projekt implementace isms 2 iso/iec 27003 : 2010 · 2019. 9. 2. · 2.1 de novan oblasti a hranic...

Projekt implementace ISMS

PV017 �Bezpe�cnost IT

Jan Staudek

http://www.�.muni.cz/usr/staudek/vyuka/

} w�� Æ�� !"#$%&'()+,-./012345<yA|Verze : podzim 2019

Projekt zaveden��, implementace ISMS

2 ISO/IEC 27003 : 2010

Information technology | Security techniques |

Information security management system implementation

guidance

N�avod k implementaci ISMS {

jak zah �ajit, napl �anovat a de�novat projekt zav �ad�ej��c�� ISMS

formou zak �azky �re�sen �e organizac�� c��len �e

{ na zaveden�� ISMS a

{ na integraci ISMS mezi ostatn�� podnikatelsk �e (byznys) procesy organizace

Jan Staudek, FI MU Brno | PV017 { Projekt implementace ISMS 1

F �aze zak �azky projekt implementace ISMS

2

ZAH �AJEN�I PROJEKTU IMPLEMENTACE ISMS

1. Z��sk �an�� souhlasu veden�� organizace s projektem implementace ISMS

2. De�nov �an�� oblasti p �usobnosti ISMS a politiky ISMS

P �R�IPRAVA IMPLEMENTACE ISMS

3. Anal �yza po�zadavk �u organizace na informa�cn�� bezpe�cnost

4. Ohodnocen�� rizik a vypracov �an�� pl �anu zvl �adnut�� rizik

N �AVRH ISMS

5. N �avrh a implementace ISMS


Nejprve k metod �am �r��zen�� realiza�cn��ho projektu obecn�e

2 N�avrh, implementace a zaveden�� ISMS je projekt

2 Co je to projekt { obecn �a charakteristika

X jedine�cn �a soustava �cinnost��

X sm�e�ruj��c��ch k p�redem stanoven �emu a jasn�e de�novan �emu c��li,

X kter �a m �a ur�cen �y za�c �atek a konec,

X kter �a vy�zaduje spolupr �aci r �uzn �ych profes��,v �a�ze jejich kapacity a jejich �usil�� a

X vyu�z��v �a (p�r��padn�e spot�rebov �av �a) pro vytvo�ren�� c��lov �ych v �ystup �u

{ informace,

{ materi �al,

{ pen��ze,

{ schopnosti a dovednosti z �u�castn�en �ych lid��


Metodologie n �avrhu a implementace ISMS

2 Projekt v�zdy zam�estn �av �a skupinu lid��

a ovliv �nuje jin �e skupiny lid��.

2 Projekt je v�zdy spojen s rizikem ne �usp�echu,

pon�evad�z je jedine�cn �y a nikdy zcela p�resn�e nev��me,

co n �as v pr �ub�ehu jeho realizace �cek �a nebo zasko�c��.

2 Abychom v�sak mohli projekt �r��dit k �usp�echu, mus��me m��t

n�ejak �y sc �en �a�r �ci osnovu. T��mto jsou pl �any projektu.

2 P�r��klady pl �anovan �ych �ukol �u

X ur�cen�� zp �usobu �r��zen�� projektu (waterfall, agiln�� p�r��stup, . . . )ur�cen�� zp �usobu zaji�st �en�� integrace r �uzn �ych �r��dic��ch syst �em�u,identi�kace kl��cov �ych odpov�ednost��,identi�kace po�zadovan �ych zdroj �u v pr �ub�ehu �zivotn��ho cyklu projektu,rozhodnut�� o vyu�z��v �an�� konzultant �u, . . . , . . .


Metodologie n �avrhu a implementace ISMS

2 �Usp�ech projektu tedy znamen �a spln�en�� c��le ve t�rech

dimenz��ch:

X v�ecn�e (CO, JAK, a V JAK �E KVALIT �E se m�a ud�elat),

X �casov�e (KDY m�a b �yt co provedeno { etapy/f �aze, kroky, �ukony) a

X n �akladov�e (ZA KOLIK se to m�a ud�elat,nejprve ve spot�rebovan �e pr �aci a pak v pen�ez��ch).

