A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1 A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan) Dr. Ködmön István oktatási igazgató, vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
Milyen a jó irányítási rendszer? Információvédelem Menedzselése VI. Szakmai Fórum Milyen a jó irányítási rendszer? 2003. május 21. jó gyakorlaton alapul megtervezett, üzleti célokkal összehangolt bevezetett dokumentált (előírások, bizonyítékok) felügyelt „csiszolt” evolúció vagy revolúció stb. Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
A PDCA ELV 2003. május 21. Ackt Plan Do Check
PDCA a működés középpontjában Információvédelem Menedzselése VI. Szakmai Fórum PDCA a működés középpontjában 2003. május 21. Szervezeti hierarchia Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
ÚTMUTATÓ A SZABVÁNY HASZNÁLATÁHOZ 2003. május 21. BS 7799-2:2002 „B” MELLÉKLET ÚTMUTATÓ A SZABVÁNY HASZNÁLATÁHOZ
Információvédelem Menedzselése VI. Szakmai Fórum A TERVEZÉS 2003. május 21. Bevezetés Cél: ISMS alkalmazási területét helyesen határozták meg minden kockázatot azonosítottak és megbecsültek kockázatok kezelésének tervét kialakították A tervezési fázis minden szakasza dokumentált legyen Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
Információvédelem Menedzselése VI. Szakmai Fórum A TERVEZÉS 2003. május 21. Információvédelmi politika 4.2.1. pont kiegészítése Keretet jelent a célok kialakításához Útmutatást ad a BS ISO/IEC 17799:2000 szabvány Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
Információvédelem Menedzselése VI. Szakmai Fórum A TERVEZÉS 2003. május 21. Az ISMS alkalmazási területe Szervezet egésze, de lehet része is Azonosítani kell a környezettel való függőségeket, kapcsolódási pontokat előfeltételeket Alkalmazási területet lehet tárgykörökbe osztani Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
Az ISMS alkalmazási területe A TERVEZÉS 2003. május 21. Az ISMS alkalmazási területe Az alkalmazási terület dokumentációjának le kell fednie a) az ISMS alkalmazási területének és tartalmának létrehozásához használt folyamatokat; b) a stratégiai és szervezeti tartalmat; c) a szervezetnek az információvédelmi kockázatok kezelésére vonatkozó megközelítését; d) az információvédelmi kockázatok kiértékelésének és a szükséges biztonság fokának kritériumait; e) az ISMS alkalmazási területébe tartozó információs vagyon (értékek) meghatározását.
Információvédelem Menedzselése VI. Szakmai Fórum A TERVEZÉS 2003. május 21. Az ISMS alkalmazási területe Alkalmazási területet lehet MIR alkalmazási területében is más irányítási rendszer alkalmazási területében másik ISMS alkalmazási területében Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
Kockázatok azonosítása és becslése A TERVEZÉS 2003. május 21. Kockázatok azonosítása és becslése Kockázatbecslés dokumentációja tartalmazza kockázatbecslés megközelítését a védelmi követelményeknek, üzleti környezetnek való megfelelőségét választott eszközöket és technikákat hogyan kell az eszközöket használni Költség-hatékony és eredményes módszer
Kockázatok azonosítása és becslése A TERVEZÉS 2003. május 21. Kockázatok azonosítása és becslése Dokumentálni kell: az ISMS-be tartozó értékek (vagyon) becslési értékét, beleértve a használt becslési skáláról való információt is, ha az nem pénzügyi; fenyegetések és sebezhetőségek meghatározását;
Kockázatok azonosítása és becslése A TERVEZÉS 2003. május 21. Kockázatok azonosítása és becslése Dokumentálni kell: a sebezhetőségek kihasználásával a fenyegetések becslését és az ilyen incidensek által okozott hatások becslését; a becslés eredményein alapuló kockázatok kiszámításait és a fennmaradó kockázatok azonosítását.
Kockázatkezelési terv A TERVEZÉS 2003. május 21. Kockázatkezelési terv Minden kockázatra be kell mutatni: a kockázatkezelésre kiválasztott módszer; milyen óvintézkedések a helyénvalók; milyen további óvintézkedések javasoltak; időkeret, amely alatt a javasolt óvintézkedéseket meg fogják valósítani.
Kockázatkezelési terv A TERVEZÉS 2003. május 21. Kockázatkezelési terv Meg kell határozni az elfogadható kockázati szintet Nem elfogadható szintű kockázatra döntés a kockázat elfogadásáról, pl. mert más tevékenységek nem lehetségesek, vagy túl sokba kerülnek; kockázat áthelyezése; vagy; a kockázat csökkentése egy elfogadható szintre.
Kockázatkezelési terv A TERVEZÉS 2003. május 21. Kockázatkezelési terv Ha nem csökkenthető a kockázat elfogadható költséggel, akkor döntés Alkalmazhatósági nyilatkozatban szerepelnek az „A” melléklet óvintézkedései További óvintézkedésekre is szükség lehet Ütemterv az óvintézkedések bevezetésére (fontossági sorrend, felelősségek)