Bezpečnost informací Oborové normy

Podobné dokumenty
Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Bezpečnost informací Oborové normy

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Management informační bezpečnosti. V Brně dne 26. září 2013

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Úvod - Podniková informační bezpečnost PS1-2

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

ČESKÁ TECHNICKÁ NORMA

Kybernetická bezpečnost

Bezpečnostní politika společnosti synlab czech s.r.o.

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Bezpečnost na internetu. přednáška

Bezpečnostní normy a standardy KS - 6

Sdílení výukových materiálů. Inovativní podpora výuky a provozu. Ochrana dat. Moderní interaktivní výuka. Příprava vyučujících

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Zákon o kybernetické bezpečnosti

Úvod do validace počítačových systémů Ing. Miroslav Mík. Obsah

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Normy ISO/IEC 27xxx Přehled norem

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Normy ISO/IEC 27xxx Přehled norem

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Dlouhodobé ukládání elektronických záznamů pacienta. Markéta Bušková ECM konzultant, SEFIRA

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Klíčové aspekty životního cyklu essl

Není cloud jako cloud, rozhodujte se podle bezpečnosti

POČÍTAČOVÉ ŘÍZENÍ TECHNOLOGICKÝCH PROCESŮ

EXTRAKT z technické normy CEN ISO

ČESKÁ TECHNICKÁ NORMA

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Nástroje IT manažera

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

EXTRAKT z české technické normy

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

srpen 2008 Ing. Jan Káda

Kybernetická bezpečnost MV

Kybernetická bezpečnost resortu MV

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

PŘÍLOHA C Požadavky na Dokumentaci

Úvod - Podniková informační bezpečnost PS1-1

MFF UK Praha, 29. duben 2008

EXTRAKT z mezinárodní normy

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@ .cz

Technické aspekty zákona o kybernetické bezpečnosti

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

POČÍTAČOVÉ ŘÍZENÍ TECHNOLOGICKÝCH PROCESŮ

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Technologický seminář Simac Technik ČR, a.s. Praha,

Další postup v řešení. kybernetické bezpečnosti. v České republice

ČD Telematika a.s. Efektivní správa infrastruktury. 11. května Konference FÓRUM e-time, Kongresové centrum Praha. Ing.

Management informační bezpečnosti

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

ANECT, SOCA a bezpečnost aplikací

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

Management bezpečnosti fyzické vrstvy

EXTRAKT z mezinárodní normy

Zkušenosti s implementací ZoKB a problémy, které nás pálí. Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

POČÍTAČOVÉ ŘÍZENÍ TECHNOLOGICKÝCH PROCESŮ

Postupy pro zavedení a řízení bezpečnosti informací

Státní pokladna. Centrum sdílených služeb

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Odbor městské informatiky

GDPR - příklad z praxe

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

V Brně dne 10. a

Politika bezpečnosti informací

ČESKÁ TECHNICKÁ NORMA

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

NÁVRH ZÁKONA o KYBERNETICKÉ BEZPEČNOSTI. JUDr. Radomír Valica ředitel odboru právního a legislativního NBÚ 3. října 2013, Praha

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

Jak se měří síťové toky? A k čemu to je? Martin Žádník

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

ANF DATA spol. s r.o. a Siemens company. Den průmyslu na FIT 12. dubna 2012

Dopady GDPR a jejich vazby

Ministerstvo vnitra připravuje. jednotné řešení pro státní správu

ČESKÁ TECHNICKÁ NORMA

ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE

Bezpečností politiky a pravidla

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

PRAVIDLA SPRÁVY POČÍTAČOVÉ SÍTĚ BIOFYZIKÁLNÍHO ÚSTAVU AV ČR

Outsourcing v podmínkách Statutárního města Ostravy

Kybernetická bezpečnost

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Nástroje IT manažera

Transkript:

Bezpečnost informací Oborové normy V Brně dne 12. prosince 2013

Oborové normy Státní správa Zdravotnictví ISP Energetika Akademické a univerzitní prostředí Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 2

ISMS ve státní správě Pojmy: ISVS Informační č systémy veřejné ř správy MIČR Ministerstvo Informatiky ČR zrušeno v roce 2007 NSIB Národní strategie informační bezpečnosti ČR - Zajištění informační bezpečnosti veřejnou správou -Strategie předpokládá spolupráci orgánů veřejné správy s národní normalizační institucí (tj. Českým normalizačním institutem) při tvorbě norem z oblasti informační bezpečnosti. NCKB Národní centrum kybernetické bezpečnosti CERT Computer Emergency Response Team je vládní pracoviště zřízeno jako součást NCKB a značí tým pro řešení bezpečnostních počítačových incidentů Státní správa je z pohledu ISMS a jeho zavádění nejpotřebnější a nejkritičtější oblast z pohledu množství a členitosti zpracovávaných údajů. ISVS 3

ISMS ve státní správě Specifika zavádění ISMS ve státní správě - převážná část dokumentů existuje v papírové formě - komplikované hodnocení dopadů při analýze rizik - komplikovaná mezirezortní komunikace V dokumentu Bezpečnostní strategie ČR zroku 2011 zmiňuje v seznamu bezpečnostních hrozeb kybernetické útoky a ohrožení funkčnosti kritické infrastruktury. Ve vztahu k bezpečnostním požadavkům jsou v ČR nejvýznamnějšími: - zákon č. 365/2000 Sb., o informačních systémech veřejné správy - zákon č. 81/2012 Sb., je poslední novela předchozího - zákon č. 499/2004 Sb., o archivnictví a spisové službě - zákon č. 167/2012 Sb., je poslední novela předchozího - vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy - vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb ISVS 4

ISMS ve státní správě V České republice byl v prosinci roku 2002 vydán Standard ISVS 005/02.1 pro náležitosti životního cyklu informačního systému (vydal Úřad pro veřejné informační č systémy v Praze). Národní digitální archiv Prvního července roku 2012 nabyla účinnosti další novela zákona č. 499/2004 Sb., o archivnictví a spisové službě. Otevřela se tím legislativní cesta k vybudování Národního digitálního archivu, který bude specializovaným servisním pracovištěm a bude zajišťovat trvale udržitelné a bezpečné uchování digitálních dokumentů vybraných za digitální archiválie. Národní portál Součástí realizace Národního digitálního archivu bude tzv. Národní portál, který bude mít celou řadu zásadních funkcí, a to nejen pro vlastní původce, ale také pro badatele. Půjde o informační systém veřejné správy, který bude spravovat Národní archiv. V rámci EU je funkční model zvaný Úřední věstník Evropské unie, který formou prováděcích nařízení í komise EU stanovuje například technické specifikaci pro zabezpečení systémů ICT v rámci ISMS. ISVS 5

ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých útoků (20 Critical Security Controls): 1. inventář autorizovaných a neautorizovaných zařízení (HW audit) 2. inventář autorizovaného a neautorizovaného SW (SW audit) 3. bezpečné konfigurace HW a SW na pracovních stanicích a serverech 4. průběžná kontrola zranitelnosti a její j odstranění 5. ochrana před škodlivým SW 6. bezpečnost aplikačního SW 7. opatření pro bezdrátová zařízení 8. schopnost obnovy dat (manuální ověření) 9. posouzení bezpečnostních schopností a vhodné školení (manuální ověření) 10. bezpečná konfigurace síťových zařízení (fireally, routery a switche) ISVS 6

ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých útoků (20 Critical Security Controls) - pokračování: 11. omezení a opatření pro síťové porty, protokoly a služby 12. řízení administrativních privilégií 13. ochrana perimetru 14. údržba, sledování a analýza bezpečnostních log záznamů 15. kontrola přístupu založený na principu need to know 16. sledování a řízení uživatelských účtů 17. předcházení ztrátám dat (Data Loss Prevention) 18. schopnost reakce na incidenty (manuální ověření) 19. bezpečný síťový inženýring 20. penetrační č ítestyt ISVS 7

ISMS ve zdravotnictví Zdravotnická informatika (Health informatics) je vědecká disciplína, která se zabývá poznávacími, informačně-zpracovatelskými a komunikačními úkoly zdravotnické praxe, vzděláním a výzkumem včetně informační vědy a technologií na podporu těchto úkolů. (Definováno v ISO/TR 18307:2001, definice 3.73) Zdravotnický informační systém (Health informatik system) je úložiště (repositář) informací týkajících se zdravotního stavu subjektu péče v počítačově zpracovatelné formě, uložených a přeníášených bezpečně, a přístupných více autorizovaným uživatelům. (Definováno v ISO/TR 20514:2005, definice 2.25) Osobní zdravotní informace (Personal health information) jsou informace o identifikovatelné osobě, které se vztahují na fyzické nebo duševní zdraví jedince, nebo na poskytování zdravotních služeb jednotlivé osobě. Z pohledu provozního prostředí je třeba vnímat zdravotnictví jako specifikum, které je řešeno odlišnými požadavky na informační systémy. Oborové ISMS 8

ISMS ve zdravotnictví - prostředí Aktiva z pohledu bezpečnosti zdravotních informací zahrnují: - Lékařské informace - Služby IT -HW - SW - Komunikační zařízení - Média (nosiče dat) - IT zařízení - Lékařská zařízení, která zaznamenávají nebo poskytují data Specifické požadavky na bezpečnost zdravotnických elektronických přístrojů Specifická redundance v napájení zařízení ICT - napájení standardními okruhy s UPS - záložní motorgenerátor (týdenní test s přepojením okruhů, ) Organizace, které zpracovávají zdravotnické informace, včetně osobních údajů, musí mít politiku bezpečnosti informací, která je schválena vedením, publikována a sdělena všem zaměstnancům a příslušným vnějším stranám. Oborové ISMS 9

ISO/IEC 27799:2008 ISO/IEC 27799:2008 Zdravotnická informatika Systémy řízení bezpečnosti informací ve zdravotnictví využívající iso/iec 27002 Tato mezinárodní norma definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ISO/IEC 27002 a je doprovodem této normy. Tato norma specifikuje soubor podrobných kontrol pro řízení í bezpečnosti č zdravotnických informací a poskytujesměrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací. Tato norma se vztahuje na zdravotnické informace ve všech aspektech, bez ohledu na jejich formu (slovní a číselnou, zvukové nahrávky, kresby, video a lékařské snímky), na prostředky k jejich ukládání (tisk, zápis na papíře nebo elektronické uložení) a na prostředky využívané k jejich přenosu (ručně, faxem, přes počítačové sítě či poštou), protože tyto údaje musí být vždy náležitě chráněny. Normy ISO/IEC 27002 a ISO/IEC 27799 společně určují, jaké jsou požadavky na bezpečnost informací ve zdravotnictví. Tuto mezinárodní normu uzavírají tři informační č přílohy. -Příloha A popisuje obecné hrozby pro zdravotnické informace -Příloha B stručně popisuje úkoly a související dokumenty systému řízení bezpečnosti č zdravotnických informací - Příloha C popisuje výhody podpůrných nástrojů jako pomoc při implementaci Oborové ISMS 10

ISMS a ISP Pojmy: ISP (Internet Service Provider) je poskytovatel telekomunikačních a datových služeb. ISMS-T je označení pro problematiku ISMS v telekomunikačním prostředí. JTC1/SC27 je technická podkomise ISO/IEC zabývající se standardizací IT bezpečnosti. ITU (International Telecommunication Union) - Mezinárodní telekomunikační unie Problematika bezpečnosti je řešena dvojí cestou. První je IT, druhá ryze telekomunikační (ISMS-T). Ta je řešena normativně organizací ITU-T. ITU-T - ITU-T připravuje technické specifikace pro telekomunikační systémy, sítě a služby, včetně jejich provozu, fungování a údržbu. V rámci ITU-T jsou vytvářeny pracovní skupiny SG (Study Group) s určenými aktivitami. Telekomunikační bezpečnost je bezpečnost ICT technologií v telekomunikačních aplikacích (ISMS-T). Konvergence telekomunikačních sítí je technologické přibližování či přechod k jednotnému síťovému řešení. NGN Next Generation Network jsou konvergované telekomunikační č sítě poskytující í komplexní služby koncovým uživatelům. Oborové ISMS 11

ISMS a ISP Bezpečnost komunikačních služeb lze schématicky znázornit na příkladu blokového zapojení a vzájemných vazeb dle Q9/17 - Secure Communication Services: Oborové ISMS 12

ISO/IEC 27011:2008 ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Norma ISO/IEC 27011 je přizpůsobena telekomunikačnímu prostředí a je postavena na bázi všeobecné normy ISO/IEC 27002. Norma řeší následující témata: - Obecné pokyny pro informační bezpečnost - Organizační struktury - Odpovědnost a klasifikaci i informačních č aktiv - Bezpečnostní opatření pro zaměstnance - Fyzickou ochranu a veřejné služby -Sítě a provozní bezpečnost - Řízení přístupu - Systém vývoje a údržby - Bezpečnostními incidenty - Plánování á havarijní připravenost - Dodržování vnitřních a regulačních požadavků ITU-T Recommendation X.1051 Information security management system Requirements for telecommunications (ISMS-T) Doporučení X.1051 platí pro ISMS v telekomunikačním prostředí (ISMS-T). Oborové ISMS 13

NGN Pro NGN (Next Generation Networks) platí norma ve formě ITU-T následující bezpečnostní doporučení: ITU-T Recommendation X.800 Security architecture for Open Systems Interconnection for CCITT applications ITU-T Recommendation X.805 Security Architecture for Systems Providing End-to-End Communications NGN (Next Generation Networks) sítě následující generace jsou konvergované sítě poskytující komplexní síťové služby na úrovni dat, komunikací a multimediálních aplikací. Jsou postaveny na přenosu paketů a určeny k poskytování telekomunikačních služeb uživatelům. Doporučení ITU-T Y.2001 definuje NGN jako síť založenou na přepojování paketů. Dodatek k doporučení ITU-T Y.2011 doporučuje vhodný model OSI pro NGN. Doporučení ITU-T Y.120 definuje model konvergence sítě. Doporučení ITU-T Y.2701 Security requirements for NGN Doporučení ITU-T Y.2704 Security mechanisms and procedures for NGN Konvergenci z pohledu bezpečnosti bude řešit připravovaná norma ISO/IEC 27033-6 IP konvergence. Oborové ISMS 14

NGN Konvergenční model NGN je řešen ve třech aplikačních vrstvách (data, vysílání, telekomunikace). Rozfázování konvergence lze provést v následných krocích: Obsah > Služby > Infrastruktura > Koncový uživatel Oborové ISMS 15

IMS IMS (IP Multimedia Subsystem) jako součást NGN Oborové ISMS 16

Energetika ISO/IEC TR 27019:2013 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry Poskytuje hlavní zásady postavené na ISO/IEC 27002 aplikované na systémy řízení procesů používaných v energetickém průmyslu. Cílem ISO/IEC TR 27019:2013 je rozšířit ISO/IEC 27000 soubor norem na oblast procesních řídicích systémů a automatizační techniky, což umožňuje energetickému rozvodnému průmyslu implementovat standardizovaný systém řízení informační bezpečnosti (ISMS) v souladu s normou ISO/IEC 27001 se záběrem až na úroveň řízení procesů. Rozsah ISO/IEC TR 27019:2013 se vztahuje na systémy řízení procesů používaných v energetice pro řízení a monitorování výroby, přenosu, skladování a distribuci elektrické energie, plynu a tepla v kombinaci s kontrolou podpůrných procesů. Mimo záběr ISO/IEC TR 27019:2013 je konvenční nebo klasické ovládací zařízení, které není postaveno na digitálním principu, tedy je čistě elektromechanické nebo je postaveno na analogovém principu. Energetické systémy řízení technologických procesů v domácnostech a jiných srovnatelných obytných budovách nespadají do působnosti ISO/IEC TR 27019:2013. Oborové ISMS 17

Energetika Působnost normy se týká především následujících systémů, aplikací a komponentů: - obecně IT technologií podporující centrální a distribuované řízení procesů, monitorování a automatizační techniky, včetně IT systémů používané pro jejich provoz - číslicových ý h regulátorů ů a automatizačních ti č komponentů, jako je řízení í a periferie i nebo PLC, včetně digitálních prvků pro snímače a pohony - všech dalších podpůrných IT systémů používaných v oblasti řízení procesů, např. pro sběr doplňujících údajů, vizualizační úlohy a pro řízení, monitorování, archivaci dat a k dokumentačním účelům - komunikačních technologií používaných v oblasti řízení technologických procesů, např. sítí, telemetrii, dálkové aplikace a dálkové ovládání technologií - digitálního měření a měřících přístrojů (pro měření spotřeby energie nebo mezních hodnot emisí) - digitální ochrany a bezpečnostních systémů, např. ochranná relé nebo bezpečnostní PLC měření a měřicí zařízení (měření spotřeby energie nebo mezních hodnot emisí) - distribuovaných komponentů prostředí budoucích inteligentních sítí - veškerého softwaru, firmwaru a aplikací nainstalovaných ve výše zmíněných systémech Oborové ISMS 18

Akademické a univerzitní prostředí Akademickým prostředím je v této souvislosti myšleno prostředí vysokoškolských zařízení. Škola kromě ě toho, že poskytuje internet t svým zaměstnancům, ě ů tak se také stává á poskytovatelem internetu pro své studenty (zpravidla formou WiFi). Je tedy nutné zdůraznit následující: řádné oddělení sítí (síť pro zaměstnance, síť v počítačových učebnách, WiFi síť) a s tím související přístupová práva (nejen 802.1x) a QoS (přidělení priorit jednotlivým typům služeb) dodržování IT standardů (umožnění funkčního připojení zařízení od různých výrobců, zejména v případě wifi sítě a notebooků studentů) AAA (autentizace a autorizace jednotlivých uživatelů samostatně a nikoliv sdílená hesla) logování aktivit uživatelů (přihlášení, odhlášení, použité služby, IP adresy apod.) adekvátní bezpečnostní politika - např. (dočasné) omezení přístupu k WiFi (nebo jiný postih)v případě potenciálního ohrožení sítě (přítomnost viru nebo červa na notebooku apod.) či jiného porušení pravidel jejího používání, znemožnění instalování dalšího software studenty na PC v počítačových učebnách atd. zabezpečení WiFi sítě (WPA2, AES, 802.1x, filtrace portu 25 tj. používání pouze vlastního školního mail serveru, atd.) Oborové ISMS 19

Akademické a univerzitní prostředí - Campus Oborové ISMS 20

Akademické a univerzitní prostředí - požadavky Základní požadavky na řešení: - Centralizovaný AP management (postavený na tunelování) - Kontrola Zabezpečeného přístupu - Uživatelský roaming v rámci kampusu (L2/3) - Chytrý klient (IPhone, ipad, tablet ) s kompatibilním bezdrátovým FW, blokování P2P Poznámka: P2P je síť Peer-To-Peer (což je označení pro celosvětové distribuované systémy, ve kterých může každý uzel sloužit zároveň jako klient i jako server). Tyto sítě slouží ke sdílení velkého objemu dat mezi uživateli (většinou soubory s nelegálním obsahem). Oborové ISMS 21

Akademické a univerzitní prostředí - směrnice Ilustrativní seznam platných směrnic pro univerzitní prostředí (vztahujících se k IS/IT) - Univerzitní (celoškolské) Směrnice rektora pro centrální IS Směrnice rektora - Pravidla provozu počítačové sítě Směrnice rektora - Pravidla správy počítačové sítě Organizační řád (pro výpočetní a informační služby) - Fakultní Strategie rozvoje ICT Strategie bezpečnosti ICT Strategie rozvoje Internet a Intranet alikací Směrnice správy IS - provoz elektronické pošty a diáře Směrnice správy IS - provoz Internetu Směrnice správy IS - provoz Intranetu Směrnice správy IS - zavádění a změny účtů zaměstnanců a studentů Směrnice správy IS - pravidla pro práci s elektronickou poštou zaměstnanců Směrnice správy IS - pravidla pro práci s elektronickou poštou studentů Oborové ISMS 22

Akademické a univerzitní prostředí - Fakultní (pokračování) Pravidla pro připojování a používání koncových zařízení Vnitřní předpis pro používání multimediálních učeben Vnitřní řád pro laboratoře výpočetní techniky Objektová bezpečnost zabezpečení a řízený přístup do poslucháren Zásady přidělování práv v přístupovém systému - Útvarové (například pro útvar IS) Organizační řád útvaru IS Popisy práce jednotlivých pracovníků útvaru IS Bezpečnostní školení dle vyhlášky 50 Oborové ISMS 23

Akademické a univerzitní prostředí zavádění ISO Fakultní zavádění ISO 27001 (Systém managementu bezpečnosti informací) - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 20000 na útvaru IS) -Výběr konzultanta či firmy pro zavádění ISO 27001 - Ustavení a zavedení ISMS (vyhotovení příručky ISMS, hodnocení rizik, dokumentace postupů provádění opatření ISMS, návrh záznamů k prokázání ISMS) - Ustavení a proškolení interního auditora ISMS a provedení interního auditu - Zpracování a přezkoumání ISMS vedením fakulty - Výběr akreditované certifikační autority pro ISO 27001 - Externí audit a certifikace ISO 27001 Útvarové zavádění ISO 20000 (Systém managementu služeb IT) na útvaru IS - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 27001) -Výběr konzultanta či firmy pro zavádění ISO 20000 - Ustavení a zavedení ITSM (vyhotovení příručky ITSM a katalogu služeb útvaru IS) - Ustavení a proškolení interního auditora ITSM a provedení interního auditu - Zpracování a přezkoumání ITSM vedením útvaru - Výběr akreditované certifikační autority pro ISO 20000 - Externí audit a certifikace ISO 20000 útvaru IS Oborové ISMS 24

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář