Když ICT nefungují řízení kontinuity činností organizace 1
|
|
- Dana Pavlíková
- před 8 lety
- Počet zobrazení:
Transkript
1 Když ICT nefungují řízení kontinuity činností organizace 1 Petr Doucek Vysoká škola ekonomická katedra systémové analýz W. Churchilla 4, Praha 3 doucek@vse.cz Luděk Novák ISACA CRC Španělská 2, Praha 2 novak@isaca.cz Abstrakt: Mimořádné situace, které omezují činnosti organizací, představují významné operační riziko. Pokud se jedná o kritické činnosti organizace, tak na jejich úspěšném vyřešení často závisí přežití organizace. Příspěvek obsahuje některé základní návody, jak řešit přerušení činností organizace (koncept normy BS a NIST SP ). Tento základní pohled je doplněn o řízení kontinuity činností v oblasti ICT (norma BS 25777). Kromě teoretické části, obsahuje příspěvek i zkušenosti z praktického zavádění norem britského standardu do praxe. Klíčová slova: Řízení kontinuity činností organizace (), plán obnovy po havárii (DRP), audit, mezinárodní normy. Abstract: Business continuity and related recovery activities are strong tools for support of solving of critical activities and processes for all organizations. This contribution presents three main international standards (BS 25777, BS and NIST SP ) for business continuity and for ICT continuity and disaster management. Common ideas of these standards are primary presented on theoretical dimension and in the second plan are shown practical experience by their improvement. Keywords: Business continuity management (), disaster recovery planning (DRP), audit, international standards. 1. Úvod Permanentní vývoj a inovace v oblasti podnikových informačních systémů (IS) a informačních a komunikačních technologií (ICT) vedou k integraci ICT do činností organizace a tím i na druhou stranu k rostoucí závislosti podniků i organizací na jejich funkčnosti. V současné době je téměř nepředstavitelné, aby procesy a činnosti organizací nebyly podporovány funkcemi ICT. Důležitost ICT na jedné straně představuje významný potenciál konkurenční výhody v globalizujícím se prostředí, na straně druhé představují významné operační riziko. Největším rizikem ICT je, že samy nebudou buď vůbec schopny podporovat požadované procesy, nebo je budou podporovat pouze omezeně. To znamená, že organizace, resp. všichni jejich pracovníci, kteří jsou odpovědni za průběh některého z procesů a 1 Příspěvek byl zpracován v rámci řešení grantu GAČR 201/07/0455 Model vztahů mezi výkonností podnikání, účinností podnikových procesů a efektivností podnikových procesů. SYSTÉMOVÁ INTEGRACE 2/
2 Petr Doucek, Luděk Novák činností organizace, si budou muset nalézt způsoby náhradního zpracování dat a tím i stanovit jejich náhradní průběh po dobu výpadku ICT musí plánovat řízení kontinuity činností organizace. Pro odborníky a pracovníky ICT pak bude ještě následovat druhá povinnost a tou je uvedení ICT do chodu tak, aby podporovaly činnosti organizací, alespoň v původním rozsahu to znamená zajistit obnovu podpory podnikových procesů prostředky ICT. Různé pohledy na kontinuitu činností organizací odráží současná literatura [7], [12]. Jedním z nich je i širší pojetí kontinuity činností organizací: telefonické a datové komunikace, zpracování dat prostřednictvím počítačů a počítačových sítí, zajištění chodu životně důležitých zařízení (klimatizace, řízení přístupů do prostor apod.) zpracování kritických procesů organizací. [12] V dalším textu se bude zabývat zejména posledními třemi odrážkami s rozšířením pohledu na zajištění kontinuity činností v oblasti ICT. Vlastní pohled na plánování kontinuity činností organizací je v různých částech světa různý a tyto pohledy také odrážejí mezinárodní standardy, které upravují problematiku kontinuity činností v jednotlivých zemích nebo na určitých kontinentech. Základem pro tento příspěvek je pojetí, které vyšlo z nejlepších zkušeností ve Velké Británii [1], [2]. Druhým pojetím je to, které využívají organizace státní správy v USA [13]. 2. Mezinárodní přístupy k řízení kontinuity činností Při hodnocení mezinárodních pohledů na řízení kontinuity je možné rozeznat dva důležité zdroje doporučení. V současnosti nejvýznamnějším tvůrcem doporučení je mezinárodní Institut po řízení kontinuity činností (Business Continuity Institute BCI), který vyvinul a dlouhodobě rozvíjí Směrnice nejlepší praxe BCI [15]. Postavení tohoto konceptu řízení kontinuity se promítlo do britského standardu BS 25999, který se stává uznávaným schématem pro certifikaci organizací s vyzrálým systémem řízení kontinuity. Druhý pohled lze spojovat se zákonem FISMA (Federal Information Security Management Act, přijatý do právního systému USA v roce 2002), který reguluje bezpečnost amerických vládních informačních systémů. V rámci definovaných pravidel Národní institut pro standardy a technologie publikuje mnoho doporučení, která jsou určena pro zvýšení bezpečnosti vládních informačních systémů USA. Nicméně tato pravidla a doporučení jsou intenzivně využívána i pro řadu komerčních či nevládních informačních systémů. Mezi organizací NIST publikované dokumenty patří i směrnice pro řešení mimořádných a krizových situací včetně dokumentů pro řízení podpory kontinuity managementu. 1.1 Směrnice nejlepší praxe BCI Institut pro řízení kontinuity činností je odborné sdružení pracovníků, kteří se věnují problematice řízení kontinuity činností. Existující zkušenosti členů BCI, který byl založen ve Velké Británii v roce 1994, jsou soustředěny do dokumentu, který je nazýván Směrnice nejlepší praxe BCI (BCI Good Practice Guidelines GPG). Poslední verze GPG byla vydána v roce 2008 [15]. 44 SYSTÉMOVÁ INTEGRACE 2/2010
3 Když ICT nefungují řízení kontinuity činností organizace Směrnice nejlepší praxe BCI má své nezastupitelné místo, které sehrává důležitou roli v rozvoji teorie řízení kontinuity. V tomto článku se jim ale věnovat nebudeme a případné zájemce odkazujeme na stránky kde je možné si po registraci dokument volně stáhnout. S ohledem na skutečnost, že z jeho základních principů je odvozen i britský standard BS 25999, se v dalším textu budeme již věnovat pouze tomuto standardu s tím, že všechna pravidla uváděná ve standardu jsou pouze zobecněním Směrnice nejlepší praxe BCI. 1.2 Normy pro řízení kontinuity Řízení kontinuity činností organizace je organizací vlastněný a řízený proces, který zakládá pro svůj účel vhodné strategie a operační rámec. Řízení kontinuity především: proaktivně zvyšuje odolnost organizace proti narušení její schopnosti dosahovat soustavy svých klíčových cílů, poskytuje vyzkoušenou metodu obnovy její schopnosti realizovat klíčové produkty a služby na stanovené úrovni a ve stanovený čas po přerušení, přináší prokazatelnou způsobilost zvládat přerušení činností organizace a chránit její reputaci a dobré jméno. Britský standard Norma BS ustavuje proces, principy a terminologii řízení kontinuity činností organizace (Business Continuity Management ). Účelem této normy je poskytnout základní podklady pro porozumění, vytváření a implementaci kontinuity činností v organizaci a tím zajistit důvěru ve vztazích organizace se zákazníky a ostatními subjekty. Zároveň umožňuje organizaci konzistentním a uznávaným způsobem hodnotit způsobilost k zajištění kontinuity činností. Celý proces kontinuity činností organizace probíhá, dle BS 25999, životním cyklem, který je znázorněn na následujícím obrázku Obr. 1. Prověřování, udržování a přezkoumání Porozumění podniku Řízení programu Vytváření a implementace odezvy Určení strategie Obr.1: Životní cyklus řízení kontinuity činností organizace Zdroj: [2] Dle normy BS 25999, se životní cyklus řízení kontinuity činností organizace skládá ze šesti následujících částí. Řízení programu umožňuje rozvíjet zajištění kontinuity činností podniku jako soustavu dílčích projektů. SYSTÉMOVÁ INTEGRACE 2/
4 Petr Doucek, Luděk Novák Porozumění podniku je etapa shromažďování informací o důležitosti dílčích činností a pro jejich význam z pohledu podniku jako celku. Určení strategie stanoví přístupy ke zvýšení odolnosti podniku a způsoby reakce na krizové události. Vytváření a implementace odezvy je etapa realizace potřebných opatření a jednotlivých dílčích projektů vypracování plánů a scénářů pro krizové události. Prověřování, udržování a přezkoumání by mělo prověřit reálnost připravených plánů a postupů a vést k jejich postupnému zdokonalování. (Postup zdokonalování je podobně jako u jiné norem z oblasti řízení bezpečnosti probíhá v souladu s konceptem PDCA). Ukotvení v kultuře podniku umožňuje, aby se rozvoj kontinuity stál jednou ze základních hodnot podniku. Jádrem řízení kontinuity činností organizace je vyhledání tzv. kritických činností organizace, které jsou nezbytné pro dodávku kritických produktů a služeb klíčovým odběratelům. Jinými slovy pro účelné řízení kontinuity procesů organizace je nezbytné věnovat zvláštní pozornost pouze činnostem, které jsou důležité pro její přežití během jakékoli krize. Právě nalezení kritických produktů a služeb a jejich klíčových odběratelů určuje, které činnosti je nutné považovat za kritické v rámci řízení celé organizace. Řízení kontinuity se pak věnuje výhradně těmto kritickým činnostem. Jeho cílem je koncentrace na vše podstatné a ignorování všeho nepodstatného, což je velmi silná a revoluční myšlenka, která dodává řízení kontinuity opravdové strategické rozměry krizového řízení. NIST Ekonomika Spojených států amerických, která řeší problém kontinuity činností organizací i ICT nejdelší dobu, vychází zejména ve státním sektoru z normy NIST SP , Contingency Planning Guide for Federal Information Systems [13]. Základní koncept této normy řeší otázky systému řízení kontinuity činností podniků a státních organizací, počínaje formulací strategického záměru zajištění chodu podnikových procesů při výpadku ICT, přes tvorbu plánů (včetně plánů dílčích) až po doporučené postupy testování těchto plánů. Součástí normy jsou i části, věnující se obnově podpory podnikových procesů prostředky ICT. Všechny části normy jsou propojeny do jednoho celku, který umožňuje řešit krizové situace v organizaci včetně návaznosti na ICT. Podle zaměření rozdělují doporučení NIST SP krizové plánování na následující oblasti: Plán kontinuity organizace (Business Continuity Plan BCP) Cílem plánu je poskytnout návod organizaci, jak vykonávat svoje procesy po mimořádné události, která naruší jejich standardní výkon. Plán je navrhován ve shodě s ustanoveními Plánu kontinuity činností. Kromě toho musí brát plán v úvahu i fakt, že většina podnikových procesů je v současné době podporována informačními systémy (resp. informačními a komunikačními technologiemi) a proto jeho ustanoven bývají koordinována i s plány nouzového chodu podnikových informačních systémů. Plán kontinuity činností (Continuity of Operations Plan COOP) připravuje koncept zajištění náhradního zpracování činností organizace na jiném místě, než byla činnost původně vykonávána. Jedná se kromě jiného 46 SYSTÉMOVÁ INTEGRACE 2/2010
5 Když ICT nefungují řízení kontinuity činností organizace o služby ICT. Činnosti, pro něž není potřeba měnit místo jejich výkonu, nebývají obvykle tímto plánem řešeny. Plán krizové komunikace (Crisis Communication Plan) obsahuje základní pravidla a postupy pro zajištění interní i externí komunikace v případě krizových situací. Plán ochrany kritické infrastruktury (Critical Infrastructure Protection Plan CIP) představuje souhrn politik a procedur, které slouží k ochraně a obnově technických prostředků, které byly zničeny incidentem (včetně prostředků ICT). Cílem plánu je minimalizovat rizika a zranitelnosti (efektivní působení hrozeb) těchto prostředků. Plán reakce na kybernetické incidenty (Cyber Incident Response Plan) definuje postupy, které souvisejí s řešením kybernetických útoků na prostředí informačních systémů, a obsahuje postupy pro odhalení útoků, určuje způsoby správné a vhodné reakce a postupy pro sběr důkazů. Plán obnovy po havárii (Disaster Recovery Plan DRP) se obyčejně soustředí na obnovení činností organizace po významných katastrofách či rozsáhlých haváriích. Velký význam má DRP pro informační technologie, na jejichž podpoře je obvykle závislý výkon většiny činností organizace. Plán zvládání mimořádných událostí informačního systému (Information System Contingency Plan ISCP) obsahuje postupy pro ohodnocení rozsahu škod, které byly v rámci informačního systému způsobeny neočekávanou událostí, a určení správného postupu obnovy chodu systému. Plán evakuace osob (Occupant Emergency Plan OEP) je základním nástrojem pro evakuaci osob v případech, kdy jsou ohroženy životy nebo zdraví těchto osob. Samo o sobě je krizové plánování pro mnohé organizace problémem, ale kromě toho by se měli manažeři organizací zamýšlet i nad plánováním krizových situací pro případ omezené funkčnosti nebo úplného výpadku ICT. Jejich plánování se vyznačuje dvěma hlavními rysy: není možné jej provádět bez úzké součinnosti s krizovým plánováním ostatních činností organizací (je zde jedno, jedná-li se o procesy hlavní nebo vedlejší), protože ICT jsou fenoménem, který prostupuje celou organizací, má určité specifické vlastnosti, které jsou právě dány možnostmi technologií např. přesun zpracování dat a tím i podpory činností organizace do jiné lokality, možnost zpracovávat data na zapůjčené technice nebo zpracování dat formou outsourcingu. 3. Specifické požadavky na řízení kontinuity činností ICT Z pohledu norem pak na požadavky BS úzce navazuje norma BS 25777, která se soustředí na specifika spojená s řízení kontinuity službami ICT, na kterých je dnes řízení kontinuity činností organizace většinou silně závislé. Snahou je sladění přístupů a řízení kontinuity služeb IT tak, aby byly efektivně a spolehlivě naplněny potřeby podniku. Řízení kontinuity činností ICT se opírá o šest následujících principů. SYSTÉMOVÁ INTEGRACE 2/
6 Petr Doucek, Luděk Novák Chránit ochrana prostředí ICT vůči incidentům, selháním a přerušením chodu zvyšováním odolnosti služeb ICT je základem pro udržování potřebné úrovně dostupnosti. Odhalovat zjištění incidentu v počátečním stádiu omezuje škody a dopady incidentu, snižuje míru úsilí, kterou je potřeba vynaložit pro obnovení chodu ICT. Reagovat volba nejvhodnějšího způsobu odezvy znamená nejúčinnější postup obnovy chodu IT a snižuje rozsah výpadku služeb ICT. Naopak špatný postup obnovy podřadného incidentu může přerůst ve vážné problémy. Obnovit použitím přiměření strategie oživení chodu ICT zajistí očekávaný rámec obnovení chodu služeb a udržení požadované kvality dat. Pochopení priorit při oživování služeb ICT dovolí přednostní obnovení kritických služeb a odložení méně zbytných činností na pozdější dobu. Provozovat je možný chod ICT v nouzovém režimu, který zajistí poskytování kritických služeb s omezením výkonových parametrů apod. Navrátit Navržení postupů pro dotažení návratu chodu ICT do stavu, který byl před bezpečnostním incidentem a kdy jsou služby ICT schopny podporovat běžný chod organizace. Řízení kontinuity činnosti ICT je úzce spojeno s řízením kontinuity činností celé organizace, což je zachyceno na Obrázek 2. Ukotvení řízení kontinuity Prověřování, udržování a přezkoumání Porozumění podniku Řízení programu Vytváření a implementace odezvy Určení strategie Prověřování, testování, udržování a přezkoumání Porozumění požadavkům na kontinuitu ICT Řízení programu kontinuity ICT Vytváření a implementace strategie kontinuity ICT Určení strategie kontinuity ICT v kultuře podniku Obr.2: Vztah mezi řízením kontinuity činností podniku a řízením kontinuity ICT Zdroj: [1] V současné době je na základě britského standardu BS připravována nová mezinárodní norma ISO/IEC Směrnice pro připravenost ICT na (Guidelines for ICT Readeness For Business Continuity [11]). Norma je postavena na společném manažerském konceptu PDCA [4]. Jejím cílem je připravit organizaci na zavedení systému. 48 SYSTÉMOVÁ INTEGRACE 2/2010
7 Když ICT nefungují řízení kontinuity činností organizace Obr.3: Znázornění procesu IRBC v konceptu PDCA Zdroj: [11] Samotná norma, jak již její identifikace ukazuje, patří do rodiny norem ISO/IEC a jej její integrální součástí. Vychází z tvorby systému řízení bezpečnosti informací (ISMS) v organizaci a sama se věnuje jedné jeho části. Připravenost ICT organizací na (ICT Readeness For Business Continuity IRBC) představuje pro mnohé organizace základ při zavádění, ISMS a systému řízení a řešení bezpečnostních incidentů [5]. Příprava plánu pro připravenost na je prvním krokem při přípravě prakticky ve všech organizacích. Účinnost i účelnost systému je velmi často závislá na předem zhotoveném plánu připravenosti, který zajistí, aby svých cílů organizace dosahovala i v případě výpadků svých činností. Vlastní přípravenost a příprava na ni představuje proces, jehož cílem predikovat a řídit nežádoucí jevy (incidenty) v oblasti ICT, které mohou ohrozit chod organizace např. formou omezení nebo přerušení dodávky ICT služby. A na základě analýzy zajistit preventivní ochranu před nimi. Tím systém IRBC podporuje, neboť zajistí, že dodávky ICT služeb mohou být obnoveny v požadované úrovni a v čase, který schválila celá organizace, včetně odběratelů těchto služeb. 4. Zkušenosti s budováním systému řízení kontinuity činností Tolik z šedivého stromu teorie a dikce mezinárodních norem, nyní se podívejme, jak se uvedené normy používají v praxi a s jakými způsobem je můžeme aplikovat. Pro ukázku problémů jsme vzhledem k omezenému prostoru příspěvku zvolili dva následující příklady. SYSTÉMOVÁ INTEGRACE 2/
8 Petr Doucek, Luděk Novák 4.1 Cíle a priority Klíčovým principem je snaha určit kritické prvky a procesy organizace a to z hlediska klíčových produktů a služeb, které organizace vytváří, a z hlediska kritických zainteresovaných stran např. nejvýznamějších zákazníků. Stanovení kritičnosti je dano stutečností, zda je daná organizace schopna výpadek určitého produktu či odběratele rozumně překonat či nikoli. Realizace tohoto jednoduše daného principu v praxi není vůbec jednoduchá, protože vyžaduje značný předhled o interních činostech organizace, o jejích prioritách a o významu nejen hlavních i vedlejších a podpůrných procesů pro dosahování soustavy cílů orgnaizace. Často se stává, že organizace dobře nezná svoje klíčové produkty nebo prioritní zákazníky. Bez těcho znalostí není možné vytvořit dobré plány, protože se musí soustřeďovat pouze na podstatné skutečnosti a nepodstatné pochopitelně zcela ignoruje. Ve svém důsledku to znamená, že může fungovat pouze u organizací, které jsou si vědomy svého postavení, znají svoje klíčové produkty a vědí, kdo jsou jejich prioritní zákazníci. Nezanadbatelným přínosem implemantace je hledání business podstaty organizace, které nemá vliv pouze na řízení kontinuity, ale významně ovlivňuje i priority v běžném manažerském rozhodování. V tomto směru je zajímavé, že většina implementací, u kterých probíhala formální certifikace souhlasu s BS 25999, měla problémy právě v určení rozsahu. Jinými slovy dané organizace měly problém správně určit, co je jejich business podstatou. V tomto směru může mít zavádění nedozírné následky na skutečné řízení organizace i mimo sféru krizových situací. Uvědomění si business podstaty je největším přínosem, který se promítá i do dalších priorit každodenního řízení. Testování a prověřování. 1.2 Prověřování a testování Další praktickou zkušeností je skutečnost, že existuje nizké povědomí o možnostech testování a prověřování. Často se setkávám s názorem, že prověřit nelze, protože nikdo neodsouhlasí riziko možných následků spojených se zastavením chodu organizace. Tyto názory jsou hodně dány tím, že lidé neznají možnosti ověřování. Podle vzrůstající složitosti jsou způsoby prověřování rozděleny do následujících katagorií: Nácvik u stolu jedná se o prověření smyslupnosti plánů, které provádí autor případně další jeho spolupracovníci např. u plánů datového centra by byla prověřována úplnost činností spojených se spuštěním záložního prostředí a jejich rámcová časová náročnost. Cvičné procházení plánů je vyšší formou, při které jsou do testování plánů zapojeny prověrky schopností vzájemné komunikace různých útvarů organizace. Pro případ datového centra to znamená modelování komunikace s odpovědnými pracovníky koncových uživatelů a prověření jejich reakcí spojených se schopnostmi nouzového zpracování dat. Simulace je modelování možných forem havárií s tím, že v rámci cvičení jsou simulovány všechny potřebné činnosti např. při nácviku jsou činnosti spojené s aktivovánním datového centra pouze simulovány (činnosti nejsou 50 SYSTÉMOVÁ INTEGRACE 2/2010
9 Když ICT nefungují řízení kontinuity činností organizace reálně prováděny) a snahou je spíše prověřit dostupnost potřebných nástrojů a přípravenost zúčastněných osob. Nácvik kritických činností aktivace vybraných důležitých činností spojených s, při jejichž procvičování nesmí dojit k ohrožení chodu organizace např. reálné prověření plánů pro spuštění záložního datového centra bez toho, aniž by došlo k jeho provoznímu použití. Úplný nácvik celého plánu rozsáhlé cvičení, které prověřuje všechny aspekty tj v případě datového centra by bylo primární datové centrum vypnuto a v rámci testů bylo nutné převést všechny operace do záložního prostředí a poté zpět na primární technologie. Uvedené rozdělení prověrek podle náročnosti je důležitým vodítkem pro přípravu odpovídajícího rozsahu testů. Je zřejmé, že úplný nácvik je vysoce náročnou a často i rizkovou záležitostí. To ale neznamená, že organizace nemohou využít méně náročné možnosti tak, aby měly rozumnou záruku, že jsou jejich plány racionální a opírají se o reálné možnosti. Dalším důležitým momentem je skutečnost, jak koncipovat plány tak, aby je bylo možné prověřovat a testovat. Pouhý výčet činností nebývá v tomto směru dostatečným podkladem. V řadě případů je potřeba doplnit potřebné aktivity o upřesnění závislostí mezi jednotlivými činnostmi plánu a o jejich náročnost na zdroje lidské a zejména časové. Pouze tímto způsobem mohou vzniknout plány, u kterých je možné ověřit zda v plánu uvedené aktivity odpovídají stanoveným cílům pro obnovení činností a tím i k zajištění výkonu kritických činností organizace. 5. Závěry Moderní organizace v současném ekonomickém prostředí musí být připraveny na plnění svých závazků vůči odběratelům a tím i k plnění hlavních procesů bez ohledu na to, jaké nastaly podmínky. Mimořádné události, bezpečnostní incidenty a další události, které mohou narušit jak chod hlavních procesů organizací, tak i jejich podporu prostřednitcvím ICT a tím mohou významně ohrozit i samotnou existenci organizace. K mimořádným situacím musí vedení organizací přistupovat s rozmyslem a po dobré přípravě. Hlavní náměty, jak řešit tyto situace, jsou uvedeny v doporučených mezinárodních normách BS 25999, BS a NIST: SP Kdybychom uvedená doporučení značně zjednodušili, tak se dopracujeme k podstatě řízení kontinuity organizace, kterou je možné spojit s frází Šteští přeje připraveným. V tomto duchu je vhodné a žádoucí, aby si každý občas udělal nějakou představu o tom, jak bude schopen fungovat v případě mimořádných událostí, kdy se nebude možné spolehnout na výkon některých prograsů organizace. Složitost pro organizace bývá v tom, že je potřeba sladit činnosti více pracovních týmů, oddělení nebo i divizí a to vyžaduje rozumnou míru přípravy. A navíc, když využijeme existující zkušenosti schromážděné v mezinárodních normách, nemusíme řadu věcí sami objevovat, čož bývá velmi nákladné a neefektivní.při řízení kontinuity je důležité ještě nezapomínat na další věc a to je skutečnost, že bychom měli řešit zcela mimořádné situace, ve kterých se jedná o přežití dané organizace. Tomu je potřeba podřídit i zvolené přístupy a priority. Ne vždy opravdu potřebujeme všechny organizační prvky a pohodlí, na které jsme zvyklí z běžného života organizace. Správné určení kritických prvků organizace a jejich minimální úrovně SYSTÉMOVÁ INTEGRACE 2/
10 Petr Doucek, Luděk Novák činností je pro řízení kontinuity klíčové. Nalezení této podstaty organizace nicméně nebývá zcela bez obtíží a vyžaduje poměrně značné úsilí, které se ale vyplatí. 6. Literatura [1] BS 25777: 2008 Information and communications technology continuity management Code of practice. [2] BS 25999: 2007 Business continuity management. Specification. [3] DOUCEK, P., NOVÁK, L.: Systém řízení bezpečnosti informací mezinárodní normy a zkušenosti z praxe. Praha In: Role IT v době dynamických změn [CD-ROM]. Praha : Oeconomica, 2009, s ISBN [4] DOUCEK, P., NOVÁK, L., SVATÁ, V.: Řízení bezpečnosti informací, Professional Publishing 2008, ss. 239, ISBN [5] ČSN ISO/IEC 27001:2006, Informační technologie Bezpečnostní techniky Systém managementu bezpečnosti informací Požadavky. [6] ČSN ISO/IEC 27002:2006, Informační technologie Soubor postupů pro management bezpečnosti informací. [7] HILES, A.(ed.): The Definite Handbook of Business Continuity Management, John Wiley and Sons, Inc., 2008, ISBN [8] ISO/IEC 27006: 2007 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systéme [9] ISO/IEC 27007: 2008 Information technology Security techniques Guidelines for security management systems auditing [10] ISO/IEC 24762: 2008 Information technology Security techniques Guidelines for information and communication technology disaster recovery services. [11] ISO/IEC Information Technology Security Techniques Giudelines for ICT Readness For Business Continuity. 1st CD [12] MYERS, K., N.: Business Continuity Strategies, Protection Against Unplanned Disaster, John Wiley and Sons, Inc., 2006, ISBN [13] NIST: SP , rev. 1, Continegency Planning Guide for Federal Information Systems, draft, NIST, 2009, [14] SNEDAKER,S.: Business Continuity and Disaster Recovery Planning for IT Professionals, Syngress Publishing, Inc., 2007, ISBN [15] Business Continuity Institute Good Practice Guidelines, BCI 2008, , Internet: SYSTÉMOVÁ INTEGRACE 2/2010
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz
VíceBusiness Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.
Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,
VíceISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
VíceCobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004
CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceWS PŘÍKLADY DOBRÉ PRAXE
WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VícePříspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.
Mgr. Monika Johaníková Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN 1805-5656 Stanovení strategie řízení kontinuity činností Anotace Příspěvek je věnován základním informacím o způsobu volby
VíceŘízení rizik ICT účelně a prakticky?
Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby
VíceZákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295
Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti
VícePředstavení služeb DC SPCSS Státní pokladna Centrum sdílených služeb
Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb Datové centrum SPCSS Představení služeb DC SPCSS str. 2 Proč jsme na trhu Mise Předmětem podnikání státního podniku SPCSS je provozování
VíceJak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004
Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004 Jiří Sedláček AIT s.r.o, Sinkulova 83, 140 00 Praha 4 tel. 261 225 072 www.ait.cz AIT, 2004 1 Program Současné postavení IT v podniku
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceAUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!
AUDITY Audity představují nezávislý zdroj informací a týkají se všech podnikových procesů, které tvoří systém zabezpečování jakosti podniku.audity znamenají tedy systematický, nezávislý a dokumentovaný
VíceSystém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005
Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách
VíceŘízení kontinuity činností ve veřejné správě výsledky empirického výzkumu
Řízení kontinuity činností ve veřejné správě výsledky empirického výzkumu Moderní veřejná správa Pardubice, 24. května 2018 Ondřej Bos Policejní akademie ČR v Praze Vymezení problematiky řízení kontinuity
VíceBezpečnostní normy a standardy KS - 6
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický
VíceMONITORING NEKALÝCH OBCHODNÍCH PRAKTIK
MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK Dodržují vaši obchodníci a prodejní zástupci vaše obchodní podmínky? Uplatňují vaše etické principy všichni zaměstnanci vůči svým zákazníkům? Dostávají vaši zákazníci
VíceNávrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB
Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti
VíceJan Hřídel Regional Sales Manager - Public Administration
Podpora kvality ICT ve veřejné správě pohledem Telefónica O2 4. Národní konference kvality Karlovy Vary Jan Hřídel Regional Sales Manager - Public Administration Obsah 1. Strategie v ICT využití metody
VíceČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny
VíceManagement informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
VíceZásady managementu incidentů
Obsah prezentace Zásady managementu incidentů Úvod, základní pojmy ISO/IEC TR 18044 ISO/IEC TR 18044 ISO/IEC TR 18044 Information technology Security techniques Information security incident management
VíceStandardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
VíceMFF UK Praha, 29. duben 2008
MFF UK Praha, 29. duben 2008 Standardy a normy (informace o předmětu) http://crypto-world.info/mff/mff_04.pdf P.Vondruška Slide2 Úvod 1. RFC (Request For Comment) 2. Standardy PKCS (Public-Key Cryptographic
VícePostupy pro zavedení a řízení bezpečnosti informací
Postupy pro zavedení a řízení bezpečnosti informací ELAT s.r.o Lukáš Vondráček Preambule Prosil bych šroubek M6 asi takhle tlustej Standardy ISO / IEC 27000 SAS 70 /NIST a další... 1.1 Mezinárodní normy
VícePředstavení normy ČSN ISO/IEC 20000 Management služeb
Představení normy ČSN ISO/IEC 20000 Management služeb Luděk k Novák konzultant, ANECT Agenda Historie a souvislosti ISO/IEC 20000 Postavení vůči ITIL Procesy pro řízení služeb PDCA model pro řízení služeb
VíceBUSINESS CONTINUITY MANAGEMENT
BUSINESS CONTINUITY MANAGEMENT Information Security Management PAS 56 má nakročeno k normě Veřejně dostupná specifikace PAS 56:2003 Guide to Business Continuity Management (BCM) poskytuje organizacím pevné
VíceMODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY
Petr HRŮZA 1 MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Abstract: The article introduces the module cyber security at the University of Defence. This is a new module. University
VíceFyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.
Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceSMĚRNICE DĚKANA Č. 4/2013
Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:
VíceŘízení informační bezpečnosti a veřejná správa
Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a
VíceZ K B V P R O S T Ř E D Í
Z K B V P R O S T Ř E D Í MSP Co vás čeká (agenda) Přiblížení prostředí Výchozí stav ( před ZKB ) Volba přístupu Struktura politik Základní role Pár postřehů z implementace 2 MSP z pohledu ZKB Resort MSP
VíceTVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU
TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU Dagmar Brechlerová KIT PEF ČZU, Praha 6, Kamýcká, dagmar.brechlerova@seznam.cz ABSTRAKT: Budování bezpečnosti v organizaci není amatérská činnost,
VíceISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA
ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VíceNávrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.
Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace
VícePřednáší: doc. Ing. Jan Skrbek, Dr. - KIN. Konzultace: pondělí 10 00 11 00 nebo dle dohody Spojení: e-mail: jan.skrbek@tul.cz tel.
1 Informační systémy Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Konzultace: pondělí 10 00 11 00 nebo dle dohody Spojení: e-mail: jan.skrbek@tul.cz tel.: 485 352 442 Přednášky: úterý 12 30 H35 Cvičení: Mgr.
VíceMANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r
ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní
VíceKIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz
KIV/SI Přednáška č.2 Jan Valdman, Ph.D. jvaldman@dns.cz 8.3.2011 ITIL Information Technology Infrastructure Library ITIL v současnosti zahrnuje: Samotnou knihovnu Oblast vzdělávání a certifikace odborné
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 SOUBOR POSTUPŮ PRO MANAGEMENT BEZPEČNOSTI INFORMACÍ POLITIKA A ORGANIZACE BEZPEČNOSTI INFORMACÍ pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky
VíceBezpečnostní politika společnosti synlab czech s.r.o.
Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav
VícePelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci
Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická
VíceImplementace systému ISMS
Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik
VíceS T R A T E G I C K Ý M A N A G E M E N T
S T R A T E G I C K Ý M A N A G E M E N T 3 LS, akad.rok 2014/2015 Strategický management - VŽ 1 Proces strategického managementu LS, akad.rok 2014/2015 Strategický management - VŽ 2 Strategický management
VíceÚvod. Projektový záměr
Vzdělávací program Řízení jakosti a management kvality Realizátor projektu: Okresní hospodářská komora Karviná Kontakt: Svatováclavská 97/6 733 01 KARVINÁ +420 596 311 707 hkok@hkok.cz www.akademieok.cz
VíceManažerská ekonomika
PODNIKOVÝ MANAGEMENT (zkouška č. 12) Cíl předmětu Získat znalosti zákonitostí úspěšného řízení organizace a přehled o současné teorii a praxi managementu. Seznámit se s moderními manažerskými metodami
VíceGradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI
Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP
VíceGradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI
Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY
VíceHODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY
29 HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY POKORNÝ Karel Abstrakt: Metoda Balanced Scorecard (BSC) její podstata, obsah a principy. Vztah BSC ke strategickému a operativnímu řízení
VícePOZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.
Schválené výklady byly určeny a schváleny IATF. Pokud není uvedeno jinak, jsou schváleny výklady platné po zveřejnění. Schválené výklady mění interpretaci pravidla nebo požadavky, která se pak stává podkladem
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 1 VÝVOJ A POJETÍ INFORMAČNÍHO MANAGEMENTU pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky
VícePříklad I.vrstvy integrované dokumentace
Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,
VíceAUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceSOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC
SOCA & Zákon o kybernetické bezpečnosti od teorie k praxi Ivan Svoboda & SOCA AFCEA CERT/SOC 31. 3. 2015 Týká se vás ZKB? Nebojte se zeptat Provedeme vás ANO NE ANO NE ANO ANO NE NE zdroj: Ne pro zákon,
VícePřeklad a interpretace pro české prostředí
Information Security Management Information Risk Management Business Continuity Management Information Forensic Analysis RISK ANALYSIS CONSULTANTS BS ISO/IEC 27001:2005 Information Security Management
VíceMetodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.
Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. http://www.relsie.cz/ Současný stav projektů v ICT Procesy dohled řízení Legislativa národní
VíceStandardy a definice pojmů bezpečnosti informací
Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy
VíceVěstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010
Třídící znak 2 2 1 1 0 5 6 0 ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010 k výkonu činnosti organizátora regulovaného trhu, provozovatele vypořádacího systému a centrálního depozitáře cenných
VíceISO 9001 : 2015. Certifikační praxe po velké revizi
ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,
VíceStrategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.
Strategie Implementace GDPR Michal Zedníček michal.zednicek@alef.com ALEF NULA, a.s. Co je obsahem GDPR Kdo/co/jak/proč Definice zpracování OÚ Organizační opatření Řízení bezpečnosti OÚ Pravidla ochrany
Více1. Politika integrovaného systému řízení
1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky
VíceMANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007
Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceObsah. ÚVOD 1 Poděkování 3
ÚVOD 1 Poděkování 3 Kapitola 1 CO JE TO PROCES? 5 Co všechno musíme vědět o procesním řízení, abychom ho mohli zavést 6 Různá důležitost procesů 13 Strategické plánování 16 Provedení strategické analýzy
VíceStátní pokladna. Centrum sdílených služeb
Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled
VíceOchrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN Ing. Ondřej Bos, Politika a program řízení kontinuity činností (2013_C_02)
Ing. Ondřej Bos Politika a program řízení kontinuity činností Anotace Politika a program jsou klíčové pro volbu optimálního modelu řízení kontinuity činností v organizaci. V příspěvku se čtenář seznámí
VíceSpolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu
Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky
VíceVysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky. Metodické listy pro předmět ŘÍZENÍ PODNIKU 2
Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky Metodické listy pro předmět ŘÍZENÍ PODNIKU 2 Studium předmětu umožní studentům základní orientaci v procesech, které
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2013 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 01.040.35; 35.040 Říjen 2014 Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník ČSN ISO/IEC 27000 36 9790 Information technology
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Prosinec 2011 Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27003 36 9790 Information technology
VíceCo je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.
Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření
VíceOdůvodnění účelnosti veřejné zakázky Vybudování a ověřovací provoz systému Cyber Threat Intelligence
Odůvodnění účelnosti veřejné zakázky Vybudování a ověřovací provoz systému Cyber Threat Intelligence Odůvodnění účelnosti veřejné zakázky podle 1 vyhlášky Popis potřeb, které mají být splněním veřejné
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceŘízení kybernetické a informační bezpečnosti
Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,
VíceNormy ISO/IEC NISS. V Brně dne 7. listopadu 2013
Normy ISO/IEC 27033 Bezpečnost síťové infrastruktury NISS V Brně dne 7. listopadu 2013 Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde
VíceKybernetická bezpečnost - nový trend ve vzdělávání. pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany Brno, Česká republika
Kybernetická bezpečnost - nový trend ve vzdělávání pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany Brno, Česká republika Email: petr.hruza@unob.cz Kybernetická bezpečnost Kybernetická bezpečnost je celosvětově
VíceKRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY
KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY Denní i kombinované studium: doc. RNDr. Dana Procházková, DrSc. Cíle předmětu vyjádřené dosaženými dovednostmi a kompetencemi Prohloubení znalostí z oblasti řízení o
VícePraktické zkušenosti s certifikací na ISO/IEC 20000
Praktické zkušenosti s certifikací na ISO/IEC 20000 Vladimír r VáňaV Senior business consultant AutoCont CZ a.s. Agenda Proč jsme se rozhodli k implementaci kvalitativního standardu a následné certifikaci?
VíceSpisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)
Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.) Adam Kučínský Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti Prezentace vzhledem ke svému rozsahu nepostihuje kompletní
VíceISMS. Bezpečnostní projekt. V Brně dne 10. října 2013
ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací
VíceProfesionální a bezpečný úřad Kraje Vysočina
Profesionální a bezpečný úřad Kraje Vysočina Jak projekt vznikl, aneb potřeba versus možnosti Kraj Vysočina patří dlouhodobě k velmi úspěšným subjektům při čerpání finančních prostředků z EU Dlouhodobé
VíceNávrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí
Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí 24.5.2012 ing. Bohuslav Poduška, CIA na úvod - sjednocení názvosloví Internal Control různé překlady vnitřní
VíceSystém managementu jakosti ISO 9001
Systém managementu jakosti ISO 9001 Požadavky na QMS Organizace potřebují prokázat: schopnost trvale poskytovat produkt produkt splňuje požadavky zákazníka a příslušné předpisy zvyšování spokojenosti zákazníka
VíceBusiness impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o
Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS František Sobotka 25.4.2019 2012 All MANAGEMENT rights reserved. NETWORK HAS NEVER BEEN EASIER www.novicom.cz,
VíceSoučasný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví
Současný stav a rozvoj elektronického zdravotnictví - pohled první ročník semináře ehealth 2012 kongresový sál IKEM 1.11.2012 Elektronizace zdravotnictví: 1. jedná se o dlouhodobé téma 2. povede ke zvýšení
VíceBezpečnostní incidenty IS/ICT a jejich řešení
Abstrakt: Petr Doucek Fakulta informatiky a statistiky, Vysoká škola ekonomická v Praze doucek@vse.cz, http://fis.vse.cz Problematika bezpečnosti informačních systémů a informačních a komunikačních technologií
VíceKRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY
KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY Denní i kombinované studium: doc. RNDr. Dana Procházková, DrSc. Cíle předmětu vyjádřené dosaženými dovednostmi a kompetencemi Prohloubení znalostí z oblasti řízení o
VíceZ P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P
Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í ZoKB a cloudové služby Je možné zajistit
VíceV Brně dne 10. a
Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis
VíceENVIRONMENTÁLNÍ BEZPEČNOST
ENVIRONMENTÁLNÍ BEZPEČNOST INTEGROVANÁ BEZPEČNOST ORGANIZACE Ing. ALENA BUMBOVÁ, Ph.D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)
VíceSystém řízení informační bezpečnosti Information security management systém
Systém řízení informační bezpečnosti Information security management systém Luděk Novák, Josef Požár 1 1. Úvod Na informační bezpečnost se dá nahlížet z různých úhlů a obecně tento pojem zahrnuje celou
VíceZajištění dostupnosti vybraných IT služeb
Zajištění dostupnosti vybraných IT služeb s využitím služeb MS Azure Pavel Vomáčka, Lubomír Bandžuch ISSS - Hradec Králové 4.4. 2016 Business Continuity proč neopomíjet DR/BC 01 povoďně povoďně DDoS útoky
VícePŘÍLOHA 8 BEZPEČNOST, OCHRANA MAJETKU A OSOB
PŘÍLOHA 8 BEZPEČNOST, OCHRANA MAJETKU A OSOB Obsah ROZSAH DOKUMENTU... 3 OCHRANA INFORMACÍ... 3 FYZICKÁ BEZPEČNOST, OCHRANA OSOB A MAJETKU, POŽÁRNÍ OCHRANA A OCHRANA ŽIVOTNÍHO PROSTŘEDÍ... 4 BEZPEČNOSTNÍ
VíceJak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o
Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS Jindřich Šavel 2.4.2019 NOVICOM s.r.o. NETWORK 2012 All MANAGEMENT rights reserved. HAS NEVER BEEN EASIER www.novicom.cz, sales@novicom.cz
VíceHOSPODÁŘSKÁ SFÉRA A HOSPODÁŘSKÁ OPATŘENÍ PRO KRIZOVÉ STAVY
20. medzinárodná vedecká konferencia Riešenie krízových situácií v špecifickom prostredí, Fakulta bezpečnostného inžinierstva ŽU, Žilina, 20. - 21. máj 2015 HOSPODÁŘSKÁ SFÉRA A HOSPODÁŘSKÁ OPATŘENÍ PRO
Vícekomplexní podpora zvyšování výkonnosti strana 1 Využití Referenčního modelu integrovaného systému řízení veřejnoprávní korporace Město Hořovice
strana 1 Využití Referenčního modelu integrovaného systému řízení veřejnoprávní korporace Město Hořovice 19.3.2018 Zpracoval: Roman Fišer, strana 2 1. ÚVOD... 3 2. POPIS REFERENČNÍHO MODELU INTEGROVANÉHO
Více