4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016
|
|
- Jaromír Holub
- před 6 lety
- Počet zobrazení:
Transkript
1 4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016
2 Obsah Standardy dvě perspektivy 1. Perspektiva funkce/profese/útvaru (Assurance function perspective) (ITAF, IPPF, SSAE) 2. Perspektiva vlastního ujištění (Assessment perspective (bezpečnost, kvalita,..) 1. Co je informační bezpečnost? 2. Kategorizace standardů 3. Příklady mezinárodních regulací
3 1. Informační bezpečnost Znamená, že v rámci podniku je informace chráněna před neautorizovaným přístupem (důvěrnost, confidentiality), nesprávnými úpravami (úplnost a správnost, integrity) a nedostupností v případě potřeby (dostupnost, availability).
4 2. Standardy informační bezpečnosti (hledisko úrovně) Úrovně řízení bezpečnosti Operativní security services (zálohování, archivace) Taktická security management (např. BCP) ITIL, COBIT Normy - příklady ISO/IEC 24762:2008 Information technology - Security techniques - Guidelines for information and communications technology disaster recovery services BS 25999, nahrazen ISO Business continuity management Strategická (Security Governance, plán, zavedení ISMS - metriky) Information Security Governance: Guidance for Information Security Managers (ISACA) COBIT 5 for Information Security ISO 27000
5 Standardy informační bezpečnosti ( hledisko předmětu) Předmět normy Bezpečnost procesů IT pohled IT manažerů ISMS součást systému řízení pohled business manažerů Bezpečnost produktů pohled vývojářů, dodavatelů, zákazníků IT Bezpečnost pohled stakeholderů Normy-příklady Cobit, ITIL, SAMM (Software Assurance Maturity Model) ISO 27000, ISO/IEC Information technology -- Security techniques -- Systems Security Engineering -- Capability Maturity Model (SSE-CMM ) (base practices, domény) ISO/IEC (TCSEC, ITSEC) příručka Cobit Security Baseline, Business Model for information Security, Cobit 5 for Information Security
6 3. CobiT Security Baseline Sada pro přežití - Information Security Survival Kit Rizika specifická pro informační bezpečnost, různí uživatelé Obsah: 20 bezpečnostních procesů 44 kontrolních kroků, vazby na obsah ISO/IEC a procesy Cobit 4.1 sady pro přežití : domácí uživatelé, profesionální uživatelé, manažeři, výkonní ředitelé, vyšší výkonní ředitelé a členové představenstva Pro každou tuto skupinu uživatelů příručka nabízí Přehled rizik spojených s danou skupinou uživatelů Dotazník, který má pomoci dané skupině uživatelů zhodnotit, zda dodržují pravidla ISG Seznam akcí, které by měli realizovat Závěr: bezpečnostní rizika - tři kategorie: Rizika záměrného zneužití počítače (trojský kůň, DOS, spoofing, spamming atd.) Rizika plynoucí z porušení pravidel, norem (porušení autorského práva, nepřiměřené využívání internetu, průmyslová špionáž, nesoulad s pravidly a regulacemi) Havárie (porucha disku, porucha dodávky elektřiny, problémy softwaru).
7 SAMM A guide to building security into software development Autor: The Open Web Application Security Project (OWASP) otevřené společenství zaměřené na zlepšování bezpečnosti aplikačního SW Cíl SAMM - otevřený rámec zaměřený na formulování a zavádění strategie pro zlepšování bezpečnosti SW přizpůsobené specifickým rizikům v jednotlivých organizacích Dílčí cíle: Hodnocení existujících praktik v řízení SW Vytvoření vyváženého programu pro ujištění založeného na iteracích Demonstrace konkrétních přínosů Definování a měření bezpečnostních praktik napříč organizací
8 ISO ISMS
9 Revize norem a Říjen 2013 Změny ve struktuře obsahu (sjednocení podle ISO Guide 83, poprvé u sady norem ISO 22301:2012 Societal security Business continuity management systems Requirements) Certifikace nově od dubna 2014
10 ISO/IEC 27001:2005 ISO/IEC 27001:2005 (BS ) Information technology - Security techniques - Information security management systems Requirements, říjen 2005 poskytuje model pro zavedení a správu efektivního systému řízení bezpečnosti informací stanovuje jednoznačné požadavky na systém řízení, kontrolu zavedení ISMS a případnou certifikaci, tedy nezávislé ověření ISMS třetím (důvěryhodným a akreditovaným) subjektem Je úzce propojená s ISO 27002: ISO poskytuje podrobný přehled (katalog) bezpečnostních opatření, která mohou být vybrána při budování ISMS, ISO specifikuje požadavky na to, jak ISMS v organizaci správně zavést. Případná certifikace ISMS pak probíhá podle ISO 27001
11 Obsah ISO Úvod 1. Předmět normy 2. Normativní odkazy 3. Termíny a definice 4. Systém managementu bezpečnosti informací 5. Odpovědnost vedení 6. Interní audity ISMS 7. Přezkoumání ISMS vedením organizace 8. Zlepšování ISMS Příloha A Cíle opatření a jednotlivá bezpečnostní opatření Příloha B Principy směrnice OECD a norma ISO/IEC normou Příloha C vztah mezi ISO 9001 a ISO a touto normou
12 ISO/IEC 27001: 2013 Upravena struktura normy - nová kapitola Kontext organizace zajišťuje zavedení ISMS v souladu s obchodními aktivitami organizace a klade velký důraz na šíření informační bezpečnosti v rámci celé organizace Procesní přístup - nová norma nespecifikuje, jaký bude použit procesní přístup (nevyžaduje PDCA) Hodnocení rizik - rizika jsou nově identifikována vůči informacím (a ne k aktivům) Opatření - revidována a upravena bezpečnostní opatření z Přílohy A, která nyní odpovídají novým IT trendům
13 Evolution of ISO/IEC certificates in Czech Republic, Zdroj: iso.org
14
15 1. Historie ISO Code of Practice for Information Security Management Na začátku byl tzv. Britský standard BS7799, který byl poprvé publikován v roce 1995 BS , později ISO 17799, ISO 17799:2005, nyní ISO Code of Practice for Information Security Management je souhrnem bezpečnostních kontrol (opatření) roztříděných do 11 hlavních sekcí BS , nyní ISO 27001: Specifikace systému řízení bezpečnosti (Specification for Information Security Management System)- certifikace BS :2006 Information Security Management Systems - Guidelines for information security risk management, nyní ISO řízení rizika Poslední verze: ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls
16 ISO/IEC porovnání oblastí verze 2005 a 2013
17 ISO/IEC struktura oddílů -oblastí bezpečnosti 39 kategorií bezpečnosti 133 opatření
18 Změny ISO Redukce opatření z původních 133 na 114 Rozšíření kapitol z původních 11 na 14. Většina stávajících opatření zůstala nepozměněna, aktualizován byl pouze text doporučení.
19 ISO/IEC struktura Každá z kategorií bezpečnosti obsahuje: cíl opatření, čeho má být dosaženo jedno nebo více opatření Popis opatření: Opatření Doporučení k realizaci Další informace
20 Kategorie Opatření 1
21
22 ISO 27004: 2009 Information technology Security techniques information Security management - measurement prosinec 2009 pomůcka k měření a prezentaci efektivity systémů řízení bezpečnosti informací (ISMS) organizací zahrnující řídící procesy definované v ISO a opatření z ISO vhodná pro všechny typy organizací Klíčové části: Information security measurement overview; Management responsibilities; Measures and measurement development; Measurement operation; Data analysis and measurement results reporting; Information Security Measurement Program evaluation and improvement. Příloha A obsahuje vzor pro popis metrik Příloha B nabízí pracovní příklady
23 Obsah ISO/IEC 27005:2008 Information technology - Security techniques -- Information security risk management Foreword Introduction Normative references Terms and definitions Structure Background Overview of the ISRM Process Context Establishment Information Security Risk Assessment (ISRA) Information Security Risk Treatment Information security Risk Acceptance Information security Risk Communication Information security Risk Monitoring and Review Annex A: Defining the scope of the process Annex B: Asset valuation and impact assessment Annex C: Examples of Typical Threats Annex D: Vulnerabilities and vulnerability assessment methods Annex E: ISRA approaches
24 Přehled nové řady ISO 27000: 2014 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary ISO 27001:2013 Information technology -- Security techniques -- Information security management systems Requirements, certifikace, ISO 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls, souhrn bezpečnostních kontrol ISO 27003:2010 Information technology -- Security techniques -- Information security management system implementation guidance, návod pro implementaci standardů celé série, ISO 27004: 2009 Information technology -- Security techniques -- Information security management -- Measurement, metriky pro řízení informační bezpečnosti ISO 27005:2011 Information technology -- Security techniques -- Information security risk management, řízení bezpečnostních rizik ISO 27006:2011 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems, požadavky na akreditované, autority poskytující certifikace
25 pokračování ISO/IEC 27007:2011 Information technology - Security techniques - Guidelines for information security management systems auditing, návod na audit ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security management systems controls, návody pro auditory týkající se ISMS kontrol ISO byla nahrazena ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC and ISO/IEC , návod na implementaci ISMS (ISO 27001) a ITSM (ISO 20000) ISO 27010:2012 Information technology -- Security techniques -- Information security management for inter-sector and inter-organizational communications ISO/IEC 27018:2014 Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, doporučení ohledně ochrany osobních údajů v prostředí cloud computingu ISO 27037:2012 Information technology -- Security techniques -- Guidelines for identification, collection, acquisition and preservation of digital evidence - doporučení pro zjišťování, sběr a získávání a uchovávání digitálních důkazů
26 Sada norem ISO 223xx Societal Security (Společenská bezpečnost) Nahrazuje BS BS : 2006 Business Continuity Management - Code of Practice BS : 2007 Specification for Business Continuity Management (certifikace ve Velké Britanii) Cíl: vytvořit sadu norem, které budou vytvářet základ pro regulaci v oblasti společenské bezpečnosti (včetně BCM) Součást integrovaného systému řízení organizací??? Systém řízení bezpečnosti informací (Information Security Management System - ISMS) ISO Systém řízení kvality (Quality Management System - QMS) - ISO 9000 Řízení environmentálního systému (Environment Management System - EMS), ISO Řízení IT služeb (IT Service Management System), ISO Integrace Úprava ISO (v roce 2013) ISO 9001 (v roce 2015) Všechny systémy se budou řídit PDCA (Plan Do Check Act)
27 Sada norem ISO 223xx Societal Security ISO 22300:2012, Societal security Terminology ISO 22301: 2012, Societal security -- Business continuity management systems --- Requirements Cíl podporovat firemní odolnost vůči nepředvídaným událostem V ČR do června 2013 certifikace podle BS V současné době certifikace podle ISO ISO 22313: 2012, Societal security Business continuity management systems Guidance ISO 22320:2011, Societal security Emergency management Requirements for incident response ISO/TR 22312:2011, Societal security Technological capabilities ISO/PAS 22399:2007, Societal security Guideline for incident preparedness and operational continuity management. ISO 22315, Societal security Mass evacuation ISO 22322, Societal security Emergency management Public warning ISO 22323, Organizational resilience management systems Requirements with guidance for use ISO 22325, Societal security Guidelines for emergency capability assessment for organizations ISO 22351, Societal security Emergency management Shared situation awareness ISO 22397, Societal security Public Private Partnership Guidelines to set up partnership agreements ISO 22398, Societal security Guidelines for exercises and testing ISO 22324, Societal security Emergency management Colour-coded alert
28 Bezpečnost softwarových produktů ISO/IEC Evaluation Criteria for IT Security (CC) Rámec pro: Uživatele počítačového systému: mohou specifikovat bezpečnostní funkcionalitu a jistící požadavky Prodejce: mohou implementovat a zároveň/nebo se dožadovat bezpečnostních atributů svých produktů Testovací laboratoře: mohou vyhodnocovat produkty Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným a standardizovaným způsobem Tři části
29 ISO/IEC :2009 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 1: Introduction and general model Zavádí obecné koncepty a principy hodnocení základní koncept Target of Evaluation (TOE) může to být produkt i systém profily ochrany Protection Profiles (PP) sady požadavků na bezpečnost Specifikace bezpečnostních cílů Security Targets (ST)
30 ISO/IEC :2008 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 2: Security functional components Představuje komplexní katalog předdefinovaných požadavků na bezpečnost SW produktů (hierarchická struktura (třídy rodinykomponenty) Možnost výběru z předdefinovaných požadavků nebo návody na přizpůsobení předdefinovaných požadavků v případě, že předdefinované vzory neexistují ISO/IEC :2008 Information technology -- Security techniques -- Evaluation criteria for IT security -- Part 3: Security assurance components Definuje požadavky na hodnocení TOE škály hodnocení a úrovně hodnocení (Evaluation Assurance Levels - EAL 1 7) Čím je EAL vyšší, tím jsou dokumentace, analýzy a testy podrobnější, ale tím pádem také časově a finančně náročnější
31 Přehled EAL EAL1:Funkčně testováno EAL2: Strukturálně testováno EAL3: Metodicky testováno a kontrolováno EAL4: Metodicky navrženo, testováno, a revidováno EAL5: Semi-formálně navrženo a testováno EAL6: Semi-formálně ověřený návrh a testováno EAL7: Formálně ověřený návrh a testováno
32 Podobné standardy (nahrazeny CC) TCSEC Trusted Computer System Evaluation Criteria (Orange Book) Jde o dokument amerického ministerstva obrany, vydaný v roce Zavádí 4 skupiny (A,B,C,D), které odpovídají vždy jednomu kvalitativně odlišnému stupni bezpečnosti a jsou dále děleny do tříd (D, C1, C2, B1 pro konvenční systémy a B2, B3, A1 pro důvěryhodné systémy). Zabývá se rovněž bezpečnostní politikou a bezpečnostními kritérii pro ochranu dat v informačních systémech. ITSEC Information Technology Security Evaluation Criteria, který je významný pro země EU. Vznikl v roce 199O a reprezentuje ho mezinárodní instituce sídlící ve Velké Británii. Zaměřuje se na prověřování produktů z hlediska bezpečnosti v informačních technologiích. Definuje 7 tříd míry zaručitelnosti bezpečnosti E0 E6, které reprezentují vzrůstající úrovně důvěry. Na každý ověřený produkt pak ITSEC vydá certifikát, který je volně dostupný na internetu.
33 Porovnání norem Canadian Trusted Computer Product Evaluation Criteria Federal Criteria for IT (USA, NIST)
Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha
Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb
VíceMANAGEMENT KYBERNETICKÉ BEZPEČNOSTI
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz
VíceNormy a standardy ISMS, legislativa v ČR
Normy a standardy ISMS, legislativa v ČR RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VícePostupy pro zavedení a řízení bezpečnosti informací
Postupy pro zavedení a řízení bezpečnosti informací ELAT s.r.o Lukáš Vondráček Preambule Prosil bych šroubek M6 asi takhle tlustej Standardy ISO / IEC 27000 SAS 70 /NIST a další... 1.1 Mezinárodní normy
VíceMFF UK Praha, 29. duben 2008
MFF UK Praha, 29. duben 2008 Standardy a normy (informace o předmětu) http://crypto-world.info/mff/mff_04.pdf P.Vondruška Slide2 Úvod 1. RFC (Request For Comment) 2. Standardy PKCS (Public-Key Cryptographic
VíceISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok
ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals
VíceBezpečnostní normy a standardy KS - 6
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický
VíceTechnická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20
ČSN ISO/IEC 7064 Information technology -- Security techniques -- Check character systems Zpracování dat. Systémy kontrolních znaků ČSN BS 7799-2 Information Security Management Systems -- Specification
VíceManagement informační bezpečnosti
Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria
VíceISMS. Bezpečnostní projekt. V Brně dne 10. října 2013
ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací
VíceCobit 5: Struktura dokumentů
Cobit 5: Struktura dokumentů Cobit 5 Framework; popisuje základní rámec (principy, předpoklady, vazby na jiné rámce), Cobit 5 Enabler Guides; jde o dokumenty, které jsou obecným návodem na vytváření předpokladů
VíceVazba na Cobit 5
Vazba na Cobit 5 Hlavní cíle návodu Návod na to, jak užívat rámec Cobit 5 pro podporu a organizaci auditu/ujištění Strukturovaný přístup pro realizaci auditu podle jednotlivých enablers definovaných v
VíceInformační bezpečnost. Dana Pochmanová, Boris Šimák
Informační bezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 Agenda Bezpečnost informací IT rizika Klíčové role IT bezpečnosti v organizaci Bezpečný vývoj IS Normy a standardy v oblasti IT bezpečnosti
VíceZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1
ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU Označení a název ČOS 051655, PROCESY ŽIVOTNÍHO CYKLU SYSTÉMŮ V NATO Změna č. 1 Část č. 1 Původní verze Str. 3 Nová verze Str. 3 AAP-48, Ed. B, version 1 NATO SYSTEM LIFE
VíceStandardy a definice pojmů bezpečnosti informací
Standardy a definice pojmů bezpečnosti informací Robert Gogela, CISA, CISM Lidská společnost se snaží na vše vytvořit normy a potom trestat ty, kdo normy porušují. Nikdo již ale nekontroluje, zda nám normy
VíceManagement informační bezpečnosti. V Brně dne 26. září 2013
Management informační bezpečnosti Úvod a základní pojmy V Brně dne 26. září 2013 Základní pojmy Informatika - proces spojený s automatizovaným zpracováním dat Manažerská informatika - propojení dvou oborů
VíceČSN EN ISO 9001 OPRAVA 1
ČESKÁ TECHNICKÁ NORMA ICS 03.120.10 Květen 2010 Systémy managementu kvality Požadavky ČSN EN ISO 9001 OPRAVA 1 01 0321 idt EN ISO 9001:2008/AC:2009-07 idt ISO 9001:2008/Cor.1:2009-07 Corrigendum Tato oprava
VíceNávrh softwarových systémů - softwarové metriky
Návrh softwarových systémů - softwarové metriky Martin Tomášek Návrh softwarových systémů (B6B36NSS) Převzato z přednášky X36AAS M. Molhanec 2 Co je to metrika? Nástroj managementu pro řízení zdrojů (lidská
VíceČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001
ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005
VíceCo je to COBIT? metodika
COBIT Houška, Kunc Co je to COBIT? COBIT (Control OBjectives for Information and related Technology) soubor těch nejlepších praktik pro řízení informatiky (IT Governance) metodika určena především pro
VíceV Brně dne a
Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná
VíceJak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004
Jak na jakost v podnikovém IT Evropský týden kvality Praha 10.11.2004 Jiří Sedláček AIT s.r.o, Sinkulova 83, 140 00 Praha 4 tel. 261 225 072 www.ait.cz AIT, 2004 1 Program Současné postavení IT v podniku
VíceKvalita procesu vývoje SW. Jaroslav Žáček jaroslav.zacek@osu.cz
Kvalita procesu vývoje SW Jaroslav Žáček jaroslav.zacek@osu.cz Vývoj software a jeho kvalita Samotný vývoj je rozsáhlá a složitá disciplína. Většina SW projektů (v průměru 70 %) je podhodnocena či zpožděna.
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management
VíceRegulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz
Regulace a normy v IT IT Governance Sociotechnický útok michal.sláma@opava.cz Regulace a normy v IT Mezinárodní regulace Národní legislativa Mezinárodní normy Národní normy Oborové standardy Best practices
VícePřeklad a interpretace pro české prostředí
Information Security Management Information Risk Management Business Continuity Management Information Forensic Analysis RISK ANALYSIS CONSULTANTS BS ISO/IEC 27001:2005 Information Security Management
VíceCo je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.
Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
Více4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15
4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15 Osnova 1. Modely pro řízení kontrol IS/IT 2. COBIT 4.1 1. Modely pro řízení kontrol-1 Customer Operations Performance Center
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 01.040.35; 35.040 Říjen 2014 Informační technologie Bezpečnostní techniky Systémy řízení bezpečnosti informací Přehled a slovník ČSN ISO/IEC 27000 36 9790 Information technology
VícePelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci
Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická
Více3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky
Obsah strana 3 1 Školení uživatelů 1/1 Školení zaměstnanců 1/4 Bezpečnost práce 1/4.1 Bezpečnost a ochrana zdraví při práci s počítačem 1/4.2 Manuál pro začínající uživatele 1/5 Vzdělávání formou e -learningu
VíceCobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004
CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení
Víceorganizací IT Vladimír r Kufner
Úloha ITIL V2.0 při p budování zralosti organizací IT Vladimír r Kufner ITSM konzultant, Hewlett-Packard 1.místop stopředseda itsmf CZ Agenda O čem bude řeč? Přehled klíčových publikací ITIL V2.0 a itsmf
VíceNormy ISO/IEC 27xxx Přehled norem
Normy ISO/IEC 27xxx Přehled norem V Brně dne 3. listopadu 2014 Celosvětové normativní organizace Celosvětové neboli nadnárodní ISO - International ti Organization for Standardization di ti - Posláním ISO
VíceTVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU
TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU Dagmar Brechlerová KIT PEF ČZU, Praha 6, Kamýcká, dagmar.brechlerova@seznam.cz ABSTRAKT: Budování bezpečnosti v organizaci není amatérská činnost,
VíceKIV/SI. Přednáška č.2. Jan Valdman, Ph.D. jvaldman@dns.cz
KIV/SI Přednáška č.2 Jan Valdman, Ph.D. jvaldman@dns.cz 8.3.2011 ITIL Information Technology Infrastructure Library ITIL v současnosti zahrnuje: Samotnou knihovnu Oblast vzdělávání a certifikace odborné
VíceJan Hřídel Regional Sales Manager - Public Administration
Podpora kvality ICT ve veřejné správě pohledem Telefónica O2 4. Národní konference kvality Karlovy Vary Jan Hřídel Regional Sales Manager - Public Administration Obsah 1. Strategie v ICT využití metody
VíceAudit ICT. KATALOG služeb. Ing. Jiří Štěrba
KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány
VíceISO 9001 : 2015. Certifikační praxe po velké revizi
ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,
VíceNástroje IT manažera
Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů
VíceNormy ISO/IEC 27xxx Přehled norem
Normy ISO/IEC 27xxx Přehled norem V Brně dne 17. října 2013 Celosvětové normativní organizace Celosvětové neboli nadnárodní ISO - International ti Organization for Standardization di ti - Posláním ISO
VíceNástroje IT manažera
Obsah Nástroje IT manažera Školení uživatelů Ochrana osobních údajů Bezpečnostní politika Software a právo Legální software Management jakosti Výběr a řízení dodavatelů Pracovněprávní minimum manažerů
VíceSystém řízení informační bezpečnosti (ISMS)
Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,
VíceINFORMACE O HODNOCENÍ BEZPEČNOSTI INFORMAČNÍCH TECHNOLOGIÍ COMMON CRITERIA (CC)
INFORMACE O HODNOCENÍ BEZPEČNOSTI INFORMAČNÍCH TECHNOLOGIÍ COMMON CRITERIA (CC) V České republice je dobře známa norma ISO/IEC 15408-1:1999, která je totožná s textem, zveřejněným Organizacemi sponzorujícími
VíceIntegrovaný systém řízení
Integrovaný systém řízení Praha 15. 9. 2016 Hana Churáčková založen v r. 1919 rozhoduje v rámci správního řízení o poskytování ochrany na: vynálezy ochranné známky průmyslové vzory užitné vzory zeměpisná
VíceWS PŘÍKLADY DOBRÉ PRAXE
WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady
VíceANALÝZA RIZIK CLOUDOVÉHO ŘEŠENÍ Z POHLEDU UŽIVATELE. Václav Žid
ANALÝZA RIZIK CLOUDOVÉHO ŘEŠENÍ Z POHLEDU UŽIVATELE Václav Žid Osnova příspěvku Proč cloud computing? Pro jaké služby jsme cloud zvažovali? Jaká je podpora cloudu v USA, EU a v ČR? Výzvy Možnosti hodnocení
VíceSystém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005
Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách
VíceCena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1
Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí Cena za inovaci v interním auditu Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1 CÍL PROJEKTU Cílem projektu
VíceKybernetická bezpečnost
UNIVERZITA OBRANY Fakulta ekonomiky a managementu Kybernetická bezpečnost Ing. Petr HRŮZA, Ph.D. Brno, 2012 Kybernetická bezpečnost Ing. Petr HRŮZA, Ph.D. Recenzenti: doc. Ing. Vladimír VRÁB, CSc. doc.
VíceSOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC
SOCA & Zákon o kybernetické bezpečnosti od teorie k praxi Ivan Svoboda & SOCA AFCEA CERT/SOC 31. 3. 2015 Týká se vás ZKB? Nebojte se zeptat Provedeme vás ANO NE ANO NE ANO ANO NE NE zdroj: Ne pro zákon,
VíceAUDIT STATEMENT REPORT POSTSIGNUM ROOT QCA
TAYLLORCOX s.r.o. Member of TAYLLORCOX UK Ltd. 75 King William St., EC4N, London, UK TAYLLOR & COX PCEB, certification body 3239, accredited in accordance with ČSN EN ISO/IEC 17065:2013 by Czech Accreditation
VícePředmluva 13. Definice interního auditu 27. Etický kodex 31 Úvod 31 Uplatnitelnost a vymahatelnost 31 Základní zásady 31 Pravidla jednání 33
OBSAH Předmluva 13 Definice interního auditu 27 Etický kodex 31 Úvod 31 Uplatnitelnost a vymahatelnost 31 Základní zásady 31 Pravidla jednání 33 Mezinárodní standardy pro profesní praxi interního auditu
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Prosinec 2011 Informační technologie Bezpečnostní techniky Směrnice pro implementaci systému řízení bezpečnosti informací ČSN ISO/IEC 27003 36 9790 Information technology
VíceKatedra informačních technologií VŠE Praha nám. W. Churchilla 4, Praha 3 E-mail: buchalc@vse.cz PODNICÍCH. 1. Úvod
Citace: BUCHALCEVOVÁ, Alena. Zlepšování softwarových procesů ve velmi malých podnicích. Liberec 06.11.2008 07.11.2008. In: Liberecké informatické fórum. Liberec : TU, 2008, s. 12 19. ISBN 978-80-7372-408-5.
VíceCertifikace systému managementu bezpečnosti informací dle ISO/IEC 27001
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost
VíceISO/IEC 20000 certifikace v ČR. Miroslav Sedláček
ISO/IEC 20000 certifikace v ČR Miroslav Sedláček ek auditor, EZU EZU Elektrotechnický zkušební ústav založen v roce 1926 80 let zkoušení a testování elektrotechnických výrobků Certifikační orgán pro QMS
VíceSvalová dystrofie. Prezentace technologických řešení registru Petr Brabec
Svalová dystrofie Prezentace technologických řešení registru Petr Brabec ABOUT IBA MU About IBA Academic institute -> Established in 2001 -> 45 employees -> 65 scientific projects Structure -> Data analysis
VíceSemestrální práce ke kurzu 4IT421 Zlepšování procesů budování IS Semestr LS 2014/2015
Semestrální práce ke kurzu 4IT421 Zlepšování procesů budování IS Semestr LS 2014/2015 Autoři Téma Datum odevzdání 15. 5. 2015 Tomáš Kolmistr (xkolt00), Simona Vybíralová (xvybs00) Typy procesních modelů
VíceKvalita procesu vývoje (SW) Jaroslav Žáček jaroslav.zacek@osu.cz
Kvalita procesu vývoje (SW) Jaroslav Žáček jaroslav.zacek@osu.cz Vývoj software a jeho kvalita Samotný vývoj je rozsáhlá a složitá disciplína. Většina SW projektů (v průměru 60 %) je podhodnocena či zpožděna.
VíceCertifikace Národní digitální knihovny podle ISO normy 16363. Jan Mottl AiP Safe s.r.o.
Certifikace Národní digitální knihovny podle ISO normy 16363 Jan Mottl AiP Safe s.r.o. Proč? Ve smlouvě na dodávku NDK je certifikace požadována v Příloze č.1 Specifikace plnění smlouvy, v kapitole 1.10.
VíceMETODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE
METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE Jednou z klíčových úloh systémové integrace je efektivní řízení fungování IT v podniku. V konečném důsledku se jedná o poměrně složitý proces, do kterého
VíceVážení zákazníci, odběratelé, obchodní přátelé, občané, akcionáři, kolegové
Vážení zákazníci, odběratelé, obchodní přátelé, občané, akcionáři, kolegové Společnost Vodovody a kanalizace Hodonín, a.s. zaměřuje svou hlavní pozornost na maximální uspokojování potřeb svých zákazníků
VíceKarel Škrle, ICZ a. s. 31. 10. 2013. DOKUMENT Certifikace důvěryhodných úložišť
Certifikace důvěryhodných úložišť Karel Škrle, ICZ a. s. 31. 10. 2013 1 Důvěryhodné digitální úložiště není jen aplikace nebo technické zařízení! Správa digitálních objektů Původce Prostředí digitálního
VíceSystémy managementu podniku
Abstract Systémy managementu podniku Jakub MROCEK The paper deals with prospective standardized systems of business management. It explains the quality management system according to ISO 9000, environmental
VíceISO Facility management nová fáze vnímání facility managementu ve společnostech. Ing. Ondřej Štrup, IFMA Fellow
ISO 41000 Facility management nová fáze vnímání facility managementu ve společnostech Ing. Ondřej Štrup, IFMA Fellow FM senior poradce a garant vzdělávání Hein Consulting FM Institute IFMA CZ, IFMA FMCC,
VíceOCTAVE ÚVOD DO METODIKY OCTAVE
OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita
VíceProcesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX
Procesní řízení a normy ISO, ITIL, COBIT, HIPAA, SOX Přednáška č. 13 Ing. Pavel Náplava naplava@fel.cvut.cz Centrum znalostního managementu,13393 Katedra ekonomiky, manažerství a humanitních věd, 13116
VícePředstavení normy ČSN ISO/IEC 20000 Management služeb
Představení normy ČSN ISO/IEC 20000 Management služeb Luděk k Novák konzultant, ANECT Agenda Historie a souvislosti ISO/IEC 20000 Postavení vůči ITIL Procesy pro řízení služeb PDCA model pro řízení služeb
VíceMETODIKA PROVÁDĚNÍ AUDITU COBIT
METODIKA PROVÁDĚNÍ AUDITU COBIT Zkratka COBIT znamená v originále Control Objectives for Information and related Technology. Metodika byla vyvinuta a publikována organizací Information Systems Audit and
VíceŘízení rizik. RNDr. Igor Čermák, CSc.
Řízení rizik RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012,
VíceMANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007
Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ
VíceMEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,
MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA Tomáš Bezouška Praha, 10. 10. 2017 Digitální kontinuita je soubor procesů, opatření a prostředků nutných k tomu, abychom byli schopni zajistit dlouhodobou důvěryhodnost
VíceProcesní řízení IT. Ing. Hana Neničková, MBA
Procesní řízení IT Ing. Hana Neničková, MBA Hewlett-Packard 11.místo v žebříčku časopisu Fortune Za fiskální rok 2007 jsme dosáhli organického růstu ve výší 7 miliard dolarů CEO HP je Mark Hurd, sídlo
VíceŘízení kybernetické a informační bezpečnosti
Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,
VíceKam směřuje akreditace v příštích letech
Kam směřuje akreditace v příštích letech Hydroanalytika 15.-16.9.2015 "Accredo - dávám důvěru" 2 IS 3 ISO 9001 Systémy managementu kvality Požadavky Přizpůsobení měnícímu se světu Reflektování rostoucí
VíceManagement rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,
Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ, 2015 1 5/ Řízení rizika na úrovni projektu, podniku a v rámci corporate governance. BIVŠ, 2015 2 Definice projektu říká, že se jedná o činnost, která
VíceVíce úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb.
Více úrovňové informační systémy a jejich certifikace podle zákona č.412/2005 Sb. Vyhláška č. 523/2005 Sb., o bezpečnosti informačních a komunikačních systémů a dalších elektronických zařízení a o certifikaci
VíceČESKÁ TECHNICKÁ NORMA
ČESKÁ TECHNICKÁ NORMA ICS 35.040 Září 2014 Informační technologie Bezpečnostní techniky Soubor postupů pro opatření bezpečnosti informací ČSN ISO/IEC 27002 36 9798 Information Technology Security techniques
VícePraktické zkušenosti s certifikací na ISO/IEC 20000
Praktické zkušenosti s certifikací na ISO/IEC 20000 Vladimír r VáňaV Senior business consultant AutoCont CZ a.s. Agenda Proč jsme se rozhodli k implementaci kvalitativního standardu a následné certifikaci?
VíceProč nový styl řízení ICT
Řízení informatických služeb Jan Smolík Proč nový styl řízení ICT ICT nepřináší efekt samo o sobě musí podpořit podnikové procesy ICT stále komplexnější a komplikovanější Vysoké investice často malá návratnost
VíceAudit informační bezpečnosti
Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování Audit informační bezpečnosti Diplomová práce Autor: Zdeněk Břicháček Informační technologie a management
VícePOPIS STANDARDU CEN TC278/WG1. Oblast: ELEKTRONICKÉ VYBÍRÁNÍ POPLATKŮ (EFC) Zkrácený název: ZKUŠEBNÍ POSTUPY 2. Norma číslo:
POPIS STANDARDU CEN TC278/WG1 Oblast: ELEKTRONICKÉ VYBÍRÁNÍ POPLATKŮ (EFC) Zkrácený název: ZKUŠEBNÍ POSTUPY 2 Norma číslo: 14907-2 Norma název (en): RTTT EFC - TEST PROCEDURES FOR USER AND FIXED EQUIPMENT
VíceStátní pokladna. Centrum sdílených služeb
Státní pokladna Centrum sdílených služeb Státní pokladna Centrum sdílených služeb Organizační dopady při řešení kybernetické bezpečnosti Ing. Zdeněk Seeman, CISA, CISM Obsah prezentace Podrobnější pohled
VíceEMS - Systém environmentálního managementu. Jiří Vavřínek CENIA
EMS - Systém environmentálního managementu Jiří Vavřínek CENIA Osnova Použití normy a přínosy Demingůvcyklus (PDCA) Hlavní principy a prvky EMS / ISO 14001 Zainteresované strany Požadavky na management/ekology
VíceZADÁVACÍ PODMÍNKY VÝBĚROVÉHO ŘÍZENÍ
Název projektu: Vzdělávání konkurenceschopnost prosperita Registrační číslo projektu: CZ.04.1.03/4.1.11.3/2922 ZADÁVACÍ PODMÍNKY VÝBĚROVÉHO ŘÍZENÍ s uveřejněním dle Příručky pro příjemce finanční podpory
VíceZavádění řízení kvality ve služebních úřadech. Mgr. Markéta Munková Praha,
Zavádění řízení kvality ve služebních úřadech Mgr. Markéta Munková Praha, 18. 1. 2018 Zavádění řízení kvality ve služebních úřadech I. Proč zavádět řízení kvality do služebních úřadů a z čeho taková povinnost
Víceehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky
VíceISO 9001:2015 CERTIFIKACE ISO 9001:2015
CERTIFIKACE ISO 9001:2015 Akreditace UKAS ISO 9001:2015 Požadavky UKAS Zvažování rizik se znalostí kontextu organizace Efektivní vedení (leadership) Méně dokumentace v systému managementu kvality Aplikace
VíceLeitfaden für das Audit von Qualitätssicherungssystemen - Teil 1: Auditdurchführung
ČESKOSLOVENSKÁ NORMA MDT:658.56 Duben 1992 SMĚRNICE PRO PROVĚŘOVÁNÍ SYSTÉMŮ JAKOSTI Část 1: Prověřování ČSN ISO 10011-1 01 0330 Guidelines for auditing quality systems - Part 1: Auditing Lignes directrices
VíceObsah. Příloha č. 2: Standardy a doporučení Verze:
Příloha č. 2: Standardy a doporučení Verze: 0.8 4.10.2005 Obsah Obsah... 1 Právní předpisy... 2 Normy, které se týkají informační bezpečnosti... 3 Obecné zásady... 5 Doporučení pro řízení informační bezpečnosti...
VíceKdyž ICT nefungují řízení kontinuity činností organizace 1
Když ICT nefungují řízení kontinuity činností organizace 1 Petr Doucek Vysoká škola ekonomická katedra systémové analýz W. Churchilla 4, 130 67 Praha 3 doucek@vse.cz Luděk Novák ISACA CRC Španělská 2,
VíceŘízení informační bezpečnosti a veřejná správa
Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a
VícePřípadová studie. Zavedení ISMS dle standardu Mastercard
Případová studie Případová studie Zavedení ISMS dle standardu Mastercard Případová studie Verze 1.0 Obsah Zavedení ISMS dle standardu Mastercard Výchozí stav Zavedení ISMS dle standardu Mastercard Výchozí
VíceMezinárodní norma ISO/IEC 15504
Mezinárodní norma ISO/IEC 15504 Vypracovali: Peter Gardlík, Kateřina Hofrichterová, Miroslav Novák Předmět: 4IT421 Zlepšování procesů budování IS Semestr: LS 2014/2015 Semestrální práce ke kurzu 4IT421
VíceProcesní dokumentace Process Management. Pavel Čejka
Procesní dokumentace Process Management Pavel Čejka SAP Solution Manager 7.2 SAP Solution Manager 7.2 nabízí dramatické zlepšení možností dokumentace Solution dokumentace Jednotné webové prostředí Integrovaný
VíceBezpečnost IS. Základní bezpečnostní cíle
Bezpečnost IS Informační bezpečnost ochrana informace a uchování bezpečnostních atributů informace Důvěrnost, Integrita, Dostupnost, Autentičnost, Spolehlivost? Informace představují majetek s určitou
VíceNadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance
Řízení IT v malých Nadpis presentace útvarech aneb Light verze IT governance Iva Steinerová Mobil: +420 605 225 016 iva.steinerova@perpartes.cz www.perpartes.cz Název a datum presentace (Zobrazit Předloha
Více