MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Podobné dokumenty
Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Vzdělávání pro bezpečnostní systém státu

KOMUNIKAČNÍ A INFORMAČNÍ SYSTÉMY A JEJICH BEZPEČNOST

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

DOTAZNÍK příloha k žádosti

WS PŘÍKLADY DOBRÉ PRAXE

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

DOTAZNÍK příloha k žádosti o certifikaci

SMĚRNICE DĚKANA Č. 4/2013

ČESKÁ TECHNICKÁ NORMA

Úvod. Projektový záměr

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Příklad I.vrstvy integrované dokumentace

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Státní pokladna. Centrum sdílených služeb

Základy řízení bezpečnosti

MANAGEMENT Přístupy k řízení organizace

DOTAZNÍK příloha k žádosti o certifikaci

Provádění opatření k nápravě

Politika bezpečnosti informací

Kybernetická bezpečnost - nový trend ve vzdělávání. pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany Brno, Česká republika

Bezpečnostní politika společnosti synlab czech s.r.o.

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Organizační opatření, řízení přístupu k informacím

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

Politika bezpečnosti informací

Školení QMS pro zaměstnance společnosti ČSAD Tišnov, spol. s r.o.

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

KYBERNETICKÁ BEZPEČNOST V ARMÁDĚ ČR

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Zdravotnické laboratoře. MUDr. Marcela Šimečková

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

BEZPEČNOSTI INFORMACÍ

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Výukový materiál zpracovaný v rámci projektu Výuka moderně

MANAGEMENT Systém managementu kvality

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

Výtisk č. : Platnost od: Schválil: Podpis:

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

MANAGEMENT I Téma č. 34

TÜV SÜD Czech s.r.o. Systém energetického managementu dle ČSN EN 16001

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

srpen 2008 Ing. Jan Káda

POŽADAVKY NORMY ISO 9001

ISO 9001 a ISO aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI NA UNIVERZITĚ OBRANY I. ČÁST. pplk. Ing. Petr HRŮZA, Ph.D. petr.hruza@unob.cz Univerzita obrany Brno

Řízení kybernetické a informační bezpečnosti

Hodnoticí standard. Manažer kvality (kód: T) Odborná způsobilost. Platnost standardu. Skupina oborů: Ekonomie (kód: 62)

Implementace systému ISMS

ENVIRONMENTÁLNÍ EKONOMIKA II.

ČSN EN ISO (únor 2012)

KONTINUÁLNÍ ZLEPŠOVÁNÍ QS 83-01

Studijní texty. Název předmětu: Řízení bezpečnosti. Téma: Místo a úloha veřejné správy v řízení bezpečnosti. Zpracoval: Ing. Miroslav Jurenka, Ph.D.

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

Systém managementu jakosti ISO 9001

Návrh. VYHLÁŠKA ze dne 2016 o požadavcích na systém řízení

Zpracování a udržování Registru právních a jiných požadavků

ČESKÁ TECHNICKÁ NORMA

ABC s.r.o. Výtisk číslo: PŘÍRUČKA ENVIRONMENTU. Zpracoval: Ověřil: Schválil: Č.revize: Počet příloh: Účinnost od:

VEŘEJNÁ EKONOMIKA Úvod do veřejné ekonomie a veřejné ekonomiky

Provádění preventivních opatření

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

ČSN EN ISO 19011:2012 Směrnice pro auditování systémů managementu

Praktické zkušenosti s certifikací na ISO/IEC 20000

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Řízení kvality a bezpečnosti potravin

Kybernetická bezpečnost resortu MV

PROGRAM PRO ZABEZPEČENÍ A ZVYŠOVÁNÍ KVALITY ODDĚLENÍ PAS PRO OP VK

Zásady SLP, ČSN EN ISO 15189:2003. SLP správná laboratorní práce - Systém popisující a řídící práci v laboratoři

PROCESY CO ZÍSKÁTE: Předpoklad pro certifikace ISO. Lean Six Sigma Fast Track

Zápis z přezkoumání QMS vedením škol SČMSD za období od 6/2009 do 9/2010

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

Zásady managementu incidentů

Informace o přípravě strategického dokumentu Česká republika 2030 (aktualizace Strategického rámce udržitelného rozvoje ČR)

PŘEZKOUMÁNÍ SYSTÉMU MANAGEMENTU KVALITY V HEMATOLOGICKÉ LABORATOŘI

Národní stálá konference komora ITI a IPRÚ

Příručka jakosti a environmentu

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Zajištění kvality výsledků laboratorních vyšetření v hematologické laboratoři dle ČSN EN ISO 15189:2013. Soňa Vytisková

Zákon o finanční kontrole. Michal Plaček

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Kybernetická bezpečnost MV

Systémy řízení EMS/QMS/SMS

Příručka kvality společnosti. POLYS security ČR s.r.o.

PERSONÁLNÍ ŘÍZENÍ FIRMY V PRAXI Tvorba a úloha rozvojových, adaptačních a motivačních plánů Ing. Monika DAVIDOVÁ, Ph.D.

Transkript:

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI TÉMA Č. 4 SOUBOR POSTUPŮ PRO MANAGEMENT BEZPEČNOSTI INFORMACÍ POLITIKA A ORGANIZACE BEZPEČNOSTI INFORMACÍ pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)

OBSAH Základní pojmy. Politika bezpečnosti informací. Organizace bezpečnosti informací. Závěr.

Literatura ČSN ISO/IEC 27000 Datum vydání : 1.5.2010 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník. ČSN ISO/IEC 27001 Datum vydání : 1.10.2006 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky. ČSN ISO/IEC 27002 / 17799 Datum vydání : 1.8.2006 Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací.

ZÁKLADNÍ POJMY Bezpečnost informací Politika bezpečnosti informací Dokument bezpečnostní politiky informací Přezkoumání bezpečnostní politiky informací

Politika bezpečnosti informací Určit směr a vyjádřit podporu bezpečnosti informací ze strany vedení v souladu s požadavky organizace, příslušnými zákony a směrnicemi. Vedení organizace by mělo stanovit jasný směr postupu v oblasti bezpečnosti informací, ukázat její podporu vydáním a aktualizací bezpečnostní politiky informací platné v celé organizaci.

Dokument bezpečnostní politiky informací Dokument bezpečnostní politiky informací by měl být schválen vedením organizace, publikován a dán na vědomí všem zaměstnancům a relevantním externím stranám. Dokument bezpečnostní politiky informací by měl obsahovat vyjádření podpory vedení organizace a měl by stanovit zamýšlený přístup k budování bezpečnosti informací.

Dokument bezpečnostní politiky informací Dokument by měl obsahovat následující body: definici bezpečnosti informací, její cíle, rozsah a její význam; prohlášení vedení organizace o záměru podporovat cíle a principy bezpečnosti informací; rámec pro stanovení cílů opatření a opatření včetně jednotného přístupu k hodnocení a řízení rizik; stručný výklad bezpečnostních zásad (politik), principů, standardů a norem a požadavků na soulad, kterým organizace přikládá zvláštní význam, například: stanovení obecných a konkrétních odpovědností pro oblast řízení bezpečnosti informací včetně hlášení bezpečnostních incidentů; odkazy na dokumentaci, která může bezpečnostní politiku podporovat.

Dokument bezpečnostní politiky informací Dokument by měl obsahovat následující body: definici bezpečnosti informací, její cíle, rozsah a její význam; prohlášení vedení organizace o záměru podporovat cíle a principy bezpečnosti informací; rámec pro stanovení cílů opatření a opatření včetně jednotného přístupu k hodnocení a řízení rizik; stručný výklad bezpečnostních zásad (politik), principů, standardů a norem a požadavků na soulad, kterým organizace přikládá zvláštní význam, například: stanovení obecných a konkrétních odpovědností pro oblast řízení bezpečnosti informací včetně hlášení bezpečnostních incidentů; odkazy na dokumentaci, která může bezpečnostní politiku podporovat.

