Řízení rizik. RNDr. Igor Čermák, CSc.

Rozměr: px
Začít zobrazení ze stránky:

Download "Řízení rizik. RNDr. Igor Čermák, CSc."

Transkript

1 Řízení rizik RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 6 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 6.přednáška Analýza a správa rizik, řízení rizik 1

2 Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27000:2009 slovník a terminologie ISMS 27003:20010 návod k implementaci norem ISMS 27004:2009 měření účinnosti ISMS 27005:2011 metoda řízení rizik (27005:2005 již zrušeno) 27006:2007 doporučení a požadavky na certifikaci ISMS pro akreditované certifikační autority (organizace); 27007:? doporučení k provádění auditů podle ISMS (v přípravě 2011?) 27008:2011 doporučení pro auditory pro auditování nastavených opatření informační bezpečnosti 27009:? - přečíslováno Informační bezpečnost - přínosy Přínosy systému informační bezpečnosti minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.) jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií) vymezení povinností a zodpovědnosti zaměstnanců (snižuje riziko bezpečnostních incidentů, zajišťuje nepopiratelnost) naplnění legislativních požadavků 2

3 Možná cesta: Zavádění ISMS metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. ISMS ISMS je systém managementu bezpečnosti informací Je součástí globálního systému řízení organizace Je založen na přístupu vyhodnocování rizik Zahrnuje komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany 3

4 Zavádění ISMS Proces správy a řízení rizik je základem ISMS Bezpečnost informací není boj proti hackerům a spamu Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,.) Využití standardů při zavádění ISMS norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti ISMS není třeba nasazovat plošně (častá chyba) Bezpečnostní standardy (normy) Významná podpora pro zavádění informační bezpečnosti (metodický nástroj) Důležitý prvek informační bezpečnosti sjednocující formy bezpečnostních opatření a přístupy k informační bezpečnosti Využití best practices ( nejlepších zkušeností ) pomáhá při řešení bezpečnostních otázek Konfrontace s realitou v organizaci - přizpůsobení 4

5 Řízení rizik bezpečnosti informací ISO/IEC 27005: Information Security Risk Management; Vyšla z ISO/IEC TR A především z BS Opírá se o soulad s ISO/IEC Harmonizace s obecnými principy řízení rizik (ISO/IEC Řízení rizik) Cyklus PDCA P Plánuj Ustavení ISMS Zúčastněné strany D Bezpečnost informací, požadavky a očekávání Dělej Zavádění a provozování ISMS C Cyklus vývoje, údržby a kontinuálního zlepšování ISMS Kontroluj Monitorování a přezkoumání ISMS A Jednej Udržování a zlepšování ISMS Řízená bezpečnost informací Zúčastněné strany Zdroj DCIT a.s. 5

6 Vybudování a provoz ISMS Analytické a formalizační činnosti Strategická bezpečnostní politika Strategie BCM P Plánuj Ustavení ISMS Identifikace aktiv (AR) Identifikace čiností, komponent Analýza dopadů (BIA) Srovnávací analýza (GAP) D Dělej Zavádění a provozování ISMS Cyklus vývoje, údržby a kontinuálního zlepšování ISMS C Kontroluj Monitorování a přezkoumání ISMS A Jednej Udržování a zlepšování ISMS Řízení rizik (RM) Bezpečnostní dokumentace (BD) Řízení kontinuity (BCM) Zdroj DCIT a.s. Cyklus PDCA P, Plan, Plánuj Ustavení ISMS v souladu s ISO Staqnovení rozsahu a hranic rozsahu ISMS Hlavní činnosti, organizační struktura, lokality, aktiva, Určení politiky ISMS (bezpečnostní politika, BP) (AR) Systematický přístup, metodika AR a řízení rizik Výběr opatření vázán na nalezená rizika (viz. SoA) Identifikace, ohodnocování a plán zvládání rizik Prohlášení o aplikovatelnosti (SoA) cíle, odůvodněný výběr opatření souhlas vedení se zbytkovými riziky 6

7 Identifikace aktiv Zmapování aktiv a vytvoření modelu: Informační aktiva (IA) Aplikační aktiva (AA) Fyzická aktiva (FA) Globální aktiva (GA) Ocenění a klasifikace aktiv Analýza hrozeb a zranitelností Kategorizace hrozeb, stanovení míry rizika Zdroj DCIT a.s. Návrh protiopatření eliminace identifikovaných rizik výběr opatření z katalogu opatření normy ISO/IEC vazba opatření na identifikovaná rizika Priority řešení (plán zvládání rizik) odhad náročnosti časové, finanční, personální, rozdělení opatření do skupin opatření (quick-win, need-tohave, nice-to have) GAP analýza rozdílová analýza míry shody s normou 7

8 Aktiva Předmět managementu rizik Nezbytná evidence všech důležitých aktiv Fyzická aktiva (HW, komunikační prostředky, budovy) Informace/data (dokumenty, databáze) SW Schopnost vytvářet určité produkty nebo poskytovat určité služby (know-how) Lidé Nehmotné hodnoty (image firmy) Hrozby Potenciální příčina incidentu, která může mít za následek poškození aktiv Pro způsobení škody využívá existující zranitelnosti aktiv Hrozby: Přírodní původ Lidský původ Hrozby: Náhodné Úmyslné Příklady: (odposlech, hacking, chybný příkaz, zemětřesení,..) 8

9 Zranitelnost Slabá stránka aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami (ke způsobení škody nebo ztráty) Zranitelnost sama o sobě není příčinou škody, je podmínkou, která umožní hrozbě, aby ovlivnila aktiva Nezbytnost monitoringu existujících zranitelností, identifikace zranitelností Proces postupného odhalování zranitelností a úpravy aktiv (příklad SW patche) Zranitelnost Pozor: proměna hrozeb nové zranitelnosti, Opakované analýzy zranitelností prozkoumání slabých míst (weak points), která mohou být využita identifikovanými hrozbami, Zranitelnost aktiva vztahujeme vůči konkrétní hrozbě; Úroveň hrozby versus pravděpodobnost hrozby 9

10 Dopad Důsledek nežádoucího incidentu, který má vliv na aktiva Může být způsoben úmyslně nebo neúmyslně Různé podoby následku narušení bezpečnosti informací Měření dopadů (pro nalezení rovnováhy mezi dopady (výsledky nežádoucích incidentů) a náklady na ochranná opatření, která eliminují nebo snižují pravděpodobnost takového incidentu. Pro výběr opatření je důležitá výše škody způsobené takovým nežádoucím incidentem a pravděpodobnost výskytu (frekvence opakování) Riziko Potenciální možnost, že daná hrozba využije existující zranitelnost, Vede k poškození aktiva Jedna hrozba může využít více zranitelností nebo jedna zranitelnost může být využita více hrozbami Riziko je charakterizováno jako kombinace dvou faktorů, pravděpodobnosti výskytu nežádoucího incidentů a jeho dopadu. Každá změna aktiva, hrozeb, zranitelností nebo ochranných opatření může výrazně ovlivnit míru rizika Realizace vhodných opatření = snížení rizika 10

11 Management rizik Zdroj norma TR Systematické používání informací k identifikování zdrojů a odhadu rizika Základ pro hodnocení rizika (celkový proces analýzy a vyhodnocení rizik), pro ošetření rizika a pro přijetí rizika (akceptace rizika) identifikuje rizika, které je nutné kontrolovat nebo akceptovat Zahrnuje analýzu hodnoty aktiv, hrozeb a zranitelností Rizika mohou být odhadnuta z hlediska možného dopadu vzniklého porušením bezpečnosti (C.I.A.) 11

12 Důležitost výběru vhodné metody analýzy rizik: Kvantitativní Kvalitativní Kvalitativní pomocí škály hodnot nebo slovního popisu; míra je určována kvalifikovaným odhadem Kvantitativní založené na matematickém výpočtu rizika z frekvence hrozby a jeho dopadu (například rozsah finančních ztrát za určité období) Výsledek analýzy rizik: určení působících hrozeb, rizik těchto hrozeb a míry dopadu (rozsah potenciálních škod) Při implementaci ISMS je normou předepsáno: Stanovení systematického přístupu k hodnocení rizik (risk assesment): vhodná metodologie hodnocení rizik, určení požadavků na bezpečnost informací, zákonné a další regulatorní požadavky (metodologie musí zajistit reprodukovatelnost a porovnatelnost hodnocení) Vybrat kritéria pro akceptaci rizika a identifikovat přijatelnou úroveň rizika Identifikovat rizika: Identifikovat aktiva v rámci rozsahu ISMS a jejich vlastníky Identifikovat hrozby pro tato aktiva Identifikovat zranitelnosti, které by mohly být hrozbami využity Identifikovat, jako dopady na aktiva by mohla mít ztráta důvěry, integrity, dostupnosti eventuálně dalších bezpečnostních požadavků 12

13 Při implementaci ISMS je normou předepsáno: Analyzovat a ohodnotit rizika Ohodnotit dopady na činnost organizace (odhad/výpočet dopadů ztráty důvěrnosti, integrity nebo dostupnosti aktiv) Ohodnotit reálnou pravděpodobnost takového selhání způsobeného kombinací hrozby a zranitelnosti a jeho dopadu při konkrétních aktuálně zavedených kontrolách (opatřeních) Odhadnout/kalkulovat úrovně rizik Hodnocení rizik oproti předdefinované škále rizik Určit, zda je riziko akceptovatelné nebo vyžaduje zvládání rizika (risk treatment) Při implementaci ISMS je normou předepsáno: Identifikovat a ohodnotit varianty pro zvládání rizika Aplikování vhodných opatření Vědomé a objektivní přijmutí rizik za předpokladu, že splňují kritéria pro akceptaci (risk acceptance rozhodnutí o přijetí rizika) Vyhnutí se rizikům (risk avoidance) rozhodnutí neúčastnit se rizikové situace nebo rozhodnutí směřující k opuštění rizikové situace Přenesení rizik na třetí strany (risk transfer - sdílení ztráty s jinou stranou) například pojišťovna, smluvní partner, zákazník, dodavatel, stát, zaměstnanci, zaměstnavatel 13

14 Při implementaci ISMS je normou předepsáno: Vybrat cíle řízení a jednotlivá opatření pro zvládání rizik Pro splnění požadavků identifikovaných v průběhu hodnocení rizik a procesu zvládání rizik, zohlednění kritérií pro akceptování, zákonných, smluvních a dalších požadavků Výběr cílů řízení a opatření uvedených v příloze A normy ISO/IEC Souhlas vedení s navrženými zbytkovými riziky(residul risk) Implementací navržených opatření z plánů zvládání rizika dochází ke snížení rizika (risk reduction) snížením pravděpodobnosti nebo dopadu nežádoucích událostí Řízení rizik Vstupy: Registr aktiv Registr zranitelností Registr hrozeb Výstupy: Registr rizik Karty rizika 14

15 Řízení rizik Neidentifikovaná rizika Komunikace rizika (risk comunication) Nástroje řízení rizik (risk control) - aktivity, kterými se implementují rozhodnutí při řízení rizik Kritéria rizika (risk criteria) podmínky nebo kompetence, podle kterých je významnost rizika posuzována) Management rizik (risk management) koordinovaná činnost k řízení a kontrole organizace s ohledem na rizika Přezkoumání rizik a nové posouzení (v rámci ISMS) cyklus PDCA Role Manažer bezpečnostních rizik Risk Manager Formalizované SW nástroje pro podporu procesu řízení rizik Kontinuální činnost 15

16 Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. 16

Systém řízení informační bezpečnosti (ISMS)

Systém řízení informační bezpečnosti (ISMS) Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Normy a standardy ISMS, legislativa v ČR

Normy a standardy ISMS, legislativa v ČR Normy a standardy ISMS, legislativa v ČR RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

V Brně dne 10. a

V Brně dne 10. a Analýza rizik V Brně dne 10. a 17.10.2013 Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.020; 35.040 2008 Systém managementu bezpečnosti informací - Směrnice pro management rizik bezpečnosti informací ČSN 36 9790 Červen idt BS 7799-3:2006 Information Security Management

Více

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti Ing. Daniel Kardoš, Ph.D 4.11.2014 ČSN ISO/IEC 27001:2006 ČSN ISO/IEC 27001:2014 Poznámka 0 Úvod 1 Předmět normy 2 Normativní odkazy 3 Termíny

Více

Implementace systému ISMS

Implementace systému ISMS Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik

Více

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013 ISMS Zavádění a provozování ISMS Bezpečnostní projekt V Brně dne 10. října 2013 Co je to bezpečnost informací Systematické ti úsilí (proces), jehož účelem je trvalé zlepšování ochrany cenných informací

Více

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI Ing. Jiřina Petříková Informační technologie pro praxi 2011 6. října 2011 r Bezpečnost informací Zvyšuje se cena informací v oblasti soukromého podnikání i státní

Více

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001 Hradec Králové duben 2009 2009-03 Informace versus Bezpečnost informací Informace (aktivum) - vše, co má hodnotu pro organizaci Bezpečnost

Více

V Brně dne a

V Brně dne a Aktiva v ISMS V Brně dne 26.09. a 3.10.2013 Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná

Více

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ČSN ISO/IEC 27001 P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001 ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky Představení normy ISO/IEC 27001 a norem souvisejících - Současný stav ISO/IEC 27001:2005

Více

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 ISO NORMY RODINY 27K pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz

Více

Inovace bakalářského studijního oboru Aplikovaná chemie

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. 5. přednáška Analýzy rizik Doc. RNDr. Jiří Šimek, CSc. Analýza

Více

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc. Fyzická bezpečnost, organizační opatření RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005 Praha květen 2008 2008-03 - Bezpečnost informací jsou aktiva, která mají pro organizaci hodnotu. mohou existovat v různých podobách

Více

srpen 2008 Ing. Jan Káda

srpen 2008 Ing. Jan Káda nauka o srpen 2008 Ing. Jan Káda ČSN ISO/IEC 27001:2006 (1) aktivum cokoliv, co má pro organizaci hodnotu důvěrnost zajištění, že informace jsou přístupné pouze těm, kteří jsou k přístupu oprávněni integrita

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o. Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o. Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW,

Více

Řízení informační bezpečnosti a veřejná správa

Řízení informační bezpečnosti a veřejná správa Řízení informační bezpečnosti a veřejná správa Kladno 1.prosince 2008 Doc.RNDr. Milan BERKA, CSc. Systém řízení informační bezpečnosti Různé certifikace bezpečnosti a jejich význam NBÚ, ISO, Objekty a

Více

Hodnocení rizik v resortu Ministerstva obrany

Hodnocení rizik v resortu Ministerstva obrany Hodnocení rizik v resortu Ministerstva obrany OBSAH Pojmy používané v procesu řízení rizik v MO Systém řízení rizik Proces řízení rizik Dokumenty systému řízení rizik Pojmy používané v procesu řízení rizik

Více

Co je riziko? Řízení rizik v MHMP

Co je riziko? Řízení rizik v MHMP Co je riziko? Hrozba, že při zajišťování činností nastane určitá událost, jednání nebo stav s následnými nežádoucími dopady na plnění stanovených povinností, úkolů a schválených záměrů a cílů SPÚ. Je definováno

Více

Řízení rizik ICT účelně a prakticky?

Řízení rizik ICT účelně a prakticky? Řízení rizik ICT účelně a prakticky? Luděk Novák, Petr Svojanovský, ANECT a.s. ISSS 12. 13. dubna 2010, Hradec Králové OBSAH Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby

Více

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra Kybernetická bezpečnost resortu MV ČR 209 Varování NÚKIB 7.2.209 - JAK POSTUPOVALO MV ČR Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra Program!

Více

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool Jiří Knápek Manažer realizace NETIA s.r.o. NETIA s.r.o Společnost poskytující

Více

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok ISO 9000, 20000, 27000 Informační management VIKMA07 Mgr. Jan Matula, PhD. jan.matula@fpf.slu.cz III. blok ITSM & Security management standard ISO 9000-1 ISO 9000:2015 Quality management systems Fundamentals

Více

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci Tento materiál vznikl jako součást projektu, který je spolufinancován Evropským sociálním fondem a státním rozpočtem ČR. Řízení kvality Pelantová Věra Technická univerzita v Liberci Předmět RJS Technická

Více

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu. Návrh zákona o kybernetické bezpečnosti Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.cz Předmět úpravy VKB Obsah a strukturu bezpečnostní dokumentace

Více

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004 CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004 Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení

Více

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BEZPEČNOSTNÍ POLITIKA INFORMACÍ BEZPEČNOSTNÍ POLITIKA INFORMACÍ společnosti ČEZ Energetické služby, s.r.o. Stránka 1 z 8 Obsah: 1. Úvodní ustanovení... 3 2. Cíle a zásady bezpečnosti informací... 3 3. Organizace bezpečnosti... 4 4. Klasifikace

Více

Případová studie. Zavedení ISMS dle standardu Mastercard

Případová studie. Zavedení ISMS dle standardu Mastercard Případová studie Případová studie Zavedení ISMS dle standardu Mastercard Případová studie Verze 1.0 Obsah Zavedení ISMS dle standardu Mastercard Výchozí stav Zavedení ISMS dle standardu Mastercard Výchozí

Více

Organizační opatření, řízení přístupu k informacím

Organizační opatření, řízení přístupu k informacím Organizační opatření, řízení přístupu RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Management informační bezpečnosti

Management informační bezpečnosti Management informační bezpečnosti Definice V Brně dne 3. října 2013 Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2 Common Criteria Common Criteria

Více

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation Požadavky

Více

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s. Strategie Implementace GDPR Michal Zedníček michal.zednicek@alef.com ALEF NULA, a.s. Co je obsahem GDPR Kdo/co/jak/proč Definice zpracování OÚ Organizační opatření Řízení bezpečnosti OÚ Pravidla ochrany

Více

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA EMS - Systém environmentálního managementu Jiří Vavřínek CENIA Osnova Použití normy a přínosy Demingůvcyklus (PDCA) Hlavní principy a prvky EMS / ISO 14001 Zainteresované strany Požadavky na management/ekology

Více

3.přednáška. Informační bezpečnost: Řízení IS/IT

3.přednáška. Informační bezpečnost: Řízení IS/IT Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost,

Více

Projektové řízení a rizika v projektech

Projektové řízení a rizika v projektech Projektové řízení a rizika v projektech Zainteresované strany Zainteresované strany (tzv. stakeholders) jsou subjekty (organizace, lidé, prostory, jiné projekty), které realizace projektu ovlivňuje. Tyto

Více

Překlad a interpretace pro české prostředí

Překlad a interpretace pro české prostředí Information Security Management Information Risk Management Business Continuity Management Information Forensic Analysis RISK ANALYSIS CONSULTANTS BS ISO/IEC 27001:2005 Information Security Management

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

Sem vložte zadání Vaší práce.

Sem vložte zadání Vaší práce. table 1 Sem vložte zadání Vaší práce. České vysoké učení technické v Praze Fakulta informačních technologií Katedra teoretické informatiky Bakalářská práce Metodika zavádění ISMS do malých a středních

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Jan Hřídel Regional Sales Manager - Public Administration

Jan Hřídel Regional Sales Manager - Public Administration Podpora kvality ICT ve veřejné správě pohledem Telefónica O2 4. Národní konference kvality Karlovy Vary Jan Hřídel Regional Sales Manager - Public Administration Obsah 1. Strategie v ICT využití metody

Více

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007 Gradua-CEGOS, s.r.o., Certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe Ing. Aleš Špidla Ředitel odboru bezpečnostní politiky MPSV Člen rady Českého institutu manažerů informační bezpečnosti Ales.spidla@mpsv.cz,

Více

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Řízení rizik pro jakost (Quality Risc Management - QRM) Doc.

Více

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s. Efektivní řízení rizik ISMS Luděk Novák, Petr Svojanovský ANECT a.s. Obsah Proč řízení rizik ICT? Základní prvky řízení rizik ICT Příklady ohodnocení Potřeby řízení rizik ICT Registr rizik ICT Závěr Motto:

Více

Systém řízení bezpečnosti informací v praxi

Systém řízení bezpečnosti informací v praxi Systém řízení bezpečnosti informací v praxi Mgr. Pavel tros, Ph.D. Practice Leader pro Bezpečnost&Monitoring stros@datasys.cz Systém řízení bezpečnosti informací (ISMS) Kybernetická bezpečnost je rozsáhlá

Více

WS PŘÍKLADY DOBRÉ PRAXE

WS PŘÍKLADY DOBRÉ PRAXE WS PŘÍKLADY DOBRÉ PRAXE ISO 9001 revize normy a její dopady na veřejnou správu Ing. Pavel Charvát, člen Rady pro akreditaci Českého institutu pro akreditaci 22.9.2016 1 ISO 9001 revize normy a její dopady

Více

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER SM PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU Dagmar Brechlerová KIT PEF ČZU, Praha 6, Kamýcká, dagmar.brechlerova@seznam.cz ABSTRAKT: Budování bezpečnosti v organizaci není amatérská činnost,

Více

Představení projektu Metodika

Představení projektu Metodika Představení projektu Metodika přípravy veřejných strategií Strategické plánování a řízení v obcích metody, zkušenosti, spolupráce Tematická sekce Národní sítě Zdravých měst Praha, 10. května 2012 Obsah

Více

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem 16. 5. 2018 Konference k problematice GDPR ve veřejné správě, Národní archiv Praha Implementace

Více

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s., Implementace BEZPEČNOSTNÍ POLITIKY v organizaci RNDr. Luboš Číž, CISA, CISM ciz@dcit.cz DCIT, a.s., http://www.dcit.cz AGENDA Bezpečnostní politika ví každý co to je? Typy bezpečnostních politik Postup

Více

Zásady managementu incidentů

Zásady managementu incidentů Obsah prezentace Zásady managementu incidentů Úvod, základní pojmy ISO/IEC TR 18044 ISO/IEC TR 18044 ISO/IEC TR 18044 Information technology Security techniques Information security incident management

Více

Obecné nařízení o ochraně osobních údajů

Obecné nařízení o ochraně osobních údajů AGORA PLUS, a.s. Ing. Martin Havel, MBA General Data Protection Regulation (zkráceně GDPR) Obecné nařízení o ochraně osobních údajů Jak zvládnout GDPR v 9-ti krocích 22.9.2017, Brno Představení 2012 CISM

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák

Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Dr. Igor Čermák Analýza rizik a pokročilý monitoring bezpečnosti sítí v prostředí kybernetických hrozeb Igor Čermák

Více

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2 Podstata řešení Vytvoření jednotného systému

Více

Integrovaný systém řízení

Integrovaný systém řízení Integrovaný systém řízení Praha 15. 9. 2016 Hana Churáčková založen v r. 1919 rozhoduje v rámci správního řízení o poskytování ochrany na: vynálezy ochranné známky průmyslové vzory užitné vzory zeměpisná

Více

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI Gradua-CEGOS, s.r.o. člen skupiny Cegos Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 MANAŽER BOZP

Více

Řízení kybernetické a informační bezpečnosti

Řízení kybernetické a informační bezpečnosti Řízení kybernetické a informační bezpečnosti Martin Hanzal předseda sekce Kybernetická a informační bezpečnost AOBP CEVRO Institut, 22. dubna 2014 Sekce Kybernetická a informační bezpečnost Je nevládní,

Více

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007 Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ

Více

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. Co je a co není implementace ISMS dle ISO 27001 a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o. OBSAH Co je implementace ISMS dle ISO 27001 Proč měřit ISMS? Zdroje pro měření

Více

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI Název organizace Identifikační číslo 60153351 Sídlo organizace Datum zpracování 18. 5. 2018 Platnost a účinnost 25. 5. 2015 ZÁKLADNÍ ŠKOLA A

Více

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně Certifikační postup systému managementu (BCMS, ISMS, SMS) sestává z přípravy nabídky a smlouvy, přípravy auditu, provedení auditu 1. stupně a vyhodnocení systémové dokumentace, provedení auditu 2. stupně,

Více

OCTAVE ÚVOD DO METODIKY OCTAVE

OCTAVE ÚVOD DO METODIKY OCTAVE OCTAVE ÚVOD DO METODIKY OCTAVE Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita

Více

Risk management a Interní audit

Risk management a Interní audit Risk management a Interní audit Zkušenosti z implementace systému řízení rizik v ČD a ve Skupině ČD projekt Corporate Governance (panelová diskuse) Požadavky na řízení rizik - Corporate Governance 9. Společnosti

