ISO 9001:2009 a ISO 27001:2005 dobrá praxe
Ing. Martin Havel, MBA
Obsah 1. Podstata řešení 2. Cíle 3. Průběh implementace 4. Přínos 5. Výsledky 6. Doporučení
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
2
Podstata řešení Vytvoření jednotného systému Bezpečnosti informací dle požadavků normy ISO/IEC 27001 v návaznosti na již implementovaný systém řízení kvality (QMS) dle ISO/IEC 9001.
Komplexní zajištění bezpečnosti informací, které jsou spravovány při výkonu samostatné působnosti nebo přenesené působnosti ve smyslu příslušných zákonů. Celé řešení přináší globální přístup k celé problematice Bezpečnosti informací. Pomáhá prověřit současný stav, naplánovat a realizovat nejvhodnějšího řešení s nastavením účinných kontrolních mechanismů. 9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
3
Cíle řešení Hlavním cílem bylo vytvoření systému ISMS tak, aby se bezpečnost stala součástí všech procesů KrÚ, aby ochrana aktiv probíhala jako nepřetržitý proces zajišťování důvěrnosti, integrity a dostupnosti chráněných informací. Zajistit kontinuitu činností organizace, zvládat informační hrozby, minimalizovat potenciální ztráty, podporovat právní shodu a dobré jméno organizace. Dílčím cílem pak bylo certifikovat systém ISMS a tedy transparentně prokázat shodu systému s normou ISO/IEC 27001:2005. pro oblast Činnosti veřejné správy – Odbor kanceláře ředitelky, Odbor informatiky.
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
4
Průběh implementace Podrobné posouzení aktuálního stavu bezpečnosti: a) Zhodnocení nastavení systému bezpečnosti ICT b) Zhodnocení na základě „kontroly shody“ u ICT
c) Zhodnocení řízení oblasti bezpečnosti informací ve vztahu ICT d) Identifikaci aktiv (co je předmětem ochrany) e) Analýzu ochrany aktiv (ověření, jak jsou aktiva chráněna) f) Popis zjištěných nedostatků a identifikaci klíčových rizik
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
5
Vlastní implementace a) Stanovení implementačního týmu b) Realistický harmonogram, kontrolní dny c) Rozšíření existující bezpečnostní infrastruktury d) Aktualizace a doplnění stávající dokumentace e) Tvorba interních informačních webů f) Školení uživatelů
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
6
Bezpečnostní infrastruktura
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
7
Přínos představeného řešení • Výhodná návaznost na systém řízení kvality dle ISO/IEC 9001:2009; • Vytvoření bezpečnostní infrastruktury KrÚ JMK, včetně nového meziodborového Bezpečnostního fóra Úřadu; • Zvýšení znalostí v oblasti bezpečnosti informací u zaměstnanců, ustanovení a vyškolení bezpečnostních správců na každém odboru KrÚ;
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
8
Přínos představeného řešení Zavedení ISMS do podmínek KrÚ JMK lze konstatovat připravenost na projekty související s elektronizací státní a veřejné správy (eGovernment). Díky zavedenému systém ISMS lze pak velmi jednoduše aplikovat stejné bezpečnostní požadavky na jakýkoliv nový prvek Informačních nebo komunikačních technologií KrÚ JMK.
Dohody uzavírané s třetími stranami pokrývají veškeré relevantní bezpečnostní požadavky.
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
9
Výsledky řešení Kvantitativní ukazatele:
• Vytvoření nebo aktualizace 14 dokumentů v rámci zavedeného ISMS • Implementace ISMS do 9 interních norem (jen jedna nová). • Počet neshod z certifikačního auditu= 0 • Počet odchylek z certifikačního auditu = 0 • Počet doporučení z certifikačního auditu = 14 • Počet proškolených vedoucích odborů, útvarů = 18 • Počet proškolených bezpečnostních správců = 18 • Počet proškolených zaměstnanců = více jak 600 • Vytvoření dvou interních portálů k tématu Bezpečnost informací
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
10
Výsledek implementace
KrÚ JMK získal certifikát ISO/IEC 27001:2005 Činnosti veřejné správy
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
11
Doporučení – Dobrá praxe Nejdůležitějšími faktory úspěšné implementace: 1. Kvalitní analýza počátečního stavu jako základní kámen úspěšné implementace. 2. Podpora vedení organizace. 3. Efektivní a konstruktivní projektový tým. 4. Vytvoření a nastavení správné bezpečnostní infrastruktury. 5. Využití synergie, systém řízení kvality dle ISO/IEC 9001:2009. 9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
12
Doporučení – Dobrá praxe Možné překážky v implementaci: • Obavy z něčeho nového. • Obavy z nárůstu administrativy. Rozptýlit obavy, získat důvěru a podporu zaměstnanců, vedoucích odborů jako hlavních nositelů principů Bezpečnosti informací a vykonavatelů jednotlivých bezpečnostních politik.
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
13
Doporučení – Dobrá praxe „Správná bezpečnostní infrastruktura“ Důležitá je linie podřízenosti Manažera bezpečnosti informací. Jeho úkolem je vytvářet a aktualizovat směrnice, dohlížet na jejich dodržování, zajišťovat jejich implementaci, kontrolovat a informovat vedení o průběžné situaci. Praxe ukazuje, že je rizikové ponechat „vládu nad bezpečností informací“ jen v rukou Odboru informací, který spravuje ICT. Obecně platí, že pohled správce ICT na bezpečnost je zpravidla odlišný od pohledu příslušného bezpečnostního pracovníka.
9. Národní konference kvality, prezentace ISO 27001 a ISO 9001 Jihomoravského kraje - Cena MV za kvalitu
14
MÁTE-LI NĚJAKÉ OTÁZKY…
DĚKUJI VÁM ZA POZORNOST Ing. Martin Havel, MBA., Odbor kancelář ředitelky Krajský úřad Jihomoravského kraje, Žerotínovo nám. 3/5, Brno
[email protected]