Dokument bezpečnostní politiky informací S dokumentem by měli být seznámeni uživatelé v rámci organizace, a to formou, která je relevantní, přístupná a pochopitelná všem potenciálním příjemcům. Bezpečnostní politika informací může být součástí (hierarchicky podřízena) dokumentu nejvyšší politiky organizace. V případech, kdy je bezpečnostní politika šířena mimo organizaci, by měla být zajištěna ochrana citlivých informací před vyzrazením.

Přezkoumání bezpečnostní politiky informací Měla by být přezkoumávána v plánovaných intervalech a vždy když nastane významná změna. Měla by mít vlastníka odpovědného za její vytvoření, přezkoumání a aktualizaci. Při přezkoumání by měly být zohledněny závěry z přezkoumání provedeného vedením organizace. Měl by být vytvořen postup a plán pravidelného přezkoumání vedení organizace.

Vstupy pro přezkoumání 1. zpětná vazba od zainteresovaných stran; 2. výsledky nezávislých přezkoumání; 3. stav preventivních a nápravných činností; 4. výsledky z předchozích přezkoumání vedením organizace; 5. výkonnost procesu a soulad s bezpečnostní politikou; 6. změny, které mohou mít vliv na přístup organizace k řízení bezpečnosti informací,; 7. trendy v oblasti hrozeb a zranitelností; 8. hlášení bezpečnostních incidentů; 9. doporučení orgánů veřejné správy.

Výstupy z přezkoumání Výstupy by měly obsahovat: změny a zlepšení přístupu organizace k řízení bezpečnosti informací a procesům organizace; změny cílů opatření a jednotlivých opatření; změny v přidělení zdrojů a odpovědností. O provedených přezkoumáních bezpečnostní politiky vedením organizace by měly být udržovány záznamy. Od vedení organizace by mělo být získáno schválení aktualizované verze bezpečnostní politiky.

Organizace bezpečnosti informací 1 Interní organizace Řídit bezpečnost informací v organizaci. Měl by být vytvořen řídící rámec pro zahájení a řízení implementace bezpečnosti informací v organizaci. 2 Externí subjekty Zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty. Bezpečnost informací a prostředků pro zpracování informací by neměla být snížena při zavedení produktů a služeb třetích stran.

Organizace bezpečnosti informací Interní organizace Vedení organizace by mělo určit potřebnost konzultací od odborníka na bezpečnost informací a přezkoumat a koordinovat výsledky konzultací v rámci organizace. Vedení organizace by mělo stanovit jasný směr a aktivně podporovat bezpečnost v rámci organizace.

Organizace bezpečnosti informací Interní organizace Koordinace bezpečnosti informací Přidělení odpovědností v oblasti bezpečností informací Schvalovací proces prostředků pro zpracování informací Dohody o ochraně důvěrných informací Kontakt s orgány veřejné správy Kontakt se zájmovými skupinami Nezávislá přezkoumání bezpečností informací

Organizace bezpečnosti informací Externí subjekty Cílem je zachovat bezpečnost informací organizace a prostředků pro zpracování informací, které jsou přístupné, zpracovávané, sdělované nebo spravované externími subjekty. Bezpečnost informací a prostředků pro zpracování informací by neměla být snížena při zavedení produktů a služeb třetích stran. Přístup externích subjektů k prostředkům pro zpracování informací a k informacím by měl být kontrolován.

Organizace bezpečnosti informací Externí subjekty Identifikace rizik vyplývajících z přístupu externích subjektů Bezpečnostní požadavky pro přístup klientů Bezpečnostní požadavky v dohodách se třetí stranou

ZÁVĚR Bezpečnostní politika informací může být součástí (hierarchicky podřízena) dokumentu nejvyšší politiky organizace. V případech, kdy je bezpečnostní politika šířena mimo organizaci, by měla být zajištěna ochrana citlivých informací před vyzrazením.

Dotazy? pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky E-mail.: petr.hruza@unob.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář