pojmů bezpečnosti informací

Standardy a definice pojmů bezpečnosti informací Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy

Více

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. http://www.relsie.cz/ Současný stav projektů v ICT Procesy dohled řízení Legislativa národní

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB #

Více

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Aktivity NBÚ při zajišťování kybernetické bezpečnosti Aktivity NBÚ při zajišťování kybernetické bezpečnosti Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 10.4.2013 1 Zákon o kybernetické bezpečnosti Kritická informační infrastruktura 10.4.2013

Více

Systém řízení informační bezpečnosti Information security management systém

Systém řízení informační bezpečnosti Information security management systém Systém řízení informační bezpečnosti Information security management systém Luděk Novák, Josef Požár 1 1. Úvod Na informační bezpečnost se dá nahlížet z různých úhlů a obecně tento pojem zahrnuje celou

Více

Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví

Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví Projekt CZ.1.04/1.1.01/02.00013 Posilování bipartitního dialogu v odvětvích Realizátor projektu: Konfederace

Více

Manažerská ekonomika

Manažerská ekonomika PODNIKOVÝ MANAGEMENT (zkouška č. 12) Cíl předmětu Získat znalosti zákonitostí úspěšného řízení organizace a přehled o současné teorii a praxi managementu. Seznámit se s moderními manažerskými metodami

Více

Bezpečnostní poradenství. www.cstconsulting.cz

Bezpečnostní poradenství. www.cstconsulting.cz Bezpečnostní poradenství KDO JSME? Nezávislí bezpečnostní poradci CST Consulting s.r.o. vzniklo na základě myšlenky přiblížit profesionální nezávislý poradenský servis nejen velkým korporacím, které tradičně

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 01.040.35; 35.040 Říjen 2014 Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník ČSN ISO/IEC 27000 36 9790 Information technology

Více

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY 29 HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY POKORNÝ Karel Abstrakt: Metoda Balanced Scorecard (BSC) její podstata, obsah a principy. Vztah BSC ke strategickému a operativnímu řízení

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Procesy, procesní řízení organizace Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Co nového přináší ISO 9001:2008? Vnímání jednotlivých procesů organizace jako prostředku a nástroje

Více

Studijní texty. Téma: Vzdělávání a příprava obyvatelstva v oblasti bezpečnosti a obrany státu

Studijní texty. Téma: Vzdělávání a příprava obyvatelstva v oblasti bezpečnosti a obrany státu Studijní texty Název předmětu: Řízení bezpečnosti Téma: Vzdělávání a příprava obyvatelstva v oblasti bezpečnosti a obrany státu Zpracoval: Ing. Miroslav Jurenka, Ph.D. Operační program Vzdělávání pro konkurenceschopnost

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Security. v českých firmách

Security. v českých firmách Security v českých firmách Radek Prokeš Local Sales Representative Proč Security Rozvíjející se technologie a trendy Rozložení odpovědí v průzkumu Do zatím nejrozsáhlejšího InFact průzkumu se zapojilo

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz ZÁKON O KYBERNETICKÉ BEZPEČNOSTI JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz PRÁVNÍ ZAKOTVENÍ KYBERNETICKÉ BEZPEČNOSTI zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů

Více

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy Zákon o kybernetické bezpečnosti a související předpisy PSP ČR, listopad 2014 SEMINÁŘ Zákon o kybernetické bezpečnosti a řízení bezpečnosti informačních systémů ve veřejné správě a ve zdravotnictví Václav

Více

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015. 1. Struktura Nová norma obsahuje 10 hlavních ustanovení: 1. OBLAST PLATNOSTI Kdy/proč by organizace měla použít tuto normu? 2. NORMATIVNÍ DOKUMENTY Prázdný

Více

Technická specifikace předmětu plnění:

Technická specifikace předmětu plnění: Technická specifikace předmětu plnění: Poskytnutí standardní služby Premier Support zahrnující konzultační a implementační podporu, řešení problémů u produktů v nepřetržitém režimu 24x7 v rámci aktuálního

Více

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy Zákon o kybernetické bezpečnosti a související předpisy egovernment 20:10 Mikulov 2014 Václav Borovička NBÚ / NCKB Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti NBÚ ustaven gestorem

Více

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice FORMULACE, VÝBĚR A IMPLEMENTACE STRATEGIE Vysoká škola technická a ekonomická v Českých Budějovicích Institute of Technology And Business In České Budějovice Tento učební materiál vznikl v rámci projektu

Více

Projektová fiše. Cíle modulu. SWOT analýza. SWOT analýza. SWOT analýza - přehled. SWOT Analýza vnitřního prostředí

Projektová fiše. Cíle modulu. SWOT analýza. SWOT analýza. SWOT analýza - přehled. SWOT Analýza vnitřního prostředí Cíle modulu Všeobecné seznámení se strukturou a cílem projektové fiše obeznámení se základními principy tvorby SWOT analýzy projektů (vyhodnocení, návaznosti apod.) dokázat stanovit cíle projektu dle kritérií

Více

www.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

www.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001 www.tuv-sud.cz s.r.o. Systém energetického managementu dle ČSN EN 16001 Zavádění sytému energetického managementu dle ČSN EN 16001 Záměr zvyšování energetické účinnosti trvalý proces zefektivňování snížení

Více

Zástupce ředitele a personální práce

Zástupce ředitele a personální práce Název projektu: Reg. č. projektu: Rozvoj klíčových kompetencí zástupců ředitele na školách a školských zařízeních CZ.1.07/1.3.49/01.0002 Modul : Zástupce ředitele a personální práce Evropská obchodní akademie,

Více

Příklad I.vrstvy integrované dokumentace

Příklad I.vrstvy integrované dokumentace Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,

Více

Řízení rizik. Ing. Petra Plevová. plevova.petra@klikni.cz http://plevovapetra.wbs.cz

Řízení rizik. Ing. Petra Plevová. plevova.petra@klikni.cz http://plevovapetra.wbs.cz Řízení rizik Ing. Petra Plevová plevova.petra@klikni.cz http://plevovapetra.wbs.cz Procesní řízení a řízení rizik V kontextu současných změn je třeba vnímat řízení jakékoli organizace jako jednoduchý,

Více

Metodický list pro první soustředění kombinovaného studia. předmětu Management ve finančních službách

Metodický list pro první soustředění kombinovaného studia. předmětu Management ve finančních službách Metodický list pro první soustředění kombinovaného studia předmětu Management ve finančních službách Název tematického celku: Základní koncepční přístupy a osobnost manažera Cíl: V návaznosti na poznatky

Více

MANAGEMENT Systém managementu kvality

MANAGEMENT Systém managementu kvality MANAGEMENT Systém managementu kvality doc. Ing. Monika MOTYČKOVÁ (Grasseová), Ph.D. Univerzita obrany Fakulta ekonomika a managementu Katedra vojenského managementu a taktiky Kounicova 44/1. patro/kancelář

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Prosinec 2011 Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27003 36 9790 Information technology

Více

Security. v českých firmách

Security. v českých firmách Security v českých firmách Proč Security Rozvíjející se technologie a trendy Rozložení odpovědí v průzkumu Do zatím nejrozsáhlejšího InFact průzkumu se zapojilo 141 firem z TOP 600 společností v ČR (podle

Více

Kybernetická bezpečnost

Kybernetická bezpečnost Kybernetická bezpečnost Ondřej Steiner, S.ICZ a. s. 25.9.2014 1 Obsah Zákon co přináší nového? Nové pojmy KII vs VIS Příklady Povinnosti Jak naplnit požadavky Proč implementovat? Bezpečnostní opatření

Více

VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI NA UNIVERZITĚ OBRANY I. ČÁST. pplk. Ing. Petr HRŮZA, Ph.D. petr.hruza@unob.cz Univerzita obrany Brno

VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI NA UNIVERZITĚ OBRANY I. ČÁST. pplk. Ing. Petr HRŮZA, Ph.D. petr.hruza@unob.cz Univerzita obrany Brno VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI NA UNIVERZITĚ OBRANY I. ČÁST pplk. Ing. Petr HRŮZA, Ph.D. petr.hruza@unob.cz Univerzita obrany Brno Struktura Univerzity obrany Fakulta vojenského leadershipu

Více

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha, 4. 4. 2012 1

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha, 4. 4. 2012 1 EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI Praha, 4. 4. 2012 1 Témata Exkurz do terminologie Exkurz do souvislostí Exkurz do historie Exkurz do současnosti Praha, 4. 4. 2012 2 Dilema Intenzivní rozvoj elektronické

Více

Informační systémy ve výuce na PEF Information Systems in teaching at the FEM

Informační systémy ve výuce na PEF Information Systems in teaching at the FEM Informační systémy ve výuce na PEF Information Systems in teaching at the FEM Edita Šilerová, Čestmír Halbich, Jana Hřebejková Cíle Předmět Informační systémy je postupně od roku 1994 zařazován na všechny

Více

Společné minimum pro potřeby vzdělávání odborníků v oblasti bezpečnosti. (schváleno usnesením BRS ze dne 3. července 2007 č. 32)

Společné minimum pro potřeby vzdělávání odborníků v oblasti bezpečnosti. (schváleno usnesením BRS ze dne 3. července 2007 č. 32) Společné minimum pro potřeby vzdělávání odborníků v oblasti bezpečnosti (schváleno usnesením BRS ze dne 3. července 2007 č. 32) 1 Minimum pro akreditaci výuky bezpečnosti na vysokých školách pro bakalářské

Více

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví Současný stav a rozvoj elektronického zdravotnictví - pohled první ročník semináře ehealth 2012 kongresový sál IKEM 1.11.2012 Elektronizace zdravotnictví: 1. jedná se o dlouhodobé téma 2. povede ke zvýšení

Více

www.pwc.com Dopad legislativních změn v informační bezpečnosti na interní audit Tomáš Pluhařík

www.pwc.com Dopad legislativních změn v informační bezpečnosti na interní audit Tomáš Pluhařík www.pwc.com Dopad legislativních změn v informační bezpečnosti na interní audit Tomáš Pluhařík IT v interním auditu 2 Úrovně poznání 1 2 3 4 Politiky Dokumentace a evidence Reálně implementované procesy

Více

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/2009. 1.Podniková informatika pojmy a komponenty

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/2009. 1.Podniková informatika pojmy a komponenty Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/2009 1.Podniková informatika pojmy a komponenty (1) Objasněte pojmy: IS, ICT, ICT služba, ICT proces, ICT zdroj. Jakou dokumentaci k ICT službám,

Více

Studijní texty. Název předmětu: Krizové řízení. Krizové řízení v České republice. Ing. Miroslav Jurenka, Ph.D.

Studijní texty. Název předmětu: Krizové řízení. Krizové řízení v České republice. Ing. Miroslav Jurenka, Ph.D. Studijní texty Název předmětu: Krizové řízení Téma: Krizové řízení v České republice Zpracoval: Ing. Miroslav Jurenka, Ph.D. Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace

Více

Systém managementu hospodaření s energií podle normy ČSN EN ISO 50001:2012. Ing. František MOLER Technický a zkušební ústav stavební Praha, s.p.

Systém managementu hospodaření s energií podle normy ČSN EN ISO 50001:2012. Ing. František MOLER Technický a zkušební ústav stavební Praha, s.p. Systém managementu hospodaření s energií podle normy ČSN EN ISO 50001:2012 Ing. František MOLER Technický a zkušební ústav stavební Praha, s.p. Norma ČSN EN ISO 50001:2012 Systémy managementu hospodaření

Více

T T. Think Together 2012. Jan Pinta THINK TOGETHER

T T. Think Together 2012. Jan Pinta THINK TOGETHER Česká zemědělská univerzita v Praze Provozně ekonomická fakulta Doktorská vědecká konference 6. února 2012 T T THINK TOGETHER Think Together 2012 Budování havarijních plánů a plánů obnovy jako součást

Více

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci

Více

Č.j. PPR-33956-20/ČJ-2014-990656 V Praze 20. ledna 2015 Počet listů: 5

Č.j. PPR-33956-20/ČJ-2014-990656 V Praze 20. ledna 2015 Počet listů: 5 POLICEJNÍ PREZIDIUM ČESKÉ REPUBLIKY Správa logistického zabezpečení Odbor veřejných zakázek Č.j. PPR-33956-20/ČJ-2014-990656 V Praze 20. ledna 2015 Počet listů: 5 Odůvodnění veřejné zakázky V souladu s

Více

Systémy řízení EMS/QMS/SMS

Systémy řízení EMS/QMS/SMS Systémy řízení EMS/QMS/SMS Ústí nad Labem 11/2012 Ing. Jaromír Vachta Systém řízení EMS Systém environmentálního managementu Systém řízení podle ČSN EN ISO 14001:2004 Podstata EMS - detailní informace