2 Tento trojimperativ projektu v podstat�e odpov��d �a tomu, jak

je v obchodn��m z �akon��ku vymezena smlouva o d��lo.

X Kazda smlouva o dılo musı obsahovatspecifikaci plnenı (CO A JAK, V JAKE KVALITE),termıny (KDY) acenu (ZA KOLIK),aby to smlouva o dılo byla


Metody �r��zen�� realiza�cn��ho projektu

2 Standard ISO/IEC 27001 p �uvodn�e direktivn�e p�redpisoval

pou�z��t pro projekt implementace ISMS procesn�� p�r��stup

podle metodologie PDCA

X PDCA, Plan–Do-Check-Act, pl �anuj, ud�elej, zkontroluj, jednejX tak �e Deming �uv cyklus nebo PDCA cyklus

metoda postupn �eho zlep�sov �an�� nap�r��klad kvality v �yrobk �u, slu�zeb,proces �u, aplikac��, dat, prob��haj��c�� formou opakovan �eho prov �ad�en��cty�r zm��n�en �ych �cinnost��. Deatily viz nap�r-http://mostechinformationsite.blogspot.cz/2014/10/pdca-cycle-of- quality-management-basic.html

2 Dal�s�� aplikovateln �e metody �r��zen��

X COBIT, http://www.isaca.org/cobit/pages/default.aspxX ITIL, https://managementmania.com/cs/information-

technology-infrastructure-library


Model PDCA, Plan–Do-Check-Act

2 Model PDCA je �siroce uplat �novan �y v podnik �an��, v �r��zen��

kvality, . . .

2 ISMS mus�� b �yt mj. integrovan �y s �r��dic��mi syst �emy nap�r. pro

{ �r��zen�� kvality (dle standardu ISO 9001) a

{ pro udr�zov �an�� zivotn��ho prost�red�� ( ISO 14001)

2 Tyto �r��dic�� syst �emy rovn�e�z pou�z��vaj�� model PDCA

a tud��z je pou�zit�� modelu PDCA pro projekt ISMS

up�rednost �nov �ano


PDCA cyklus v �yvoje ISMS


PDCA { f �aze

2 PLAN (z�r��zen�� ISMS)

X De�nice oblasti ISMS

X De�nice politiky informa�cn�� bezpe�cnosti

X De�nice systematick �eho p�r��stupu k ohodnocov �an�� rizik

X Vypracov �an�� procedur �re�s��c��ch ohodnocen�� rizika proveden�� ohodnocen�� rizik

c��l { v kontextu politiky a oblasti ISMS identi�kovat d �ule�zit �ainforma�cn�� aktiva a rizika, kter �ym jsou tato aktiva vystavena

X Identi�kace a vyhodnocen�� mo�znost�� jak zvl �adat rizika

X V �yb�er c��l �u ochran aimplementovateln �ych opat�ren�� pro ka�zdou mo�znost

X Vypracov �an�� Prohl �a�sen�� o aplikovatelnosti vybran �ych opat�ren��

(pokryt �e bezpe�cnostn�� c��le a vlastnosti vybran �ych opat�ren��)


PDCA { f �aze

2 DO (implementace ISMS)

X Formulace pl �anu zvl �ad �an�� rizik, vytvo�ren�� jeho dokumentace{ syst �emov �a, detailn��, bezpe�cnostn�� politika{ de�nice proces �u a procedur pln��c��ch bezpe�cnostn�� opat�ren��

X Implementace v�sech opat�ren�� ur�cen �ych v pl �anu zvl �ad �an�� rizik

X Implementace procedur (opat�ren��) umo�z �nuj��c��ch promptn�� detekcibezpe�cnostn��ch incident �u a reakce na n�e

X Za�skolen�� relevantn��ch zam�estnanc �u,de�nice programu systematick �e v �ychovy k bezpe�cnostn��mu uv�edom�en��

X Zaji�st �en�� zdroj �u a operac�� pro v �ykon �cinnost�� ISMS


PDCA { f �aze

2 CHECK (sledov �an�� a posuzov �an�� v �ykon �u provozovan �eho ISMS)

X monitorov �an��, ohodnocov �an��, testov �an��, audit �cinnost�� r��zen �ych ISMS

X vytv �a�ren�� d �ukaz �u, shroma�zd'ov �an�� v �ysledk �u monitorov �an��, . . .

X posuzov �an�� a tam kde to jde i m�e�ren��, v �ykon �u proces �u protibezpe�cnostn�� politice, c��l �um a praktick �ym zku�senostem

X generov �an�� zpr �av pro posouzen�� managementem

X m�e�ren�� u�cinnosti syst �emu �r��zen�� a opat�ren��, kter �a jej implementuj��

2 ACT ( �udr�zba a vylep�sen�� ISMS)

X Proveden�� oprav a zm�enna z �aklad�e v �ysledk �u posouzen�� managementem

X Identi�kace, dokumentace a implementace vylep�sen�� ISMS


Uk �azka aplikace PDCA cyklu na procesy �r��zen�� rizik

X Detailn�ej�s�� pozn �amky k PDCA cyklu viz Dodatek l t �eto p�redn �a�sky


Demonstrace c��le a z �avazku managementem

2 ISO 27001 po�zaduje, aby management organizace

demonstroval, �ze implementaci ISMS �rad�� mezi sv �e c��le, a

m �a v �uli ISMS implementovat, co�z dokazuj�� kroky:

X Stanoven�� politiky ISMS a c��l �u informa�cn�� bezpe�cnosti, kter �e mus�� b �ytkompatibiln�� s orientac�� podnikatelsk �e strategie organizace

X Zaji�st �en�� integrace ISMS mezi ostatn�� procesy organizace

X Zaji�st �en�� dostupnosti zdroj �u vy�zadovan �ych pro ISMS

X Prob�ehlo sezn �amen�� organizace s d �ule�zitost�� r��zen�� InSec

X Zaji�st'ov �an��, aby ISMS dos �ahl zam �y�slen �ych v �ysledk �u stanoven �ychpolitikou a c��li informa�cn�� bezpe�cnosti

X Veden�� a podpora perzon �alu k p�risp��v �an�� k �u�cinnosti ISMS

X Prosazov �an�� kontinu �aln��ho vylep�sov �an�� ISMS

X Podporov �an�� mana�zersk �ych rol��


Projek�cn�� t �ym, �r��dic�� v �ybor

2 Pro n �avrh a implementaci by m�el nejvy�s�s�� management

ustanovit projek�cn�� t �ym a/nebo �r��dic�� v �ybor

X T �ym by m�el v �est �clen st�redn��ho �ci ni�z�s��ho managementu s del�s�� prax��

X Nen�� vhodn �y IT mana�zer, ti maj�� z pohledu podnik �an�� ni�z�s�� kredibilitu

X T �ym by m�el sest �avat jak z kl��cov �ych byznys mana�zer �u,tak i z technick �ych expert �u na InSec a na IT

X Experty na InSec a na IT lze zajistit i smluvn�e,pak je ale nutn �e uplatnit odpov��daj��c�� opat�ren��pro bezpe�cnou participaci t�ret��ch stran (NDA, . . . )

2 V��ce dopl �nuj��c��ch pozn �amek k pr �aci t �ymu

viz Dodatek 2 t �eto p�redn �a�sky


Cestovn�� mapa PDCA cyklu ISMS


Zah �ajen�� projektu, d��l�c�� f �aze

2 Uv�edom�en�� pot�reby ISMS

X Vysv�etlov �an�� p�redev�s��m vy�s�s��m mana�zer �umpro�c je ISMS pot�rebn �y a co se j��m rozum��, co ovlivn��

X Nasazen�� ISMS je podnikatelsk �y projekt nikoli technick �y projekt

X Pokud nebude m��t podporu veden�� spole�cnosti, vy�s�s��ho managementua relevantn��ch mana�zer �u, padne

2 Z��sk �an�� odborn �ych zku�senost��

X d�ukladn �a v �ychova a tr �ening dovednost�� a znalost�� clen �u t �ymu

2 Vymezen�� prostoru

X ur�cen�� hranic p �usobnosti ISMS

2 Formulov �an�� politiky

X v �yvoj a odsouhlasen�� politiky informa�cn�� bezpe�cnosti organizace

X tato politika vymezuje orientaci ISMS v kontextu podnikatelsk �ych c��l �u


Zdroje informac�� pro tvorbu politiky informa�cn�� bezpe�cnosti

2 Zdroje n �avod �u k postupu budov �an�� politiky informa�cn��

bezpe�cnosti a ISMS v prost�red�� IS0 27000

http://www.itil.cz/, ITIL { IT Governance

http://www.iso27001security.com/html/iso27000.html

2 Zdroj n �avod �u k postupu budov �an�� politiky informa�cn��

bezpe�cnosti

X http://www.yourwindow.to/

X Your Window To Information Security Policiesand Disaster Recovery


F �aze projektu implementace ISMS


D��l�c�� kroky f �az�� projektu implementace ISMS

1. Z��sk �an�� souhlasu veden�� organizace pro zah �ajen�� implem. ISMS

1.1 Objasn�en�� priorit organizace pro projekt ISMS

1.2 P�redb�e�zn �a de�nice oblasti p �usobnosti ISMS

1.3 Vytvo�ren�� zak �azky a pl �anu projektu implementace ISMS

pro odsouhlasen�� veden��m organizace

2. De�nov �an�� oblasti p �usobnosti ISMS a politiky ISMS

2.1 De�nov �an�� oblasti a hranic inf. bezpe�cnosti v organizaci

2.2 De�nov �an�� oblasti a hranic

informa�cn��ch a komunika�cn��ch technologi�� (ICT)

2.3 De�nov �an�� fyzick �e oblasti a hranic

2.4 Integrace v�sech oblast�� a hranic do oblasti a hranic ISMS

2.5 V �yvoj politiky ISMS a z��sk �an�� souhlasu od veden��



3. Anal �yza po�zadavk �u organizace na informa�cn�� bezpe�cnost

3.1 De�nov �an�� po�zadavk �u organizace na inf. bezpe�cnost

3.2 Identi�kace aktiv v oblasti p �usobnosti ISMS

3.3 Ohodnocen�� informa�cn�� bezpe�cnosti

4. Ohodnocen�� rizik a vypracov �an�� pl �anu zvl �adnut�� rizik

4.1 Ohodnocen�� rizik

4.2 V �yb�er c��l �u opat�ren�� a opat�ren�� {

Prohl �a�sen�� o aplikovatelnosti

4.3 Z��sk �an�� souhlasu veden�� organizace s implementac�� a

provozov �an��m ISMS,

vypracov �an�� pl �anu zvl �adnut�� rizik



5. N �avrh ISMS

5.1 N �avrh informa�cn�� bezpe�cnosti v organizaci

5.2 N �avrh fyzick �e a ICT informa�cn�� bezpe�cnosti

5.3 N �avrh informa�cn�� bezpe�cnosti speci�ck �e pro ISMS

5.4 Vytvo�ren�� n �aln��ho pl �anu projektu ISMS

2 Detailn�� popisy d��l�c��ch krok �u v�sech p�eti f �az�� obsahuje

Dodatek 2 (Projekt) t �eto p�redn �a�sky


Role dokumentace ISMS

2 Procesy v organizaci opakovateln �e, odoln �e v �u�ci ztr �at�e znalost��

nap�r. po v �ypov�edi n�ekter �eho zam�estnance, mus�� b �yt

dokumentovan �e

X Opakovateln �e procesy jsou pak konzistentn�ej�s�� a v��ce p�redv��dateln �e

2 �U�cinnost ka�zd �eho syst �emu �r��zen�� z �avis�� na pat�ri�cn �e, korektn��

dokumentaci jeho proces �u

X a na archivu z �aznam�u demonstruj��c��ch jeho nedostatky

2 ISO 27001 po�zaduje dostupnost dokumentace

X jak ka�zd �eho bezpe�cnostn��ho opat�ren�� ISMS a

X tak i relevantn��ho ISMS

2 Dob�re funguj��c�� ISMS je pln�e dokumentovan �y


Role dokumentace ISMS

2 Tvorba dokumentace ISMS je �casov�e nejn �aro�cn�ej�s�� c �ast

projektu

2 Dokumentace ISMS mus�� b �yt

X �upln �a, vy�cerp �avaj��c��

X v souladu s po�zadavky standardu ISO 27001

X ve form�e odpov��daj��c�� remn��mu stylu a kultu�re

2 Dokumentace mus�� b �yt dostupn �a a pou�ziteln �a a

adekv �atn�e chr �an�en �a


Po�zadavky na dokumentaci ISMS

2 Organizace mus�� m��t syst �em �r��zen�� dokumentace ur�cuj��c��

X jak se informace distribuuj��, zp�r��stup �nuj��, z��sk �avaj�� a pou�z��vaj��

X jak mus�� b �yt informace uchov �avan �e a chr �an�en �e, v�c. udr�zen�� citelnosti

X zm�enov �e �r��zen�� v dokumentaci

X pravidla skladov �an�� a likvidace dokumentace

X zp �usob identi�kace a spr �avy dokument �u chr �an�en �ych autorsk �ymi pr �avy

X zp �usob identi�kace a zach �azen�� s informacemipodle jejich klasi�ka�cn�� urovn�e z hlediska d �uv�ernosti

X zp �usob zach �azen�� s informacemi perzonalistick �eho charakteru

2 Jsou dostupn �e syst �emy pro �r��zen�� dokumentov �ych z �akladen

ISMS obsahuj��c�� p�redp�ripraven �e �sablony, . . .

X http://www.itgovernance.co.uk/shop/p-1462-iso-27001-iso27001- isms-documentation-toolkit.aspx

X http://advisera.com/27001academy/iso-27001-documentation- toolkit/


Dokumentace ISMS

2 Minim�aln�� skladba dokument �u ISMS dle ISO 27001 je

X politika informa�cn�� bezpe�cnosti, de�nice oblasti ISMS,v �ysledky hodnocen�� rizik, c��le �r��zen��, prohl �a�sen�� o aplikovatelnosti

X d�ukazy akc�� proveden �ych organizac�� a veden��m p�ri speci�kaci oblasti(z �apis z jedn �an�� veden��)

X popis �r��dic�� struktury projektu ISMS (�r��dic�� v �ybor apod.)v n �avaznosti na organiza�cn�� sch �ema organizace

X pl �an zvl �ad �an�� rizik a podp �urn �e dokumentovan �e procedury(odpov�ednosti, po�zadovan �e akce) implementuj��c�� ka�zd �e opat�ren��

{ procedura: kdo m�a co, jak, kdy, z jak �ych podm��nek ud�elat

X procedury (odpov�ednosti, po�zadovan �e akce) �r��zen�� a inspekce ISMS

2 Posledn�� dv�e komponenty tvo�r�� manu �al politiky ISMSX mus�� b �yt dostupn �y v�sem zam�estnanc �um, elektronicky, tiskem

X mus�� b �yt strukturovan�e �c��slovan �y, s udr�zov �an��m reviz��, . . .

X podrobn�eji se Manu �alu ISMS v�enuje Dodatek 3 t �eto p�redn �a�sky


4-vrstv �a struktura dokumentov �e z �akladny ISMS



2 Autoriza�cn�� urovn�e dokumentace

X 1. �urove �n { vrcholov �y management, Board of DirectorsX 2. �urove �n { CSO (Chief Security O�cer), spr �avce bezpe�cnosti

po projedn �an�� s �r��dic��m v �yborem informa�cn�� bezpe�cnosti

X 3. �urove �n { CISO (Chief Information Security O�cer),spr �avce informa�cn�� bezpe�cnosti + �sefov �e odd�elen��/odbor �u organizace

X 4. �urove �n { CISO (Chief Information Security O�cer),spr �avce informa�cn�� bezpe�cnosti + �sefov �e odd�elen��/odbor �u organizace



1. vrstva { Politiky

X Nastaven�� politik { strategick �e pom�ern�e �r��dce m�en�en �e dokumentyna vysok �e �urovni abstrakce, stanoven�� princip �u

X Dokumenty autorizovan �e nejvy�s�s��m managementemautorizace = demonstrace odpov�ednosti nejvy�s�s��ho veden�� za politiky

X P�r��klady dokument �u 1. �urovn�e

{ vymezen�� zabezpe�covan �e oblasti,{ politika informa�cn�� bezpe�cnosti,{ pl �an �re�sen�� proces �u PDCA p�ri v �yvoji ISMS{ v �ysledek hodnocen�� rizik,{ prohl �a�sen�� o aplikovatelnosti,{ pl �an zvl �ad �an�� rizik,{ manu �al ISMS{ . . .



2. vrstva { Procedury

X popis procedur pro implementaci politik,nastaven�� podnikatelsk �ych po�zadavk �u, procedur a proces �u

X Dokumenty autorizovan �e v �ykonn �ym managementem,konkr �etn�e t�emi, kte�r�� jsou odpov�edn�� za prosazov �an�� politikv konkr �etn��ch oblastech podnik �an��,a CSO (Chief Security O�cer), spr �avcem bezpe�cnosti,v�zdy v�sak po projedn �an�� s �r��dic��m v �yborem informa�cn�� bezpe�cnosti

X p�r��klad: politika �r��zen�� p�r��stupu si vy�z �ad �a procedury:

{ spr �ava u�zivatel �u (User Management): z�rizov �an�� u�ct �u, . . .{ p�rid�elov �an�� p�r��stupov �ych pr �av . . .

X procedury se mohou m�enit v pr �ub�ehu roku tak, aby reagovaly nakonkr �etn�� podnikatelsk �e podm��nky a po�zadavky,zm�eny se sm�� v�sak odehr �avat pouze v mez��ch stanoven �ych politikamischv �alen �ymi nejvy�s�s��m managementem



3. vrstva { Pracovn�� instrukce

X Uplat �nov �an�� politik p�ri konkr �etn��ch �cinnostech organizace,instrukce pro prov �ad�en�� konkr �etn��ch �ukol �u zam�estnanci,v�c. m�e�ren�� u�cinnosti opat�ren��, v organizaci, v jednotliv �ych odd�elen��ch

X dokumenty typu smlouva s u�zivatelem, popis pr �ace, apod.(nap�r. jak postupovat p�ri uzav��r �an�� dohody se vzd �alen�e pracuj��c��mzam�estnancem)

X jsou vytv �a�ren �e vlastn��ky podnikatelsk �ych aktiv/proces �u,autorizovan �e jejich p�r��m �ymi nad�r��zen �ymi a spr �avceminforma�cn�� bezpe�cnosti, CISO (Chief Information Security O�cer)

X jsou pravideln�e p�rezkoumavan �e a vylep�sovan �e, m�en�� se pom�ern�e�casto, tak jak se m�en�� pracovn�� metody (ISMS se pr �ub�e�zn�e vylep�suje),p�r��padn�e tak jak se identi�kuj�� rizika (preventivn�� akce)nebo selh �avaj�� opat�ren�� (opravn �e akce)

X zm�eny v pracovn��ch instrukc��ch se sm�� v�sak odehr �avatpouze v mez��ch stanoven �ych procedurami, kter �e implementuj��



4. vrstva

Zpr �avy

X zpr �avy o tom, co se stalo, jak ISMS b�e�zel

X z �apisy, logy, z �aznamy o incidentech, . . . ,v �ysledky audit �u z f �aze CHECK . . . ,

X formul �a�re, �sablony pro tyto dokumenty


Z �akladn�� dokumenty ISMS

2 Celkov �a politika informa�cn�� bezpe�cnosti oblasti organizace

X de�nuje

{ zabezpe�covanou oblast organizace,{ se rozum�� bezpe�cnost�� informac��,{ komponenty a �u�cel ISMS a{ faktory ovliv �nuj��c�� r��zen�� cinnosti orgranizace plynouc��z de�novan �eho a systematick �eho p�r��stupu k informa�cn�� bezpe�cnosti

X je vypracovan �a na vysok �e �urovni abstrakce

X je odsouhlasen �a vrcholov �ym managementem organizace

X jej�� vypracov �an�� vy�zaduje ISO 27002

X ISO 27001 vy�zaduje politiku ISMS

X ob�e politiky se mohou dopl �novat, nahrazovat,�z �adn �a nen�� implicitn�e nad�razen �a druh �e

X Typovou strukturu politiky ISMS uv �ad�� Dopln�ek 4 t �eto p�redn �a�sky


Z �akladn�� dokumenty ISMS

2 Pl �an zvl �ad �an�� rizik organizace

X tak �e { syst �emov �a politika informa�cn�� bezpe�cnosti

X tak �e { syst �emov �a politika informa�cn�� bezpe�cnosti syst �emu XYZ

X popis jak mus�� b �yt zvl �adan �a rizika z pohledu informa�cn�� bezpe�cnostiv konkr �etn�e de�novan �e oblasti


ISMS d �ale obsahuje dokumenty

{ Z oblasti spr �avy informa�cn�� bezpe�cnosti

2 Soupis citliv �ych informa�cn��ch aktiv v oblasti

(data, informa�cn�� syst �emy)

2 Hodnocen�� zranitelnost��, hrozeb a rizik pro tato aktiva

2 Manu �al ISMS obsahuj��c�� Prohl �a�sen�� o aplikovatelnosti

X identi�kace opat�ren�� { funkc�� prosazuj��c�� bezpe�cnost {odpov��daj��c��ch zvl �adan �ym rizik �um

{ Z oblasti n �astroj �u pro pln�en�� spr �avy informa�cn�� bezpe�cnosti

2 �Upln �a, vz �ajemn�e souvisej��c�� sestava

popis �u proces �u, politik, procedur a n �avod �u k �cinnostem

zaji�st'uj��c�� informa�cn�� bezpe�cnost v oblasti


Typick �a dokumentov �a z �akladna ISMS, systematizace

2 Dokumenty tvo�r��c�� Manu �al ISMS

X Politika informa�cn�� bezpe�cnosti, de�nice oblasti pokryt �e ISMS,metodologie ohodnocov �an�� rizik, v �ystup procesu ohodnocen�� rizik,prohl �a�sen�� o aplikovatelnosti, klasi�ka�cn�� sch �ema informac��,procedury podporuj��c�� ISMS, . . . { detaily viz dopln�ek p�redn �a�sky

X Manu �al je dostupn �y v�sem zam�estnanc �um v ti�st�en �e a/nebov elektronick �e form�e

X Zam�estnanci maj�� b �yt �skolen�� podle manu �alu ISMS

2 D�ukazy akc�� proveden �ych organizac�� a jej��m veden��m p�ri

speci�kaci oblasti ISMS

X z �apisy ze sch �uz�� veden��, zpr �avy specialist �u, . . .

2 Popis syst �emu �r��zen�� informa�cn�� bezpe�cnosti

X �r��d��c�� v �ybor, CISO, . . .

X syst �emu �r��zen�� by m�el odpov��dat organiza�cn��mu sch �ematu organizace



2 Pl �an zvl �ad �an�� rizik, syst �emov �a bezpe�cnostn�� politika

X odpov�ednosti a po�zadovan �e akce

X v�c. podp �urn �ych dokumentovan �ych procedur implementuj��c��chstanoven �a opat�ren��

{ kdo m�a co d�elat, za jak �ych podm��nek, kdy, jak{ typicky jedna procedura / ka�zd �e implementovan �e opat�ren��{ detailn�� popisy pracovn��ch postup �u identi�kovan �e v manu �alu ISMS,s autorizacemi

X vypracovan �y obvykle na detailn�ej�s�� urovni ne�z manu �al ISMS

X typicky d �uv�ern �y dokument s omezenou dostupnost�� pro role ur�cen �ev ISMS v souladu s klasi�ka�cn��m sch �ematem ur�cen �ym politikou

2 Procedury �r��d��c�� spr �avu a inspekci ISMS

X odpov�ednosti a po�zadovan �e akce

X sou�c �ast manu �alu ISMS



2 Pracovn�� instrukce

X detailn�� popisy krok �u pln��c��ch �ukoly p�redesan �e procedurami

2 Formul �a�re, �sablony, zpr �avy o auditech, . . .

X v�c. z �aznam�u o efektivnosti ISMS pro �u�cely intern��ch audit �u ap�rezkoum�av �an�� managementem


Jak vytv �a�ret dokumentaci ISMS ?

2 Metoda pokus �u a omyl �u, prvn�� tvorba, pouze vlastn��mi silami

X Typicky pot�rebn �a doba: 14 { 19 m�es��c �u

{ porozum�en�� po�zadavk �um: 1 m�es��c{ pl �anov �an��:1 m�es��c{ vypracov �an�� politiky informa�cn�� bezpe�cnosti: 1 m�es��c{ vypracov �an�� prohl �a�sen�� o aplikovatelnost: 2 m�es��ce{ vypracov �an�� procedur: 4 { 6 m�es��c �u{ vypracov �an�� pracovn��ch instrukc��: 5 { 9 m�es��c �u

X Kritika

{ velk �a �casov �a n �aro�cnost, absence znalosti nejlep�s��ch postup �u

{ projekt pravd�epodobn�e sel�ze d��ky nezku�sen �emu veden��



2 Extern�� spolupr �ace, dokumenty vypracuj�� extern�� konzultanti


{ porozum�en�� po�zadavk �um: 1 t �yden{ pl �anov �an��:1 t �yden{ vypracov �an�� politiky informa�cn�� bezpe�cnosti: 1 m�es��c{ vypracov �an�� prohl �a�sen�� o aplikovatelnost: 2 m�es��ce{ vypracov �an�� procedur: 3 { 5 m�es��c �u{ vypracov �an�� pracovn��ch instrukc��: 4 { 6 m�es��c �u

X P�r��nosy

{ rychl �e �re�sen��, dostupnost znalosti nejlep�s��ch postup �u

{ projekt pravd�epodobn�e nesel�ze d��ky zku�sen �emu veden��

X Kritika

{ vysok �e n �aklady

{ obt��zn�e �re�siteln �e pr �ub�e�zn �e vylep�sov �an�� ISMS (Cyklus PDCA)



2 Pou�zit�� n �avod �u a dokumentov �eho n �astroje p�ripraven �eho t�ret��

stranou

X �re�sen�� vlastn��mi silami podle prototyp �u

X p�r��klady prototyp �u: www.itgovernance.co.uk


{ porozum�en�� po�zadavk �um: 1 t �yden{ pl �anov �an��:1 t �yden{ vypracov �an�� politiky informa�cn�� bezpe�cnosti: 2 { 4 t �ydny{ vypracov �an�� prohl �a�sen�� o aplikovatelnost: 2 m�es��ce{ vypracov �an�� procedur: 1 { 2 m�es��ce{ vypracov �an�� pracovn��ch instrukc��: 2 { 4 m�es��ce

X P�r��nosy

{ rychl �e �re�sen��, dostupnost znalosti nejlep�s��ch postup �u{ n �akladov�e efektivn�� re�sen��{ projekt pravd�epodobn�e nesel�ze d��ky postupu podle norem{ snadn�eji �re�siteln �e pr �ub�e�zn �e vylep�sov �an�� ISMS (Cyklus PDCA)


Testov �an��

2 Pro�c se testuje ISMS ?

X Funguj�� procedury �r��zen�� tak jak bylo zam �y�sleno ?

X Funguj�� bezpe�cnostn�� opat�ren�� tak jak bylo zam �y�sleno ?

2 Typy test �u

X d�ukladn �y audit (intern��m nebo extern��m) auditorem,zkoumaj�� se dokumentovan �e procedury a demonstruje se jejich �cinnost

X ,,pap��rov �e"testov �an��,logick �e testov �an�� opat�ren�� a procedur na z �aklad�e znalosti zranitelnost��,konstrukc�� opat�ren��, projev �u hrozeb,. . .

X re �aln �e testov �an��,penetra�cn�� testy, testy ztr �aty energie, . . .

X rozs �ahl �e sc �en �a�rov�e orientovan �e testy { testy pl �anu zachov �an�� cinnosti,

2 B�ehem roku se m�a testovat ka�zd �y rys, vlastnost, . . . ISMS


projekt implementace isms 2 iso/iec 27003 : 2010 · 2019. 9. 2. · 2.1 de novan oblasti a hranic...

Documents