Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Copyright (c) 2008 DGA S.A. | All rights reserved. Standardy organizacyjne zapewniające bezpieczeństwo informacji Białowieża – maj 2008r.

Podobne prezentacje


Prezentacja na temat: "Copyright (c) 2008 DGA S.A. | All rights reserved. Standardy organizacyjne zapewniające bezpieczeństwo informacji Białowieża – maj 2008r."— Zapis prezentacji:

1 copyright (c) 2008 DGA S.A. | All rights reserved. Standardy organizacyjne zapewniające bezpieczeństwo informacji Białowieża – maj 2008r.

2 copyright (c) 2008 DGA S.A. | All rights reserved. Co nas wyróżnia ? Jesteśmy publiczną spółką konsultingową 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie Papierów Wartościowych w Warszawie Działamy od 1 8 -stu lat! Od początku istnienia naszą spółkę cechuje imponująca dynamika wzrostu przychodów i liczby zatrudnionych. Pomagamy klientom w doskonaleniu Rocznie realizujemy kilkaset projektów doradczych. Transfer wiedzy – podstawowa cecha projektów DGA Podczas realizacji projektów z zakresu zarządzania staramy się przygotować klienta do utrzymania i doskonalenia wdrożonego systemu zarządzania O NAS

3 copyright (c) 2008 DGA S.A. | All rights reserved. Dbamy o jakość i bezpieczeństwo Jesteśmy pierwszą firmą konsultingową w Polsce, która wdrożyła System Zarządzania Jakością ISO 9001:2000 w zakresie usług konsultingowych, szkoleń, wdrażania systemów informatycznych, zarządzania procesami biznesowymi oraz zarządzania jakością. W 2003 roku jako pierwsza firma w Polsce uzyskaliśmy akredytowany certyfikat ISO 27001(BS ) Systemu Zarządzania Bezpieczeństwem Informacji. Ł ączymy tradycyjny konsulting z nowoczesnymi rozwiązaniami informatycznymi. O NAS Co nas wyróżnia ?

4 copyright (c) 2008 DGA S.A. | All rights reserved. copyright (c) 2007 DGA S.A. | All rights reserved. Zarządzanie zmianą Modelowanie procesów biznesowych Budowa struktur organizacyjnych Doradztwo HR Prowadzenie projektów ORGANIZACJA Optymalizacja procesowa Optymalizacja kosztowa Przygotowanie do wdrożenia systemów informatycznych Procedury ITIL, ISO OPTYMALIZACJA ISO Audyt teleinformatyczny Korporacyjna analiza ryzyka Audyt zabezpieczeń fizycznych Wybór rozwiązań bezpieczeństwa informacji Ciągłość działania BEZPIECZEŃSTWO Wdrożenie Systemów Antyfraud Wdrożenie Systemów Zarządzania Ryzykiem AUTOMATYZACJA ISO 9001:2000 Antyfraudy Optymalizacja obsługi Klienta Wdrożenie narzędzi DGA BPM O NAS

5 copyright (c) 2008 DGA S.A. | All rights reserved. Wybrane regulacje prawne obszaru bezpieczeństwa informacji Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych Ustawa z dnia 27 lipca 2001r. o ochronie baz danych Ustawa z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną Ustawa z dnia 12 września 2002r. o elektronicznych instrumentach płatniczych Ustawa z dnia 18 września 2001r. o podpisie elektronicznym Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnej Ustawa z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne Ustawa z dnia 14 lipca 1983r. - o narodowym zasobie archiwalnym i archiwach Rozporządzenie w sprawie minimalnych wymagań dla systemów teleinformatycznych Rozporządzenie w sprawie sposobu, zakresu i trybu udostępniania danych zgromadzonych w rejestrze publicznym Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania

6 copyright (c) 2008 DGA S.A. | All rights reserved. USTAWA o systemie informacji w ochronie zdrowia Projekt z dnia 1 sierpnia 2007 r. Rozdział 7 Nadzór i kontrola nad systemem informacji i bazami danych Art. 38. Podmioty prowadzące bazy danych w zakresie ochrony zdrowia są obowiązane do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych, a w szczególności zabezpieczenia danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą.

7 copyright (c) 2008 DGA S.A. | All rights reserved. Usługi DGA z obszaru bezpieczeństwa informacji System Zarządzania Jakością wg ISO 9001:2000 System Zarządzania Bezpieczeństwem Informacji wg ISO 27001:2005 Zarządzanie bezpieczeństwem informacji w ochronie zdrowia ISO (projekt) System Zarządzania Usługami IT ISO 20000:2005 System Zarządzania Ciągłością Działania – (BS 25999) Bezpieczeństwo danych osobowych Audyt bezpieczeństwa teleinformatycznego Audyt bezpieczeństwa fizycznego

8 copyright (c) 2008 DGA S.A. | All rights reserved. Wspólne podstawy ISO 9001 i ISO ZINTEGROWANY SYSTEM ZARZĄDZANIA ISO 9001 ISO Odpowiedzialność kierownictwa Zarządzanie zasobami ludzkimi Nadzorowanie dokumentacji Nadzorowanie firm współpracujących Nadzorowanie infrastruktury Nadzorowanie i doskonalenie systemu Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie ciągłością działania Zgodność z wymaganiami prawa i własnymi standardami System zarządzania jakością Odpowiedzialność kierownictwa Zarządzanie zasobami Realizacja zadania Pomiary, analiza i doskonalenie Wymagania Zarządzanie incydentami bezpieczeństwa Utrzymanie i doskonalenie Ustanowienie Monitorowanie i przegląd Wdrożenie i eksploatacja

9 copyright (c) 2008 DGA S.A. | All rights reserved. Szczególny nacisk położony jest na zarządzanie ryzykiem utraty ważnych informacji Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań Pozwala organizacji na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing Dlaczego ISO 27001?

10 copyright (c) 2008 DGA S.A. | All rights reserved. Obszary normy ISO/IEC Polityka bezpieczeństwa 2.Organizacja bezpieczeństwa 3.Klasyfikacja i kontrola zasobów 4.Bezpieczeństwo osobowe 5.Bezpieczeństwo fizyczne i środowiskowe 6.Zarządzanie systemami i sieciami 7.Kontrola dostępu do systemu 8.Pozyskiwanie, rozwój i utrzymanie systemu 9.Zarządzanie incydentami bezpieczeństwa 10.Zarządzanie ciągłością działania 11.Zgodność z wymaganiami prawa i własnymi standardami ISO/IEC Polityka bezpieczeństwa 2.Organizacja bezpieczeństwa 3.Klasyfikacja i kontrola zasobów 4.Bezpieczeństwo osobowe 5.Bezpieczeństwo fizyczne i środowiskowe 6.Zarządzanie systemami i sieciami 7.Kontrola dostępu do systemu 8.Pozyskiwanie, rozwój i utrzymanie systemu 9.Zarządzanie incydentami bezpieczeństwa 10.Zarządzanie ciągłością działania 11.Zgodność z wymaganiami prawa i własnymi standardami

11 copyright (c) 2008 DGA S.A. | All rights reserved. Korzyści z wdrożenia SZBI na podstawie ISO Usprawnienie zarządzania informacją i infrastrukturą IT Ustanowienie jednolitych reguł dotyczących bezpieczeństwa informacji, sklasyfikowane i zinwentaryzowane aktywa Standaryzacja pracy w sytuacjach kryzysowych Przejrzyste procedury postępowania w przypadku zaistnienia incydentu bezpieczeństwa Ochrona pracowników przed nieświadomym naruszeniem bezpieczeństwa Świadomi i przeszkoleni pracownicy Obniżenie ryzyka utraty informacji, poprzez skuteczne inwestycje podparte analizą ryzyka Budowanie wizerunku firmy profesjonalnej Podniesienie atrakcyjności organizacji

12 copyright (c) 2008 DGA S.A. | All rights reserved. PN-EN ISO Zarządzanie bezpieczeństwem informacji w ochronie zdrowia projekt wskazówki dla wsparcia interpretacji i stosowania w informatyce ochrony zdrowia normy ISO/IEC zbiór szczegółowych narzędzi kontrolnych do zarządzania bezpieczeństwem informacji w ochronie zdrowia najlepsze wskazówki praktyczne zarządzania bezpieczeństwem informacji w ochronie zdrowia, zapewnienie minimalnego koniecznego poziomu bezpieczeństwa, zachowywanie integralności informacji zapewnienie poufnego charakteru informacji Zapewnienie dostępności personalnych informacji w ochronie zdrowia

13 copyright (c) 2008 DGA S.A. | All rights reserved. Bezpieczeństwo prawne Bezpieczeństwo informatyczne Bezpieczeństwo fizyczne Bezpieczeństwo osobowe SZBI Informacje Ludzie Usługi Technologia System Zarządzania Bezpieczeństwem Informacji

14 copyright (c) 2008 DGA S.A. | All rights reserved. System Zarządzania Usługami IT ISO/IEC ISO to pierwszy międzynarodowy formalny standard zarządzania usługami IT, opisujący zintegrowane podejście procesowe gwarantujące dostarczenie efektywnych usług. ISO składa się z dwóch części: 1: to zbiór formalnych wymagań, które musi spełnić organizacja aby dostarczała wysokiej jakości usługi. 2: to zbiór najlepszych praktyk, pomagających organizacji spełnić wymagania zawarte w ISO

15 copyright (c) 2008 DGA S.A. | All rights reserved. Dlaczego warto stosować podejście usługowe w IT? Wykorzystanie podejścia usługowego w dziale IT pozwala m.in. na: Dostarczenie jasnych wskaźników wydajności dla kadry zarządzającej i decyzji inwestycyjnych Ustalenie wspólnego języka działu IT ze stroną biznesową Jasne określenie strategii rozwoju IT, która pozwoli sprostać przyszłym wymaganiom biznesu Wdrażanie projektów informatycznych na czas, zgodnie z założeniami oraz zgodnie z budżetem Integrację procesów IT ze sobą oraz innymi procesami w organizacji BIZNES DOSTAWCY PROCESY LUDZIE TECHNOLOGIA

16 copyright (c) 2008 DGA S.A. | All rights reserved. Dlaczego warto stosować podejście usługowe w IT? Wykorzystanie podejścia usługowego w dziale IT pozwala m.in. na: Poprawienie dostępności, niezawodności i bezpieczeństwa krytycznych usług IT Znaczące zmniejszenie liczby ciągle występujących awarii i niesprawności, eliminacje ciągle powtarzanej pracy Optymalizację wykorzystania zasobów IT Sprawne zarządzanie kosztami IT BIZNES DOSTAWCY PROCESY LUDZIE TECHNOLOGIA

17 copyright (c) 2008 DGA S.A. | All rights reserved. Ochrona danych osobowych w Polsce i Unii Europejskiej Konstytucja Rzeczypospolitej Polskiej Dyrektywa Parlamentu Europejskiego 95/46/EC Ustawa o ochronie danych osobowych Rozporządzenie MSWiA z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

18 copyright (c) 2008 DGA S.A. | All rights reserved. Dane wrażliwe – art. 27 ustawy Dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych wrażliwych jest szczególnie chronione Wrażliwe dane osobowe Dane osobowe Dane

19 copyright (c) 2008 DGA S.A. | All rights reserved. Oferta DGA: usługa dostosowania do wymogów rozporządzenia MSWiA z 29 kwietnia 2004 Szkolenia z ochrony danych osobowych Opracowanie dokumentacji zgodnie z rozporządzeniem MSWiA Koncepcja ochrony danych osobowych Audyt zabezpieczeń i dokumentacji Identyfikacja zbiorów danych osobowych

20 copyright (c) 2008 DGA S.A. | All rights reserved. Bezpieczeństwo Danych Osobowych Korzyści dla organizacji Zgodność z wymogami prawa w zakresie ochrony danych osobowych Procedury porządkujące zarządzanie systemami informatycznymi Wzrost świadomości pracowników w zakresie bezpieczeństwa informacji

21 copyright (c) 2008 DGA S.A. | All rights reserved. Celem audytu jest określenie aktualnego stanu pod względem przyjętych standardów oraz identyfikacja i ocena zagrożeń związanych z bezpieczeństwem danych przetwarzanych w systemach teleinformatycznych Niezależny audyt bezpieczeństwa teleinformatycznego pozwala realnie ocenić skuteczność i adekwatność zastosowanych mechanizmów i obiektywnie ocenić poziom bezpieczeństwa informacji w środowisku informatycznym. Złożoność i dynamika zmian systemów informatycznych to powód aby powierzyć to zadanie specjalistom. Audyt bezpieczeństwa teleinformatycznego

22 copyright (c) 2008 DGA S.A. | All rights reserved. Audyt bezpieczeństwa teleinformatycznego – zakres

23 copyright (c) 2008 DGA S.A. | All rights reserved. Bezpieczeństwo fizyczne infrastruktury teleinformatycznej. Bezpieczeństwo sieci teleinformatycznej. Zarządzanie zdalnym dostępem. Systemy antywirusowe, antyspamowe, antywłamaniowe (IDS, IPS). Zarządzanie środowiskiem domenowym. Zarządzanie kontami oraz uprawnieniami użytkowników. Stosowana polityka haseł. Bezpieczeństwo serwerów i systemów baz danych. Obszary bezpieczeństwa teleinformatycznego 23

24 copyright (c) 2008 DGA S.A. | All rights reserved. Zarządzanie kopiami zapasowymi. Zarządzanie zmianą w systemach informatycznych. Zarządzanie sprzętem komputerowym. Zarządzanie legalnością oprogramowania. Monitorowanie aktywności użytkowników. Szkolenia użytkowników i administratorów. Strategia IT w obszarze bezpieczeństwa. Zgodność systemów informatycznych z wymaganiami prawnymi. Obszary bezpieczeństwa teleinformatycznego 24

25 copyright (c) 2008 DGA S.A. | All rights reserved. Niezależna i profesjonalna ocena stanu bezpieczeństwa teleinformatycznego organizacji Zidentyfikowanie podatności oraz zagrożeń związanych z systemami teleinformatycznymi Wnioski i rekomendacje których wdrożenie zapewni podwyższenie poziomu bezpieczeństwa Audyt bezpieczeństwa teleinformatycznego - korzyści

26 copyright (c) 2008 DGA S.A. | All rights reserved. Zarządzanie Ciągłością Działania: BS Zarządzanie Ciągłością Działania to podejście do prowadzenia działalności w sposób pozwalający na utrzymanie określonego poziomu: dostarczania produktów, świadczenia usług, w przypadku wystąpienia określonych zakłóceń w funkcjonowaniu procesów organizacji. BCM (Business Continuity Management) – Zarządzanie ciągłością działania

27 copyright (c) 2008 DGA S.A. | All rights reserved. Funkcjonowanie po zajściu sytuacji kryzysowych Minimalizacja strat będących wynikiem przerw w procesach biznesowych Budowanie wizerunku organizacji wiarygodnej i profesjonalnej Zarządzania Ciągłością Działania: Cele Celem zarządzanie ciągłością ma być utrzymanie zdolności do świadczenia usług lub wytwarzania produktów – do generowania wartości.

28 copyright (c) 2008 DGA S.A. | All rights reserved. RAPORT ANALIZA RYZYKA ZAKŁÓCENIA CIĄGŁOŚCI STRATEGIA ZAPEWNIENIA CIĄGŁOŚCI PLANY AWARYJNE ZARZĄDZANIE CIĄGŁOŚCIĄ Zarządzania Ciągłością Działania: efekt końcowy 1.Wdrożony BCM 2.Świadomość bezpieczeństwa 3.Zwiększenie zysku organizacji

29 copyright (c) 2008 DGA S.A. | All rights reserved. Zapewnienie przetrwania Optymalizacja ponoszonych strat Wizerunek profesjonalisty oraz… Zapewnienie spełnienia wymagań prawnych: Prawo bankowe, Prawo telekomunikacyjne, Prawo pocztowe, Prawo energetyczne, Zapewnienie spełnienie zapisów tzw. umów gwarancji poziomu świadczenia usług (SLA) Zarządzania Ciągłością Działania: efekt końcowy

30 copyright (c) 2008 DGA S.A. | All rights reserved. Jak to zrobić……… System Zarządzania Jakością System Zarządzania Bezpieczeństwem Informacji System zarządzania ciągłością działania Jak to wszystko zintegrować? Wrzucę wszystko do jednego worka – ale czy to jest dobre rozwiązanie? NIE! BPM Eureka!!!!

31 zapraszamy do naszych biur Doradztwo Gospodarcze DGA S.A. Biuro w Poznaniu ul. Towarowa Poznań telefon.: , faks: Biuro w Warszawie ul. Emilii Plater Warszawa telefon.: , faks: Zapraszam do zadawania pytań Piotr Malarski Dyrektor ds. Klientów Kluczowych


Pobierz ppt "Copyright (c) 2008 DGA S.A. | All rights reserved. Standardy organizacyjne zapewniające bezpieczeństwo informacji Białowieża – maj 2008r."

Podobne prezentacje


Reklamy Google