Implementace systému ISMS

Podobné dokumenty
ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

ČESKÁ TECHNICKÁ NORMA

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

V Brně dne 10. a

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Řízení informační bezpečnosti a veřejná správa

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

srpen 2008 Ing. Jan Káda

Státní pokladna. Centrum sdílených služeb

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Kybernetická bezpečnost resortu MV

V Brně dne a

Řízení rizik. RNDr. Igor Čermák, CSc.

Kybernetická bezpečnost

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Implementace BEZPEČNOSTNÍ POLITIKY v organizaci. RNDr. Luboš Číž, CISA, CISM DCIT, a.s.,

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Kybernetická bezpečnost MV

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

ČESKÁ TECHNICKÁ NORMA

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zásady managementu incidentů

Bezpečnostní politika a dokumentace

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Systém řízení bezpečnosti informací v praxi

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Security. v českých firmách

Systém řízení informační bezpečnosti Information security management systém

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Bezpečnostní politika společnosti synlab czech s.r.o.

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Security. v českých firmách

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Případová studie. Zavedení ISMS dle standardu Mastercard

Management informační bezpečnosti

Zákon o kybernetické bezpečnosti

Návrh VYHLÁŠKA. ze dne 2014

Úvod - Podniková informační bezpečnost PS1-1

ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Dnešní téma se vztahuje k problematice Řízení rizik bezpečnosti informací - zvládání rizik bezpečnosti informací.

Praktické zkušenosti s certifikací na ISO/IEC 20000

Zákon o kybernetické bezpečnosti

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

BEZPEČNOSTI INFORMACÍ

ČESKÁ TECHNICKÁ NORMA

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

WS PŘÍKLADY DOBRÉ PRAXE

Specifikace předmětu zakázky

Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu

Není cloud jako cloud, rozhodujte se podle bezpečnosti

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

b) aktivem primární aktivum a podpůrné aktivum, c) primárním aktivem informace nebo služba, kterou zpracovává nebo poskytuje informační systém

Písek XXXII. Mezikrajské dny klinické biochemie Jihočeského, Královéhradeckého a Pardubického regionu

Bezepečnost IS v organizaci

Obecné nařízení o ochraně osobních údajů

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Dnešní téma se vztahuje k problematice souboru postupů pro management bezpečnosti informací hodnocení rizik bezpečnosti informací.

Certifikace pro výrobu čipové karty třetí stranou

Politika bezpečnosti informací

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Profesionální a bezpečný úřad Kraje Vysočina

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

Informační bezpečnost. Dana Pochmanová, Boris Šimák

316/2014 Sb. VYHLÁŠKA ČÁST PRVNÍ ÚVODNÍ USTANOVENÍ

Představení projektu Metodika

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

Návrh VYHLÁŠKA. ze dne 2014

Organizační opatření, řízení přístupu k informacím

Koncepce informační bezpečnosti

Aplikovaná informatika

Systém managementu jakosti ISO 9001

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Zkouška ITIL Foundation

Řízení rizik ICT účelně a prakticky?

Bezpečnostní politika společnosti synlab czech s.r.o.

Nástroje IT manažera

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Z K B V P R O S T Ř E D Í

Ochrana před následky kybernetických rizik

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

Transkript:

Implementace systému ISMS Krok 1 Stanovení rozsahu a hranic ISMS Rozsah ISMS Krok 2 Definice politiky ISMS Politika ISMS Krok 3 Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik Krok 4 Identifikace rizik Seznam aktiv, hrozeb, zranitelností a dopadů Krok 5 Analýza a vyhodnocení rizik Zpráva o dopadech a pravděpodobnostech 1

Krok 6 Identifikace a vyhodnocení variant pro zvládání rizik Plán zvládání rizik Krok 7 Výběr cílů opatření a jednotlivých opatření Seznam cílů opatření a opatření Krok 8 Získání souhlasu vedení s navrhovanými zbytkovými riziky Záznam o schválení zbytkových rizik Krok 9 Získání povolení vedení k zavedení a provozu ISMS Povolení vedení k implementaci ISMS Krok 10 Příprava Prohlášení o aplikovatelnosti Prohlášení o aplikovatelnosti Zvládání rizik 2

