Když ICT nefungují řízení kontinuity činností organizace 1

Rozměr: px
Začít zobrazení ze stránky:

Download "Když ICT nefungují řízení kontinuity činností organizace 1"

Transkript

1 Když ICT nefungují řízení kontinuity činností organizace 1 Petr Doucek Vysoká škola ekonomická katedra systémové analýz W. Churchilla 4, Praha 3 Luděk Novák ISACA CRC Španělská 2, Praha 2 Abstrakt: Mimořádné situace, které omezují činnosti organizací, představují významné operační riziko. Pokud se jedná o kritické činnosti organizace, tak na jejich úspěšném vyřešení často závisí přežití organizace. Příspěvek obsahuje některé základní návody, jak řešit přerušení činností organizace (koncept normy BS a NIST SP ). Tento základní pohled je doplněn o řízení kontinuity činností v oblasti ICT (norma BS 25777). Kromě teoretické části, obsahuje příspěvek i zkušenosti z praktického zavádění norem britského standardu do praxe. Klíčová slova: Řízení kontinuity činností organizace (), plán obnovy po havárii (DRP), audit, mezinárodní normy. Abstract: Business continuity and related recovery activities are strong tools for support of solving of critical activities and processes for all organizations. This contribution presents three main international standards (BS 25777, BS and NIST SP ) for business continuity and for ICT continuity and disaster management. Common ideas of these standards are primary presented on theoretical dimension and in the second plan are shown practical experience by their improvement. Keywords: Business continuity management (), disaster recovery planning (DRP), audit, international standards. 1. Úvod Permanentní vývoj a inovace v oblasti podnikových informačních systémů (IS) a informačních a komunikačních technologií (ICT) vedou k integraci ICT do činností organizace a tím i na druhou stranu k rostoucí závislosti podniků i organizací na jejich funkčnosti. V současné době je téměř nepředstavitelné, aby procesy a činnosti organizací nebyly podporovány funkcemi ICT. Důležitost ICT na jedné straně představuje významný potenciál konkurenční výhody v globalizujícím se prostředí, na straně druhé představují významné operační riziko. Největším rizikem ICT je, že samy nebudou buď vůbec schopny podporovat požadované procesy, nebo je budou podporovat pouze omezeně. To znamená, že organizace, resp. všichni jejich pracovníci, kteří jsou odpovědni za průběh některého z procesů a 1 Příspěvek byl zpracován v rámci řešení grantu GAČR 201/07/0455 Model vztahů mezi výkonností podnikání, účinností podnikových procesů a efektivností podnikových procesů. SYSTÉMOVÁ INTEGRACE 2/

2 Petr Doucek, Luděk Novák činností organizace, si budou muset nalézt způsoby náhradního zpracování dat a tím i stanovit jejich náhradní průběh po dobu výpadku ICT musí plánovat řízení kontinuity činností organizace. Pro odborníky a pracovníky ICT pak bude ještě následovat druhá povinnost a tou je uvedení ICT do chodu tak, aby podporovaly činnosti organizací, alespoň v původním rozsahu to znamená zajistit obnovu podpory podnikových procesů prostředky ICT. Různé pohledy na kontinuitu činností organizací odráží současná literatura [7], [12]. Jedním z nich je i širší pojetí kontinuity činností organizací: telefonické a datové komunikace, zpracování dat prostřednictvím počítačů a počítačových sítí, zajištění chodu životně důležitých zařízení (klimatizace, řízení přístupů do prostor apod.) zpracování kritických procesů organizací. [12] V dalším textu se bude zabývat zejména posledními třemi odrážkami s rozšířením pohledu na zajištění kontinuity činností v oblasti ICT. Vlastní pohled na plánování kontinuity činností organizací je v různých částech světa různý a tyto pohledy také odrážejí mezinárodní standardy, které upravují problematiku kontinuity činností v jednotlivých zemích nebo na určitých kontinentech. Základem pro tento příspěvek je pojetí, které vyšlo z nejlepších zkušeností ve Velké Británii [1], [2]. Druhým pojetím je to, které využívají organizace státní správy v USA [13]. 2. Mezinárodní přístupy k řízení kontinuity činností Při hodnocení mezinárodních pohledů na řízení kontinuity je možné rozeznat dva důležité zdroje doporučení. V současnosti nejvýznamnějším tvůrcem doporučení je mezinárodní Institut po řízení kontinuity činností (Business Continuity Institute BCI), který vyvinul a dlouhodobě rozvíjí Směrnice nejlepší praxe BCI [15]. Postavení tohoto konceptu řízení kontinuity se promítlo do britského standardu BS 25999, který se stává uznávaným schématem pro certifikaci organizací s vyzrálým systémem řízení kontinuity. Druhý pohled lze spojovat se zákonem FISMA (Federal Information Security Management Act, přijatý do právního systému USA v roce 2002), který reguluje bezpečnost amerických vládních informačních systémů. V rámci definovaných pravidel Národní institut pro standardy a technologie publikuje mnoho doporučení, která jsou určena pro zvýšení bezpečnosti vládních informačních systémů USA. Nicméně tato pravidla a doporučení jsou intenzivně využívána i pro řadu komerčních či nevládních informačních systémů. Mezi organizací NIST publikované dokumenty patří i směrnice pro řešení mimořádných a krizových situací včetně dokumentů pro řízení podpory kontinuity managementu. 1.1 Směrnice nejlepší praxe BCI Institut pro řízení kontinuity činností je odborné sdružení pracovníků, kteří se věnují problematice řízení kontinuity činností. Existující zkušenosti členů BCI, který byl založen ve Velké Británii v roce 1994, jsou soustředěny do dokumentu, který je nazýván Směrnice nejlepší praxe BCI (BCI Good Practice Guidelines GPG). Poslední verze GPG byla vydána v roce 2008 [15]. 44 SYSTÉMOVÁ INTEGRACE 2/2010

