Upload
graiden-hogan
View
20
Download
1
Embed Size (px)
DESCRIPTION
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001. Vítězslav Šidlo , ICZ a.s. 2.4.2007, Hradec Králové. Srozumitelnost hodnocení rizik Vazba ISMS na řízení rizik organizace Zapojení vedení. Kontext. - PowerPoint PPT Presentation
Citation preview
www.i.cz
Vaše jistota na trhu IT
NĚKTERÉ ZKUŠENOSTI ZE ZAVÁDĚNÍ ISO 27001
Vítězslav Šidlo, ICZ a.s.2.4.2007, Hradec Králové
www.i.cz
Vaše jistota na trhu IT
►Srozumitelnost hodnocení rizik►Vazba ISMS na řízení rizik organizace►Zapojení vedení
www.i.cz
Vaše jistota na trhu IT
Kontext
►Systém řízení bezpečnosti informací podle ČSN ISO/IEC 27001 Systémy managementu bezpečnosti informací – Požadavky
►Zavedení vybraných opatření podle ČSN ISO/IEC 17799 Soubor postupů pro management bezpečnosti informací
►Zavedení začíná prvním provedením fáze Plan
www.i.cz
Vaše jistota na trhu IT
Soustavné zlepšování opakováním cyklu PDCA
Monitorování apřehodnocení
ISMS
Vybudování ISMS
Implementace aprovoz ISMS
Udržování azlepšování ISMS
Plan
Do
Check
Act
www.i.cz
Vaše jistota na trhu IT
Náklady na ISMS
► jednorázové („investiční“)►trvalé – provozní
►na procesy řízení►na bezpečnostní opatření
www.i.cz
Vaše jistota na trhu IT
Hodnocení rizik a lidé, rozhodující o riziku
► O zvládání rizika ● snížení opatřeními● přenesení● vyhnutí se● akceptace
► …rozhoduje vedení organizace
► Některé výsledky hodnocení rizik jsou v rozporu s (něčí) intuicí
► Chtějí mít představu o „podstatě“ rizika
► Chtějí vědět, proč je riziko ohodnoceno v dané výši
www.i.cz
Vaše jistota na trhu IT
Metoda hodnocení (analýzy) rizik
►Srozumitelná, zejména v hrozbách● konkrétní příklady napomáhají porozumění, ale
mohou zkreslit představu o míře hrozby
►Možnost sledování vztahu (backtracking) ● riziko -> hrozba, dopad, ● případně dopad -> hodnota, zranitelnost● závislosti aktiv
www.i.cz
Vaše jistota na trhu IT
ISMS a řízení rizik organizace
► Rizika z bezpečnosti informací jsou jedněmi z rizik v organizaci
► Rizika na úrovni organizace jsou hodnocena● méně podrobně – obsáhlejší kategorie● obvykle v méně stupňových škálách
www.i.cz
Vaše jistota na trhu IT
ISMS a řízení rizik organizace
►Různí lidé, různé jazyky► ISMS
● informatici, odbor bezpečnosti…● hodnota aktiva, hrozba, zranitelnost => riziko
►Řízení rizik● interní audit (s finančním „původem“),…● dopad, pravděpodobnost události => úroveň rizika
www.i.cz
Vaše jistota na trhu IT
ISMS a řízení rizik organizace
1. Metodika pro sloučení rizik pro přenos do řízení rizik organizace
2. Stupnice rizik by měla být● stejná● převoditelná
3. Pravidla zvládání (zejména akceptace) co nejvíce stejná
► Určeno při volbě metodiky hodnocení rizik v ISMS, před první AR
www.i.cz
Vaše jistota na trhu IT
Zapojení vedení organizace
►„Bezpečnost informací = bezpečnost IT = věc útvaru IT“
►Dopad na všechny pracovníky►Podíl na řešení
● personální útvar● správa budov● ostraha● metodické odbory● spisovna● útvar IT
www.i.cz
Vaše jistota na trhu IT
Zapojení vedení organizace
►„Hybatelem“ nemůže být útvar IT ►Vedení schvaluje opatření (zdroje)►Vedení akceptuje rizika
www.i.cz
Vaše jistota na trhu IT
Zapojení vedení organizace
►Přesvědčit vedení● upozornění na rizika● penetrační testy● „externí expert“
►Alespoň jeden zainteresovaný člen vedení►Komunikovat v jazyce, kterému vedení
rozumí
www.i.cz
Vaše jistota na trhu IT
Děkuji za vaši pozornost
Vítězslav Š[email protected]+420 244 100 608
ICZ a.s.Divize bezpečnostwww.i.cz
www.i.cz
Vaše jistota na trhu IT
Volba rozsahu ISMS
►Vymezení● geografické● organizační● procesní
►Oblasti mimo hranice ISMS nesmí ovlivňovat bezpečnost oblasti uvnitř hranic ISMS
www.i.cz
Vaše jistota na trhu IT
Volba rozsahu ISMS
►Pro menší rozsah● zůstává stejný systém řízení, zmenšuje se jen objem
některých prací (analýza rizik, volba opatření, interní audit)
● jednodušší implementace bezpečnostních opatření
►Zvážit● zjednodušení bude významné jen při dostatečně
malém rozsahu
►vs.● jasná hranice● úsilí při rozšíření
www.i.cz
Vaše jistota na trhu IT
Děkuji za vaši pozornost
Vítězslav Š[email protected]+420 244 100 608
ICZ a.s.Divize bezpečnostwww.i.cz