1 / 17

SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007

SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007. Grażyna Szydłowska. INFORMACJA NABIERA CORAZ WIĘKSZEGO ZNACZENIA W PORÓWNANIU DO POZOSTAŁYCH, MATERIALNYCH SKŁADNIKÓW MAJATKU FIRMY. Information Security Management System ISMS.

sophia-rosales
Download Presentation

SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska

  2. INFORMACJA NABIERA CORAZ WIĘKSZEGO ZNACZENIA W PORÓWNANIU DO POZOSTAŁYCH, MATERIALNYCH SKŁADNIKÓW MAJATKU FIRMY Information Security Management System ISMS PN ISO/IEC 27001:2007 Technika informatyczna - Techniki bezpieczeństwa - Techniki zarządzania bezpieczeństwem informacji - Wymagania PN- EN ISO/IEC 17799:2003 Praktyczne Zasady Zarządzania Bezpieczeństwem Informacji

  3. Bezpieczeństwo wg ISO IEC 27001:2005 Zarządzamy bezpieczeństwem informacji w trzech obszarach: • poufność • integralność • dostępność

  4. BUDOWA NORMY ISO IEC 27001 Wprowadzenie • Zakres normy • Powołania • Terminy i definicje • System zarządzania bezpieczeństwem informacji • Odpowiedzialność kierownictwa • Wewnętrzne audity ISMS • Przegląd zarządzania ISMS • Doskonalenie ISMS Załącznik A Cele zabezpieczeń i zabezpieczenia

  5. NORMA ISO IEC 27001:2005 Wymagania i oczekiwania dla bezpieczeństwa informacji bezpieczeństwo informacji

  6. P 4. System Zarządzania Bezpieczeństwem Informacji 4.2 Ustanowienie i zarządzanie ISMS 4.2.1 Ustanowienie ISMS Zgoda kierownictwa Cele i zakres Polityka SZMS Deklaracja stosowania Analiza ryzyka

  7. P 4. System Zarządzania Bezpieczeństwem Informacji 4.2.2 Wdrożenie i funkcjonowanie ISMS Zarządzanie zasobami Obsługa zdarzeń Postępowanie z ryzykiem Uświadomienie i szkolenia

  8. P 4. System Zarządzania Bezpieczeństwem Informacji 4.2.3 Monitorowanie i przeglądy ISMS Analiza ryzyka Monitorowanie procedury Regularne przeglądy Weryfikacja skuteczności Audyty

  9. P 4. System Zarządzania Bezpieczeństwem Informacji 4.3 Wymagania dot. dokumentacji Opis analizy ryzyka Polityka i cele Plan postępowania z ryzykiem Objęty zakres Procedury zabezpieczenia i zapisy Deklaracja stosowania

  10. Analiza ryzyka Analizy ryzyka nie przeprowadza się tylko raz dlaczego? • Wymagane jest jej okresowe ponawianie celem sprawdzenia: • czy nie nastąpiły zmiany w naszej działalności • czy nie nastąpiły zmiany priorytetów • czy katalog zasobów jest aktualny • czy katalog zagrożeń jest aktualny • czy stosowane zabezpieczenia są ciągle skuteczne i efektywne

  11. P 5. Odpowiedzialność kierownictwa 5.1 Zaangażowanie kierownictwa • Ustanowienie polityki bezpieczeństwa informacji • Zapewnienie, że cele i plany bezpieczeństwa informacji są ustanowione • Ustalenie zadań i odpowiedzialności dla bezpieczeństwa informacji • Zakomunikowaniewagi spełnienia wypełnienia celów zgodnych z polityką bezpieczeństwa informacji • Zapewnienia niezbędnych zasobów • Zatwierdzenie akceptowalnego poziomu ryzyka • Przeprowadzenie przeglądów zarządzania

  12. P 5. Odpowiedzialność kierownictwa 5.2 Zarządzanie zasobami 5.2.1 Dostępność zasobów. Zapewnienie zasobów do: • ustanowienia, wdrożenia, funkcjonowania i doskonalenia • weryfikacji czy procedury bezpieczeństwa informacji wspierają wymagania biznesowe • spełnienia wymogów prawnych • utrzymanie odpowiedniego poziomu bezpieczeństwa przez zastosowanie wdrożonych zabezpieczeń • prowadzanie przeglądów ISMS • gdy potrzeba – podnoszenia skuteczności systemu

  13. P 5. Odpowiedzialność kierownictwa 5.2.2 Szkolenie, uświadomienie i kompetencje Określenie kompetencji Zapisy dot. kwalifikacji … Szkolenie i ich ocena

  14. P 6. Wewnętrzne audity ISMS Wewnętrzne audity ISMS Niezależne przeglądy zewnętrzne Ocena spełnienia wymagań prawnych Ocena funkcjonowania ISMS Ocena spełnienia wymagań ISMS

  15. P 7. Przeglądy ISMS Przeglądy funkcjonowania ISMB Np.: - nowe procedury - postępowanie z ryzykiem - uzupełnienie zasobów - ulepszenie w ISMB Dane wejściowe Przegląd ISMS Dane wejściowe Np.: - wyniki auditów - analiza ryzyka - nowe technologie - nowe zagrożenia

  16. P 8. Doskonalenie ISMS • Np.: • zagrożenia • wyniki przeglądów DZIAŁANIA ZAPOBIEGAWCZE Funkcjonujący ISMS DZIAŁANIA KORYGUJĄCE

  17. Załącznik A do normy ISO IEC 27001 • polityka bezpieczeństwa informacji • Organizacja bezpieczeństwa informacji • Zarządzanie aktywami • Bezpieczeństwo osobowe • Bezpieczeństwo fizyczne i środowiskowe • Zarządzanie działalnością oraz komunikacją • Kontrola dostępu • Zbieranie danych, rozwój oraz utrzymanie systemu • Zarządzanie incydentami bezpieczeństwa informacji • Zarządzanie ciągłością działania • Zgodność

More Related