3 Když ICT nefungují řízení kontinuity činností organizace Směrnice nejlepší praxe BCI má své nezastupitelné místo, které sehrává důležitou roli v rozvoji teorie řízení kontinuity. V tomto článku se jim ale věnovat nebudeme a případné zájemce odkazujeme na stránky kde je možné si po registraci dokument volně stáhnout. S ohledem na skutečnost, že z jeho základních principů je odvozen i britský standard BS 25999, se v dalším textu budeme již věnovat pouze tomuto standardu s tím, že všechna pravidla uváděná ve standardu jsou pouze zobecněním Směrnice nejlepší praxe BCI. 1.2 Normy pro řízení kontinuity Řízení kontinuity činností organizace je organizací vlastněný a řízený proces, který zakládá pro svůj účel vhodné strategie a operační rámec. Řízení kontinuity především: proaktivně zvyšuje odolnost organizace proti narušení její schopnosti dosahovat soustavy svých klíčových cílů, poskytuje vyzkoušenou metodu obnovy její schopnosti realizovat klíčové produkty a služby na stanovené úrovni a ve stanovený čas po přerušení, přináší prokazatelnou způsobilost zvládat přerušení činností organizace a chránit její reputaci a dobré jméno. Britský standard Norma BS ustavuje proces, principy a terminologii řízení kontinuity činností organizace (Business Continuity Management ). Účelem této normy je poskytnout základní podklady pro porozumění, vytváření a implementaci kontinuity činností v organizaci a tím zajistit důvěru ve vztazích organizace se zákazníky a ostatními subjekty. Zároveň umožňuje organizaci konzistentním a uznávaným způsobem hodnotit způsobilost k zajištění kontinuity činností. Celý proces kontinuity činností organizace probíhá, dle BS 25999, životním cyklem, který je znázorněn na následujícím obrázku Obr. 1. Prověřování, udržování a přezkoumání Porozumění podniku Řízení programu Vytváření a implementace odezvy Určení strategie Obr.1: Životní cyklus řízení kontinuity činností organizace Zdroj: [2] Dle normy BS 25999, se životní cyklus řízení kontinuity činností organizace skládá ze šesti následujících částí. Řízení programu umožňuje rozvíjet zajištění kontinuity činností podniku jako soustavu dílčích projektů. SYSTÉMOVÁ INTEGRACE 2/

4 Petr Doucek, Luděk Novák Porozumění podniku je etapa shromažďování informací o důležitosti dílčích činností a pro jejich význam z pohledu podniku jako celku. Určení strategie stanoví přístupy ke zvýšení odolnosti podniku a způsoby reakce na krizové události. Vytváření a implementace odezvy je etapa realizace potřebných opatření a jednotlivých dílčích projektů vypracování plánů a scénářů pro krizové události. Prověřování, udržování a přezkoumání by mělo prověřit reálnost připravených plánů a postupů a vést k jejich postupnému zdokonalování. (Postup zdokonalování je podobně jako u jiné norem z oblasti řízení bezpečnosti probíhá v souladu s konceptem PDCA). Ukotvení v kultuře podniku umožňuje, aby se rozvoj kontinuity stál jednou ze základních hodnot podniku. Jádrem řízení kontinuity činností organizace je vyhledání tzv. kritických činností organizace, které jsou nezbytné pro dodávku kritických produktů a služeb klíčovým odběratelům. Jinými slovy pro účelné řízení kontinuity procesů organizace je nezbytné věnovat zvláštní pozornost pouze činnostem, které jsou důležité pro její přežití během jakékoli krize. Právě nalezení kritických produktů a služeb a jejich klíčových odběratelů určuje, které činnosti je nutné považovat za kritické v rámci řízení celé organizace. Řízení kontinuity se pak věnuje výhradně těmto kritickým činnostem. Jeho cílem je koncentrace na vše podstatné a ignorování všeho nepodstatného, což je velmi silná a revoluční myšlenka, která dodává řízení kontinuity opravdové strategické rozměry krizového řízení. NIST Ekonomika Spojených států amerických, která řeší problém kontinuity činností organizací i ICT nejdelší dobu, vychází zejména ve státním sektoru z normy NIST SP , Contingency Planning Guide for Federal Information Systems [13]. Základní koncept této normy řeší otázky systému řízení kontinuity činností podniků a státních organizací, počínaje formulací strategického záměru zajištění chodu podnikových procesů při výpadku ICT, přes tvorbu plánů (včetně plánů dílčích) až po doporučené postupy testování těchto plánů. Součástí normy jsou i části, věnující se obnově podpory podnikových procesů prostředky ICT. Všechny části normy jsou propojeny do jednoho celku, který umožňuje řešit krizové situace v organizaci včetně návaznosti na ICT. Podle zaměření rozdělují doporučení NIST SP krizové plánování na následující oblasti: Plán kontinuity organizace (Business Continuity Plan BCP) Cílem plánu je poskytnout návod organizaci, jak vykonávat svoje procesy po mimořádné události, která naruší jejich standardní výkon. Plán je navrhován ve shodě s ustanoveními Plánu kontinuity činností. Kromě toho musí brát plán v úvahu i fakt, že většina podnikových procesů je v současné době podporována informačními systémy (resp. informačními a komunikačními technologiemi) a proto jeho ustanoven bývají koordinována i s plány nouzového chodu podnikových informačních systémů. Plán kontinuity činností (Continuity of Operations Plan COOP) připravuje koncept zajištění náhradního zpracování činností organizace na jiném místě, než byla činnost původně vykonávána. Jedná se kromě jiného 46 SYSTÉMOVÁ INTEGRACE 2/2010

5 Když ICT nefungují řízení kontinuity činností organizace o služby ICT. Činnosti, pro něž není potřeba měnit místo jejich výkonu, nebývají obvykle tímto plánem řešeny. Plán krizové komunikace (Crisis Communication Plan) obsahuje základní pravidla a postupy pro zajištění interní i externí komunikace v případě krizových situací. Plán ochrany kritické infrastruktury (Critical Infrastructure Protection Plan CIP) představuje souhrn politik a procedur, které slouží k ochraně a obnově technických prostředků, které byly zničeny incidentem (včetně prostředků ICT). Cílem plánu je minimalizovat rizika a zranitelnosti (efektivní působení hrozeb) těchto prostředků. Plán reakce na kybernetické incidenty (Cyber Incident Response Plan) definuje postupy, které souvisejí s řešením kybernetických útoků na prostředí informačních systémů, a obsahuje postupy pro odhalení útoků, určuje způsoby správné a vhodné reakce a postupy pro sběr důkazů. Plán obnovy po havárii (Disaster Recovery Plan DRP) se obyčejně soustředí na obnovení činností organizace po významných katastrofách či rozsáhlých haváriích. Velký význam má DRP pro informační technologie, na jejichž podpoře je obvykle závislý výkon většiny činností organizace. Plán zvládání mimořádných událostí informačního systému (Information System Contingency Plan ISCP) obsahuje postupy pro ohodnocení rozsahu škod, které byly v rámci informačního systému způsobeny neočekávanou událostí, a určení správného postupu obnovy chodu systému. Plán evakuace osob (Occupant Emergency Plan OEP) je základním nástrojem pro evakuaci osob v případech, kdy jsou ohroženy životy nebo zdraví těchto osob. Samo o sobě je krizové plánování pro mnohé organizace problémem, ale kromě toho by se měli manažeři organizací zamýšlet i nad plánováním krizových situací pro případ omezené funkčnosti nebo úplného výpadku ICT. Jejich plánování se vyznačuje dvěma hlavními rysy: není možné jej provádět bez úzké součinnosti s krizovým plánováním ostatních činností organizací (je zde jedno, jedná-li se o procesy hlavní nebo vedlejší), protože ICT jsou fenoménem, který prostupuje celou organizací, má určité specifické vlastnosti, které jsou právě dány možnostmi technologií např. přesun zpracování dat a tím i podpory činností organizace do jiné lokality, možnost zpracovávat data na zapůjčené technice nebo zpracování dat formou outsourcingu. 3. Specifické požadavky na řízení kontinuity činností ICT Z pohledu norem pak na požadavky BS úzce navazuje norma BS 25777, která se soustředí na specifika spojená s řízení kontinuity službami ICT, na kterých je dnes řízení kontinuity činností organizace většinou silně závislé. Snahou je sladění přístupů a řízení kontinuity služeb IT tak, aby byly efektivně a spolehlivě naplněny potřeby podniku. Řízení kontinuity činností ICT se opírá o šest následujících principů. SYSTÉMOVÁ INTEGRACE 2/

6 Petr Doucek, Luděk Novák Chránit ochrana prostředí ICT vůči incidentům, selháním a přerušením chodu zvyšováním odolnosti služeb ICT je základem pro udržování potřebné úrovně dostupnosti. Odhalovat zjištění incidentu v počátečním stádiu omezuje škody a dopady incidentu, snižuje míru úsilí, kterou je potřeba vynaložit pro obnovení chodu ICT. Reagovat volba nejvhodnějšího způsobu odezvy znamená nejúčinnější postup obnovy chodu IT a snižuje rozsah výpadku služeb ICT. Naopak špatný postup obnovy podřadného incidentu může přerůst ve vážné problémy. Obnovit použitím přiměření strategie oživení chodu ICT zajistí očekávaný rámec obnovení chodu služeb a udržení požadované kvality dat. Pochopení priorit při oživování služeb ICT dovolí přednostní obnovení kritických služeb a odložení méně zbytných činností na pozdější dobu. Provozovat je možný chod ICT v nouzovém režimu, který zajistí poskytování kritických služeb s omezením výkonových parametrů apod. Navrátit Navržení postupů pro dotažení návratu chodu ICT do stavu, který byl před bezpečnostním incidentem a kdy jsou služby ICT schopny podporovat běžný chod organizace. Řízení kontinuity činnosti ICT je úzce spojeno s řízením kontinuity činností celé organizace, což je zachyceno na Obrázek 2. Ukotvení řízení kontinuity Prověřování, udržování a přezkoumání Porozumění podniku Řízení programu Vytváření a implementace odezvy Určení strategie Prověřování, testování, udržování a přezkoumání Porozumění požadavkům na kontinuitu ICT Řízení programu kontinuity ICT Vytváření a implementace strategie kontinuity ICT Určení strategie kontinuity ICT v kultuře podniku Obr.2: Vztah mezi řízením kontinuity činností podniku a řízením kontinuity ICT Zdroj: [1] V současné době je na základě britského standardu BS připravována nová mezinárodní norma ISO/IEC Směrnice pro připravenost ICT na (Guidelines for ICT Readeness For Business Continuity [11]). Norma je postavena na společném manažerském konceptu PDCA [4]. Jejím cílem je připravit organizaci na zavedení systému. 48 SYSTÉMOVÁ INTEGRACE 2/2010

7 Když ICT nefungují řízení kontinuity činností organizace Obr.3: Znázornění procesu IRBC v konceptu PDCA Zdroj: [11] Samotná norma, jak již její identifikace ukazuje, patří do rodiny norem ISO/IEC a jej její integrální součástí. Vychází z tvorby systému řízení bezpečnosti informací (ISMS) v organizaci a sama se věnuje jedné jeho části. Připravenost ICT organizací na (ICT Readeness For Business Continuity IRBC) představuje pro mnohé organizace základ při zavádění, ISMS a systému řízení a řešení bezpečnostních incidentů [5]. Příprava plánu pro připravenost na je prvním krokem při přípravě prakticky ve všech organizacích. Účinnost i účelnost systému je velmi často závislá na předem zhotoveném plánu připravenosti, který zajistí, aby svých cílů organizace dosahovala i v případě výpadků svých činností. Vlastní přípravenost a příprava na ni představuje proces, jehož cílem predikovat a řídit nežádoucí jevy (incidenty) v oblasti ICT, které mohou ohrozit chod organizace např. formou omezení nebo přerušení dodávky ICT služby. A na základě analýzy zajistit preventivní ochranu před nimi. Tím systém IRBC podporuje, neboť zajistí, že dodávky ICT služeb mohou být obnoveny v požadované úrovni a v čase, který schválila celá organizace, včetně odběratelů těchto služeb. 4. Zkušenosti s budováním systému řízení kontinuity činností Tolik z šedivého stromu teorie a dikce mezinárodních norem, nyní se podívejme, jak se uvedené normy používají v praxi a s jakými způsobem je můžeme aplikovat. Pro ukázku problémů jsme vzhledem k omezenému prostoru příspěvku zvolili dva následující příklady. SYSTÉMOVÁ INTEGRACE 2/

8 Petr Doucek, Luděk Novák 4.1 Cíle a priority Klíčovým principem je snaha určit kritické prvky a procesy organizace a to z hlediska klíčových produktů a služeb, které organizace vytváří, a z hlediska kritických zainteresovaných stran např. nejvýznamějších zákazníků. Stanovení kritičnosti je dano stutečností, zda je daná organizace schopna výpadek určitého produktu či odběratele rozumně překonat či nikoli. Realizace tohoto jednoduše daného principu v praxi není vůbec jednoduchá, protože vyžaduje značný předhled o interních činostech organizace, o jejích prioritách a o významu nejen hlavních i vedlejších a podpůrných procesů pro dosahování soustavy cílů orgnaizace. Často se stává, že organizace dobře nezná svoje klíčové produkty nebo prioritní zákazníky. Bez těcho znalostí není možné vytvořit dobré plány, protože se musí soustřeďovat pouze na podstatné skutečnosti a nepodstatné pochopitelně zcela ignoruje. Ve svém důsledku to znamená, že může fungovat pouze u organizací, které jsou si vědomy svého postavení, znají svoje klíčové produkty a vědí, kdo jsou jejich prioritní zákazníci. Nezanadbatelným přínosem implemantace je hledání business podstaty organizace, které nemá vliv pouze na řízení kontinuity, ale významně ovlivňuje i priority v běžném manažerském rozhodování. V tomto směru je zajímavé, že většina implementací, u kterých probíhala formální certifikace souhlasu s BS 25999, měla problémy právě v určení rozsahu. Jinými slovy dané organizace měly problém správně určit, co je jejich business podstatou. V tomto směru může mít zavádění nedozírné následky na skutečné řízení organizace i mimo sféru krizových situací. Uvědomění si business podstaty je největším přínosem, který se promítá i do dalších priorit každodenního řízení. Testování a prověřování. 1.2 Prověřování a testování Další praktickou zkušeností je skutečnost, že existuje nizké povědomí o možnostech testování a prověřování. Často se setkávám s názorem, že prověřit nelze, protože nikdo neodsouhlasí riziko možných následků spojených se zastavením chodu organizace. Tyto názory jsou hodně dány tím, že lidé neznají možnosti ověřování. Podle vzrůstající složitosti jsou způsoby prověřování rozděleny do následujících katagorií: Nácvik u stolu jedná se o prověření smyslupnosti plánů, které provádí autor případně další jeho spolupracovníci např. u plánů datového centra by byla prověřována úplnost činností spojených se spuštěním záložního prostředí a jejich rámcová časová náročnost. Cvičné procházení plánů je vyšší formou, při které jsou do testování plánů zapojeny prověrky schopností vzájemné komunikace různých útvarů organizace. Pro případ datového centra to znamená modelování komunikace s odpovědnými pracovníky koncových uživatelů a prověření jejich reakcí spojených se schopnostmi nouzového zpracování dat. Simulace je modelování možných forem havárií s tím, že v rámci cvičení jsou simulovány všechny potřebné činnosti např. při nácviku jsou činnosti spojené s aktivovánním datového centra pouze simulovány (činnosti nejsou 50 SYSTÉMOVÁ INTEGRACE 2/2010

9 Když ICT nefungují řízení kontinuity činností organizace reálně prováděny) a snahou je spíše prověřit dostupnost potřebných nástrojů a přípravenost zúčastněných osob. Nácvik kritických činností aktivace vybraných důležitých činností spojených s, při jejichž procvičování nesmí dojit k ohrožení chodu organizace např. reálné prověření plánů pro spuštění záložního datového centra bez toho, aniž by došlo k jeho provoznímu použití. Úplný nácvik celého plánu rozsáhlé cvičení, které prověřuje všechny aspekty tj v případě datového centra by bylo primární datové centrum vypnuto a v rámci testů bylo nutné převést všechny operace do záložního prostředí a poté zpět na primární technologie. Uvedené rozdělení prověrek podle náročnosti je důležitým vodítkem pro přípravu odpovídajícího rozsahu testů. Je zřejmé, že úplný nácvik je vysoce náročnou a často i rizkovou záležitostí. To ale neznamená, že organizace nemohou využít méně náročné možnosti tak, aby měly rozumnou záruku, že jsou jejich plány racionální a opírají se o reálné možnosti. Dalším důležitým momentem je skutečnost, jak koncipovat plány tak, aby je bylo možné prověřovat a testovat. Pouhý výčet činností nebývá v tomto směru dostatečným podkladem. V řadě případů je potřeba doplnit potřebné aktivity o upřesnění závislostí mezi jednotlivými činnostmi plánu a o jejich náročnost na zdroje lidské a zejména časové. Pouze tímto způsobem mohou vzniknout plány, u kterých je možné ověřit zda v plánu uvedené aktivity odpovídají stanoveným cílům pro obnovení činností a tím i k zajištění výkonu kritických činností organizace. 5. Závěry Moderní organizace v současném ekonomickém prostředí musí být připraveny na plnění svých závazků vůči odběratelům a tím i k plnění hlavních procesů bez ohledu na to, jaké nastaly podmínky. Mimořádné události, bezpečnostní incidenty a další události, které mohou narušit jak chod hlavních procesů organizací, tak i jejich podporu prostřednitcvím ICT a tím mohou významně ohrozit i samotnou existenci organizace. K mimořádným situacím musí vedení organizací přistupovat s rozmyslem a po dobré přípravě. Hlavní náměty, jak řešit tyto situace, jsou uvedeny v doporučených mezinárodních normách BS 25999, BS a NIST: SP Kdybychom uvedená doporučení značně zjednodušili, tak se dopracujeme k podstatě řízení kontinuity organizace, kterou je možné spojit s frází Šteští přeje připraveným. V tomto duchu je vhodné a žádoucí, aby si každý občas udělal nějakou představu o tom, jak bude schopen fungovat v případě mimořádných událostí, kdy se nebude možné spolehnout na výkon některých prograsů organizace. Složitost pro organizace bývá v tom, že je potřeba sladit činnosti více pracovních týmů, oddělení nebo i divizí a to vyžaduje rozumnou míru přípravy. A navíc, když využijeme existující zkušenosti schromážděné v mezinárodních normách, nemusíme řadu věcí sami objevovat, čož bývá velmi nákladné a neefektivní.při řízení kontinuity je důležité ještě nezapomínat na další věc a to je skutečnost, že bychom měli řešit zcela mimořádné situace, ve kterých se jedná o přežití dané organizace. Tomu je potřeba podřídit i zvolené přístupy a priority. Ne vždy opravdu potřebujeme všechny organizační prvky a pohodlí, na které jsme zvyklí z běžného života organizace. Správné určení kritických prvků organizace a jejich minimální úrovně SYSTÉMOVÁ INTEGRACE 2/

10 Petr Doucek, Luděk Novák činností je pro řízení kontinuity klíčové. Nalezení této podstaty organizace nicméně nebývá zcela bez obtíží a vyžaduje poměrně značné úsilí, které se ale vyplatí. 6. Literatura [1] BS 25777: 2008 Information and communications technology continuity management Code of practice. [2] BS 25999: 2007 Business continuity management. Specification. [3] DOUCEK, P., NOVÁK, L.: Systém řízení bezpečnosti informací mezinárodní normy a zkušenosti z praxe. Praha In: Role IT v době dynamických změn [CD-ROM]. Praha : Oeconomica, 2009, s ISBN [4] DOUCEK, P., NOVÁK, L., SVATÁ, V.: Řízení bezpečnosti informací, Professional Publishing 2008, ss. 239, ISBN [5] ČSN ISO/IEC 27001:2006, Informační technologie Bezpečnostní techniky Systém managementu bezpečnosti informací Požadavky. [6] ČSN ISO/IEC 27002:2006, Informační technologie Soubor postupů pro management bezpečnosti informací. [7] HILES, A.(ed.): The Definite Handbook of Business Continuity Management, John Wiley and Sons, Inc., 2008, ISBN [8] ISO/IEC 27006: 2007 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systéme [9] ISO/IEC 27007: 2008 Information technology Security techniques Guidelines for security management systems auditing [10] ISO/IEC 24762: 2008 Information technology Security techniques Guidelines for information and communication technology disaster recovery services. [11] ISO/IEC Information Technology Security Techniques Giudelines for ICT Readness For Business Continuity. 1st CD [12] MYERS, K., N.: Business Continuity Strategies, Protection Against Unplanned Disaster, John Wiley and Sons, Inc., 2006, ISBN [13] NIST: SP , rev. 1, Continegency Planning Guide for Federal Information Systems, draft, NIST, 2009, [14] SNEDAKER,S.: Business Continuity and Disaster Recovery Planning for IT Professionals, Syngress Publishing, Inc., 2007, ISBN [15] Business Continuity Institute Good Practice Guidelines, BCI 2008, , Internet: SYSTÉMOVÁ INTEGRACE 2/2010

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o. Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

WS PŘÍKLADY DOBRÉ PRAXE

WS PŘÍKLADY DOBRÉ PRAXE WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

Řízení rizik ICT účelně a prakticky?

Řízení rizik ICT účelně a prakticky? Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby

Více

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb Datové centrum SPCSS Představení služeb DC SPCSS str. 2 Proč jsme na trhu Mise Předmětem podnikání státního podniku SPCSS je provozování

Více

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci. Mgr. Monika Johaníková Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN 1805-5656 Stanovení strategie řízení kontinuity činností Anotace Příspěvek je věnován základním informacím o způsobu volby

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004

Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004 Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004 Jiří Sedláček AIT s.r.o, Sinkulova 83, 140 00 Praha 4 tel. 261 225 072 www.ait.cz AIT, 2004 1 Program Současné postavení IT v podniku

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK Dodržují vaši obchodníci a prodejní zástupci vaše obchodní podmínky? Uplatňují vaše etické principy všichni zaměstnanci vůči svým zákazníkům? Dostávají vaši zákazníci

Více

Management informační bezpečnosti

Management informační bezpečnosti Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb! AUDITY Audity představují nezávislý zdroj informací a týkají se všech podnikových procesů, které tvoří systém zabezpečování jakosti podniku.audity znamenají tedy systematický, nezávislý a dokumentovaný

Více

Jan Hřídel Regional Sales Manager - Public Administration

Jan Hřídel Regional Sales Manager - Public Administration Podpora kvality ICT ve veřejné správě pohledem Telefónica O2 4. Národní konference kvality Karlovy Vary Jan Hřídel Regional Sales Manager - Public Administration Obsah 1. Strategie v ICT využití metody

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více

Postupy pro zavedení a řízení bezpečnosti informací

Postupy pro zavedení a řízení bezpečnosti informací Postupy pro zavedení a řízení bezpečnosti informací ELAT s.r.o Lukáš Vondráček Preambule Prosil bych šroubek M6 asi takhle tlustej Standardy ISO / IEC 27000 SAS 70 /NIST a další... 1.1 Mezinárodní normy

Více

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Petr HRŮZA 1 MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY Abstract: The article introduces the module cyber security at the University of Defence. This is a new module. University

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Řízení informační bezpečnosti a veřejná správa

Řízení informační bezpečnosti a veřejná správa Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému

Více

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky

Více

SMĚRNICE DĚKANA Č. 4/2013

SMĚRNICE DĚKANA Č. 4/2013 Vysoké učení technické v Brně Datum vydání: 11. 10. 2013 Čj.: 076/17900/2013/Sd Za věcnou stránku odpovídá: Hlavní metodik kvality Za oblast právní odpovídá: --- Závaznost: Fakulta podnikatelská (FP) Vydává:

Více

Představení normy ČSN ISO/IEC 20000 Management služeb

Představení normy ČSN ISO/IEC 20000 Management služeb Představení normy ČSN ISO/IEC 20000 Management služeb Luděk k Novák konzultant, ANECT Agenda Historie a souvislosti ISO/IEC 20000 Postavení vůči ITIL Procesy pro řízení služeb PDCA model pro řízení služeb

Více

S T R A T E G I C K Ý M A N A G E M E N T

S T R A T E G I C K Ý M A N A G E M E N T S T R A T E G I C K Ý M A N A G E M E N T 3 LS, akad.rok 2014/2015 Strategický management - VŽ 1 Proces strategického managementu LS, akad.rok 2014/2015 Strategický management - VŽ 2 Strategický management

Více

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická

Více

Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN. Konzultace: pondělí 10 00 11 00 nebo dle dohody Spojení: e-mail: jan.skrbek@tul.cz tel.

Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN. Konzultace: pondělí 10 00 11 00 nebo dle dohody Spojení: e-mail: jan.skrbek@tul.cz tel. 1 Informační systémy Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Konzultace: pondělí 10 00 11 00 nebo dle dohody Spojení: e-mail: jan.skrbek@tul.cz tel.: 485 352 442 Přednášky: úterý 12 30 H35 Cvičení: Mgr.

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz KIV/SI Přednáška č.2 Jan Valdman, Ph.D. jvaldman@dns.cz 8.3.2011 ITIL Information Technology Infrastructure Library ITIL v současnosti zahrnuje: Samotnou knihovnu Oblast vzdělávání a certifikace odborné

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Státní pokladna. Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o.

Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. Metodický dohled - jak správně ošetřit požadavky legislativy ICT projektu Jan Heisler, Relsie, spol. s r.o. http://www.relsie.cz/ Současný stav projektů v ICT Procesy dohled řízení Legislativa národní

Více

KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY

KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY Denní i kombinované studium: doc. RNDr. Dana Procházková, DrSc. Cíle předmětu vyjádřené dosaženými dovednostmi a kompetencemi Prohloubení znalostí z oblasti řízení o

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

1.3 Podstata, předmět a cíle krizového managementu

1.3 Podstata, předmět a cíle krizového managementu KAPITOLA 1: MANAGEMENT A KRIZOVÝ MANAGEMENT 1.3 Podstata, předmět a cíle krizového managementu Krizový management patří do skupiny prediktivního projektového managementu 4. Je to soubor specifických přístupů,

Více

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky

Více

ISO 9001 : 2015. Certifikační praxe po velké revizi

ISO 9001 : 2015. Certifikační praxe po velké revizi ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,

Více

Úvod. Projektový záměr

Úvod. Projektový záměr Vzdělávací program Řízení jakosti a management kvality Realizátor projektu: Okresní hospodářská komora Karviná Kontakt: Svatováclavská 97/6 733 01 KARVINÁ +420 596 311 707 hkok@hkok.cz www.akademieok.cz

Více

Standardy a definice pojmů bezpečnosti informací

Standardy a definice pojmů bezpečnosti informací Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy

Více

Systém managementu jakosti ISO 9001

Systém managementu jakosti ISO 9001 Systém managementu jakosti ISO 9001 Požadavky na QMS Organizace potřebují prokázat: schopnost trvale poskytovat produkt produkt splňuje požadavky zákazníka a příslušné předpisy zvyšování spokojenosti zákazníka

Více

1. Politika integrovaného systému řízení

1. Politika integrovaného systému řízení 1. Politika integrovaného systému řízení V rámci svého integrovaného systému řízení (IMS) deklaruje společnost AARON GROUP spol. s r.o. jednotný způsob vedení a řízení organizace, který splňuje požadavky

Více

Řízení kybernetické a informační bezpečnosti

Řízení kybernetické a informační bezpečnosti Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 01.040.35; 35.040 Říjen 2014 Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník ČSN ISO/IEC 27000 36 9790 Information technology

Více

Manažerská ekonomika

Manažerská ekonomika PODNIKOVÝ MANAGEMENT (zkouška č. 12) Cíl předmětu Získat znalosti zákonitostí úspěšného řízení organizace a přehled o současné teorii a praxi managementu. Seznámit se s moderními manažerskými metodami

Více

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013 Normy ISO/IEC 27033 Bezpečnost síťové infrastruktury NISS V Brně dne 7. listopadu 2013 Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde

Více

ENVIRONMENTÁLNÍ BEZPEČNOST

ENVIRONMENTÁLNÍ BEZPEČNOST ENVIRONMENTÁLNÍ BEZPEČNOST INTEGROVANÁ BEZPEČNOST ORGANIZACE Ing. ALENA BUMBOVÁ, Ph.D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

Více

Překlad a interpretace pro české prostředí

Překlad a interpretace pro české prostředí Information Security Management Information Risk Management Business Continuity Management Information Forensic Analysis RISK ANALYSIS CONSULTANTS BS ISO/IEC 27001:2005 Information Security Management

Více

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY 29 HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY POKORNÝ Karel Abstrakt: Metoda Balanced Scorecard (BSC) její podstata, obsah a principy. Vztah BSC ke strategickému a operativnímu řízení

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY

Více

Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN Ing. Ondřej Bos, Politika a program řízení kontinuity činností (2013_C_02)

Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN Ing. Ondřej Bos, Politika a program řízení kontinuity činností (2013_C_02) Ing. Ondřej Bos Politika a program řízení kontinuity činností Anotace Politika a program jsou klíčové pro volbu optimálního modelu řízení kontinuity činností v organizaci. V příspěvku se čtenář seznámí

Více

Obsah. ÚVOD 1 Poděkování 3

Obsah. ÚVOD 1 Poděkování 3 ÚVOD 1 Poděkování 3 Kapitola 1 CO JE TO PROCES? 5 Co všechno musíme vědět o procesním řízení, abychom ho mohli zavést 6 Různá důležitost procesů 13 Strategické plánování 16 Provedení strategické analýzy

Více

Systém řízení informační bezpečnosti Information security management systém

Systém řízení informační bezpečnosti Information security management systém Systém řízení informační bezpečnosti Information security management systém Luděk Novák, Josef Požár 1 1. Úvod Na informační bezpečnost se dá nahlížet z různých úhlů a obecně tento pojem zahrnuje celou

Více

Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky. Metodické listy pro předmět ŘÍZENÍ PODNIKU 2

Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky. Metodické listy pro předmět ŘÍZENÍ PODNIKU 2 Vysoká škola finanční a správní, o.p.s. Katedra řízení podniku a podnikové ekonomiky Metodické listy pro předmět ŘÍZENÍ PODNIKU 2 Studium předmětu umožní studentům základní orientaci v procesech, které

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Prosinec 2011 Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27003 36 9790 Information technology

Více

Praktické zkušenosti s certifikací na ISO/IEC 20000

Praktické zkušenosti s certifikací na ISO/IEC 20000 Praktické zkušenosti s certifikací na ISO/IEC 20000 Vladimír r VáňaV Senior business consultant AutoCont CZ a.s. Agenda Proč jsme se rozhodli k implementaci kvalitativního standardu a následné certifikaci?

Více

DOKUMENT IAF IAF MD 12: 2013

DOKUMENT IAF IAF MD 12: 2013 DOKUMENT IAF IAF MD 12: 2013 Posuzování certifikačních činností pro přeshraniční akreditaci Assessment of Certification Activities for Cross Frontier Accreditation Překlad ČIA - únor 2014 1 IAF MD 12:2013

Více

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje

Procesy, procesní řízení organizace. Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Procesy, procesní řízení organizace Výklad procesů pro vedoucí odborů krajského úřadu Karlovarského kraje Co nového přináší ISO 9001:2008? Vnímání jednotlivých procesů organizace jako prostředku a nástroje

Více

Technická specifikace předmětu plnění:

Technická specifikace předmětu plnění: Technická specifikace předmětu plnění: Poskytnutí standardní služby Premier Support zahrnující konzultační a implementační podporu, řešení problémů u produktů v nepřetržitém režimu 24x7 v rámci aktuálního

Více

Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví

Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví Zapojení zaměstnanců a zaměstnavatelů do řešení otázek Společenské odpovědnosti firem ve stavebnictví Projekt CZ.1.04/1.1.01/02.00013 Posilování bipartitního dialogu v odvětvích Realizátor projektu: Konfederace

Více

MANAGEMENT Přístupy k řízení organizace

MANAGEMENT Přístupy k řízení organizace MANAGEMENT Přístupy k řízení organizace doc. Ing. Monika MOTYČKOVÁ (Grasseová), Ph.D. Univerzita obrany Fakulta ekonomika a managementu Katedra vojenského managementu a taktiky Kounicova 44/1. patro/kancelář

Více

Bezpečnostní incidenty IS/ICT a jejich řešení

Bezpečnostní incidenty IS/ICT a jejich řešení Abstrakt: Petr Doucek Fakulta informatiky a statistiky, Vysoká škola ekonomická v Praze doucek@vse.cz, http://fis.vse.cz Problematika bezpečnosti informačních systémů a informačních a komunikačních technologií

Více

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona KB Národní centrum KB Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Návrh ZKB # Proč ZKB? # Jak to začalo? # Oblasti regulace ZKB #

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5

Co musí zahrnovat dokumentace systému managementu kvality? 1 / 5 ISO 9000:2005 definuje třídu jako 1) kategorie nebo pořadí dané různým požadavkem na kvalitu produktů, procesů nebo systémů, které mají stejné funkční použití 2) kategorie nebo pořadí dané různým požadavkům

Více

KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016

KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ ČEZ V ROCE 2016 KYBERNETICKÁ BEZPEČNOST VE SKUPINĚ V ROCE 2016 03/2016 Ing. Libor Kovář Chief Information Security Officer Skupina AGENDA Kybernetické prostředí Motivace Hlavní pilíře Aktuální priority Náš přístup Závěr

Více

Security. v českých firmách

Security. v českých firmách Security v českých firmách Radek Prokeš Local Sales Representative Proč Security Rozvíjející se technologie a trendy Rozložení odpovědí v průzkumu Do zatím nejrozsáhlejšího InFact průzkumu se zapojilo

Více

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Aktivity NBÚ při zajišťování kybernetické bezpečnosti Aktivity NBÚ při zajišťování kybernetické bezpečnosti Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 10.4.2013 1 Zákon o kybernetické bezpečnosti Kritická informační infrastruktura 10.4.2013

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

Výtisk č. : Platnost od: Schválil: Podpis:

Výtisk č. : Platnost od: Schválil: Podpis: SM-05 INTERNÍ AUDITY Výtisk č. : Platnost od: Schválil: Podpis: 1 OBSAH Číslo kapitola strana 1 OBSAH... 2 2 PŘEHLED ZMĚN A REVIZÍ... 2 3 ÚČEL... 2 3.1 ROZSAH PLATNOSTI... 3 3.2 DEFINICE... 3 3.3 POUŽITÉ

Více

Příklad I.vrstvy integrované dokumentace

Příklad I.vrstvy integrované dokumentace Příklad I.vrstvy integrované dokumentace...víte co. Víme jak! Jak lze charakterizovat integrovaný systém managementu (ISM)? Integrovaný systém managementu (nebo systém integrovaného managementu) je pojem,

Více

Zajištění dostupnosti vybraných IT služeb

Zajištění dostupnosti vybraných IT služeb Zajištění dostupnosti vybraných IT služeb s využitím služeb MS Azure Pavel Vomáčka, Lubomír Bandžuch ISSS - Hradec Králové 4.4. 2016 Business Continuity proč neopomíjet DR/BC 01 povoďně povoďně DDoS útoky

Více

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ-22 A Audity ISŘ 13. Lenka Šloserová v. r. 19. listopadu 2015 Hana Fuxová v. r. Ing. Stanislav Bruna v. r. - Organizační změny - Implementace ISO

Více

Strategický dokument se v současné době tvoří.

Strategický dokument se v současné době tvoří. Karta projektového okruhu Číslo a název projektového okruhu: Garant karty projektového okruhu: Spolupracující subjekty: 3.9 Elektronizace odvětví: ejustice Ministerstvo spravedlnosti Ministerstvo vnitra

Více

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví Současný stav a rozvoj elektronického zdravotnictví - pohled první ročník semináře ehealth 2012 kongresový sál IKEM 1.11.2012 Elektronizace zdravotnictví: 1. jedná se o dlouhodobé téma 2. povede ke zvýšení

Více

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

ISO 9001:2015 CERTIFIKACE ISO 9001:2015 CERTIFIKACE ISO 9001:2015 Akreditace UKAS ISO 9001:2015 Požadavky UKAS Zvažování rizik se znalostí kontextu organizace Efektivní vedení (leadership) Méně dokumentace v systému managementu kvality Aplikace

Více

Security. v českých firmách

Security. v českých firmách Security v českých firmách Proč Security Rozvíjející se technologie a trendy Rozložení odpovědí v průzkumu Do zatím nejrozsáhlejšího InFact průzkumu se zapojilo 141 firem z TOP 600 společností v ČR (podle

Více

Snížení skrytých nákladů spojených se zvýšením kapacity napájení datových středisek

Snížení skrytých nákladů spojených se zvýšením kapacity napájení datových středisek Snížení skrytých nákladů spojených se zvýšením kapacity napájení datových středisek Richard Sawyer White Paper #73 Resumé Zvýšení kapacity napájení tradičních systémů UPS vede ke skrytým nákladům, které

Více

Základy řízení bezpečnosti

Základy řízení bezpečnosti Základy řízení bezpečnosti Bezpečnost ve společnosti MND a.s. zahrnuje: - Bezpečnost a ochranu zdraví - Bezpečnost provozu, činností - Ochranu životního prostředí - Ochranu majetku - Ochranu dobrého jména

Více

Projektová fiše. Cíle modulu. SWOT analýza. SWOT analýza. SWOT analýza - přehled. SWOT Analýza vnitřního prostředí

Projektová fiše. Cíle modulu. SWOT analýza. SWOT analýza. SWOT analýza - přehled. SWOT Analýza vnitřního prostředí Cíle modulu Všeobecné seznámení se strukturou a cílem projektové fiše obeznámení se základními principy tvorby SWOT analýzy projektů (vyhodnocení, návaznosti apod.) dokázat stanovit cíle projektu dle kritérií

Více

MANAGEMENT Systém managementu kvality

MANAGEMENT Systém managementu kvality MANAGEMENT Systém managementu kvality doc. Ing. Monika MOTYČKOVÁ (Grasseová), Ph.D. Univerzita obrany Fakulta ekonomika a managementu Katedra vojenského managementu a taktiky Kounicova 44/1. patro/kancelář

Více

Dobrá praxe plánování interpretace

Dobrá praxe plánování interpretace plánování interpretace Standardy National Association for Interpretation upravené pro potřeby interpretace přírodního dědictví překlad Michal Medek, 2015 Oblasti standardů: Ochrana dědictví Terminologie

Více

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A ISO 9001:2015 v cyklu P-D-C-A Milan Trčka Kontext organizace (4) Interní a externí aspekty Rozsah zákazníků Zainteresované strany Systém managementu kvality Kontext organizace (4) Základ Kontext organizace

Více

Společné minimum pro potřeby vzdělávání odborníků v oblasti bezpečnosti. (schváleno usnesením BRS ze dne 3. července 2007 č. 32)

Společné minimum pro potřeby vzdělávání odborníků v oblasti bezpečnosti. (schváleno usnesením BRS ze dne 3. července 2007 č. 32) Společné minimum pro potřeby vzdělávání odborníků v oblasti bezpečnosti (schváleno usnesením BRS ze dne 3. července 2007 č. 32) 1 Minimum pro akreditaci výuky bezpečnosti na vysokých školách pro bakalářské

Více

2. Podnik a jeho řízení

2. Podnik a jeho řízení 2. Podnik a jeho řízení Řízení podniku Rozvoj podniku Vazba strategie procesy Strategie podniku SWOT analýza Podnik a IS Strategie IS/ICT Projekty 1/35 Řízení podniku - 1 Vrcholové vedení Řídící aktivity

Více

ČSN EN ISO (únor 2012)

ČSN EN ISO (únor 2012) ČSN EN ISO 50001 (únor 2012) nahrazuje ČSN EN 16001 z 02/2010 kompatibilní s ISO 9001 a ISO 14001 Seminář: ČSN EN ISO 50001: 2012 Zadavatel: EKIS Délka přednášky: 1 hodina Přednášející: Ing. Vladimír Novotný

Více

ENVIRONMENTÁLNÍ EKONOMIKA II.

ENVIRONMENTÁLNÍ EKONOMIKA II. ENVIRONMENTÁLNÍ EKONOMIKA II. Úvod do dobrovolných nástrojů Ing. Alena Bumbová, Ph.D. Univerzita obrany Fakulta ekonomiky a managementu Katedra ochrany obyvatelstva Kounicova 65 662 10 Brno telefon: 973

Více

Bezpečnostní poradenství. www.cstconsulting.cz

Bezpečnostní poradenství. www.cstconsulting.cz Bezpečnostní poradenství KDO JSME? Nezávislí bezpečnostní poradci CST Consulting s.r.o. vzniklo na základě myšlenky přiblížit profesionální nezávislý poradenský servis nejen velkým korporacím, které tradičně

Více

T T. Think Together 2012. Jan Pinta THINK TOGETHER

T T. Think Together 2012. Jan Pinta THINK TOGETHER Česká zemědělská univerzita v Praze Provozně ekonomická fakulta Doktorská vědecká konference 6. února 2012 T T THINK TOGETHER Think Together 2012 Budování havarijních plánů a plánů obnovy jako součást

Více

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice FORMULACE, VÝBĚR A IMPLEMENTACE STRATEGIE Vysoká škola technická a ekonomická v Českých Budějovicích Institute of Technology And Business In České Budějovice Tento učební materiál vznikl v rámci projektu

Více

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí:

Výčet strategií a cílů, na jejichž plnění se projektový okruh podílí: Karta projektového okruhu Číslo a název projektového okruhu: Garant karty projektového okruhu: Spolupracující subjekty: 9. Elektronizace podpůrných procesů Ministerstvo vnitra, Ministerstvo financí Správa

Více