Více

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti Obsah: 1) Adresa společnosti 2) Historie firmy 3) Rozsah systému kvality 4) Systém managementu kvality 5) Povinnosti

Více

Jaké představy má o rozvoji. Ministerstvo zdravotnictví? září 2012 Ing. Petr Nosek

Jaké představy má o rozvoji. Ministerstvo zdravotnictví? září 2012 Ing. Petr Nosek Jaké představy má o rozvoji elektronického zdravotnictví Ministerstvo zdravotnictví? září 2012 Ing. Petr Nosek Formální rámec elektronického zdravotnictví byl v rámci egovernment dán Usnesením vlády ČR

Více

Kybernetická bezpečnost II. Management kybernetické bezpečnosti

Kybernetická bezpečnost II. Management kybernetické bezpečnosti Reg. č. projektu: CZ 1.04/ 4.1.00/A3.00004 Kybernetická bezpečnost II. Management kybernetické bezpečnosti Pracovní sešit Materiál vznikl v rámci řešení projektu Vzdělávání v oblasti základních registrů

Více

MAPY POVODŇOVÉHO NEBEZPEČÍ, DOKUMENTACE OBLASTÍ S VÝZNAMNÝM

MAPY POVODŇOVÉHO NEBEZPEČÍ, DOKUMENTACE OBLASTÍ S VÝZNAMNÝM MAPY POVODŇOVÉHO NEBEZPEČÍ, DOKUMENTACE OBLASTÍ S VÝZNAMNÝM POVODŇOVÝM RIZIKEM, PLÁN PRO ZVLÁDÁNÍ POVODŇOVÝCH RIZIK ZKUŠENOSTI ZE ZPRACOVÁNÍ ÚKOLŮ SMĚRNICE 2007/60/ES V ČESKÉ REPUBLICE J. Cihlář, M. Tomek,

Více

Léto 2014 Interní audit vymezení IA a outsourcing, benchmarking Ing. Petr Mach 1. Vymezení interního auditu, vztah k EA 2. Interní audit a outsourcing 3. Interní audit a benchmarking 2 Cíle auditu: Externí

Více

PROJEKTOVÝ MANAGEMENT

PROJEKTOVÝ MANAGEMENT Slezská univerzita v Opavě Fakulta veřejných politik v Opavě PROJEKTOVÝ MANAGEMENT Distanční studijní opora Iva Tichá Miroslava Vaštíková Karviná 2013 Projekt OP VK 2.2 (CZ.1.07/2.2.00/15.0176) Rozvoj

Více

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014 23.1.2014 Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014 Kurz k roli manažera podle požadavků zákona o kybernetické bezpečnosti Verze 201411 Tayllor-Cox Dilia - divadelní,

Více

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,

Více

ENVIRONMENTÁLNÍ EKONOMIKA II.

ENVIRONMENTÁLNÍ EKONOMIKA II. ENVIRONMENTÁLNÍ EKONOMIKA II. Úvod do dobrovolných nástrojů Ing. Alena Bumbová, Ph.D. Univerzita obrany Fakulta ekonomiky a managementu Katedra ochrany obyvatelstva Kounicova 65 662 10 Brno telefon: 973

Více

Systémy řízení EMS/QMS/SMS

Systémy řízení EMS/QMS/SMS Systémy řízení EMS/QMS/SMS Ústí nad Labem 10/2014 Ing. Jaromír Vachta Systém řízení EMS Systém environmentálního managementu Systém řízení podle ČSN EN ISO 14001:2004 Podstata EMS - detailní informace

Více

End-to-end testování. 26. dubna Bořek Zelinka

End-to-end testování. 26. dubna Bořek Zelinka End-to-end testování 26. dubna 2013 Bořek Zelinka Bořek Zelinka Unicorn Systems, Test architekt Unicorn, 2004 Testování Quality Assurance ČVUT, Fakulta stavební, 2004 2 Agenda Princip end-to-end testů

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS

Více

Systémy řízení QMS, EMS, SMS, SLP

Systémy řízení QMS, EMS, SMS, SLP Systémy řízení QMS, EMS, SMS, SLP Ústí nad Labem 11/2013 Ing. Jaromír Vachta Systém řízení QMS Systém managementu kvality Systém řízení podle ČSN EN ISO 9001:2009 - stanovení, pochopení a zajištění plnění

Více