Reálné pořadí hrozeb podle následků a výše škod Poruchy hardwaru (výpadek sítě, havárie disku) Výpadek elektrického napájení Porucha softwaru (systému nebo aplikace) Viry Chyba uživatele (vysoká přístupová práva) Krádeže zařízení Neoprávněná manipulace (útoky) zevnitř organizace Neoprávněná manipulace zvenčí. Plán zvládání rizik Je koordinační dokument definující činnosti ke snížení neakceptovatelných rizik a implementaci požadovaných opatření k ochraně informací. Možnosti zvládání rizik Akceptování zbytkového rizika Vyhnutí se riziku Přenos rizika např. pojištění Snížení rizika na akceptovatelnou úroveň Úroveň zbytkového rizika Není možné dosáhnout totální bezpečnosti Vždy bude nějaké zbytkové riziko Jaká míra zbytkového rizika je pro firmu akceptovatelná? Zvládání rizik Umístění Existující zabezpečení Počet útočníků Zařízení, která jsou k dispozici Kumulované příležitosti Výše publicity Plánování kontinuity činností Zvládání rizik Opatření musí odrážet firemní strategii řízení rizik Musí být zvažován dopad bezpečnostních rizik na podnikání 3

Zvládání rizik Definování akceptovatelné úrovně zbytkového rizika Neustálé přezkoumání hrozeb a zranitelností Přezkoumání existujících bezpečnostních opatření Aplikace dalších bezpečnostních opatření ISO/IEC 27001 Předložení politiky a postupů Ochranná opatření Technická bezpečnostní vlastnosti počítačů, OS, databází, aplikací bezpečnostní vlastnosti komunikačních technologií speciální bezpečnostní HW, SW a komunikační technologie Ochranná opatření Organizační bezpečnostní postupy (procedury) organizace a řízení, odpovědnostní struktura personální opatření, připravenost a motivace lidí Ochranná opatření Fyzická výběr a vybavení budov a místností regulace vstupů, zábrany, signalizace náhradní umístění, prostředky a zdroje Výběr opatření Riziko Požadovaná míra zabezpečení Náklady Snadnost implementace Údržba Zákonné požadavky Zákaznické a smluvní požadavky Náklady Rozpočtová omezení Jsou náklady spojené s aplikovaným opatřením odpovídající k hodnotě aktiva? Může se vybrat nejlepší rozsah opatření? 4

Snadnost implementace Podporuje prostředí dané opatření? Jak dlouho bude trvat implementace opatření? Je opatření běžně dostupné? Údržba Jsou k dispozici znalosti nutné pro řízení opatření? Jsou běžně dostupné aktualizace? Je zařízení podporováno zdejšími techniky/dodavateli? Opatření best practice Dokument politiky bezpečnosti informací Přidělení odpovědnosti za bezpečnost informací Vzdělávání a výcvik Hlášení bezpečnostních incidentů Řízení kontinuity činností Zákaznické a smluvní požadavky Prověřování pracovníků Omezený přístup Fyzické perimetry Uložení dat Kryptování Elektronické podpisy Prohlášení o aplikovatelnosti Dokumentované prohlášení popisující cíle opatření a jednotlivá opatření, která jsou relevantní a aplikovatelná v rámci ISMS organizace. Prohlášení o aplikovatelnosti Zdůvodnění relevantních opatření Záznam všech nerelevantních opatření Hodnocení rizik určí, která opatření by měla být implementována Nedílná součást přehledu dokumentace Pomáhá při sestavování plánu auditu 5

Jestliže nebyly požadavky implementovány, tak proč? Riziko nezdůvodněné vystavení riziku Rozpočet finanční omezení Prostředí vliv na zabezpečení (klima, prostor atd.) Technologie některá opatření nejsou technicky proveditelná Kultura sociologické omezení Čas některá opatření nemohou být implementována ihned N/A neaplikovatelná Další 6

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář