Standardy organizacyjne zapewniające bezpieczeństwo informacji

Slides:



Advertisements
Podobne prezentacje
Słabe strony administracji publicznej wg Narodowej Strategii Spójności 2007
Advertisements

ROMAN QUALITY SUPPORT - - cell:

Kompleksowe zarządzanie bezpieczeństwem informacji
Czy warto wdrażać ISO w Banku Spółdzielczym
EControl – prostsze zarządzanie tożsamością pracowników Twórz Zarządzaj Audytuj Wolfgang Berger Omni Technology Solutions
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Najważniejsze prace legislacyjne dotyczące problematyki społeczeństwa informacyjnego zakończone w 2001 r. Grażyna Omarska p.o. Dyrektor Departamentu Systemów.
Zamówienia publiczne a małe i średnie przedsiębiorstwa
SYSTEM ZARZĄDZANIA JAKOŚCIĄ
Ministerstwo Polityki Społecznej DEPARTAMENT POŻYTKU PUBLICZNEGO październik – listopad 2005 r.
Administracja zintegrowanych systemów zarządzania
Eksploatacja zasobów informatycznych przedsiębiorstwa
Eksploatacja zasobów informatycznych przedsiębiorstwa
Jakość systemów informacyjnych (aspekt eksploatacyjny)
Outsourcing Dlaczego niektórym się opłaca? 23 maja 2013 r. Zamość
Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.
Urząd Miasta Ostrowiec Świętokrzyski Kielce 12 marca 2009 r.
copyright (c) 2007 DGA S.A. | All rights reserved.
Wdrożenie MiFID – nowe obowiązki dla domów maklerskich
Środki bezpieczeństwa
Adam Walicki - 30 września 2010
Działanie 5.2 Wzmocnienie potencjału administracji samorządowej Departament Administracji Publicznej Ministerstwo Spraw Wewnętrznych i Administracji.
BCMS czyli……… 1.
AKREDYTACJA LABORATORIUM Czy warto
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
System zarządzania jakością PN-EN ISO 9001:2001 w Urzędzie Miasta Bielsk Podlaski.
GRC.
Rozwiązania informatyczne dla przedsiębiorstw
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
– Poznań Zbigniew Kowala -
Copyright (c) 2008 DGA S.A. | All rights reserved. Innowacje w Polsce i Europie. Wybrane aspekty. Warszawa, 03 marca 2008 r. Konferencja: Innowacyjna gospodarka.
7-8 listopada 2007 Central European Outsourcing Forum
JAK SKUTECZNIE WDROŻYĆ SYSTEM ZARZĄDZANIA JAKOŚCIĄ
Copyright (c) 2007 DGA S.A. | All rights reserved. Wsparcie innowacyjności w regionalnych programach operacyjnych Konferencja Innowacyjna gospodarka.
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
Copyright (c) 2007 DGA S.A. | All rights reserved. Skuteczny i efektywny samorząd terytorialny Warszawa, 8 października 2010 r. System Przeciwdziałania.
Justyna Gryz Jacek Losiak Michał Borsuk Adam Dargacz
Raport PIIT Warunki rozwoju rynku teleinformatycznego w Polsce w latach Polska Izba Informatyki i Telekomunikacji Warszawa, 28 lipca 2005 roku.
EKOCONSULTANT ● Zarządzanie ● Księgowość ● Fundusze UE.
WSPARCIE POTENCJAŁU ORGANIZACJI POZARZĄDOWYCH
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Informacja dotycząca spełnienia warunku ex ante 4.1 i 4.2
Ochrona danych osobowych
Business Consulting Services © 2005 IBM Corporation Confidential.
Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy Nie jesteśmy w stanie odpowiedzieć na wszystkie wyzwania... ~ … ale jesteśmy.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ergonomia procesów informacyjnych
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
Zintegrowany monitoring infrastruktury IT w Budimex
Kontrola zarządcza w jednostce budżetowej
Copyright (c) 2007 DGA S.A. | All rights reserved. Wsparcie innowacyjności w regionalnych programach operacyjnych Konferencja „Innowacyjna gospodarka”
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
GROUP Systemy zarządzania wg norm ISO w placówkach medycznych – skuteczne narzędzie zarządzania Prof. dr hab. Marek Bugdol – Auditor Wiodący IMQ Dorota.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
Copyright (c) 2007 DGA S.A. | All rights reserved. Wsparcie innowacyjności w regionalnych programach operacyjnych Konferencja „Innowacyjna gospodarka”
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
O ochronie danych osobowych
O ochronie danych osobowych
TRANSPORTOWY DOZÓR TECHNICZNY
Ochrona danych osobowych
O ochronie danych osobowych
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
KTO CHCE TWOJE DANE OSOBOWE?
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Centrum Usług Wspólnych na przykładzie Centrum Usług Informatycznych
Zapis prezentacji:

Standardy organizacyjne zapewniające bezpieczeństwo informacji Białowieża – maj 2008r.

Co nas wyróżnia ? Jesteśmy publiczną spółką konsultingową copyright (c) 2008 DGA S.A. | All rights reserved. O NAS Co nas wyróżnia ? Jesteśmy publiczną spółką konsultingową 20 kwietnia 2004 r. zadebiutowaliśmy na Giełdzie Papierów Wartościowych w Warszawie Działamy od 18-stu lat! Od początku istnienia naszą spółkę cechuje imponująca dynamika wzrostu przychodów i liczby zatrudnionych. Pomagamy klientom w doskonaleniu Rocznie realizujemy kilkaset projektów doradczych. Transfer wiedzy – podstawowa cecha projektów DGA Podczas realizacji projektów z zakresu zarządzania staramy się przygotować klienta do utrzymania i doskonalenia wdrożonego systemu zarządzania

Dbamy o jakość i bezpieczeństwo copyright (c) 2008 DGA S.A. | All rights reserved. O NAS Co nas wyróżnia ? Dbamy o jakość i bezpieczeństwo Jesteśmy pierwszą firmą konsultingową w Polsce, która wdrożyła System Zarządzania Jakością ISO 9001:2000 w zakresie usług konsultingowych, szkoleń, wdrażania systemów informatycznych, zarządzania procesami biznesowymi oraz zarządzania jakością. W 2003 roku jako pierwsza firma w Polsce uzyskaliśmy akredytowany certyfikat ISO 27001(BS 7799-2) Systemu Zarządzania Bezpieczeństwem Informacji. Łączymy tradycyjny konsulting z nowoczesnymi rozwiązaniami informatycznymi.

BEZPIECZEŃSTWO ORGANIZACJA OPTYMALIZACJA AUTOMATYZACJA ISO 27001 copyright (c) 2007 DGA S.A. | All rights reserved. O NAS BEZPIECZEŃSTWO ORGANIZACJA ISO 27001 Modelowanie procesów biznesowych Audyt teleinformatyczny Zarządzanie zmianą Korporacyjna analiza ryzyka Prowadzenie projektów Wybór rozwiązań bezpieczeństwa informacji ISO 9001:2000 Budowa struktur organizacyjnych Ciągłość działania Audyt zabezpieczeń fizycznych Doradztwo HR Antyfraudy OPTYMALIZACJA AUTOMATYZACJA Optymalizacja procesowa Wdrożenie narzędzi DGA BPM Optymalizacja kosztowa Wdrożenie Systemów Antyfraud Procedury ITIL, ISO 20000 Wdrożenie Systemów Zarządzania Ryzykiem Przygotowanie do wdrożenia systemów informatycznych Optymalizacja obsługi Klienta

Wybrane regulacje prawne obszaru bezpieczeństwa informacji Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych Ustawa z dnia 27 lipca 2001r. o ochronie baz danych Ustawa z dnia 18 lipca 2002r. o świadczeniu usług drogą elektroniczną Ustawa z dnia 12 września 2002r. o elektronicznych instrumentach płatniczych Ustawa z dnia 18 września 2001r. o podpisie elektronicznym Ustawa z dnia 22 stycznia 1999r. o ochronie informacji niejawnej Ustawa z dnia 17 lutego 2005r. o informatyzacji działalności podmiotów realizujących zadania publiczne Ustawa z dnia 14 lipca 1983r. - o narodowym zasobie archiwalnym i archiwach Rozporządzenie w sprawie minimalnych wymagań dla systemów teleinformatycznych Rozporządzenie w sprawie sposobu, zakresu i trybu udostępniania danych zgromadzonych w rejestrze publicznym Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania

Nadzór i kontrola nad systemem informacji i bazami danych USTAWA o systemie informacji w ochronie zdrowia Projekt z dnia 1 sierpnia 2007 r. Rozdział 7 Nadzór i kontrola nad systemem informacji i bazami danych Art. 38. Podmioty prowadzące bazy danych w zakresie ochrony zdrowia są obowiązane do stworzenia warunków organizacyjnych i technicznych zapewniających ochronę przetwarzanych danych, a w szczególności zabezpieczenia danych przed nieuprawnionym dostępem, nielegalnym ujawnieniem lub pozyskaniem, a także ich modyfikacją, uszkodzeniem, zniszczeniem lub utratą.

Usługi DGA z obszaru bezpieczeństwa informacji System Zarządzania Jakością wg ISO 9001:2000 System Zarządzania Bezpieczeństwem Informacji wg ISO 27001:2005 Zarządzanie bezpieczeństwem informacji w ochronie zdrowia ISO 27799 (projekt) System Zarządzania Usługami IT ISO 20000:2005 System Zarządzania Ciągłością Działania – (BS 25999) Bezpieczeństwo danych osobowych Audyt bezpieczeństwa teleinformatycznego Audyt bezpieczeństwa fizycznego

Wspólne podstawy ISO 9001 i ISO 27001 ZINTEGROWANY SYSTEM ZARZĄDZANIA ISO 9001 Wymagania Wymagania Polityka bezpieczeństwa Odpowiedzialność kierownictwa System zarządzania jakością Organizacja bezpieczeństwa Odpowiedzialność kierownictwa Klasyfikacja i kontrola aktywów Zarządzanie zasobami ludzkimi Zarządzanie zasobami Bezpieczeństwo osobowe Nadzorowanie infrastruktury Realizacja zadania Bezpieczeństwo fizyczne i środowiskowe Nadzorowanie dokumentacji Pomiary, analiza i doskonalenie Zarządzanie systemami i sieciami Nadzorowanie firm współpracujących Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Nadzorowanie i doskonalenie systemu Ustanowienie Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania ISO 27001 Zgodność z wymaganiami prawa i własnymi standardami Wdrożenie i eksploatacja Utrzymanie i doskonalenie Monitorowanie i przegląd

Dlaczego ISO 27001? Szczególny nacisk położony jest na zarządzanie ryzykiem utraty ważnych informacji Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań Pozwala organizacji na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing Slajdy np. dla klientów którzy chcą przejść z BS na ISO oraz chcą poznań różnice i podstawy o normie

Obszary normy ISO/IEC 27001 ISO/IEC 27001 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola zasobów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Zgodność z wymaganiami prawa i własnymi standardami ISO/IEC 27001 Polityka bezpieczeństwa Organizacja bezpieczeństwa Klasyfikacja i kontrola zasobów Bezpieczeństwo osobowe Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu do systemu Pozyskiwanie, rozwój i utrzymanie systemu Zarządzanie incydentami bezpieczeństwa Zarządzanie ciągłością działania Zgodność z wymaganiami prawa i własnymi standardami

Korzyści z wdrożenia SZBI na podstawie ISO 27001 Usprawnienie zarządzania informacją i infrastrukturą IT Ustanowienie jednolitych reguł dotyczących bezpieczeństwa informacji, sklasyfikowane i zinwentaryzowane aktywa Standaryzacja pracy w sytuacjach kryzysowych Przejrzyste procedury postępowania w przypadku zaistnienia incydentu bezpieczeństwa Ochrona pracowników przed nieświadomym naruszeniem bezpieczeństwa Świadomi i przeszkoleni pracownicy Obniżenie ryzyka utraty informacji, poprzez skuteczne inwestycje podparte analizą ryzyka Budowanie wizerunku firmy profesjonalnej Podniesienie atrakcyjności organizacji

PN-EN ISO 27799 Zarządzanie bezpieczeństwem informacji w ochronie zdrowia projekt wskazówki dla wsparcia interpretacji i stosowania w informatyce ochrony zdrowia normy ISO/IEC 17799. zbiór szczegółowych narzędzi kontrolnych do zarządzania bezpieczeństwem informacji w ochronie zdrowia najlepsze wskazówki praktyczne zarządzania bezpieczeństwem informacji w ochronie zdrowia, zapewnienie minimalnego koniecznego poziomu bezpieczeństwa, zachowywanie integralności informacji zapewnienie poufnego charakteru informacji Zapewnienie dostępności personalnych informacji w ochronie zdrowia 

System Zarządzania Bezpieczeństwem Informacji Bezpieczeństwo osobowe Ludzie Usługi System Zarządzania Bezpieczeństwem Informacji SZBI Bezpieczeństwo fizyczne Bezpieczeństwo informatyczne Informacja Ludzie Technologia Usługi Informacje Technologia Bezpieczeństwo prawne

System Zarządzania Usługami IT ISO/IEC 20000 ISO 20000 to pierwszy międzynarodowy formalny standard zarządzania usługami IT, opisujący zintegrowane podejście procesowe gwarantujące dostarczenie efektywnych usług. ISO 20000 składa się z dwóch części: 1: to zbiór formalnych wymagań, które musi spełnić organizacja aby dostarczała wysokiej jakości usługi. 2: to zbiór najlepszych praktyk, pomagających organizacji spełnić wymagania zawarte w ISO 20000-1

Dlaczego warto stosować podejście usługowe w IT? Wykorzystanie podejścia usługowego w dziale IT pozwala m.in. na: Dostarczenie jasnych wskaźników wydajności dla kadry zarządzającej i decyzji inwestycyjnych Ustalenie „wspólnego języka” działu IT ze stroną biznesową Jasne określenie strategii rozwoju IT, która pozwoli sprostać przyszłym wymaganiom biznesu Wdrażanie projektów informatycznych na czas, zgodnie z założeniami oraz zgodnie z budżetem Integrację procesów IT ze sobą oraz innymi procesami w organizacji DOSTAWCY Zarządzanie usługami IT BIZNES PROCESY LUDZIE TECHNOLOGIA

Dlaczego warto stosować podejście usługowe w IT? Wykorzystanie podejścia usługowego w dziale IT pozwala m.in. na: Poprawienie dostępności, niezawodności i bezpieczeństwa krytycznych usług IT Znaczące zmniejszenie liczby ciągle występujących awarii i niesprawności, eliminacje ciągle powtarzanej pracy Optymalizację wykorzystania zasobów IT Sprawne zarządzanie kosztami IT DOSTAWCY Zarządzanie usługami IT BIZNES PROCESY LUDZIE TECHNOLOGIA

Ochrona danych osobowych w Polsce i Unii Europejskiej Konstytucja Rzeczypospolitej Polskiej Dyrektywa Parlamentu Europejskiego 95/46/EC Ustawa o ochronie danych osobowych Rozporządzenie MSWiA z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Dane wrażliwe – art. 27 ustawy Dane ujawniające: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dane dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Przetwarzanie danych wrażliwych jest szczególnie chronione

Oferta DGA: usługa dostosowania do wymogów rozporządzenia MSWiA z 29 kwietnia 2004

Bezpieczeństwo Danych Osobowych Korzyści dla organizacji Zgodność z wymogami prawa w zakresie ochrony danych osobowych Procedury porządkujące zarządzanie systemami informatycznymi Wzrost świadomości pracowników w zakresie bezpieczeństwa informacji

Audyt bezpieczeństwa teleinformatycznego Celem audytu jest określenie aktualnego stanu pod względem przyjętych standardów oraz identyfikacja i ocena zagrożeń związanych z bezpieczeństwem danych przetwarzanych w systemach teleinformatycznych Niezależny audyt bezpieczeństwa teleinformatycznego pozwala realnie ocenić skuteczność i adekwatność zastosowanych mechanizmów i obiektywnie ocenić poziom bezpieczeństwa informacji w środowisku informatycznym. Złożoność i dynamika zmian systemów informatycznych to powód aby powierzyć to zadanie specjalistom.

Audyt bezpieczeństwa teleinformatycznego – zakres

Obszary bezpieczeństwa teleinformatycznego Bezpieczeństwo fizyczne infrastruktury teleinformatycznej. Bezpieczeństwo sieci teleinformatycznej. Zarządzanie zdalnym dostępem. Systemy antywirusowe, antyspamowe, antywłamaniowe (IDS, IPS). Zarządzanie środowiskiem domenowym. Zarządzanie kontami oraz uprawnieniami użytkowników. Stosowana polityka haseł. Bezpieczeństwo serwerów i systemów baz danych. 23 23

Obszary bezpieczeństwa teleinformatycznego Zarządzanie kopiami zapasowymi. Zarządzanie zmianą w systemach informatycznych. Zarządzanie sprzętem komputerowym. Zarządzanie legalnością oprogramowania. Monitorowanie aktywności użytkowników. Szkolenia użytkowników i administratorów. Strategia IT w obszarze bezpieczeństwa. Zgodność systemów informatycznych z wymaganiami prawnymi. 24 24

Audyt bezpieczeństwa teleinformatycznego - korzyści Niezależna i profesjonalna ocena stanu bezpieczeństwa teleinformatycznego organizacji Zidentyfikowanie podatności oraz zagrożeń związanych z systemami teleinformatycznymi Wnioski i rekomendacje których wdrożenie zapewni podwyższenie poziomu bezpieczeństwa

Zarządzanie Ciągłością Działania: BS 25999 Zarządzanie Ciągłością Działania to podejście do prowadzenia działalności w sposób pozwalający na utrzymanie określonego poziomu: dostarczania produktów, świadczenia usług, w przypadku wystąpienia określonych zakłóceń w funkcjonowaniu procesów organizacji. BCM (Business Continuity Management) – Zarządzanie ciągłością działania

Zarządzania Ciągłością Działania: Cele Funkcjonowanie po zajściu sytuacji kryzysowych Minimalizacja strat będących wynikiem przerw w procesach biznesowych Budowanie wizerunku organizacji wiarygodnej i profesjonalnej Celem zarządzanie ciągłością ma być utrzymanie zdolności do świadczenia usług lub wytwarzania produktów – do generowania wartości.

Zarządzania Ciągłością Działania: efekt końcowy RAPORT Zarządzania Ciągłością Działania: efekt końcowy ANALIZA RYZYKA ZAKŁÓCENIA CIĄGŁOŚCI STRATEGIA ZAPEWNIENIA CIĄGŁOŚCI Wdrożony BCM Świadomość bezpieczeństwa Zwiększenie zysku organizacji ZARZĄDZANIE CIĄGŁOŚCIĄ PLANY AWARYJNE

Zarządzania Ciągłością Działania: efekt końcowy Zapewnienie przetrwania Optymalizacja ponoszonych strat Wizerunek profesjonalisty oraz… Zapewnienie spełnienia wymagań prawnych: Prawo bankowe, Prawo telekomunikacyjne, Prawo pocztowe, Prawo energetyczne, Zapewnienie spełnienie zapisów tzw. umów gwarancji poziomu świadczenia usług (SLA)

BPM NIE! Jak to zrobić……… System Zarządzania Jakością Wrzucę wszystko do jednego worka – ale czy to jest dobre rozwiązanie? Eureka!!!! Jak to wszystko zintegrować? System Zarządzania Jakością System Zarządzania Bezpieczeństwem Informacji BPM NIE! System zarządzania ciągłością działania

Piotr Malarski Dyrektor ds. Klientów Kluczowych e-mail: piotr.malarski@dga.pl