SlideShare une entreprise Scribd logo
1  sur  12
Krzysztof Świtała
    WPiA UKSW
Podstawa prawna
    § 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia
     2012         r.     w         sprawie       Krajowych       Ram
     Interoperacyjności, minimalnych wymagań dla rejestrów
     publicznych i wymiany informacji w postaci elektronicznej oraz
     minimalnych wymagań dla systemów teleinformatycznych (Dz.U z
     2012 r. nr 526)
1.       Podmiot realizujący zadania publiczne opracowuje i
         ustanawia, wdraża i eksploatuje, monitoruje i przegląda
         oraz utrzymuje i doskonali system zarządzania
         bezpieczeństwem              informacji         zapewniający
         poufność, dostępność i integralność informacji z
         uwzględnieniem           takich         atrybutów,        jak
         autentyczność,     rozliczalność,     niezaprzeczalność      i
         niezawodność.
2.       Zarządzanie bezpieczeństwem informacji realizowane jest w
         szczególności przez zapewnienie przez kierownictwo
         podmiotu publicznego warunków umożliwiających realizację i
         egzekwowanie działań wymienionych w ust. 2.
4.       Niezależnie od zapewnienia działań, o których mowa w ust.
         2, w przypadkach uzasadnionych analizą ryzyka w systemach        2
Wcześniejszy stan prawny
   § 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11
    października 2005 r. w sprawie minimalnych wymagań
    dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212
    poz. 1766)
   1. Podmiot publiczny opracowuje, modyfikuje w
    zależności   od     potrzeb  oraz    wdraża     politykę
    bezpieczeństwa dla systemów teleinformatycznych
    używanych przez ten podmiot do realizacji zadań
    publicznych.
   2. Przy opracowywaniu polityki bezpieczeństwa, o której
    mowa w ust. 1, podmiot publiczny powinien uwzględniać
    postanowienia Polskich Norm z zakresu bezpieczeństwa
    informacji.



                                                               3
Przepisy KRI a normy
    § 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje
     się   za     spełnione,   jeżeli   system  zarządzania
     bezpieczeństwem informacji został opracowany na
     podstawie Polskiej Normy PN-ISO/IEC 27001, a
     ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz
     audytowanie odbywa się na podstawie Polskich Norm
     związanych z tą normą, w tym:
1)    PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do
      ustanawiania zabezpieczeń;
2)    PN-ISO/IEC 27005 - w odniesieniu do zarządzania
      ryzykiem;
3)    PN-ISO/IEC 24762 - w odniesieniu do odtwarzania
      techniki informatycznej po katastrofie w ramach
      zarządzania ciągłością działania.


                                                                4
Hierarchia norm związanych z
SZBI




                               5
Terminy i definicje związane z
 SZBI wg normy ISO 27001
Bezpieczeństwo informacji                 Zachowanie     poufności,      integralności    i
                                          dostępności informacji; dodatkowo mogą być
                                          brane pod uwagę inne własności, takie jak
                                          autentyczność, rozliczalność, niezaprzeczalność i
                                          niezawodność.
System zarządzania                        Ta część całościowego systemu zarządzania,
bezpieczeństwem informacji                oparta na podejściu wynikającym z ryzyka
(ang. Information Security                biznesowego, odnosząca się do ustanawiania,
Management System)                        wdrażania,   eksploatacji,   monitorowania,
                                          utrzymywania i doskonalenia bezpieczeństwa
                                          informacji.
Deklaracja stosowania                     Dokument, w którym opisano cele stosowania
                                          zabezpieczeń oraz zabezpieczenia, które odnoszą
                                          się i mają zastosowanie w SZBI danej organizacji.
Analiza ryzyka                            Systematyczne wykorzystanie informacji                          do
                                          zidentyfikowania źródeł i oszacowania ryzyka.
             Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
                                zarządzania bezpieczeństwem informacji - Wymagania                             6
Atrybuty bezpieczeństwa
 informacji
Poufność            właściwość, że informacja nie jest udostępniana lub wyjawiana
(ISO 27001)         nieupoważnionym osobom, podmiotom lub procesom;
Integralność        właściwość zapewnienia dokładności i kompletności aktywów
(ISO 27001)         (zasobów);
Dostępność          właściwość bycia dostępnym       i   użytecznym   na   żądanie
(ISO 27001)         upoważnionego podmiotu;
Autentyczność       właściwość polegającą na tym, że pochodzenie lub zawartość
(KRI)               danych opisujących obiekt są takie, jak deklarowane;
Rozliczalność       właściwość systemu pozwalającą przypisać określone działanie
(KRI)               w systemie do osoby fizycznej lub procesu oraz umiejscowić je w
                    czasie.
Niezaprzeczalność   brak możliwości zanegowania swego uczestnictwa w całości lub
(KRI)               w części wymiany danych przez jeden z podmiotów
                    uczestniczących w tej wymianie;
Niezawodność        właściwość oznaczająca spójne, zamierzone zachowanie i
(PN-I-13335-1)      skutki.


                                                                                      7
Atrybuty bezpieczeństwa
  informacji – porównanie regulacji
Atrybuty            Bezpieczeństwo informacji
informacji
                    ISO 27001   Informacje            Dane                 Tajemnica        Inne
                                niejawne              osobowe              przedsiębiorstwa tajemnice
Poufność            Tak         Tak                   Tak                  Tak              Tak
Integralność        Tak         Tak                   Tak                  -                -
Dostępność          Tak         Tak                   -                    -                -
Autentyczność       Tak         -                     -                    -                -
Rozliczalność       Tak         Tak                   Tak                  -                -
Niezaprzeczalność   Tak         -                     -                    -                -
Niezawodność        Tak         -                     -                    -                -




                            Źródło: A. Guzik, SZBI receptą na bezpieczeństwo
                                   informacji, Hakin9 3/2010, s. 70 - 77                                8
Cykl Deminga (ang. Plan-Do-
Check-Act)     stosowany w
procesach SZBI
                                                   PLANUJ
                                                 Ustanowienie
                                                     SZBI
Zainteresowane                                                                                        Zainteresowane
     strony                                                                                                strony

                        WYKONUJ                                              DZIAŁAJ
 Wymagania i           Wdrożenie i                                         Utrzymanie i
 oczekiwania           eksploatacja                                        doskonalenie
                          SZBI                                                 SZBI
  dotyczące                                                                                            Zarządzanie
bezpieczeństwa                                                                                       bezpieczeństwem
   informacji                                                                                           informacji

                                                SPRAWDZAJ
                                               Monitorowanie i
                                                przegląd SZBI


             Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
                                zarządzania bezpieczeństwem informacji - Wymagania                                     9
Cykl Deminga (ang. Plan-Do-
  Check-Act)                      stosowany                      w
  procesach SZBI
Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów                   i
                                         procedur istotnych dla zarządzania ryzykiem oraz
                                         doskonalenia bezpieczeństwa informacji tak, aby
                                         uzyskać wyniki zgodne z ogólnymi politykami i
                                         celami organizacji
Wykonuj (wdrożenie i                     Wdrożenie     i   eksploatacja     polityki                        SZBI,
eksploatacja SZBI)                       zabezpieczeń, procesów i procedur.
Sprawdzaj (monitorowanie                 Szacowanie, i tam gdzie ma zastosowanie, pomiar
i przegląd SZBI)                         wydajności procesów w odniesieniu do polityki SZBI,
                                         celów    i   doświadczenia     praktycznego    oraz
                                         dostarczanie raportów kierownictwu do przeglądu.
Działaj (utrzymanie i                    Podejmowanie        działań      korygujących       i
doskonalenie SZBI)                       zapobiegawczych w oparciu o wyniki wewnętrznego
                                         audytu SZBI i przeglądu realizowanego przez
                                         kierownictwo lub innych istotnych informacji, w celu
                                         zapewnienia ciągłego doskonalenia SZBI.
               Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy
                                  zarządzania bezpieczeństwem informacji - Wymagania                            10
Związki w zarządzaniu
 ryzykiem

          Zagrożenia           wykorzystują               Podatności


        chronią
         przed                                                         narażają
                  zwiększają                         zwiększają


Zabezpieczenia                    Ryzyka                                 Zasoby


      realizowane       analiza
         przez         wskazuje                    zwiększają          posiadają

         Wymagania w
                                                           Wartości
        zakresie ochrony
                                   Źródło: PN-I-13335-1                            11
Od kiedy podmiot publiczny będzie
zobowiązany do wprowadzenia
SZBI?
   §     23.    Systemy     teleinformatyczne
    podmiotów realizujących zadania publiczne
    funkcjonujące w dniu wejścia w życie
    rozporządzenia na podstawie dotychczas
    obowiązujących       przepisów      należy
    dostosować do wymagań, o których mowa
    w rozdziale IV rozporządzenia, nie później
    niż w dniu ich pierwszej istotnej
    modernizacji przypadającej po wejściu w
    życie rozporządzenia.

                                                 12

Contenu connexe

En vedette

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity -  Best PracticesTime Management & Productivity -  Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

En vedette (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity -  Best PracticesTime Management & Productivity -  Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

System zarządzania bezpieczeństwem informacji w podmiotach publicznych

  • 2. Podstawa prawna  § 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U z 2012 r. nr 526) 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie działań wymienionych w ust. 2. 4. Niezależnie od zapewnienia działań, o których mowa w ust. 2, w przypadkach uzasadnionych analizą ryzyka w systemach 2
  • 3. Wcześniejszy stan prawny  § 3 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2005 r. nr 212 poz. 1766)  1. Podmiot publiczny opracowuje, modyfikuje w zależności od potrzeb oraz wdraża politykę bezpieczeństwa dla systemów teleinformatycznych używanych przez ten podmiot do realizacji zadań publicznych.  2. Przy opracowywaniu polityki bezpieczeństwa, o której mowa w ust. 1, podmiot publiczny powinien uwzględniać postanowienia Polskich Norm z zakresu bezpieczeństwa informacji. 3
  • 4. Przepisy KRI a normy  § 20 ust. 3 KRI. Wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: 1) PN-ISO/IEC 17799 (ISO/IEC 27002) - w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. 4
  • 6. Terminy i definicje związane z SZBI wg normy ISO 27001 Bezpieczeństwo informacji Zachowanie poufności, integralności i dostępności informacji; dodatkowo mogą być brane pod uwagę inne własności, takie jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. System zarządzania Ta część całościowego systemu zarządzania, bezpieczeństwem informacji oparta na podejściu wynikającym z ryzyka (ang. Information Security biznesowego, odnosząca się do ustanawiania, Management System) wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji. Deklaracja stosowania Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które odnoszą się i mają zastosowanie w SZBI danej organizacji. Analiza ryzyka Systematyczne wykorzystanie informacji do zidentyfikowania źródeł i oszacowania ryzyka. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 6
  • 7. Atrybuty bezpieczeństwa informacji Poufność właściwość, że informacja nie jest udostępniana lub wyjawiana (ISO 27001) nieupoważnionym osobom, podmiotom lub procesom; Integralność właściwość zapewnienia dokładności i kompletności aktywów (ISO 27001) (zasobów); Dostępność właściwość bycia dostępnym i użytecznym na żądanie (ISO 27001) upoważnionego podmiotu; Autentyczność właściwość polegającą na tym, że pochodzenie lub zawartość (KRI) danych opisujących obiekt są takie, jak deklarowane; Rozliczalność właściwość systemu pozwalającą przypisać określone działanie (KRI) w systemie do osoby fizycznej lub procesu oraz umiejscowić je w czasie. Niezaprzeczalność brak możliwości zanegowania swego uczestnictwa w całości lub (KRI) w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie; Niezawodność właściwość oznaczająca spójne, zamierzone zachowanie i (PN-I-13335-1) skutki. 7
  • 8. Atrybuty bezpieczeństwa informacji – porównanie regulacji Atrybuty Bezpieczeństwo informacji informacji ISO 27001 Informacje Dane Tajemnica Inne niejawne osobowe przedsiębiorstwa tajemnice Poufność Tak Tak Tak Tak Tak Integralność Tak Tak Tak - - Dostępność Tak Tak - - - Autentyczność Tak - - - - Rozliczalność Tak Tak Tak - - Niezaprzeczalność Tak - - - - Niezawodność Tak - - - - Źródło: A. Guzik, SZBI receptą na bezpieczeństwo informacji, Hakin9 3/2010, s. 70 - 77 8
  • 9. Cykl Deminga (ang. Plan-Do- Check-Act) stosowany w procesach SZBI PLANUJ Ustanowienie SZBI Zainteresowane Zainteresowane strony strony WYKONUJ DZIAŁAJ Wymagania i Wdrożenie i Utrzymanie i oczekiwania eksploatacja doskonalenie SZBI SZBI dotyczące Zarządzanie bezpieczeństwa bezpieczeństwem informacji informacji SPRAWDZAJ Monitorowanie i przegląd SZBI Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 9
  • 10. Cykl Deminga (ang. Plan-Do- Check-Act) stosowany w procesach SZBI Planuj (ustanowienie SZBI) Ustanowienie polityki SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji Wykonuj (wdrożenie i Wdrożenie i eksploatacja polityki SZBI, eksploatacja SZBI) zabezpieczeń, procesów i procedur. Sprawdzaj (monitorowanie Szacowanie, i tam gdzie ma zastosowanie, pomiar i przegląd SZBI) wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczanie raportów kierownictwu do przeglądu. Działaj (utrzymanie i Podejmowanie działań korygujących i doskonalenie SZBI) zapobiegawczych w oparciu o wyniki wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI. Źródło: PN-ISO/IEC 27001:2007 - Technika informatyczna – Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania 10
  • 11. Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności chronią przed narażają zwiększają zwiększają Zabezpieczenia Ryzyka Zasoby realizowane analiza przez wskazuje zwiększają posiadają Wymagania w Wartości zakresie ochrony Źródło: PN-I-13335-1 11
  • 12. Od kiedy podmiot publiczny będzie zobowiązany do wprowadzenia SZBI?  § 23. Systemy teleinformatyczne podmiotów realizujących zadania publiczne funkcjonujące w dniu wejścia w życie rozporządzenia na podstawie dotychczas obowiązujących przepisów należy dostosować do wymagań, o których mowa w rozdziale IV rozporządzenia, nie później niż w dniu ich pierwszej istotnej modernizacji przypadającej po wejściu w życie rozporządzenia. 12