ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA



Podobné dokumenty
ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Profesionální a bezpečný úřad Kraje Vysočina

Jan Hřídel Regional Sales Manager - Public Administration

Protikorupční politika Jihomoravského kraje

Příloha Vyhlášky č.9/2011

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Obecné nařízení o ochraně osobních údajů

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

Z K B V P R O S T Ř E D Í

1. Certifikační postup. 1.1 Příprava auditu. 1.2 Audit 1. stupně

Bezpečnostní politika společnosti synlab czech s.r.o.

Zpracování a udržování Registru právních a jiných požadavků

MONITORING NEKALÝCH OBCHODNÍCH PRAKTIK

Řízení kontinuity činností ve veřejné správě výsledky empirického výzkumu

Nová koncepce elektronického zdravotnictví pro období ročník konference ISSS

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Kulatý stůl l expertů. Jihlava 20.června 2007

Výzvy pro čerpání prostředků ze strukturálních fondů

ISO 9001:2015 CERTIFIKACE ISO 9001:2015

GDPR - příklad z praxe

Audity ISŘ. Je-li tento dokument vytištěn, stává se neřízeným. MERO ČR, a. s. Veltruská 748, Kralupy nad Vltavou SJ-GŘ Lenka Šloserová v. r.

Popis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Zkušenosti se zaváděním ISMS z pohledu auditora

Systém managementu bezpečnosti informací podle ISO/IEC jako prevence Zákona o kybernetické bezpečnosti

Zásady managementu incidentů

Cesta k zavedení managementu společenské odpovědnosti, aneb jak na to praxe Krajského úřadu Jihomoravského kraje

Implementace systému ISMS

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Praha PROJECT INSTINCT

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

ČESKÁ TECHNICKÁ NORMA

Politika bezpečnosti informací

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

GDPR - příklad z praxe

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Zhodnocení průběžného plnění Informační strategie hl. m. Prahy do roku 2010 (Cesta k e-praze) Duben 2009

MANAŽER SM BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.10/2007

Vnitřní kontrolní systém v orgánu veřejné správy

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Bezpečnostní politika společnosti synlab czech s.r.o.

Kybernetická bezpečnost

Příklad I.vrstvy integrované dokumentace

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Návod k požadavkům ISO 9001:2015 na dokumentované informace

Politika bezpečnosti informací

Systémy řízení EMS/QMS/SMS

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Účel dokumentu. Uveřejnění jakékoli části tohoto dokumentu podléhá schválení příslušných pracovníků Ministerstva vnitra České republiky.

Evaluační plán. REGIONÁLNÍ OPERAČNÍ PROGRAM NUTS II SEVEROVÝCHOD pro rok Datum zveřejnění:

Projekt Podpora sociálně-právní ochrany dětí na Krajském úřadě Jihomoravského kraje II a jeho přínos pro obecní úřady

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

Zákon o kybernetické bezpečnosti

STRATEGIE A PROJEKTY ODBORU INFORMATIKY MHMP

Směrnice č. 4 Řízení, financování a realizace projektů

Služby poskytované BUREAU VERITAS v oblasti certifikace Informační technologie Management služeb (ITSM Information Technology Service Management)

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

GDPR příklad z praxe MICHAL KOPECKÝ TAJEMNÍK ÚMČ P2

Metodický pokyn pro řízení kvality ve služebních úřadech: Kritéria zlepšování

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Dopad (D) V=P*D. Finanční riziko

Informační strategie hl. města Prahy do roku 2010

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

CZ.1.04/4.1.00/

SMĚRNICE DĚKANA Č. 4/2013

Co je riziko? Řízení rizik v MHMP

GIS Libereckého kraje

Rámcový rezortní interní protikorupční program

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Gradua-CEGOS, s.r.o. člen skupiny Cegos AUDITOR BOZP PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Systém řízení informační bezpečnosti (ISMS)

Ceny Ministerstva vnitra za kvalitu a inovaci ve veřejné správě ročník 2011 ZÁVĚREČNÁ ZPRÁVA Z ŘEŠENÍ

Setkání CIO státní správy

IAF - Mezinárodní akreditační fórum Informativní dokument IAF

Používání certifikátů a certifikační značky

Strategické cíle a jejich implementace

Spisová služba a Zákon o kybernetické bezpečnosti (181/2014 Sb.)

Garant karty projektového okruhu:

Politika ochrany osobních údajů

Transkript:

ISO 9001:2009 a ISO 27001:2005 dobrá praxe Ing. Martin Havel, MBA

Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení 2

Podstata řešení Vytvoření jednotného systému Bezpečnosti informací dle požadavků normy ISO/IEC 27001 v návaznosti na již implementovaný systém řízení kvality (QMS) dle ISO/IEC 9001. Komplexní zajištění bezpečnosti informací, které jsou spravovány při výkonu samostatné působnosti nebo přenesené působnosti ve smyslu příslušných zákonů. Celé řešení přináší globální přístup k celé problematice Bezpečnosti informací. Pomáhá prověřit současný stav, naplánovat a realizovat nejvhodnějšího řešení s nastavením účinných kontrolních mechanismů. 3

Cíle řešení Hlavním cílem bylo vytvoření systému ISMS tak, aby se bezpečnost stala součástí všech procesů KrÚ, aby ochrana aktiv probíhala jako nepřetržitý proces zajišťování důvěrnosti, integrity a dostupnosti chráněných informací. Zajistit kontinuitu činností organizace, zvládat informační hrozby, minimalizovat potenciální ztráty, podporovat právní shodu a dobré jméno organizace. Dílčím cílem pak bylo certifikovat systém ISMS a tedy transparentně prokázat shodu systému s normou ISO/IEC 27001:2005. pro oblast Činnosti veřejné správy Odbor kanceláře ředitelky, Odbor informatiky. 4

Průběh implementace Podrobné posouzení aktuálního stavu bezpečnosti: a) Zhodnocení nastavení systému bezpečnosti ICT b) Zhodnocení na základě kontroly shody u ICT c) Zhodnocení řízení oblasti bezpečnosti informací ve vztahu ICT d) Identifikaci aktiv (co je předmětem ochrany) e) Analýzu ochrany aktiv (ověření, jak jsou aktiva chráněna) f) Popis zjištěných nedostatků a identifikaci klíčových rizik 5

Vlastní implementace a) Stanovení implementačního týmu b) Realistický harmonogram, kontrolní dny c) Rozšíření existující bezpečnostní infrastruktury d) Aktualizace a doplnění stávající dokumentace e) Tvorba interních informačních webů f) Školení uživatelů 6

Bezpečnostní infrastruktura 7

Přínos představeného řešení Výhodná návaznost na systém řízení kvality dle ISO/IEC 9001:2009; Vytvoření bezpečnostní infrastruktury KrÚ JMK, včetně nového meziodborového Bezpečnostního fóra Úřadu; Zvýšení znalostí v oblasti bezpečnosti informací u zaměstnanců, ustanovení a vyškolení bezpečnostních správců na každém odboru KrÚ; 8

Přínos představeného řešení Zavedení ISMS do podmínek KrÚ JMK lze konstatovat připravenost na projekty související s elektronizací státní a veřejné správy (egovernment). Díky zavedenému systém ISMS lze pak velmi jednoduše aplikovat stejné bezpečnostní požadavky na jakýkoliv nový prvek Informačních nebo komunikačních technologií KrÚ JMK. Dohody uzavírané s třetími stranami pokrývají veškeré relevantní bezpečnostní požadavky. 9

Výsledky řešení Kvantitativní ukazatele: Vytvoření nebo aktualizace 14 dokumentů v rámci zavedeného ISMS Implementace ISMS do 9 interních norem (jen jedna nová). Počet neshod z certifikačního auditu= 0 Počet odchylek z certifikačního auditu = 0 Počet doporučení z certifikačního auditu = 14 Počet proškolených vedoucích odborů, útvarů = 18 Počet proškolených bezpečnostních správců = 18 Počet proškolených zaměstnanců = více jak 600 Vytvoření dvou interních portálů k tématu Bezpečnost informací 10

Výsledek implementace KrÚ JMK získal certifikát ISO/IEC 27001:2005 Činnosti veřejné správy 11

Doporučení Dobrá praxe Nejdůležitějšími faktory úspěšné implementace: 1. Kvalitní analýza počátečního stavu jako základní kámen úspěšné implementace. 2. Podpora vedení organizace. 3. Efektivní a konstruktivní projektový tým. 4. Vytvoření a nastavení správné bezpečnostní infrastruktury. 5. Využití synergie, systém řízení kvality dle ISO/IEC 9001:2009. 12

Doporučení Dobrá praxe Možné překážky v implementaci: Obavy z něčeho nového. Obavy z nárůstu administrativy. Rozptýlit obavy, získat důvěru a podporu zaměstnanců, vedoucích odborů jako hlavních nositelů principů Bezpečnosti informací a vykonavatelů jednotlivých bezpečnostních politik. 13

Doporučení Dobrá praxe Správná bezpečnostní infrastruktura Důležitá je linie podřízenosti Manažera bezpečnosti informací. Jeho úkolem je vytvářet a aktualizovat směrnice, dohlížet na jejich dodržování, zajišťovat jejich implementaci, kontrolovat a informovat vedení o průběžné situaci. Praxe ukazuje, že je rizikové ponechat vládu nad bezpečností informací jen v rukou Odboru informací, který spravuje ICT. Obecně platí, že pohled správce ICT na bezpečnost je zpravidla odlišný od pohledu příslušného bezpečnostního pracovníka. 14

MÁTE-LI NĚJAKÉ OTÁZKY DĚKUJI VÁM ZA POZORNOST Ing. Martin Havel, MBA., Odbor kancelář ředitelky Krajský úřad Jihomoravského kraje, Žerotínovo nám. 3/5, Brno havel.martin@kr-jihomoravsky.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář