ing. fares shima Ředitel odboru informatiky mzd
DESCRIPTION
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO 27 001 a ISO 19 011 na Ministerstvu zdravotnictví ČR. Ing. Fares Shima Ředitel odboru informatiky MZd. Obsah. Úvod – kompetence MZ Rada vlády pro informační společnost USNESENÍ VLÁDY ČR č. 677/2007 - PowerPoint PPT PresentationTRANSCRIPT
Zkušenosti ze zavedení Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shoděsystému řízení bezpečnosti informací ve shodě
s ISO 27 001 a ISO 19 011s ISO 27 001 a ISO 19 011na Ministerstvu zdravotnictví ČRna Ministerstvu zdravotnictví ČR
Ing. Fares ShimaIng. Fares Shima
Ředitel odboru informatiky MZdŘeditel odboru informatiky MZd
Obsah Obsah
Úvod – kompetence MZÚvod – kompetence MZRada vlády pro informační společnostRada vlády pro informační společnostUSNESENÍ VLÁDY ČR č. 677/2007USNESENÍ VLÁDY ČR č. 677/2007Systémové normy ISOSystémové normy ISODobrá praxe převzatá z KSRZISDobrá praxe převzatá z KSRZISPříručka ochrany informacíPříručka ochrany informacíZavedení a certifikaceZavedení a certifikaceCíl ministerstva v oblasti standardizaceCíl ministerstva v oblasti standardizaceZávěrZávěr
Úvod – kompetence MZ Úvod – kompetence MZ
Zákon o zřízení ministerstev a jiných ústředních orgánů státní správy Zákon o zřízení ministerstev a jiných ústředních orgánů státní správy ČSRČSR
§ 10 zákona č. 2/1969 Sb.§ 10 zákona č. 2/1969 Sb.(1) Ministerstvo zdravotnictví je ústředním orgánem státní správy pro (1) Ministerstvo zdravotnictví je ústředním orgánem státní správy pro
zdravotní péči, ochranu veřejného zdraví, zdravotnickou zdravotní péči, ochranu veřejného zdraví, zdravotnickou vědeckovýzkumnou činnost, zdravotnická zařízení v přímé řídící vědeckovýzkumnou činnost, zdravotnická zařízení v přímé řídící působnosti, zacházení s návykovými látkami, přípravky, prekursory působnosti, zacházení s návykovými látkami, přípravky, prekursory a pomocnými látkami, vyhledávání, ochranu a využívání přírodních a pomocnými látkami, vyhledávání, ochranu a využívání přírodních léčivých zdrojů, přírodních léčebných lázní a zdrojů přírodních léčivých zdrojů, přírodních léčebných lázní a zdrojů přírodních minerálních vod, léčiva a prostředky zdravotnické techniky pro minerálních vod, léčiva a prostředky zdravotnické techniky pro prevenci, diagnostiku a léčení lidí, zdravotní pojištění a zdravotnický prevenci, diagnostiku a léčení lidí, zdravotní pojištění a zdravotnický informační systém, pro používání biocidních přípravků a uvádění informační systém, pro používání biocidních přípravků a uvádění biocidních přípravků a účinných látek na trh.biocidních přípravků a účinných látek na trh.
(2) Součástí Ministerstva zdravotnictví je Český inspektorát lázní a (2) Součástí Ministerstva zdravotnictví je Český inspektorát lázní a zřídel.zřídel.
(3) Organizační součástí Ministerstva zdravotnictví je Inspektorát (3) Organizační součástí Ministerstva zdravotnictví je Inspektorát omamných a psychotropních látek.omamných a psychotropních látek.
Rada vlády pro informační Rada vlády pro informační společnostspolečnost
Byla ustavena na základě usnesení vlády č. 293 z 28.3.2007.
Cíl z pohledu občana:
Umožnění komfortní, bezpečné a důvěryhodné elektronické komunikace s veřejnou správou na všech úrovních a v maximu životních situací.
USNESENÍ VLÁDY ČR č. 677/2007USNESENÍ VLÁDY ČR č. 677/2007
o Akčním plánu plnění opatření Národní strategie o Akčním plánu plnění opatření Národní strategie informační bezpečnosti České republikyinformační bezpečnosti České republiky
V rámci řízení informační bezpečnosti jsou V rámci řízení informační bezpečnosti jsou nejvýznamnější (všeobecně nejvíce podporované) tyto nejvýznamnější (všeobecně nejvíce podporované) tyto normy:normy:– ČSN ISO/IEC 17799:2001ČSN ISO/IEC 17799:2001
Informační technologie – Soubor postupů pro řízení informační Informační technologie – Soubor postupů pro řízení informační bezpečnosti.bezpečnosti.
– ČSN BS 7799-2:2004ČSN BS 7799-2:2004
Systém managementu bezpečnosti informací - Specifikace s Systém managementu bezpečnosti informací - Specifikace s návodem pro použití.návodem pro použití.
Systémové normy ISOSystémové normy ISO
– Bezpečnost informací zavedená v souladu s:Bezpečnost informací zavedená v souladu s:ISO 27001, Systémy managementu bezpečnosti ISO 27001, Systémy managementu bezpečnosti
informací informací
Systém je zaveden tak, aby byl snadno Systém je zaveden tak, aby byl snadno rozšířitelnýrozšířitelný
– Kvalitu služeb ITKvalitu služeb ITISO 20 000-1, Management služebISO 20 000-1, Management služeb
– Systém řízení jakostiSystém řízení jakostiISO 9 001, Systém řízení jakosti ISO 9 001, Systém řízení jakosti
Dobrá praxe převzatá z KSRZISDobrá praxe převzatá z KSRZIS
Normy zavedené v KSRZIS:ISO 27 001 - ISMSISO 9 001 – systém kvalityISO 10 006 – kvalita projektuISO 20 000-1 – systém kvality informačních služeb
Zavedení v KSRZIS proběhlo úspěšně
Prověřeno renomovaným certifikačním orgánem TÜV-SUD
První zavedená norma v KSRZIS byla:ČSN EN ISO/IEC 27001 – systém řízení ochrany informací
PŘÍRUČKA OCHRANY INFORMACÍPŘÍRUČKA OCHRANY INFORMACÍ
Systém řízení ochrany informací a politika (4-8) + (A.5)Organizace bezpečnosti informací (A.6)Řízení aktiv (A.7)Bezpečnost lidských zdrojů (A.8)Fyzická bezpečnost a bezpečnost prostředí (A.9)Řízení komunikací a řízení provozu (A.10)Řízení přístupu (A.11)Akvizice, vývoj a údržba informačních systémů (A.12)Zvládání bezpečnostních incidentů (A.13)Řízení kontinuity činnosti organizace (A.14)Soulad s požadavky (A.15)
Zavedení a certifikaceZavedení a certifikace
Analýza rizik - Identifikace a klasifikace Analýza rizik - Identifikace a klasifikace aktiv v oblasti působnosti ministerstvaaktiv v oblasti působnosti ministerstva
Zpracování příručky ochrany informacíZpracování příručky ochrany informací
Školení zaměstnancůŠkolení zaměstnanců
Interní audit ISMS (v souladu s ISO 9 011)Interní audit ISMS (v souladu s ISO 9 011)
Certifikace TÜV-SUD duben 2009Certifikace TÜV-SUD duben 2009
Cíl ministerstva v oblasti Cíl ministerstva v oblasti standardizacestandardizace
Uplatňovat standardy ve všech projektech Uplatňovat standardy ve všech projektech eHealth eHealth Kromě obecných systémových standardů, jako Kromě obecných systémových standardů, jako je ISO 27001, postupně zavádět mezinárodní a je ISO 27001, postupně zavádět mezinárodní a evropské zdravotnické oborové ITC standardyevropské zdravotnické oborové ITC standardy– ISO TC 215 Health informatics, cca 94 standardů.ISO TC 215 Health informatics, cca 94 standardů.– CEN TC 251 Health informatics, cca 80 standardů.CEN TC 251 Health informatics, cca 80 standardů.
– WG 1 Information models WG 1 Information models – WG 2 Terminology and knowledge representation WG 2 Terminology and knowledge representation – WG 3 Security, safety and quality WG 3 Security, safety and quality – /WG 4 Technology for interoperability /WG 4 Technology for interoperability
DĚKUJI VÁM ZA POZORNOSTDĚKUJI VÁM ZA POZORNOST
Ing. Fares Shima, Ing. Fares Shima,
[email protected]@mzcr.cz