3.přednáška. Informační bezpečnost: Řízení IS/IT

Podobné dokumenty
Systém řízení informační bezpečnosti (ISMS)

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

2. Podnik a jeho řízení

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

Metriky v informatice

Architektura informačních systémů. - dílčí architektury - strategické řízení taktické řízení. operativní řízení a provozu. Globální architektura

Jan Hřídel Regional Sales Manager - Public Administration

Faktory ovlivňující řízení podnikové informatiky

Úvodní přednáška. Význam a historie PIS

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Vytváření důvěry manažerů byznysu a IT

Návrh softwarových systémů - softwarové metriky

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Management IS. Doc.Ing.Miloš Koch,CSc. 22/ 1

Požadavky ISO 9001:2015 v cyklu PDCA Požadavky ISO 9001:2015 v cyklu P-D-C-A

Celní správa ČR ICT. Ing. Michael Lojda ředitel odboru informatiky GŘC

Strategické řízení IS v podmínkách VS přínosy a problémy

Řízení ICT služeb na bázi katalogu služeb

Bezpečnostní politika společnosti synlab czech s.r.o.

Přednáška č.13. Organizace firmy při zahraniční činnosti

Přístupy k efektivnímu využití modelu MBI

Risk management a Interní audit

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

S T R A T E G I C K Ý M A N A G E M E N T

Management informační bezpečnosti

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

SLA Service Level Agreement základ řízení podnikové informatiky

Vliv podrobnosti definice procesu a úrovně CMM na charakteristiky procesu

Informační systémy. Jaroslav Žáček

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Manažerská ekonomika

Outsourcing v podmínkách Statutárního města Ostravy

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Akční plán AP3 : Optimalizace organizační struktury

Jak auditovat systémy managementu bez příruček a směrnic Ing. Milan Trčka

Verze 3 základní představení

Cíle a architektura modelu MBI

Informační strategie. Doc.Ing.Miloš Koch,CSc.

Úvod do projektu. Standardizace provozních funkcí ÚSC. Součást projektu Korporátní styl řízení ve veřejné správě

Strategie, architektury a projekty jako nástroj řízení IT ve veřejné správě

Komunikace mezi businessem a IT

Cíle a metodika průzkumu

MANAGEMENT PLÁNOVÁNÍ

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

Příklad I.vrstvy integrované dokumentace

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Zpráva o Digitální cestě k prosperitě

Aby byla systémová integrace úspěšná, musíme znát cíle, které mají být dosaženy, a musíme znát zdroje, které máme k dispozici.

Struk ur přednášk. Vymezení pojmu management, Úkoly řízení podniku, Strategické řízení, Taktické řízení, Plánování.

STRATEGIE A PROJEKTY ODBORU INFORMATIKY MHMP

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

DVPP. Další vzdělávání pedagogických pracovníků. ATTEST, s.r.o. Lukáš Ducháček

Efektivnost informačních systémů. strategické řízení taktické řízení. operativní řízení a provozu

Organizační výstavba podniku

Program rozvoje Jihomoravského kraje na období VZDĚLÁVACÍ MODUL. Strategické řízení Význam PRJMK v řízení kraje

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Politika bezpečnosti informací

Procesní řízení IT. Ing. Hana Neničková, MBA

Operační program Lidské zdroje a zaměstnanost

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Strategické řízení IS Strategické řízení Základní pojmy

O2 a jeho komplexní řešení pro nařízení GDPR

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Co je to COBIT? metodika

ČESKÁ TECHNICKÁ NORMA

Úvod. Projektový záměr

MBI portál pro podporu řízení podnikové informatiky. mbi.vse.cz

ÚVOD DO BSC - základy metody vyvážených ukazatelů. Ing. Petra Plevová

GIS Libereckého kraje

ADOit. IT architektura a řízení IT služeb. Luděk Kryšpín, Lukáš Dvořák, PADCOM, s.r.o.

METODIKA PROVÁDĚNÍ AUDITU COBIT

Aplikace IS, outsourcing, systémová integrace. Jaroslav Žáček

PODNIKOVÁ INFORMATIKA

Rozdíly mezi normou ISO 9001:2008 a ISO 9001:2015.

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Model systému managementu pro řízení ÚSC. Ing. Štěpán Kmoníček, Ph.D. odbor strategického rozvoje a koordinace veřejné správy

3. Očekávání a efektivnost aplikací

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

ODBORNÉ PORADENSTVÍ PRO STRATEGICKÉ ŘÍZENÍ KATALOG Motto: Víte, kde jsou Vaše zdroje?

Věstník ČNB částka 20/2002 ze dne 19. prosince 2002

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Přednáška 6 B104KRM Krizový management. Ing. Roman Maroušek, Ph.D.

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Výhody a rizika outsourcingu formou cloud computingu

ČD Telematika a.s. Efektivní správa infrastruktury. 11. května Konference FÓRUM e-time, Kongresové centrum Praha. Ing.

Operační program Podnikání a inovace Cesta k rozvoji Vašeho podniku

ENVIRONMENTÁLNÍ BEZPEČNOST

Hynek Cihlář Podnikový architekt Od Indoše ke Cloudu

ROZHODNUTÍ GŘ č. 4/2017

Marketingová koncepce managementu

Transkript:

Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 3 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 3.přednáška Informační bezpečnost: Řízení IS/IT 1

malá vsuvka z oblasti řízení.. Ad řízení (nejen) IS/ICT - trochu teorie a a praxe Hlavní skupiny činností v informatice Kvalita a výkonnost podnikové informatiky je výrazně ovlivněna přístupem k jejímu řízení, rozvoji a provozu Informatika náplní nejsou jen aplikace (ASW) a technologie; význam lidského faktoru a nastavení procesů Činnosti v oblasti informatiky rozdělíme do tří provázaných skupin: 2

Řízení informatiky IS/ICT (strategické řízení IS/ICT, plánování a koordinace projektů, řešení vztahů s dodavateli a zákazníky/uživateli IS/ICT, plánování finančních, personálních, datových a technologických zdrojů, řízení projektů a provozu informatiky ) Informační manažer, plánovač, specialisté Rozvoj informatiky - aplikací a technologií (řešení projektů, analýza a návrh obsahu projektů, specifikace programových modulů a technologií, programování, testování, dokumentace řešení ) Uživatel Provoz informatiky - aplikací a technologií (zajištění provozu aplikací na serverech a koncových stanicích uživatelů, provozu počítačových sítí, technických a softwarových prostředků, databází, údržba, dokumentace provozu) Projektant, analytik, Správce sítě, správce vývojář,.. databáze, Řízení informatiky Řízení informatiky je významnou a integrální součástí podnikového řízení S rozvojem IS/IT nabývá na významu (IT vstupují do dalších a dalších obchodních, výrobních, finančních procesů podniku) Roste složitost řízení (s rostoucím rozsahem IS, jejich provázaností a růstem počtu uživatelů a jejich nároků Historický pohled (výpočetní střediska, předávání sestav) x osobní počítače, informační systémy 3

Řízení informatiky Proč je nezbytné orientovat se alespoň v základech řízení IS/IT (informatiky): Co lze od IS/IT očekávat Jaká je jeho role Jaké je jeho odpovědnost a pravomoci Jak mně může pomoci v mé práci (pro provoz mých aplikací) hodnocení úrovně práce útvaru Hlavní skupiny činností v informatice Řízení informatiky Veškeré činnosti spojené s určováním základní koncepce a strategie informatiky, s plánováním jednotlivých rozvojových projektů, s poskytovaných služeb, se zajišťováním potřebných zdrojů 4

Současné nároky na řízení IS/IT 3 hlavní cíle řízení: Zajistit vysokou funkcionalitu IS (evidenční a transakční funkce, funkce analytické (finanční, prodejní), funkce pro podporu rozhodování a funkce kontrolní) Dosažení požadované úrovni disponibility IS/IT (bezpečnost, spolehlivost, doba odezva,..) Efektivita (poměr efektů a nákladů) optimalizace nákladů na ICT produkty a služby Současné nároky na řízení IS/IT Pozice řízení IT ve firmě: Ovlivněna celkovou úrovní řízení ve firmě Realizované projekty ve firmě (rozvoj výroby) Rozsah a struktura uživatelů (zákazníků služeb) Rozsah a úroveň informačních služeb pro zákazníky (e-bussiness, rezervační systémy,..), počet a struktura zákazníků, jejich požadavky (např. na připojení) specificky: zákazník=veřejnost 5

Současné nároky na řízení IS/IT Míra outsorcingu činností (provozu, rozvoje, řízení), Řešení systémové integrace (kdo ji vykonává externě nebo interně) Personální zajištění činností (počet, kvalifikace, motivace) Současné nároky na řízení IS/IT IS/IT spoluvytvářejí charakter firmy, promítá se do přípravy a realizace většiny strategických záměrů firmy ( podpora nových služeb, uplatnění v marketingu, reakce na poptávku) IS/IT také jako předmět podnikání (podnikatelská aktivita) Řízení IS/IT by mělo být v řízení podniku adekvátně zastoupeno 6

Současná praxe Velké rozdíly mezi podniky, Nedostatečné představy vrcholového managementu o možnostech a rizicích IS/IT Bouřlivý rozvoj trhu zvyšuje rizika ICT vs. Business (dva světy, mezi nimiž leží Komunikační, kulturní a jazyková bariéra Pohled Business x pohled ICT Role členů vrcholového vedení ve vztahu k IS/IT Rozumět místu IS/ICT v současném prostředí Spolupodílet se na rozhodování o oblastech a prioritách nasazení IS/ICT v podniku Prosazovat správné využití informací a IS/ICT zaměstnanci podniku Definovat vlastní informační potřebu 7

Role ředitele (manažera) informatiky (IS/IT) - (Chief Information Officer- CIO) Orientace IS/ICT na základní cíle podniku (obchodní orientace) Spolupodílet se na formulaci těchto cílů (inicializace cílů využívající nové možnosti IS/ICT) Zajištění integrity IS/ICT podniku a koordinace všech projektů Metodiky řízení podnikové informatiky Vzhledem k významu IS/IT pro výkonnost a úspěšnost firem se rozvinuly metodiky a modely řízení IS/IT: ITIL (IT Infrastructure Library) COBIT (Control Objectives for Information and Related Technology) CMMI (Capability Maturity Model for Integration) 8

Zdroj: ANECT s.r.o. Hierarchická struktura řízení IS/IT Informační strategie strategické řízení Rozvoj infrastruktury Řízení projektů (aplikací) Řízení provozu aplikací taktické řízení operativní řízení 9

Magický trojúhelník IS/IT ROZSAH/KVALITA (funkčnost) ČAS (rychlost) NÁKLADY (cena) Řízení bezpečnosti, IT Governance 10

Techno-centric IT oddělení=nákladové středisko Důraz na řízení nákladů a infrastruktury Řízení technologií Business pohled na IT: problém Business-centric Trendy v IT IT oddělení=obchodní a inovační středisko Propojení s businessem (business alignement) Service-centric Optimalizace aplikací, onformační a obchodní procesy Obchodní inovace s podporou IT IT oddělení=servisní středisko Porozumění businessu Optimalizace infrastruktury, optimalizace a organizace IT procesů Řízení IT služeb Spolupráce se zákazníky Business pohled na IT: řešení Business pohled na IT: spolupráce Řízení IT Informační strategie Strategické řízení Taktické řízení Řízení služeb, zdrojů, systémová integrace Operativní řízení Řízení projektů Řízení provozu IS/ICT 11

Řízení IT Strategické řízení IS/ICT (1) Strategické řízení IS/ICT - (cíle, architektury, standardy, projekty, sourcing harmonogram, rozpočet, organizace, pravidla řízení,...) Taktické řízení IS/ICT (2) Řízení a integrace IS/ICT - plánování, organizace, integrace, koordinace rozvoje a změn I S/ICT Služby IS/ICT (3) Řízení dodávky služeb IS/ICT (vývoj, nákup prodej) Zdroje IS/ICT (5) Řízení ekonomiky IS/ICT - finančních zdrojů (6) Řízení lidských zdrojů IS/ICT (4) Řízení vlastností služeb IS/ICT (důvěrnost, bezpečnost, spolehlivost, dostupnost, integrita, řízení rizik) (7) Řízení datových zdrojů (8) Řízení ICT zdrojů a konfigurací (ASW, ZSW, HW, síť LANa WAN) Operativní řízení IS/ICT (9) Řízení jednotlivých projektů IS/ICT (vývoj, údržba, implementace) (10) Řízení provozu IS/ICT (služeb a zdrojů) IT Governance Souhrn vztahů a procesů sloužících k řízení a kontrole organizace při používání informačních technologií a procesů Účelem je: Dosažení podnikatelských cílů Získání přidané hodnoty Udržování rovnováhy míry rizik a zisku IT Governance dává organizaci možnost efektivněji a bezpečněji využít zdroje IT Vzájemné ovlivňování Enteprise Governance a IT Governance u organizací dominantně závislých na ICT 12

IT Governance Odpovědnost vedení podniku a výkonného managementu, Skládá se z: Vedení Organizačních struktur Procesů, které mají zajistit, že IT v organizaci podporuje a rozšiřuje strategie a cíle organizace IT Governance: fungování a transformace IT, aby plnilo současné i budoucí potřeby businessu a jeho zákazníků: Řízení přidané hodnoty dodávané IT Řízení IT rizik Strategický soulad IT s businessem (sjednocení strategií) Řízení IT zdrojů Měření výkonnosti IT Governance IT Governance lze také chápat jako uspořádání pravidel a pravomocí k rozhodování o IS/ICT Rozhodování o IS/ICT lze rozdělit do 5 oblastí: Poslání IS/ICT Infrastruktura IS/ICT Architektura IS/ICT Podnikové aplikace IS/ICT Investice do IS/ICT 13

IT Governance Dle toho kde se rozhoduje o uvedených oblastech a kdo zodpovídá za poskytování dat z uvedených oblastí se rozlišuje šest způsobů rozhodování: Business monarchie Rozhodování o IS je v kompetenci nejvyššího vedení organizace (ředitel organizace, jmenovaná skupina členů nejvyšších vedení) IS/ICT monarchie Rozhodování náleží řediteli IS/ICT (CIO) nebo skupině tvořící nejvyšší vedení ICT útvaru Feudální uspořádání Rozhodují ředitelé jednotlivých business útvarů a útvaru IS/ICT, vlastníci procesů (autonomie jednotek) Federální uspořádání Rozhoduje se na úrovni vrcholového řízení firmy ve spolupráci s business útvarem Duopol Rozhodnutí vytváří ICT management ve spolupráci s vedením business útvaru Anarchie Rozhodování nemá pravidla, provádí se ad-hoc, rozhoduje kterýkoliv uživatel IT Governance IT Governance Strategické a dlouhodobé řízení IS/ICT Zaměření na soulad IS/ICT se strategickými cíly organizace Založeno na vzájemném porozumění a oboustranné komunikace mezi IS/ICT a ostatními útvary IT management Taktické a operativní řízení IS/ICT Zaměřeno na každodenní schopnost IS/ICT poskytovat definované služby a plnit stanovené úkoly Spojeno s interním řízením uvnitř IS/ICT útvarů 14

ISMS.Zpět k ISMS (i když jsme stále byli v oblasti řízení, kam spadá i ISMS) Systém řízení Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS) Systém řízení umožňuje: Určení požadovaných cílů Stanovení metod jak cílů dosáhnout Kontrolu dosažení cílů (pomocí určených metod) Systém řízení zavádí: Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování implementace zlepšení 15

Součásti systému řízení MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny Politika Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz Budování povědomí, školení Objektivní měření efektivity a výkonu Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba Management review Information Security Management System (ISMS) ISMS je systém managementu bezpečnosti informací o Součást globálního systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany 16

ISMS Systém řízení informační bezpečnosti Pravidla fungování ISMS vymezena bezpečnostní politikou Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 17

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář