close

Вход

Забыли?

вход по аккаунту

?

Training

код для вставкиСкачать
Управление и
Информационна сигурност
EQE България АД
Компания на ABS Group
www.abs-group.com
Митко Мирчев
Атанаска Пенева
Емил Иванчев
EQE България –
базова информация
През 1992 г е учредено местно
акционерно дружество с
мажоритарен собственик
EQE International Inc., САЩ глобално представена
специализирана компания в областта
на рисковите анализи и специалното
инженерство.
През 2000 г. в резултат на сливане на
EQE International и ABS Group е
учредена ABS Consulting - глобална
консултантска компания обединени в
няколко бизнес звена.
Дейности на
EQE България
Инженерно-проектантски
услуги
Земетръсно инженерство и
силни въздействия
Супервизии и инспекции
Анализи на риска
Консултиране, разработване и
внедряване на управленски
системи
Защо сме с вас?
PR – QMS – IMS не съществуват
сами за себе си
СУ осигурява връзката с
изискванията и удовлетвореността на
заинтересованите страни
Осъзнаване и компетентност
Оценка на обкръжаващата среда
Информацията като водещ ресурс
Процесен Модел
Отговорност на
ръководството
Управление на
ресурсите
Вход
Измервания,
анализи и
подобряване
Реализация на
Изход Продукт
Продукт/услуга
Услуга
Бизнес цели
Информация
Заинтересовани страни
Удовлетворение
Заинтересовани страни
Изисквания
Непрекъснато подобряване на
системата за управление
Системен подход
Взаимосвързани и развиващи се части и
подсистеми
Вътрешна йерархия
Процесите се разглеждат на принципа от
общото към частното - отражение на
реалния обект
Основни цели, разделени на
подцели/задачи
Управленски решения - след анализ на
ситуации от миналото и оценка на
възможни последствия
Качество – стандарти ISO 9000
Серията от стандарти ISO 9000
описват набор от правила и
практики, реализирането на които
позволява създаване и поддържане на
система, осигуряваща непрекъснато
изискваното качество, както и
неговото подобряване.
Качество – стандарти ISO 9000
ISО 9000:2000 Системи за управление на
качеството- Основни понятия и речник
ISО 9001:2000 Системи за управление на
качеството – Изисквания
ISО 9004:2000 Системи за управление на
качеството – Ръководство по подобряване
на резулатите
ISО 19011:2002 - Указания за одит на
системи за управление на качеството и/или
за управление на околната среда
Качество – принципи на
управление
1)
2)
3)
4)
5)
6)
7)
8)
Насоченост към потребителя
Лидерство
Въвличане на хората
Процесен подход
Системен подход към управлението
Непрекъснато подобряване
Вземане на решения, основани на факти
Взаимноизгодни отношения с
доставчиците
Системен подход
PDCA - цикъл
Цели
Корекции
ACT
Проверка
CHECK
Резултати
Планиране
PLAN
Извършване
DO
Управление на качеството
Координирани дейности, за
ръководене и контрол в една
организация по отношение на
качеството
Управлението на качеството включва:
политика
цели
планиране
оперативно управление
осигуряване
подобряване
EQE България
Динамична организационна структура
Висше ръководство - Борд на директорите
Oперативно ръководство - Изпълнителeн
директор, мениджър бизнес развитие,
мениджър по управление на качеството,
ръководители на направления и главeн
счетоводител
Направления: “Строително и сеизмично
инженерство”, “Технологично инженерство”
и “Системи за управление”
Ръководител на проект, водещ инженер,
член на екипа на проект
СУК на EQE
Мисия: "Чрез високотехнологични консултантски и
проектантски услуги да подпомага своите клиенти
в стремежа им постоянно да повишават
качеството и безопасността на дейността си и да
намаляват съпътстващите въздействия върху
околната среда"
Ценностна система
Интересите на нашите клиенти
Осъзнаваме нашата отговорност
Нашите активи – експертите и репутацията
Глобална цел: ”Задоволяване на изискванията на
клиентите чрез качествени и икономически
ефективни инженерни или управленски решения,
които не застрашават здравето на хората и
безопасността на обекта, не замърсяват околната
среда, решения - съобразени с изискванията на
закона, приложимите международни стандарти и
нормативните документи, действащи в страната”.
Документи
Политика
Цели
НК
Системни и
процесни
процедури
Работни процедури
(инструкции),
методики, изисквания
Записи, външна комуникация,
стандарти, закони, нормативи и пр.
Документация
EQE
Политика
Цели
Задачи за 2007
Наръчник по качеството
Таблица на цитиране на
документите по УК
Процеси (7)
Длужностни
характеристики
Процедури (6)
Работни инструкции (8)
Записи по качество,
съгласно изискванията на
процеси, процедури,
инструкции; бланки
Технически архив
Нормативна библиотека
Процедури
КАКВО ?
Какво представлява целта на
производството, услугата или
административната дейност
Какво се прави за постигане на тази цел
Какво е необходимо да се направи, ако
целта не бъде постигната
КОЙ ?
Кой изпълнява дейностите
Кой трябва да контролира изпълнението
Кой проверява специфичния продукт, издава
документите и т.н.
Процедури
КАК ?
Как се изпълнява дейността
Как се изпитва продуктът или оценява
услугата
Как се събират и регистрират данните
Как се оценява ефективността
КОГА ?
Кога се изпълнява процедурата
Кога да се изпълни конкретна операция
Кога да се проведат изпитанията и т.н.
Управление на сигурността
на информацията
Съдържание
1. Предизвикателствата пред бизнеса
2. Принципи на управление на сигурността
3. Модели на системи за управление
4. Системи за управление на
сигурността на информацията
5. Въпроси и коментари
Глобални цели на
управлението на бизнеса
Осигуряване на непрекъснатост
/стабилност/ на бизнеса
Минимизиране на щетите за бизнеса
Максимизиране на възвръщаемостта
на инвестициите
Global Compact
11 СЕПТЕМВРИ, 2001
Сигурността е
водещ фактор във
всички сектори на
глобалната
икономика и
нашия живот.
Ключови елементи в
изграждането на системата за
сигурност
E-government приложения и услуги.
Защита на информационната
инфраструктура с национално
значение.
Неприкосновеност - необходимост от
защита на личните данни.
OECD
Принципи за сигурност
1) Осъзнаване
Да бъде осъзната необходимостта от
сигурност на инфорационните системи и
мрежи и с какво те спомагат за
изграждане на сигурна бизнес среда.
2) Отговорност
Отговорност за сигурността на
информационни системи и мрежи.
3) Оценка на риска
Прилагане на механизми за оценка на
риска.
OECD
Принципи за сигурност
4) Проектиране и внедряване на системи за
сигурност
Сигурността да бъде включена като един
от ключовите елементи в структурата на
информационните системи и мрежи.
5) Управление на сигурността
Изчерпателен подход в управлението на
сигурността.
6) Реакция
Навременна намеса и сътрудничество за
предотвратяване, откриване и реакция
при инциденти по сигурността.
OECD
Принципи за сигурност
7) Демократичност
Сигурността на информационните системи
и мрежи трябва да бъде съвместима с
ценностите на демократичното общество.
8) Етичност
Уважение към законовите права на
другите.
9) Периодична оценка
Преглед и периодична оценка на
сигурността на информационните системи
и мрежи и изработване на подходящи
промени в политиката за сигурност,
включвайки подходящи практики,
мерки и процедури за
сигурността.
Системи за управление
Околна
среда
......
Качество
Човешки
ресурси
Финанси
Сигурност
Комуникации с
клиенти
Социална
отговорност
Здраве и
безопасност
Система за управление на сигурността
на информацията ISO/IEC 27001
Какво представлява
информационната сигурност ?
Конфиденциалност
Confidentiality
Цялостност
Integrity
Наличност
Availability
Източници за определяне на
изискванията за сигурността
правни, законови, регулаторни
договорни изисквания,
оценката на рисковете
принципи, цели и бизнес изисквания
Информационна сигурност Структура
Информационна сигурност
45%
55%
Административна сигурност
IT-Сигурност
Data Centre-Сигурност
Физическа сигурност
Комуникационна сигурност
Непрекъснатост на управлението
Контрол, от гледна точка на
законодателството за
защита на:
данните и тайната на личната
информация;
записите на организацията;
правата на интелектуална
собственост.
Най-добра практика за
сигурност включва:
политиката за сигурност;
разпределение на отговорностите по
сигурността;
осведоменост, образование и обучение по
сигурност;
правилна обработка в приложенията;
управление на техническата уязвимост;
управление на инцидентите със
сигурността;
управление на непрекъснатостта на
бизнеса;
усъвършенствания
Серията ISO/IEC 27000
ISO 27000 – Принципи и речник (в
разработка)
ISO 27001 – ISMS изисквания (BS7799 –
Част 2)
ISO 27002 – (ISO/ IEC 17799:2005)
ISO 27003 – ISMS Ръководство за
приложение (2007)
ISO 27004 – ISMS Метрики и измерване
(2007)
ISO 27005 – ISMS Управление на риска
ISO 27006 – 27010 – за бъдещо ползване
Развитие на ISMS стандарта
(BS7799 - ISO/IEC 17799 - ISO/IEC 27001:2005)
200X
2008
2007
2007
2005
2002
2001
Декември 2000
1999
1998
1995
ISO 27005
ISO 27000
ISO 27004
ISO 27003
ISO/IEC 27001:2005
ISO/IEC 17799:2005
Нов BS 7799-2
Нов BS 7799-2 (проект)
ISO/IEC 17799:2000
Шведски стандарт SS 62 77 99 Част 1 & 2
Ново издание на BS 7799 Част 1 & 2
BS 7799 Част 2
BS 7799 Част 1
Ключови точки на
сигурността
Сигурността спомага за изпълнение на мисията
на организацията
Сигурността е неделим елемент от
управлението
Сигурността трябва да бъде Cost-Effective
Собственика на системата носят отговорност
относно сигурността извън тяхната организация
Отговорностите за сигурността трябва да бъдат
ясно формулирани
Сигурността изисква изчерпателен и цялостен
подход
Сигурността трябва да бъде периодически
оценявана
Сигурността е ограничена от факторите на
социалната среда
ISO/IEC 27001:2005
Пет задължителни изисквания
Раздел 4 – Общи изисквания и изисквания
към документацията
Общи изисквания
Установяване и поддръжка
Изисквания към документацията
“Организацията трябва да изгради, внедри,
поддържа и непрекъснато да подобрява
документираната ISMS ISMS изцяло в
контекст на бизнес активите и риска на
организацията. За целите на този стандарт
използваните процеси се основават на
PDCA модела...”
ISO/IEC 27001:2005
Раздел 5 –Отговорност на ръководството
Съпричастност на ръководството
Управление на ресурсите
Раздел 6 – Вътрешен ISMS oдит
Раздел 7 – Преглед от ръководството на
ISMS
Преглед на входните данни
Преглед на изходните данни
Раздел 8 – Подобряване на ISMS
Непрекъснато подобряване
Коригиращи действия
Превантивни действия
ISO/IEC 27001:2005
Анекс A- Контроли на управлението
A.5- Политика на сигурността
A.6- Организационна и информационна
сигурност
A.7- Управление на активите
A.8- Сигурност на човешките ресурси
A.9- Физическа сигурност и защита от околната
среда
A.10- Управление на комуникациите
A.11- Контрол на достъп
A.12- Информационни системи, изграждане и
поддръжка
A.13- сигурност на информацията при
инциденти
A.14- Управление на непрекъснатостта на
бизнеса
A.15- Съответствие
Plan Do Check Act Cycle (PDCA)
Критични фактори за успех
Опитът показва, че следните фактори са
критични за успешното внедряване на
информационната сигурност вътре в
организацията:
Политиката на сигурност, цели и дейности, които
оказват влияние върху бизнес целите на
организацията
Подходът на внедряване на сигурността, който е
съставна част от културата на организацията
Видима поддръжка и съпричастност от страна
на ръководството
Правилно разбиране на изискванията за
сигурност, оценяването на риска и управлението
на риска
Ефективен маркетинг на идеологията за
необходимост от сигурност, възприет и осъзнат
от всички мениджъри и служители
Предоставяне на информация относно
политиката за сигурност до всички служители
Осигуряване на подходящо обучение
ISO/IEC 27002:2007
11 точки за контрол на риска;
39 основни категории сигурност;
133 контроли на сигурността.
Схема на ISO/IEC 27001
Политика за
сигурност
Съответствие
Организационна
сигурност
Управление на
непрекъснатостта
на бизнеса
Класифициранe
на активите и
контрол
Изграждане и
поддържане на
системата
Контрол на
достъп
Сигурност на
персонала
Сигурност на
физическо ниво
Управление на
комуникациите
Оценка на риска
Актив
Web
Site
Стойност Заплаха
8
Достъпност
Вирус
Уязвимост Вероят- Риск
ност
Степен
3
6
152
4
5
8
240
1
Оценка на риска
Актив
E-mail
Service
Стойност Заплаха
6
Достъпност
Вирус
Уязвимост Вероят- Риск
ност
Степен
4
3
72
6
5
8
240
1
Оценка на риска
Актив
File
Sharing
Service
Стойност Заплаха
9
Уязвимост Вероят- Риск
ност
Степен
Вирус
6
3
162
3
Захранване
3
4
108
5
Оценка на риска
Всички с оценка над 100 да се
определят контроли
Да се преизчисли риска след
прилагане на приложените
контроли
Филтриране
Входяща поща
Anti-Spam
Engine
Заключение
Нашите възможности
Да се пренебрегнат моделите
Да се изгради система за управление
съгласно моделите
Сертифициране
EQEB
46
Въпроси
УСПЕХ НА ВСИЧКИ !
Questions & Answers ?
Митко Мирчев
Атанаска Пенева
Емил Иванчев
E-mail: mirtchev@eqe.bg
app@eqe.bg
eii@eqe.bg
Документ
Категория
Презентации по информатике
Просмотров
29
Размер файла
5 718 Кб
Теги
1/--страниц
Пожаловаться на содержимое документа