Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Podobné dokumenty
Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Implementace systému ISMS

Řízení informační bezpečnosti a veřejná správa

Security. v českých firmách

ČESKÁ TECHNICKÁ NORMA

Security. v českých firmách

V Brně dne 10. a

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Řízení kontinuity činností ve veřejné správě výsledky empirického výzkumu

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

BUSINESS CONTINUITY MANAGEMENT

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Zásady managementu incidentů

Technologie pro budování bezpe nosti IS technická opat ení.

Bezepečnost IS v organizaci

V Brně dne a

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

BEZPEČNOSTNÍ POLITIKA PRO BEZPEČNOST INFORMACÍ V ORGANIZACI

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Řízení rizik. RNDr. Igor Čermák, CSc.

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Management informační bezpečnosti

Kybernetická bezpečnost

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

ČESKÁ TECHNICKÁ NORMA

Efektivní řízení rizik webových a portálových aplikací

Řízení rizik ICT účelně a prakticky?

Profesionální a bezpečný úřad Kraje Vysočina

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Posuzování na základě rizika

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Legislativní změny v oblasti chemických látek a směsí a prevence závažných havárií. MUDr. Marie Adámková

KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Management. Ing. Jan Pivoňka

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

KRIZOVÉ ŘÍZENÍ PRO INŽENÝRSKÉ OBORY

Řízení rizik z pohledu bezpečnosti

Legislativní změny v oblasti chemických látek a směsí a prevence závažných havárií

Case study z analýzy dopadů a zavedení BCM v praxi. Aleš Kruczek ALD Automotive, člen Société Générale Martin Tobolka - AEC

Kybernetická bezpečnost resortu MV

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Gradua-CEGOS, s.r.o. AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI. CS systémy managementu organizací verze 2, 8.2, b) 1.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Business Continuity Management

Bezpečnostní politika a dokumentace

Aplikace procesu managementu kontinuity činností organizace v průmyslu komerční bezpečnosti

Bezpečnostní poradenství.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Standardní operační postup (SOP) ČNRDD/M06/verze 01. Řešení mimořádných událostí

Katalog služeb a podmínky poskytování provozu

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Kybernetická bezpečnost MV

srpen 2008 Ing. Jan Káda

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Servisní služby a maintenance díla Informační systém PGRLF

Vzdělávání pro bezpečnostní systém státu

Bezpečnost na internetu. přednáška

AST SMARTBunker AST SMARTShelter. Analytický dokument CC # /5 CC #200905

Zákon o kybernetické bezpečnosti

Identifikace a hodnocení rizik

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Z K B V P R O S T Ř E D Í

Koncepce environmentální bezpečnosti

End-to-end testování. 26. dubna Bořek Zelinka

Technická specifikace předmětu plnění:

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

1. Název opatření Pořízení/ změna územního plánu (definování nezastavitelných ploch a ploch s omezeným využitím) DYJ217A15_O1 3. Typ listu opatření O

1. Politika integrovaného systému řízení

Úvod - Podniková informační bezpečnost PS1-1

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Prevence a zmírňování následků živelních a jiných pohrom ve vztahu k působnosti obcí

Společné minimum pro potřeby vzdělávání odborníků v oblasti bezpečnosti. (schváleno usnesením BRS ze dne 3. července 2007 č. 32)

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Provoz vodárenské infrastruktury v krizové situaci

Bezpečnostní poradenství.

Představení normy ČSN ISO/IEC Management služeb

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Transkript:

Business Continuity Management jako jeden z nástrojů zvládání rizik Ing. Martin Tobolka AEC, spol. s r.o.

Co je BCM? Mezi časté příčiny přerušení kontinuity činností patří technická selhání (energie, HW, SW), přírodní živly (požár, působení vody), lidský faktor (hrozby úmyslné i neúmyslné) apod. Řízení kontinuity činností (Business Continuity Management) je proces, který připraví organizaci na řešení těchto situací a zmírní jejich následky. Nejdůležitější je správně se připravit na krizové události, včas odhalit tuto událost, určit její příčinu a následně obnovit základní (nouzové) funkce organizace.

Proč řešit BCM? Snížení finančních ztrát v případě přerušení kontinuity organizace. Poskytnutí záruk vůči zákazníkům, akcionářům a managementu organizace díky zajištění kontinuity hlavní podnikatelské činnosti v době havárie. Pomocí analýzy dopadů jsou identifikovány finanční náklady při výpadcích konkrétních procesů společnosti. Je na míru vypracována strategie obnovy klíčových procesů včetně priorit obnovy a zajištění nouzového provozu. V této oblasti, více než jinde, platí, že prevence je vždy vhodnější a zejména levnější než následné odstraňování škod.

Zavádíme BCM

Podklady strategie obnovy Analýza dopadů: určení kritických procesů organizace, kvantitativní ohodnocení možných dopadů a případných ztrát při realizaci hrozby. Jsou identifikovány maximální doby nedostupnosti kritických procesů, identifikovány zdroje pro obnovu činností a stanoveny minimální úrovně zdrojů nutné pro dosažení stanovených lhůt obnovy činnosti. Analýza rizik IS: Zahrnuje identifikaci aktiv, relevantních hrozeb a zranitelností, které působí na aktiva. Je řešena pravděpodobnost jejich uskutečnění s určením nejvíce ohrožených kritických činností. Dále jsou posouzena zavedená opatření a je stanovena přijatelná úroveň rizika a stanoven plán opatření. Na základě analýzy dopadů je stanovena strategie řízení kontinuity činností a určeny priority obnovy kritických procesů a jejich požadavky na prostředky IS/ICT.

Výstupy BIA Zdroj: data poskytnutá BCM zákazníkem AEC

Dopad 1 z N nefunkčních procesů Zdroj: data poskytnutá BCM zákazníkem AEC

Optimální náklady k pokrytí BCM N Á K L A D Y Dopad na organizaci Bod optima Náklady na obnovu Š K O D A Čas obnovy

Časový průběh nedostupnosti

Tvorba strategie obnovy Hodnocení možných dopadů při narušení kritických činností Nastavení přijatelné úrovně zbytkového rizika Identifikace minimálních požadavků na zdroje pro zajištění minimální přijatelné úrovně obnovy kritických činností v daném čase Identifikace opatření na snížení rizika Identifikace zdrojů pokrytí a přenos rizika Analýza nákladů a přínosů Vytvoření strategie a plánu obnovy činností Implementace programu řízení rizik

Tvorba BCM Plán kontinuity organizace (BCM) tvoří základní dokument, ve kterém jsou definovány jednotlivé role, týmy, vazby apod. určeny strategie a procesy pro řízení zachování provozu organizace mohou být zdokumentovány v navazujících dokumentech Havarijní plán popisuje činnosti, které je potřeba začít provádět bezprostředně po zjištění mimořádné události. jsou určeni kompetentní lidé a jejich kontakty

Tvorba BCM Plán nouzového provozu definuje pracovní postupy a činnosti, kterými lze udržet kritické procesy alespoň v omezené míře časová osa a návaznosti dílčích plánů obnovy cílem je minimální dopad na chod organizace Plán obnovy většinou technicky nebo speciálně zaměřené plány určené pracovníkům konkrétních týmů obnovy startují je ukončením havarijního plánu vedou k obnovení běžného provozu před incidentem

Praktické užití BCM reálný přínos Účinnost plánů obnovy při použití v případě incidentu za období 2007-2009. V průzkumu jsou společnosti s nejméně 100 zaměstnanci. Mezi nimi jsou nejvíce zastoupeny (61 %) společnosti do 500 zaměstnanců. Zdroj: Průzkum stavu informační bezpečnosti V ČR 2009, NBÚ, Ernst & Young

Teoretické testy kontrola obsahu Testování BCM průchod plánem a/nebo infrastrukturou simulační Praktické testy funkční úplné přerušení Nesoustředit se pouze na testování ICT, ale věnovat se účastníkům plánu, jejichž znalosti, dovednosti a schopnosti správně se rozhodnout jsou klíčové. Nutná pravidelná revize postupů - řízení změn.

Četnost testování v organizacích Zdroj: Průzkum stavu informační bezpečnosti V ČR 2009, NBÚ, Ernst & Young

Normativní podklady ISO/IEC 27001 část Řízení kontinuity činností organizace díky certifikaci ISMS dnes nejčastější důvod zavedení BCM ČSN BS 25999-1:2006 a BS 25999-2:2007, dříve PAS 56 BCM jako součást celkového řízení organizace možnost certifikace BS 25777:2008 vychází z PAS 77 doporučení pro řízení kontinuity ICT s souladu s celkovým Business continuity managementem dle BS 25999:2006

Mám BCM a klidně spím proč? Fungující řízení kontinuity činností společnosti je vytvoření a implementace efektivního a zaměstnanci pochopeného procesu obnovy kritických procesů a technologií v případě havarijní situace. V případě havárie ve Vaší společnosti Vám plán kontinuity zajistí obnovu klíčových procesů aniž by to mělo negativní dopad na plnění stanovených podnikatelských záměrů, smluvních povinností a závazků vůči zákazníkům. Po implementaci řízení kontinuity víte, jak zvládnete provoz ICT při nejčastějších technických selháních (výpadek dodávek energie, selhání technického nebo programového vybavení), při působení přírodních živlů (požár, povodeň), selhání lidského faktoru (chyby uživatelů, podvody, krádeže, napadení IS) apod.

Podíl organizací se zavedeným BCM Zdroj: Průzkum stavu informační bezpečnosti V ČR 2009, NBÚ, Ernst & Young

Děkujeme za pozornost. Ing. Martin Tobolka AEC, spol. s r.o. martin.tobolka@aec.cz? PROSTOR PRO OTÁZKY

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář