Zkušenosti se zaváděním ISMS z pohledu auditora



Podobné dokumenty
Gradua-CEGOS, s.r.o. člen skupiny Cegos AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Věc: Strategie EZÚ pro přechodné období zavádění změn normy ISO 9001:2008

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Systémy řízení EMS/QMS/SMS

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

Sídlo: Bořivojova 35/878, Praha 3. Kontaktní adresa: Horní 1687/30, Žďár nad Sázavou KATALOG KURZŮ PRO ROK 2009

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Služby poskytované BUREAU VERITAS v oblasti certifikace Informační technologie Management služeb (ITSM Information Technology Service Management)

PRO ŽADATELE O CERTIFIKACI OSOB NA FUNKCE MANAŽER BOZP AUDITOR BOZP

PORADENSTVÍ A PŘÍPRAVA K CERTIFIKACI A AKREDITACI

INFORMACE PRO ŽADATELE / DRŽITELE CERTIFIKÁTŮ

Věc: Strategie EZÚ pro přechodné období zavádění normy ČSN OHSAS 18001

Elektrotechnický zkušební ústav, s. p. Certifikační orgán pro certifikaci produktů Pod Lisem 129, Praha 8 - Troja

ATONA_BLANSKO_MKE PŘÍRUČKA JAKOSTI A ENVIRONMENTU. Příručka managementu. Vydání: 3 Nahrazuje: 2. Schváleno: GR. Vyhotovil: Dne: Ing.

Všeobecné podmínky PRO CERTIFIKAČNÍ ORGÁN SYSTÉMOVÉ CERTIFIKACE S.R.O.

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Co nového v akreditaci?...

Dětská hřiště bezpečnost a certifikace

Strategie společnosti PTC Praha a.s. na období let

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

ISO/IEC certifikace v ČR. Miroslav Sedláček

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

EURO CERT CZ, a.s. Pravidla procesu hodnocení kvality a bezpečí lůžkové zdravotní péče (SD 15)

ZÁKLADNÍ INFORMACE O SLUŽBÁCH CERTIFIKAČNÍHO ORGÁNU PRO SYSTÉMY MANAGEMENTU

Ing. Zdeněk Fildán PŘÍRUČKA PRO ENVIRONMENTÁLNÍ MANAGEMENT (EMS) PODLE NORMY ČSN EN ISO

STANDARDIZACE TEXTILNÍCH VÝROBKŮ POSTUPY CERTIFIKACE VÝROBKŮ

Zdravotnické laboratoře. MUDr. Marcela Šimečková

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci

Katalog služeb Verze 5, aktualizace

Výtisk č. : Platnost od: Schválil: Podpis:

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

DRÁŽNÍ ÚŘAD, WILSONOVA 300/8, PRAHA 2 VINOHRADY sekce provozně-technická

Drážní úřad Rail Authority. Certifikace ECM v České republice. Pavel Kodym, Tomáš Olšan Olomouc

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Metrologický řád KKS

Inovace bakalářského studijního oboru Aplikovaná chemie

Kam směřuje akreditace v příštích letech

Jan Hřídel Regional Sales Manager - Public Administration

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

1. otázka pro BMI a BMT

Zkušenosti z auditů CSR. III. Ročník konference Společenská odpovědnost ve všech oblastech lidské činnosti

Státní pokladna. Centrum sdílených služeb

Příručka kvality společnosti CZECHOSLOVAK REAL (CZ), s.r.o.

Katalog služeb 2013 C.Q.M. verze 5, aktualizace Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu

INFORMACE PRO ZÁJEMCE O CERTIFIKACI A PRO DRŽITELE CERTIFIKÁTU SPOTŘEBITELSKÉHO ŘETĚZCE LESNÍCH PRODUKTŮ (C-o-C) CO CSQ-CERT

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ISO BULLETIN 1 / strana z 8

METODICKÉ POKYNY PRO AKREDITACI

Úvod. Projektový záměr

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Zásady managementu incidentů

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Systém managementu bezpečnosti informací podle ISO/IEC jako prevence Zákona o kybernetické bezpečnosti

Příloha Vyhlášky č.9/2011

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Bezpečnost z pohledu legislativy ČR

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

B e z p e č n ý p o d n i k

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Certifikační orgán pro certifikaci shody produktů Eurosignal Mstětice 34, Zeleneč

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Systém řízení bezpečnosti a ochrany zdraví při práci (OHSAS 18001)

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

SMĚRNICE DĚKANA Č. 4/2013

Akreditace klinických laboratoří. Ing. Martina Bednářová

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

ČESKÁ TECHNICKÁ NORMA

Metodický list pro 1. soustředění kombinovaného Mgr. studia předmětu. kód předmětu ŘÍZENÍ KVALITY

POZVÁNKA NA SEMINÁŘ TÜV. Vážená paní / Vážený pane,

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

Mgr. Darja Filipová PharmDr. Vladimír Holub Ing. Petr Koška, MBA

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

ČESKÁ TECHNICKÁ NORMA

Bezpečnostní politika společnosti synlab czech s.r.o.

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Představení normy ČSN ISO/IEC Management služeb

Závěrečná zpráva. k projektu FRVŠ 755/2011/F5/a. Inovace předmětu Audit podniku a jeho operací. Ing. Mgr. David Suchánek, Ph.D.

OBECNÉ INFORMACE. Oskara Motyky 2985/7, OSTRAVA tel.: , mob.: e mail: rubiso@centrum.cz

Systémy řízení EMS/QMS/SMS

Systémy řízení QMS, EMS, SMS, SLP

Bezpečnost a ochrana zdraví při práci po vstupu České republiky do Evropské unie

Implementační dokument OPŽP návrh hodnocení projektů v oblasti ochrany ovzduší a v oblasti využívání OZE

KONTAKT. Complete solutions in electrical engineering, electronics and security systems

SYSTÉM ŘÍZENÍ JAKOSTI VE VEŘEJNÉ SPRÁVĚ

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

Příklad I.vrstvy integrované dokumentace

Metodický list kombinovaného studia předmětu SRJ_2 - SYSTÉM ŘÍZENÍ JAKOSTI a 2. soustředění (2+2 hod.)

Metodický pokyn pro akreditaci

METODICKÉ POKYNY PRO AKREDITACI

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Přehled legislativy. Přehled legislativy týkající se farmakovigilančního (FV) auditu a inspekce. 30. listopadu

POŽADADAVKY NA ORGANIZACI SYSTÉMU SPOLEČENSKÉ ODPOVĚDNOSTI (ZÁKLADNÍ INFORMACE)

Systémy řízení EMS/QMS/SMS

Nejčastěji zjišťované nedostatky při prověřování způsobilosti AMS. Lukáš Rutar středisko posuzování laboratoří ČKS

Transkript:

Zkušenosti se zaváděním ISMS z pohledu auditora Luděk Novák, ANECT a.s., vedoucí auditor pro ISO/IEC 27001, ISO/IEC 20000 7. bezpečnostní seminář 22. září 2011, Praha

Obsah Obsah Principy auditu Postup auditu ISMS Kritická místa implementace ISMS (pohled auditora) Závěr

Základní principy auditu Etické chování důvěryhodnost, jednotnost, důvěrnost a diskrétnost vztahu auditora a auditované činnosti a při manipulaci s informacemi a daty Spravedlivé prezentování zjištění, závěry a zprávy z auditu musí být vždy pravdivé a musí přesně popisovat veškeré činnosti provedené v průběhu auditu Povinnost profesionálního přístupu auditor musí mít vysokou odbornou a profesní způsobilost a musí využívat své odborné zkušenosti dané nejlepší vžitou praxí v oblasti IT Nezávislost auditor musí být naprosto nezávislý na auditované činnosti a prováděný audit je důsledně veden s cílem nalézt objektivní stanovisko Průkaznost veškeré závěry a informace z provedeného auditu musí být zpětně ověřitelné

Postup auditu ISMS Zahájení auditu ČSN EN ISO 19011:2003 Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu Prověřované oblasti Soulad dokumentace ISMS s požadavky normy ISO/IEC 27001:2005 Soulad skutečného fungování ISMS s dokumentací ISMS Účinnost a výkonnost ISMS Přezkoumání dokumentace a příprava činností na místě Provádění auditu na místě Příprava, schválení a distribuce zprávy z auditu Dokončení auditu Provedení následného auditu

Kritická místa implementace ISMS (pohled auditora) 1 Kompetence odpovědných osob Případ 1: Manažer bezpečnosti navštívil po roce zavádění ISMS odborné školení Požadavky normy obsahují některá specifika, která nejsou z textu normy srozumitelná Dobré školení dovolí pracovníkům pochopit souvislosti Školení je potřeba na počátku získané znalosti by se měly projevit již při zavádění ISMS Rozsah ISMS Málo s pracuje s rozšiřováním rozsahu ISMS je výhodné si zavedení nekomplikovat a omezit se na podstatné Další rozvoj realizovat s ohledem na získané zkušenosti

Kritická místa implementace ISMS (pohled auditora) 2 Řízení rizik ISMS Případ 2: Hodnocení rizik obsahuje hodně čísel a málo informací Řízení rizik neslouží ke stanovení priorit ISMS Řízení rizik je příliš podrobné Chybí vazby mezi riziky a opatřeními nezbytné pro účinné řízení ISMS Prohlášení o aplikovatelosti není základním dokument ISMS Dokumentace a povědomí ISMS Případ 3: Bezpečnostní výbor nebyl schopen dodržet pravidla administrativní bezpečnosti Podrobná dokumentace není podmínkou certifikace Důležité je systematické prosazování zvyklostí dokumentace není cíl, ale nástroj Ne vždy se při tvorbě dokumentace myslí na následky Podpora vedení je i o příkladu pro ostatní

Kritická místa implementace ISMS (pohled auditora) 3 Záznamy ISMS Případ 4: V provozním deníku neexistovaly všechny záznamy o vyhodnocení provozních záznamů Důležité téma pro auditory ISMS Nestačí pořídit záznamy důležité je též provést vyhodnocení záznamu za dané období Nemusí se nutně jednat o papírovou válku Audity a přezkoumání ISMS Případ 5: Na odborné konferenci renovovaný odborník prohlásit, že..., a proto jsme... Cílem auditu je nalezení shody s normou ne všichni jsou na tuto skutečnost připraveny Program interního auditu souvisí s výsledky řízení rizik Interní auditoři ISMS potřebují kvalitní zaškolení Přezkoumání ISMS chvilka času pro přemýšlení o budoucnosti

Certifikace ISMS Proč certifikace? Ochrana zájmů organizace Realizace opatření jako výsledek řízení rizik Dobré praktiky pro řízení rizik organizace Prokázání schopnosti řídit bezpečnost informací Vnější klienti, obchodní partneři, státní orgány, regulační úřady, Vnitřní majitelé, akcionáři, vedení Konkurenční výhody Soulad s regulacemi Průběh certifikace Před-audit Není povinné Je vhodné a lze jen doporučit Certifikační audit Fáze I Prověrka dokumentace Fáze II Audit implementace ISMS Pravidelný dohled Perioda 6 až 12 měsíců Re-certifikace Každé 3 roky

Závěr Kvalitní audit ISMS je užitečný (pravda někdy bolí) Kvalitní zpětná vazba je základem účinného rozvoje Auditor (externí) musí rychle proniknout k podstatě Odpovědné osoby se mohou opřít o zkušenosti a intuici Certifikace brání ve stagnaci ISMS Alespoň jednou za rok se pod tlakem auditu zvýší priorita Certifikace vřele doporučuji Asi by se dalo hovořit z mé strany o konfliktu zájmů Výsledek často auditor uvidí rychle Časově náročné je získání důkazů

Děkuji za pozornost! ludek.novak@anect.com

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář