Embed Size (px)
DESCRIPTION
“Politika varovanj informacij” je osnovni, izhodiščni segment “Celostnotnega varovanja podatkov”. V procesu vzpostavitve analiziramo dejanski nivo varnosti v organizaciji, preučimo potencialna varnostna tveganja, določimo potrebe po varovanju ter definiramo interno politiko varovanja, ki služi kot krovna strategija in vodilo pri izvajanju vseh varnostnih procedur. Varovanje dobrega imena na konkurenčno neizprosnem trgu www.snt.si Večja konkurenčna prednost pred tekmeci
Citation preview
S&T CeloSTnoVaroVanjeInformaCIj
Sodobna organizacija za u~inkovito poslovanje
potrebuje celovite, neokrnjene in razpolo`ljive
informacije. zato je strate{ko obvladovanje
informacijskih tveganj klju~nega pomena za njen
obstoj in nemoteno delovanje.
Celostno varovanje informacij, ki smo ga razvili
v podjetju S&T, je visoko dodelan sistem varo-
vanja, ki ob optimizaciji stro{kov u~inkovito
obvladuje vsa podro~ja nformacisjkih tveganj.
Politika varovanja informacij“Politika varovanj informacij” je osnovni, izhodiščni segment “Celostnotnega varovanja podatkov”.
V procesu vzpostavitve analiziramo dejanski nivo varnosti v organizaciji, preučimo potencialna varnostna
tveganja, določimo potrebe po varovanju ter definiramo interno politiko varovanja, ki služi kot krovna
strategija in vodilo pri izvajanju vseh varnostnih procedur.
Neprekinjeno izvajanje poslovnih procesov (tudi v primeru večjih nesreč)
Zmanjšanje poslovnega tveganja v povezavi z informacijami in sistemi
Zagotovitev skladnosti s področno zakonodajo (npr. ZVOP-1)
Zadovoljitev zahtev, določenih s predpisi nadzornih institucij
Varovanje dobrega imena na konkurenčno neizprosnem trgu
Večja konkurenčna prednost pred tekmeci
Zaščita informacij pred izgubo ter neupravičenim razkritjem in ponarejanjem
Zmanjšanje stroškov, povezanih z varovanjem informacij
“Politika varovanja informacij” in stroškovno učinkovitovarovanje
Eden ključnih efektov vpeljave celostne “Politike varovanja informacij” v organizacijo je stroškovna učinkovitost, saj ta preko vhodnih analiz stanja, tveganj in potreb po varo-vanju definira strategijo, ki je najbolj primerna za konkret-no poslovanje. Na ta način usmerimo varovanje samo na področja, kjer je organizacija ranljiva in se z optimizacijo izognemo nepotrebnim stroškom. Prav tako “Politika varo-vanja informacij” preko ocen različnih tveganj definira prioritetno listo in omogoča organizaciji, da svoj varnostni sistem razvije sukcesivno in brez nepotrebnih organizaci-jskih ter finančnih šokov.
Revizije, nadgrajevanja in adaptacije “Politike varovanja informacij”
Politika varovanja informacij je proces, ki mora živeti z or-ganizacijo in se ji prilagajati. Stroka priporoča, da se vsako leto ponovno opravi analiza dejanskega stanja na področju varovanja informacij in celovita analiza informacijskih var-nostnih tveganj. S tem organizacija pridobi povratno infor-macijo o uspešnosti izvajanja politike varovanja informacij ter priporočila, na katerih področjih se lahko ta še izboljša oz. prilagodi.
Družba S&T Slovenija opravlja presoje obstoječe politike varovanja informacij in svetuje morebitne prilagoditve ali nadgraditve, ki so vezane na razvoj organizacije, spremebe poslovnih zahtev, mednarodnih standardov, področnih za-konodaj, vpeljave novih tehnologij...
Lahko vam ponudimo pomoč pri vpeljavi politike varovanja informacij v prakso, periodičnem preverjanju varnos-tni omrežja pred vdori ter pripravo konkretnih rešitev za zaščito pred napadalci. Celotno ponudbo družbe S&T Slo-venija dopolnjujejo še 24 urni odziv na incidente in pomoč pri pridobivanju certifikata ISO/IEC 27001.
Izvajanje “Politike varovanja informacij”: Usposabljanja kadrov in izobraževanja
V kolikor želi organizacija zmanjšati tveganja povezana z zaposlenimi, je med drugim ključnega pomena, da za-poslene ciljno izobražuje s področja informacijske var-nosti. Izobraževanja morajo biti izvajana redno, pri čemer je potrebno upoštevati tudi starost zaposlenih in njihova področja dela.
Po uspešni vpeljavi upravljavskega dela “Politike varovanja informacij” lahko družba S&T za skupine uporabnikov, ki so pri delu bolj izpostavljene nevarnostim, ki jih prinaša sodobna tehnologija, pripravi še dodatna izobraževanja s področja informacijske varnosti. Ta se lahko organizirajo na sedežu organizacije ali pa v okviru izobraževalnega cen-tra S&T Slovenija.
Družba S&T Slovenija lahko v okviru oddelka S&T Out-sourcing, enkrat do dvakrat tedensko odda svojega vodjo informacijske zaščite, ki izobražuje ali usmerja tistega, ki je v organizaciji zadolžen za življenjski cikel informacijske varnosti.
Večina organizacij, ki nima vzpostav-ljene politike varovanja informacij, pogosto vlaga sredstva za informaci-jsko varnost v napačna področja.
Notranji zaposleni v povprečju povzročijo kar 90% informacijskih nesreč.
S&T Slovenija d.d.Leskoškova cesta 6SI-1000 LjubljanaTel. +386 (0)1 5855 200Fax +386 (0)1 5855 [email protected], www.snt.si
www.snt.siwe create values
S&T- Varnostna Politika - Prospekt Novi.indd 1 8.11.2010 8:55:07
Varovanje informacij
Ker so za poslovanje, sprejemanje poslovnih odločitev, pridobivanje konkurenčne prednosti ter hitro reagiranje na spremembe v poslovanju ključne celovite, neokrnjene in razpoložljive in-formacije, mora biti danes vzpostavitev dobrega sistema varovanja informacij strateški cilj vsake sodobne organizacije. Brez tega je varnostna teh-nologija v današnjem času povsem neučinkovita in brez vsakršne dodane vrednosti.
Varovanje informacij in informacijskih sistemov je stalen proces, ki z dopolnjevanjem organizaci-jskih in tehničnih ukrepov varuje podatke oziroma informacije pred razkritjem in nepooblaščenim dostopom (zaupnost), uničenjem in spremembami (celovitost) ter prekinitvami (razpoložljivost). Dober varnostni sistem selektivno in stroškovno učinkovito obvladuje vse oblike informacijskih tveganj.
Človeška tveganja: kraja podatkov, stavka in dru-ge oblike protesta, napake operativnega osebja, ne- zakonita uporaba opreme, prisluškovanje...Naravna tveganja: ogenj, poplava, potres, udar strele...Tehnična tveganja: okvara strojne opreme, pre- obremenitev sistemov, propadanje nosilcev podat-kov...
Priprava celovite “Politike varovanja informacij” je prav-zaprav prvi in edini pravi korak v smeri oblikovanja strate-gije varnega informacijskega sistema, ki pokriva vse oblike varnostnih tveganj in je osnova za nemoteno in kakovostno poslovanje organizacije.
“Politika varovanja informacij” tako obsega sklop internih aktov oz. zakonov, ki upravi ali internemu oddelku za var-nost služijo kot krovna strategija varovanja oz. vodilo pri kvalitetnem izvajanju varnostnih procedur v organizaciji (npr. procedure za zaščito podatkov pred razkritjem, izgu-bo ali krajo podatkov, procedur za neprekinjeno delovanje poslovanja med okvarami, procedur za zaščito osebnih po-datkov in podobno).
Vpeljava celostne
v organizacijo
V družbi S&T Slovenija zagovarjamo pristop postavitve ce-lovitega sistema vodenja varovanja informacij, ki temelji na poslovnih zahtevah, mednarodno uveljavljenih standardih s področja informacijske varnosti (ISO/IEC 27001:2005 in 27002:2005) in načelih dobre prakse (na primer ITIL). S tem se namreč zagotovi ustrezen nivo varovanja informacij na ravni celotne organizacije in poslovanja.
Oblikovanje celostne “Politike varovanja informacij”poteka v večih delovnih fazah:
Analiza dejanskega stanja na področjuvarovanja informacij
Izvedba celovite analize informacijskihvarnostnih tveganj
Izdelava krovne politike za področje varovanjainformacij
Izdelava izvedbenih politik varovanja informacij
Izdelava področnih politik varovanja informacij
Izdelava akcijskega načrta in plan implementacije politike varovanja informacij
Varovanje informacijv skladu s standardomISO/IEC 27001:2005in načeli dobrih praks
Ob vedno večji odvisnosti poslovanja od informacij in informacijskih tehnologij ter odprtosti orga-nizacij navzven, je iz želje po ureditvi in poenotenju razmer na področju varovanja informacij, nastal mednarodno uveljavljeni standard za vzpostavitev sistema vodenja varovanja informacij ISO/IEC 27001:2005.
S&T “Celostno varovanje informacij” sledi zahtevam zgoraj navedenega standarda in hkrati upošteva načela dobrih praks. Naša velikost, regionalna prisotnost, obvladovanje strateških panog, celovit portfelj in raznolikost izkušenj, nam omogočajo kakovostno in nepristransko presojo, svetovanje in zagotavljanje ustreznega varovanja informacij, ki je prilagojeno poslovanju in zahtevam vaše orga-nizacije.
V kolikor organizacijo doleti infor-macijska nesreča večjih razseænosti, ima brez vzpostavljene politike varo- vanja informacij le 50% moænosti za preæivetje.
Celovita analiza stanjana področju varovanja informacij
Družba S&T Slovenija d.d. vam v okviru te storitve izdela celovito analizo stanja (presojo) na področju varovanja informacij. Tu gre za pregled področja varovanja informacij z namenom, da se preveri, v kolikšni meri je pregledovano področje skladno s predpisi (npr. Za-kon o varstvu osebnih podatkov), pravili, standardi (npr. ISO/IEC 27001:2005), načeli stroke in dobrimi praksami.
rezultati storitve celovite analize stanja (presoja) na področju varovanja informacij dajo naročniku jasno sliko o prednostih, slabostih, priložnostih in nevarnostih obstoječega okolja. analizo oziroma presojo se lahko izvede še na področju varstva osebnih podatkov in standarda pci-dSS
celovito upravljanjez informacijSkimi tveganji
Družba S&T Slovenija d.d. vam v okviru te storitve izdela celovito analizo stanja (presojo) na področju varovanja informacij, izvede ce-lovito analizo informacijskih varnostnih tveganj ter izdela realen in optimalen akcijski načrt implementacije varnostnih rešitev v prakso.
rezultati storitve celovitega upravljanje z informacijskimi tve-ganji omogočajo naročniku prepoznavo ključnih varnostnih tveganj na področju varovanja informacij ter mu omogočijo, da izboljša nivo varovanja informacij na bolj praktičen, stvaren, cenovno ugoden in obvladljiv način.
vzpoStavitev SiStemavodenja varovanja informacij Družba S&T Slovenija d.d. vam v okviru te storitve izdela celovito analizo dejanskega stanja na področju varovanja informacij, izvede celovito analizo informacijskih varnostnih tveganj z akcijskim načrtom vpeljave varnostnih rešitev v prakso, izdela krovno politiko za področje varovanja informacij, izdela področne in izvedbene politike varovanja ter izvede izobraževanje zaposlenih.
pridobljene dragocene praktične izkušnje, združene s formalno usposobljenostjo naših svetovalcev in certificiranih strokovnjak-ov, so zagotovilo, da vam bo sistem vodenja varovanja informacij dejansko koristil. poleg tega lahko organizacija, v kolikor to želi, pristopi k pridobitvi certifikata iSo/iec 27001:2005.
vzpoStavitev SiStemaneprekinjenega poSlovanj
Družba S&T Slovenija d.d. vam v okviru te storitve izdela celovit sistem neprekinjenega poslovanja in sicer za vse temeljne poslovne procese. To vključuje izdelavo načrta za vzpostavitev sistema za neprekin-jeno poslovanje, izdelavo ocene kritičnosti in analize tveganj za te-meljne poslovne procese, pripravo možnih strategij neprekinjenega poslovanja, izdelavo načrta neprekinjenega poslovanja za temeljne poslovne procese ter izdelavo načrta kriznega vodenja in stikov z javnostjo, izdelavo načrta testiranja načrta za neprekinjeno poslo-vanje ter kriznega vodenja in stikov z javnostjo ter izdelavo programa osveščanja in usposabljanja na področju neprekinjenega poslovanja.
portal za izobraževanjezapoSlenih in upravljanje z znanjem
Družba S&T Slovenija d.d. vam v okviru te storitve pripravi portal za intranetno stran, preko katerega se bodo zaposleni lahko izobraževali s področja varovanja informacij. Portal je opremljen tudi s sistemom obveščanja, sistemom preverjanja znanja, opomnikom, grafičnim prikazom rezultatov, sistemom eskalacije in podobno. Portal služi tudi kot sredstvo za seznanjanje zaposlenih o aktivnostih in novitetah s področja varovanja informacij in dostop do sprejete varnostne doku-mentacije.
program mentorStvaza Skrbnika informacijSke varnoSti
Družba S&T Slovenija d.d. vam v okviru te storitve ponudi strokovnjaka za področje informacijske varnosti, ki bo poskrbel za ustrezen prenos znanja na zaposlenega ali zaposlene, ki v organizaciji prevzemajo ali odpravljajo naloge skrbnika informacijske varnosti. To vključuje pre-nos znanja za vzpostavitev in vzdrževanje celovitega sistema vodenja varovanja informacij na lokaciji naročnika.
“Politika varovanja informacij”
“Politike varovanja informacij”
S&T- Varnostna Politika - Prospekt Novi.indd 2 8.11.2010 8:55:15