Více

BEZPEČNOST ICT. Marek Chlup

BEZPEČNOST ICT. Marek Chlup BEZPEČNOST ICT Marek Chlup Obsah Předmluva... 3 1. Zavedení systému řízení bezpečnosti ISMS... 4 2. Zavedení systému řízení bezpečnosti ISMS Model PDCA... 7 3. ISMS - ohodnocení aktiv...11 4. Analýza rizik...14

Více

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Informační bezpečnost. Dana Pochmanová, Boris Šimák Informační bezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 Agenda Bezpečnost informací IT rizika Klíčové role IT bezpečnosti v organizaci Bezpečný vývoj IS Normy a standardy v oblasti IT bezpečnosti

Více

www.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

www.tuv-sud.cz TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001 www.tuv-sud.cz s.r.o. Systém energetického managementu dle ČSN EN 16001 Zavádění sytému energetického managementu dle ČSN EN 16001 Záměr zvyšování energetické účinnosti trvalý proces zefektivňování snížení

Více

Bezpečnostní normy a standardy KS - 6

Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní normy a standardy KS - 6 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 2 Osnova historický

Více

Potřeba jednotného řízení a konsolidace rizik

Potřeba jednotného řízení a konsolidace rizik Potřeba jednotného řízení a konsolidace rizik 13. ročník konference ISSS Hradec Králové Josef Šustr 12. dubna 2010 Riziko Riziko je potenciální možnost, že se něco stane, co ovlivní dosažení našich cílů.

Více

ISO/IEC 20000 certifikace v ČR. Miroslav Sedláček

ISO/IEC 20000 certifikace v ČR. Miroslav Sedláček ISO/IEC 20000 certifikace v ČR Miroslav Sedláček ek auditor, EZU EZU Elektrotechnický zkušební ústav založen v roce 1926 80 let zkoušení a testování elektrotechnických výrobků Certifikační orgán pro QMS

Více

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1 POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI Verze 2.1 Obsah 1. Úvod... 4 2. Vymezení pojmů... 5 3. Bezpečnostní opatření... 7 3.1. Organizační opatření... 7 3.1.1.

Více

Kybernetická bezpečnost MV

Kybernetická bezpečnost MV Kybernetická bezpečnost MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti 2.

Více

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost resortu MV Kybernetická bezpečnost resortu MV Ing. Miroslav Tůma Ph. D. odbor kybernetické bezpečnosti a koordinace ICT miroslav.tuma@mvcr.cz Agenda 1. Pokyn MV - ustanovení Výboru pro řízení kybernetické bezpečnosti

Více

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha, MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA Tomáš Bezouška Praha, 10. 10. 2017 Digitální kontinuita je soubor procesů, opatření a prostředků nutných k tomu, abychom byli schopni zajistit dlouhodobou důvěryhodnost

Více

PŘÍLOHA Č. 4 - ANALÝZA RIZIK

PŘÍLOHA Č. 4 - ANALÝZA RIZIK PŘÍLOHA Č. 4 - ANALÝZA RIZIK Cílem této kapitoly je identifikovat a popsat, pokud možno eliminovat resp. navrhnout opatření ke snížení a tím zvýšit pravděpodobnost úspěchu implementace strategie. Rizika

Více

ISO 9001 : 2015. Certifikační praxe po velké revizi

ISO 9001 : 2015. Certifikační praxe po velké revizi ISO 9001 : 2015 Certifikační praxe po velké revizi Audit Audit z lat. auditus, slyšení Vzhledem k rozsahu prověřování se audit obvykle zabývá jen vzorky a jeho výsledek tedy neznamená naprostou jistotu,

Více

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

ISO 9001:2015 CERTIFIKACE ISO 9001:2015 CERTIFIKACE ISO 9001:2015 Akreditace UKAS ISO 9001:2015 Požadavky UKAS Zvažování rizik se znalostí kontextu organizace Efektivní vedení (leadership) Méně dokumentace v systému managementu kvality Aplikace

Více

O2 a jeho komplexní řešení pro nařízení GDPR

O2 a jeho komplexní řešení pro nařízení GDPR O2 a jeho komplexní řešení pro nařízení GDPR Jiří Sedlák Director Security Expert Center Predikce směru kyberútoků v roce 2017 Posun od špionáže ke kybernetické válce Zdravotnické organizace budou největším

Více

Mendelova zemědělská a lesnická univerzita. Provozně ekonomická fakulta Ústav informatiky

Mendelova zemědělská a lesnická univerzita. Provozně ekonomická fakulta Ústav informatiky Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta Ústav informatiky Řešení informační bezpečnostní politiky v nekomerční organizaci. Diplomová práce Vedoucí práce: Ing. Ludmila

Více

Rizika na pracovišti. Tomáš Svoboda COS I FN Brno, PMDV

Rizika na pracovišti. Tomáš Svoboda COS I FN Brno, PMDV Rizika na pracovišti Tomáš Svoboda COS I FN Brno, PMDV RIZIKO = kombinace pravděpodobnosti výskytu nežádoucího jevu a stupně negativního dopadu takového jevu na výstup procesu očekávaná hodnota škody odchýlení

Více

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba KATALOG služeb Ing. Jiří Štěrba Obsah Úvod 3 Služby 4 Zaměření 5 Nabídka 7 Poptávka 8 Ke stažení 9 Reference 10 Informace 11 Kontakty 12 2 Úvod Dovolte, abychom Vám poskytli informace, které jsou věnovány

Více

Systém řízení informační bezpečnosti Information security management systém

Systém řízení informační bezpečnosti Information security management systém Systém řízení informační bezpečnosti Information security management systém Luděk Novák, Josef Požár 1 1. Úvod Na informační bezpečnost se dá nahlížet z různých úhlů a obecně tento pojem zahrnuje celou

Více

TEORETICKÉ OTÁZKY BEZPEČNOSTI

TEORETICKÉ OTÁZKY BEZPEČNOSTI TEORETICKÉ OTÁZKY STAV v konkrétních podmínkách umožňuje plnění stanovených funkcí a jejich rozvoj v zájmu člověka a společnosti párové termíny STAV NEBEZPEČÍ protikladný stav SYSTÉM společenský, přírodní,

Více

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci. Mgr. Monika Johaníková Ochrana & Bezpečnost 2013, ročník II., č. 3 (podzim), ISSN 1805-5656 Stanovení strategie řízení kontinuity činností Anotace Příspěvek je věnován základním informacím o způsobu volby

Více

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová

Více

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1. Gradua-CEGOS, s.r.o. Gradua-CEGOS, s.r.o., certifikační orgán pro certifikaci osob č. 3005 akreditovaný Českým institutem pro akreditaci, o.p.s. podle ČSN EN ISO/IEC 17024 AUDITOR BOZP PŘEHLED POŽADOVANÝCH

Více

Management informační bezpečnosti. V Brně dne 26. září 2013

Management informační bezpečnosti. V Brně dne 26. září 2013 Management informační bezpečnosti Úvod a základní pojmy V Brně dne 26. září 2013 Základní pojmy Informatika - proces spojený s automatizovaným zpracováním dat Manažerská informatika - propojení dvou oborů

Více

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad. Implementace ZKB Ing. Miroslav Jaroš Energetický regulační úřad Miroslav.Jaros@eru.cz Bezpečnost informací v ERÚ ERÚ je správcem IS s názvem Jednotný informační systém ERÚ ( JIS ) Bezpečnost informací

Více

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001:2001. 2. KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa Návrh školících modulů pro projekt dotací ESF Tématika norem: - ČSN EN ISO 9001: 2001 Systémy managementu jakosti - Požadavky; - ČSN ISO/IEC 27001:2006 Informační technologie - Bezpečnostní techniky -

Více

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací.

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací. Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací. 1 V rámci tohoto tématu se budeme zabývat následujícími oblastmi viz snímek.

Více

ČESKÁ TECHNICKÁ NORMA

ČESKÁ TECHNICKÁ NORMA ČESKÁ TECHNICKÁ NORMA ICS 35.040 Červenec 2009 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací ČSN ISO/IEC 27005 36 9790 Information technology Security techniques Information

Více