Snímka 1

Podobné dokumenty
Snímek 1

ISO Systémy manažérstva proti korupcii Svetový deň normalizácie 2018 Miroslav HRNČIAR Žilinská univerzita v Žiline

Snímka 1

NSK Karta PDF

Microsoft PowerPoint - Dohľad SMS_15_6_2008 [Režim kompatibility]

NSK Karta PDF

NSK Karta PDF

Správa o overení ročnej účtovnej závierky Výkonnej agentúry pre spotrebiteľov, zdravie, poľnohospodárstvo a potraviny za rozpočtový rok 2016 spolu s o

Description of the certification procedure (ISO 9001, ISO 14001, ISO/TS 29001, OHSAS 18001, ISO 50001)

C(2014)5449/F1 - SK

Príloha k príkazu generálneho riaditeľa Sociálnej poisťovne č. 2/2018 Popis a zodpovednosti rolí v rámci projektového riadenia (1) Riadiaci výbor proj

Výzva na predloženie ponuky. Obec Zemplínska Teplica, Obecný úrad, Okružná 340/2, Zemplínska Teplica Vec: Výzva na predloženie ponuky Obec Zempl

Style Sample for C&N Word Style Sheet

Microsoft Word - RolyRiadeniaZmien_V1.doc

Riadiaci pracovník (manažér) obstarávania Charakteristika Riadiaci pracovník (manažér) obstarávania riadi a koordinuje činnosti a zamestna

PRIPRAVENOSŤ PRIEMYSELNÝCH PODNIKOV NA IMPLEMENTÁCIU POŽIADAVIEK NORMY ISO 14001: 2015 Miroslav RUSKO Gabriela VYSKOČOVÁ Ján IĽKO PREPAREDNESS OF INDU

SUZA mazagx

Kurz-Riadenie-rizik-prakticky Prihlaska

Správa o overení ročnej účtovnej závierky Európskeho monitorovacieho centra pre drogy a drogovú závislosť za rozpočtový rok 2015 spolu s odpoveďami ce

Rola verejných orgánov v deinštitucionalizácii

SLOVENSKÁ NÁRODNÁ AKREDITAČNÁ SLUŽBA Karloveská 63, P. O. Box 74, Bratislava 4 Výtlačok č.: Rozhodnutie riaditeľa RR P20 POLITIKA A POSTUP SNAS

Monitoring kvality povrchových vôd Slovenskej republiky

2.4 Audit založený na rizikách V roku 2007 ukončil IFAC práce na projekte zameranom na implementáciu ISA v podmienkach malých a stredných podnikov. Je

Verejná konzultácia k článku 18 Nariadenia Komisie (EÚ) 2017/2195, ktorým sa ustanovuje usmernenie o zabezpečovaní rovnováhy v elektrizačnej sústave P

PowerPoint Presentation

Prezentace aplikace PowerPoint

Snímka 1

Univerzita veterinárskeho lekárstva a farmácie v Košiciach Vnútorný systém kvality na Univerzite veterinárskeho lekárstva a farmácie v Košiciach Vnúto

KRITÉRIÁ PRE VÝBER PROJEKTOV - POSUDZOVACIE KRITÉRIÁ pre posúdenie projektových zámerov v rámci Integrovaného regionálneho operačného programu priorit

Microsoft PowerPoint - 1_eSO1

Microsoft Word - RR_P27_Politika na akreditáciu organizátorov PT.doc

Prezentácia programu PowerPoint

6

Seminar-ISO Prihlaska

Rozdeľovanie IT zákaziek UX Peter Kulich

SMART_GOVERNANCE_Ftacnik

NARIADENIE EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2019/ zo 17. apríla 2019, - ktorým sa mení nariadenie (EÚ) č. 952/ 2013 s cieľom

WNT TOOL SUPPLY 24/7 December 2017 Individuálne riešenie pre nákup nástrojov

Start of the Week Call

NSK Karta PDF

Postupy na uplatnenie práv dotknutých osôb

SLOVENSKÁ NÁRODNÁ AKREDITAČNÁ SLUŽBA Karloveská 63, P. O. Box 74, Bratislava 4 Politika PL 27 POLITIKA SNAS NA AKREDITÁCIU ORGANIZÁTOROV SKÚŠOK

Seminar-ISO Prihlaska

Hodnotiace kritériá pre fázované projekty MŠVVaŠ SR Úvod Fázované projekty sú projekty, ktoré boli schválené a implementované v programovom období 200

EURÓPSKA KOMISIA V Bruseli C(2018) 6560 final ANNEX 1 PRÍLOHA k vyoknávaciemu rozhodnutiu Komisie, ktorým sa stanovuje metodika monitorov

Microsoft PowerPoint - 01-Soltesova-zakon-EE_SIEA Sliac.ppt [Režim kompatibility]

Microsoft Word - manual_ESS_2010

STRATEGICKÁ ČASŤ Národné priority rozvoja sociálnych služieb na roky Národné priority rozvoja sociálnych služieb na roky predstavu

SKPOS

RAS EFSA 2014 final

Slide 1

Dodatok č.1 k zmluve o poskytovaní poradenských služieb uzavretej podľa 269 ods. 2 a nasl. Obchodného zákonníka a 117 zákona č. 343/2015 Z. z. o verej

Microsoft Word - Dokument2

Systém uznávania kvalifikácií v Slovenskej republike

NSK Karta PDF

Správa o vybavovaní sťažností na

Uctovnictvo

EURÓPSKA KOMISIA V Bruseli C(2015) 7447 final Úrad pre reguláciu elektronických komunikácií a poštových služieb (RÚ) Továrenská 7 P.O. BOX

PM C-03 Prostredie riadenia ¾udských zdrojov

iot business hub whitepaper isdd_em_New.pdf

Microsoft Word - BLB000172SK10-05PP-DEC207-05VO-RAS-BCE-04-TR.doc

NSK Karta PDF

SK01-KA O1 Analýza potrieb Zhrnutie BCIME tím Vyhlásenie: "Podpora Európskej komisie pre výrobu tejto publikácie nepredstavuje súhlas

Zaistenie opakovateľnosti kvality v sociálnych službách a jej porovnávania

kontrak SIOV 2018_BSZ

Kódex správania sa dodávateľov spoločnosti Roche

ISO/IEC 17021:2006

NSK Karta PDF

OS VZN č účinné od

Bez nadpisu

PM pre Automotive a vyrobu-1

Snímka 1

13 ISF

Doplňujúce údaje k vyzvaniu č. OPII-2018/7/5-NP Zoznam iných údajov Zoznam iných údajov UPOZORNENIE: Iné údaje poskytuje prijímateľ výlučne počas impl

Informatívna hodnotiaca správa o priebežnom plnení Komunitného plánu sociálnych služieb mesta Trnavy na roky za rok 2018 Komunitný plán soci

Všeobecné podmienky elektronického obstarávania verzia 5.2 účinná od Tieto Všeobecné podmienky elektronického obstarávania upravujú v rozsa

Prezentácia programu PowerPoint

OBEC BREHY Materiál na rokovanie obecného zastupiteľstva Obecné zastupiteľstvo Dňa 18. augusta 2016 Návrh plánu kontrolnej činnosti hlavnej kontrolórk

Príloha č. 3 Zmluvy o poskytnutí NFP Prijímateľ: Úrad pre normalizáciu, metrológiu a skúšobníctvo SR Názov projektu: Zavádzanie a podpora manažérstva

VYKONÁVACIE ROZHODNUTIE KOMISIE - z 29. apríla 2014, - ktorým sa stanovuje pracovný program pre Colný kódex Únie - (2014/255/EÚ)

Príprava štátnej politiky mestského rozvoja

ÚPLNÉ ZNENIE ZÁKONA č. 385/2018 Z. z. O OSOBITNOM ODVODE OBCHODNÝCH REŤAZCOV A O DOPLNENÍ ZÁKONA č. 595/2003 Z. z. O DANI Z PRÍJMOV V ZNENÍ NESKORŠÍCH

(Návrh) 328 VYHLÁŠKA Ministerstva dopravy, výstavby a regionálneho rozvoja Slovenskej republiky z 20. novembra 2015 o minimálnom obsahu ďalšieho odbor

NSK Karta PDF

Príloha č. 1 Internej smernice o riadení konfliktu záujmov POLITIKA RIADENIA KONFLIKTU ZÁUJMOV v podmienkach Centrálneho depozitára cenných papierov S

EASA NPA Template

KVALITA SOFTVÉRU

Microsoft Word - AAC-U2-sprava o transparentnosti 2017

Základné informácie k papierovej forme testovania žiakov 5. ročníka ZŠ T September 2016 NÚCEM, Bratislava 2016

Správa o overení ročnej účtovnej závierky Agentúry pre európske GNSS za rozpočtový rok 2016 spolu s odpoveďou agentúry

K O N T R A K T č

si Vás dovoľuje pozvať na KURZ INTERNÝ AUDÍTOR SYSTÉMU MANAŽÉRSTVA KVALITY PODĽA EN ISO 9001:2015 a PREŠKOLENIE INTERNÝCH AUDÍTOROV PODĽA EN ISO 9001:

Microsoft Word - EBA_2014_ _SK.docx

GEN

Všeobecne záväzné nariadenie Obce Krasňany č. 2/2009 o podmienkach poskytovania opatrovateľskej služby, o spôsobe a výške úhrady za opatrovateľskú slu

USMERNENIE RIADIACEHO ORGÁNU Č. 2 Verzia č. 1 Programové obdobie Vec: k príprave individuálneho projektu podľa kapitoly Systému ri

Odporúčanie Európskeho parlamentu a Rady z 18. júna 2009 o vytvorení európskeho referenčného rámca zabezpečenia kvality odborného vzdelávania a prípra

Webové portály pre Hlavné mesto SR a Dopravný podnik Bratislava Ako sme Hlavnému mestu a Dopravnému podniku Bratislava zabezpečili väčší používateľský

ZBIERKA ZÁKONOV SLOVENSKEJ REPUBLIKY Ročník 2016 Vyhlásené: Časová verzia predpisu účinná od: Obsah dokumentu je právne záväzný

Prepis:

Ing. Lenka Gondová, CISA, CGEIT, CRISC

konateľ Pro Excellence s.r.o. Poradenstvo a audity v oblasti IT, Analýzy a optimalizácia procesov Bezpečnostné projekty Implementácie systémov podľa ISO/IEC 9001, ISO/IEC 20000-1 a ISO/IEC 27001 Člen rady ISACA Slovensko Člen TK 37 a TK 22

Prehľad požiadaviek normy ISO/IEC 27001:2013 s dôrazom na zmeny oproti ISO/IEC 27001:2005 Norma vyšla k 1.10.2013 Prechodné obdobie do októbra 2015 Zmeny v číslovaní (staré číslovanie ISO 27001:2005), nové kapitoly a požiadavky

4.1 Porozumenie organizácie a súvislostí v nej: Organizácia musí určiť vnútorné a vonkajšie súvislosti, ktoré sú zmysluplné pre jej ciele a ktoré ovplyvňujú jej schopnosť dosiahnuť zamýšľaný výstup zo systému riadenia informačnej bezpečnosti. 4.2 Porozumenie potrieb a očakávaní zainteresovaných strán: Organizácia musí určiť zainteresované strany, ktorých sa týka systém riadenia informačnej bezpečnosti; požiadavky týchto zainteresovaných strán, ktoré súvisia s informačnou bezpečnosťou. 4.3 Určenie rozsahu systému riadenia informačnej bezpečnosti (kap.4.2.1) Pri určovaní rozsahu musí organizácia brať do úvahy: vonkajšie a vnútorné súvislosti, o ktorých sa zmieňuje čl. 4.1; požiadavky, o ktorých sa zmieňuje čl. 4.2 (zainteresované strany); rozhrania a závislosti medzi aktivitami vykonávanými organizáciou a aktivitami, ktoré vykonávajú iné organizácie.

Vrcholový manažment musí názorne preukázať vedúce postavenie a prijať záväzok týkajúci sa schválenia systému riadenia informačnej bezpečnosti, a to: prijatím politiky informačnej bezpečnosti (bolo v 4.2.1) a stanovením cieľov informačnej bezpečnosti, ktoré sú v súlade so strategickým smerovaním organizácie (4.2.1.); zaistením integrácie požiadaviek systému riadenia informačnej bezpečnosti do procesov v organizácii; zaručením, že zdroje potrebné pre systém riadenia informačnej bezpečnosti sú a budú dostupné (4.2.2 a 5.2.1.); informovaním o dôležitosti efektívneho riadenia informačnej bezpečnosti a o požiadavkách na súlad s požiadavkami systému riadenia informačnej bezpečnosti; zaistením, že systém riadenia informačnej bezpečnosti dosahuje zamýšľaný výsledok (zamýšľané výsledky); riadením a podporou osôb zabezpečujúcich efektivitu systému riadenia informačnej bezpečnosti; zabezpečením kontinuálneho zlepšovania; podporou iných riadiacich rolí, aby sa preukázala ich vedúca úloha, ktorá bola zavedená pre oblasť ich zodpovednosti.

6.1 Aktivity na určenie rizík a možností (kap.4.2.1) Organizácia musí plánovať aktivity, ktoré určujú riziká a príležitosti; ako integrovať a zaviesť aktivity do vlastných procesov systému riadenia informačnej bezpečnosti; vyhodnocovať efektívnosť týchto aktivít. 6.1.2 Posúdenie rizík informačnej bezpečnosti Okrem pôvodných požiadaviek na vyhodnotenie rizík prioritizuje analyzované riziká na ošetrenie rizík. 6.1.3 Ošetrenie rizík informačnej bezpečnosti Okrem pôvodných požiadaviek na ošetrenie rizík doplnená povinnosť získať súhlas vlastníkov rizík Doplnené naviazanie ošetrenia rizík na prílohu A 6.2 Ciele informačnej bezpečnosti a plánovanie ich dosiahnutia (4.2.1g) Pri plánovaní, ako dosiahnuť ciele informačnej bezpečnosti, organizácia musí určiť, čo sa urobí; aké zdroje sa budú požadovať; kto bude zodpovedný; kedy to bude hotové; ako sa výsledok vyhodnotí.

7.4.Komunikácia:Organizácia musí určiť potreby pre vnútrofiremnú a externú komunikáciu v súlade so systémom riadenia informačnej bezpečnosti vrátane, o čom sa bude komunikovať; kedy sa bude komunikovať; s kým sa bude komunikovať; kto bude komunikovať; procesu, ktorým sa komunikácia uskutoční. 7.5. Dokumentované informácie 8.1 Plánovanie a riadenie prevádzky Organizácia musí plánovať, zaviesť a riadiť procesy, ktoré sú potrebné na splnenie požiadaviek informačnej bezpečnosti, a vykonať aktivity určené v čl. 6.1. Organizácia musí zaviesť aj plány na dosiahnutie cieľov informačnej bezpečnosti, ktoré boli určené v čl. 6.2. Organizácia musí udržiavať dokumentované informácie v potrebnom rozsahu, aby sa uistila, že procesy sa vykonávajú tak, ako sa plánovalo. Organizácia musí riadiť plánované zmeny (A 10, A 12) a preskúmavať následky neplánovaných zmien, vykonať činnosti na zníženie nepriaznivých efektov, ak je to potrebné. Organizácia musí dokladovať, že proces riadenia externých dodávateľov je vytvorený a riadený.

9.1 Monitorovanie, meranie, analýza a hodnotenie Organizácia musí vyhodnocovať výkonnosť informačnej bezpečnosti. informačnej bezpečnosti a efektívnosť systému riadenia Organizácia musí určiť, čo treba monitorovať a merať vrátane procesov a opatrení informačnej bezpečnosti; metódy na monitorovanie, meranie, analýzu a vyhodnotenie, ak je to vykonateľné, aby sa zabezpečili platné výsledky; kedy sa musí monitorovanie a meranie vykonať; kto musí monitorovať a merať; kedy sa musia výsledky z monitorovania a merania analyzovať a vyhodnotiť; kto musí analyzovať a vyhodnocovať výsledky. 9.3 Preskúmanie manažmentom Okrem pôvodných požiadaviek: Preskúmavanie manažmentom sa musí zaoberať stavom činností od posledného preskúmania manažmentom; zmenami vo vnútornom a vonkajšom prostredí, ktoré ovplyvňujú systém riadenia informačnej bezpečnosti; spätnou väzbou na vykonávanie informačnej bezpečnosti vrátane trendov v nesúlade a nápravných činnostiach; vo výsledkoch monitorovania a merania; vo výsledkoch auditov; v splnení cieľov informačnej bezpečnosti;

10.1 Nesúlad a nápravné činnosti Ak sa objaví nesúlad, organizácia musí reagovať na nesúlad, a primerane, prijať nápravné opatrenia; vysporiadať sa s následkami; vyhodnotiť potrebu činností na odstránenie prípadu nesúladu, aby znovu nenastal alebo aby sa neobjavil inde pri preskúmaní nesúladu; zisťovaní príčin nesúladu; zisťovaní, či podobný nesúlad existuje alebo sa môže vyskytnúť; vykonať každú potrebnú činnosť; preskúmať efektivitu každej nápravnej činnosti, ktorá sa vykonala; vykonať zmeny v systéme riadenia informačnej bezpečnosti, ak je to potrebné. Nápravné činnosti musia byť primerané k efektu, ktorý nesúlad spôsobil. Organizácia musí udržiavať dokumentované informácie ako dôkaz povahy nesúladu a všetkých následných činností, ktoré sa vykonali; výsledkov všetkých nápravných činností, ktoré sa vykonali.

Zásadné zmeny v číslovaní, spresnené a do praxe zmysluplnejšie formulované Doplnené nové požiadavky A.6.1.5 Informačná bezpečnosť v projektovom riadení Opatrenie: Informačná bezpečnosť by mala byť prepojená aj riadením projektov v závislosti od typu projektu. A.12.6.2 Obmedzenia pri inštalácii softvéru Opatrenie: Na strategické riadenie inštalácie softvéru používateľmi by mali byť vytvorené a zavedené pravidlá. A.14.2.1 Politika bezpečného vývoja Opatrenie: Pravidlá na vývoj softvéru a systémov by mali byť vytvorené a zavedené do procesu vývoja v rámci organizácie. A.14.2.5 Princípy bezpečného vývoja systému Opatrenie: Mali by sa vytvoriť, dokumentovať, udržiavať a zaviesť princípy bezpečného vývoja systémov pre všetky činnosti spojené so zavedením informačných systémov. A.14.2.6 Prostredie na bezpečný vývoj Opatrenie: Organizácie by mali vytvoriť a primerane chrániť vývojové prostredie na vývoj systémov a ich integráciu s úsilím, ktoré pokryje celý životný cyklus vývoja. A.14.2.7 Vývoj externými zdrojmi Opatrenie: Vývoj softvéru prostredníctvom externých zdrojov by mal byť pod dohľadom organizácie a mali by sa monitorovať aktivity vývoja systému externými zdrojmi. A.14.2.8 Bezpečnostné testovanie systémov Opatrenie: Testovanie bezpečnostných funkcií by sa malo vykonávať počas vývoja.

Pokračovanie: nové požiadavky A.15.1.1 Politika informačnej bezpečnosti na vzťahy s dodávateľmi Opatrenie: Požiadavky informačnej bezpečnosti na zníženie rizík spojených s dodávateľskými prístupmi do aktív organizácie by mali byť odsúhlasené s dodávateľmi a formálne zdokumentované. A.15.1.3 Dodávateľské reťazce informačných a komunikačných technológií Opatrenie: Zmluvy s dodávateľmi by mali obsahovať požiadavky týkajúce sa rizík informačnej bezpečnosti spojených s informačnými a komunikačnými službami a produktmi dodávateľského reťazca. A.16.1.4 Posúdenie udalostí informačnej bezpečnosti a rozhodnutia o nich Opatrenie: Udalosti informačnej bezpečnosti by mali byť posúdené a malo by sa rozhodnúť, či budú klasifikované ako incidenty informačnej bezpečnosti. A.16.1.5 Odpoveď na incidenty informačnej bezpečnosti Opatrenie: Na incidenty informačnej bezpečnosti by sa malo odpovedať v súlade s dokumentovanými postupmi. A.17.2.1 Redundancia - Dostupnosť zariadení na spracúvanie informácií Opatrenie: Zariadenia na spracúvanie informácií by mali byť zriadené s dostatočnou redundanciou, aby sa dosiahli požiadavky na dostupnosť.

Otázky, diskusia

2024 © DocPlayer.sk Pravidlá ochrany osobných údajov | Podmienky používania | Spätná väzba