TÜV Rheinland Polska Sp. z o.o.
4
2007
1/2009
Po co zarządzać
bezpieczeństwem?
ISO/IEC 2007 - standard
bezpieczeństwa informacji
System ZarzÄ…dzania
Bezpieczeństwem Informacji
ISO/IEC 27001
e-mail: post@pl.tuv.com " www.tuv.pl
1
Wstęp
Szanowni Państwo,
pierwsze w tym roku wydanie Biuletynu Jakości
poświęcamy bezpieczeństwu informacji. Pragnie-
Biuro ZarzÄ…du
my w ten sposób przybliżyć Państwu zagadnienia
02-146 Warszawa
ul. 17 Stycznia 56
tel.: 022/ 846 79 99
związane z ochroną informacji w przedsiębiorstwie
tel.: 022/ 846 51 63
fax: 022/ 868 37 42
oraz zaprezentować najważniejsze wytyczne za-
Oddziały:
41-800 Zabrze
warte w standardzie ISO/IEC 27001.
ul. Wolności 327
tel.: 032/ 271 64 89
tel.: 032/ 271 06 23
W tym celu zaprosiliśmy ekspertów, którzy w przej-
fax: 032/ 271 64 88
rzysty sposób przedstawiają istotę systemu zarządza-
60-729 Poznań
ul. A
ukaszewicza 43
tel./fax: 061/ 867 81 87
nia bezpieczeństwem informacji oraz jego wpływ
tel./fax: 061/ 864 22 58
tel./fax: 061/ 864 31 34
na prawidłowe funkcjonowanie firmy. Mamy na-
10-434 Olsztyn
ul. Kołobrzeska 50
dzieję, że zawarte w niniejszym Biuletynie Jakości
tel.: 089/ 533 14 80
tel./fax: 089/ 533 15 39
tel. kom.: 0609 238 186
informacje będą Państwu pomocne zarówno w za-
20-950 Lublin
ul. Czechowska 4 kresie poszerzenia wiedzy jak i praktycznych zasto-
tel./fax: 081/ 532 86 68
tel./fax: 081/ 532 86 87
sowań.
42-200 Częstochowa
ul. Kucelińska 22
Tradycyjnie już zapraszamy Państwa do zapo-
tel./fax: 034/ 323 50 54
tel. kom.: 0603 784 817
znania się ze stałymi pozycjami naszego Biuletynu
77-100 Bytów
ul. Lęborska 24
Jakości jakimi są: harmonogram szkoleń organizo-
tel./fax: 059/ 822 79 53
tel. kom.: 0695 888 838
wanych przez TÜV Akademia Polska Sp. z o.o. oraz
85-130 Bydgoszcz
ul. GrudziÄ…dzka 27-29
cykl podróży po krajach, w których swój oddział ulo-
tel./fax: 052/ 345 80 80
tel./fax: 052/ 373 97 05
tel. kom.: 0609 371 661
kowaÅ‚ TÜV Rheinland Group.
35- 103 Rzeszów
ul. Handlowa 4
tel./fax: 017/ 850 41 59
tel. kom.: 0603 784 813
Spis treści
32-020 Wieliczka
Park Kingi 1
tel./fax: 012/ 288 30 90
tel./fax: 012/ 278 75 40
tel./fax: 012/ 278 75 41
ISO/IEC 27001  standard bezpieczeństwa informacji . . . . . . . . . . . 3
43-300 Bielsko-Biała
ul. I Dywizji Pancernej 45
tel. 033/ 810 43 47
tel. kom.: 0609 440 910
Bezpieczeństwo informacji z punktu widzenia prowadzenia biznesu . . . . . 6
Po co zarządzać bezpieczeństwem? . . . . . . . . . . . . . . . . . . 8
Audit Systemu Zarządzania Bezpieczeństwem Informacji
 bezpieczne lÄ…dowanie . . . . . . . . . . . . . . . . . . . . . . 11
Redakcja:
Mariusz Petri TÜV Akademia Polska  szkolenia otwarte na rok 2009 . . . . . . . . . . 13
tel.: 032/271 64 89 w. 106
e-mail: mariusz.petri@pl.tuv.com
e-mail: post@pl.tuv.com
Podróże, humor . . . . . . . . . . . . . . . . . . . . . . . . . . .16
www.tuv.pl
2 Biuletyn Jakości nr 1/2009
TÜV Rheinland Polska Sp. z o.o.
System ZarzÄ…dzania
Mariusz Koszeluk Bezpieczeństwem Informacji
Główny Informatyk
Pełnomocnik ds. Systemu Zarządzania
Bezpieczeństwem Informacji
TÜV Rheinland Polska Sp. z o.o.
e-mail: mariusz.koszeluk@pl.tuv.com
ISO/IEC 27001  standard
bezpieczeństwa informacji
Liczne z
ródła zagrożeń mających wpływ na bez- podstawowymi błędami personelu i ich naiwnością.
pieczeństwo informacji, powodują wzrost prawdopo- Może to być na przykład biznesowa rozmowa telefo-
dobieństwa wystąpienia sytuacji awaryjnych. niczna, prowadzona wśród nieznajomych na korytarzu,
Każda organizacja posiada swój wewnętrzny sy- pozostawione materiały na kserokopiarce, czy otwar-
stem, który pozwala chronić jej aktywa. cie podejrzanego załącznika otrzymanego w poczcie
Migracje pracowników, kradzieże sprzętu kompu- elektronicznej .
terowego, wejścia nie zatrudnionych osób na teren Najważniejsze a zarazem najtrudniejsze jest szaco-
firmy, ataki hakerów  to tylko niektóre z czynników, wanie ryzyka. Organizacja może wydać pieniądze
które mogą powodować wyciek ważnych informacji na sejfy, kamery i firmę ochroniarską, ale może się oka-
z firmy. zać, że środki jakie zostaną poniesione na zabezpie-
Każda firma stara się zabezpieczyć jak najlepiej czenia są zbyt duże w stosunku do wartości chronio-
swoje dane, ale ponieważ na własną rękę jest to dość nych aktywów. Chodzi o to, aby znalez
ć kompromis
trudne coraz więcej firm decyduje się na rozwiązania pomiędzy nakładami poniesionymi na zabezpiecze-
systemowe. nia oraz  wartością informacji, którą należy chronić.
Wdrożenie systemu zgodnie z ISO/IEC 27001 z jednej W tym celu kalkuluje się koszty oraz określa próg
strony umożliwia wykorzystanie uznawanego na ca- akceptowalności ryzyka czyli poziom powyżej, które-
łym świecie standardu, z drugiej daje możliwość po- go bezwzględnie powinniśmy wdrożyć i stosować za-
równania a w konsekwencji doskonalenia organizacji bezpieczenia.
w zakresie funkcjonującego systemu. W odniesieniu do tych danych budowany jest cały
System Zarządzania Bezpieczeństwem Informacji system.
zgodny z normą ISO/IEC 27001 nie daje stuprocento- System Zarządzania Bezpieczeństwem Informacji,
wej gwarancji bezpieczeństwa, ale na pewno pozwala powinien być dostosowany do potrzeb każdej, kon-
zminimalizować ryzyko utraty informacji. Korzyści, jakie kretnej firmy i wbrew obiegowej opinii nie odnosi się
zapewnia zdefiniowany system zarządzania trudno jest tylko do bezpieczeństwa systemów informatycznych.
oszacować podając tylko kwoty. Przykładowymi korzyściami płynącymi z wdrożone-
Stwierdzenie to jest trochę paradoksalne zwłaszcza go systemu ISMS są:
jeżeli mówimy o systemie, w którym z jednej strony opty- żð certyfikat zgodnoÅ›ci jako wyróżnik rynkowy
malizujemy i szacujemy nakÅ‚ady finansowe, a z drugiej żð wzrost ochrony majÄ…tku firmy
szacujemy wartoÅ›ci ewentualnie poniesionych strat. żð minimalizowanie strat
Niemniej zapewnienie ciÄ…gÅ‚oÅ›ci dziaÅ‚ania, wizeru- żð przewidywanie zagrożeÅ„ i umiejÄ™tność reagowa-
nek i prestiż firmy dla każdego właściciela są dobrem nia na sytuacje awaryjne
najwyższym. żð wiÄ™ksza Å›wiadomość pracowników
Wdrożenie systemu to minimalizowanie ryzyka, żð identyfikacja nieprawidÅ‚owoÅ›ci
a jest co minimalizować, gdyż utrata ważnych danych żð niezależny nadzór sprawowany przez jednostki
może doprowadzić do utrudnienia pracy firmy, prob- zewnętrzne
lemów prawnych strat finansowych, utraty wizerunku, żð jasno okreÅ›lone odpowiedzialnoÅ›ci
a nawet jej upadku. żð przewaga marketingowa nad konkurencjÄ…
Przyczyny powstawania zagrożeÅ„ wynikajÄ… przede żð lepsza komunikacja wewnÄ™trzna i zewnÄ™trzna
wszystkim z braku ugruntowanej wiedzy osób odpo- żð lepsze zrozumienie procesów zachodzÄ…cych w or-
wiedzialnych za przetwarzanie informacji oraz braku ganizacji
stosownych Å›rodków na zastosowanie optymalnych żð wzbudzenie zaufania u klientów
zabezpieczeń. System zarządzania bezpieczeństwem informacji
Najczęściej utrata informacji spowodowana jest zgodny z ISO/IEC 27001 jest kompatybilny z innymi sy-
3
System ZarzÄ…dzania
Bezpieczeństwem Informacji
Powiązanie pomiędzy ISO/IEC 27001 a ISO 9001:2000 i ISO 14001:2004 przedstawiono w poniższej tabeli.
ISO/IEC 27001 ISO 9001:2000 ISO 14001:2004
0 Wprowadzenie 0 Wprowadzenie Wprowadzenie
0.1 Postanowienia ogólne 0.1 Postanowienia ogólne
0.2 Podejście procesowe 0.2 Podejście procesowe
0.3 Zgodność z innymi systemami 0.3 Powiązanie z ISO 9004
zarządzania 0.4 Kompatybilność z innymi
systemami zarzÄ…dzania
1 Zakres normy 1 Zakres normy 1 Zakres normy
1.1 Postanowienia ogólne 1.1 Postanowienia ogólne
1.2 Zastosowanie 1.2 Zastosowanie
2 Powołania normatywne 2 Norma powołana 2 Powołania normatywne
3 Terminy i definicje 3 Terminy i definicje 3 Terminy i definicje
4 System zarządzania bezpieczeństwem 4 System zarządzania jakością 4 Wymagania dotyczące systemu
informacji (SZBI) zarządzania środowiskowego
4.1 Wymagania ogólne
4.2 Ustanowienie i zarządzanie 4.1 Wymagania ogólne 4.1 Wymagania ogólne
SZBI
4.2.1 Ustanowienie SZBI 8.2.3 Monitorowanie i pomiary procesów
4.2.2 Wdrożenie i eksploatacja SZBI 8.2.4 Monitorowanie i pomiary wyrobu 4.4 Wdrażanie i funkcjonowanie
4.2.3 Monitorowanie i przeglÄ…d SZBI 4.5.1 Monitorowanie i pomiary
4.2.4 Utrzymanie i doskonalenie SZBI
4.3 Wymagania dotyczÄ…ce 4.2 Wymagania dotyczÄ…ce dokumentacji
dokumentacji 4.2.1 Postanowienia ogólne
4.3.1 Postanowienia ogólne 4.2.2 Księga jakości
4.3.2 Nadzór nad dokumentami 4.2.3 Nadzór nad dokumentami 4.4.5 Nadzór nad dokumentami
4.3.3 Nadzór nad zapisami 4.2.4 Nadzór nad zapisami 4.5.4 Nadzór nad zapisami
5 Odpowiedzialność kierownictwa 5 Odpowiedzialność kierownictwa
5.1 Zaangażowanie kierownictwa 5.1 Zaangażowanie kierownictwa
5.2 Orientacja na klienta
5.3 Polityka jakości 4.2 Polityka środowiskowa
5.4 Planowanie 4.3 Planowanie
5.5 Odpowiedzialność, uprawnienia, komunikacja
5.2 ZarzÄ…dzanie zasobami 6 ZarzÄ…dzanie zasobami
5.2.1 Zapewnienie zasobów 6.1 Zapewnienie zasobów
6.2 Zasoby ludzkie
5.2.2 Szkolenie, uświadamianie i 6.2.2 Kompetencje, świadomość i szkolenia 4.4.2 Kompetencje, szkolenie i świado-
kompetencje 6.3 Infrastruktura mość.
6.4 Åšrodowisko pracy
6 Wewnętrzny audyt SZBI 8.2.2 Audit wewnętrzny 4.5.5 Audit wewnętrzny
7 PrzeglÄ…d SZBI realizowany przez kierow- 5.6 PrzeglÄ…d zarzÄ…dzania 4.6 PrzeglÄ…d zarzÄ…dzania
nictwo
7.1 Postanowienia ogólne 5.6.1 Postanowienia ogólne
7.2 Dane wejściowe do przeglądu 5.6.2 Dane wejściowe do przeglądu
7.3 Wyniki przeglądu 5.6.3 Dane wyjściowe z przeglądu
8 Doskonalenie SZBI 8.5 Doskonalenie
8.1 Ciągłe doskonalenie 8.5.1 Ciągłe doskonalenie
8.2 Działania korygujące 8.5.2 Działania korygujące 4.5.3 Niezgodności, działania korygują-
ce i zapobiegawcze.
8.3 Działania zapobiegawcze 8.5.3 Działania zapobiegawcze
Załącznik A. Załącznik A
Cele stosowania zabezpieczeń oraz Wytyczne do stosowania niniejszej
zabezpieczenia normy.
Załącznik B.
Zasady OECD i niniejsza Norma Między-
narodowa
Załącznik C Załącznik A Załącznik B
Powiązanie ISO 9001:2000, ISO 14001:2004 Powiązanie pomiędzy Powiązanie ISO 14001:2004 z
z niniejszą Normą Międzynarodową ISO 9001:2000 i ISO 14001:1996 ISO 9001:2000
4 Biuletyn Jakości nr 1/2009
4 Biuletyn Jakości nr 1/2009
TÜV Rheinland Polska Sp. z o.o.
TÜV Rheinland Polska Sp. z o.o.
stemami zarządzania np. jakością (ISO 9001:2000) i śro-
System ZarzÄ…dzania
dowiskowego (ISO 14001:2004)
Bezpieczeństwem Informacji
Podejście procesowe podczas ustanawiania,
wdrażania, eksploatacji, monitorowania, utrzymywa-
nia i poprawy skuteczności w organizacji znajduje od-
bicie we wszystkich funkcjonujÄ…cych systemach zarzÄ…-
Cel: Zapewnienie informowania otoczenia o sła-
dzania.
bościach systemu informatycznego
Międzynarodowa norma ISO/IEC 27001 określa wy-
A.14 Zarządzanie ciągłością działania
magania na każdym z kroków wdrożenia i funkcjono-
Cel: Przeciwdziałanie przeszkodom w produkcji
wania systemu wewnÄ…trz organizacji.
A.15 Zgodność z wymaganiami prawnymi
Zakres normy obejmuje część podstawową oraz
Cel: Uniknięcie przekroczenia wymagań praw-
załączniki (jeden normatywny i dwa informacyjne).
nych.
Część podstawowa normy określa wymagania dla
Zgodnie z wytycznymi normy powyższa lista nie jest
ustanowienia, wdrożenia, eksploatacji, utrzymania
wyczerpująca i organizacja może rozważyć, czy nie
i doskonalenia systemu. Mówi o elementach analo-
sÄ… konieczne dodatkowe cele stosowania zabezpie-
gicznych z jakimi spotykaliśmy się w przypadku innych
czeń i zabezpieczenia.
systemów zarządzania: audity wewnętrzne, przegląd
Przy wdrażaniu systemu warto odnieść się do normy
realizowany przez kierownictwo, nadzór nad doku-
ISO/IEC 17799.
mentami i zapisami, zarzÄ…dzanie zasobami.
Rozdziały od 5 do 15 wymienionej normy są porad-
Niewątpliwie nowością w stosunku do innych syste-
nikiem zawierajÄ…cym najlepsze praktyki dotyczÄ…ce za-
mów zarządzania jest załącznik normatywny A, opisu-
bezpieczeń określonych w A.5 do A.15.
jący cele stosowania zabezpieczeń i zabezpieczenia.
Jednostka certyfikujÄ…ca TÜV Rheinland wydaje cer-
Spełnienie wymagań określonych w załączniku
tyfikat uznawany na całym świecie pod warunkiem
A jest obligatoryjne.
efektywnego wdrożenia systemu zarządzania bezpie-
Zabezpieczenia opisano w elementach od A.5
czeństwem informacji i auditu zakończonego oceną
do A.15
pozytywnÄ….
A.5 Polityka bezpieczeństwa
Cel: Zapewnienie wsparcia dla bezpieczeństwa
Literatura:
informacji zgodnie z wymaganiami biznesowymi i wy-
[1] Tadeusz Kifner  Polityka bezpieczeństwa i ochro-
maganiami prawnymi.
ny informacji
A.6 Organizacja bezpieczeństwa informacji
[2] PN-ISO/IEC 27001:2007  System zarzÄ…dzania
Cel: Zarządzanie bezpieczeństwem informacji we-
bezpieczeństwem informacji. Wymagania
wnÄ…trz organizacji oraz na zewnÄ…trz organizacji.
[3] PN-ISO/IEC 17799:2007  Praktyczne zasady za-
A.7 ZarzÄ…dzanie aktywami
rządzania bezpieczeństwem informacji.
Cel: Osiągnięcie i utrzymanie odpowiedniego za-
bezpieczenia aktywów organizacji oraz zapewnienie
odpowiedniego poziomu zabezpieczeń dla informa-
cji.
A.8 Bezpieczeństwo zasobów ludzkich
Cel: Zapewnienie, że pracownicy rozumieją swoją
odpowiedzialność i są odpowiedni do przypisanej im
roli, rozumieją zagrożenia bezpieczeństwa informacji
i dysponujÄ… zasobami dla realizacji polityki bezpie-
czeństwa.
A.9 Bezpieczeństwo fizyczne i środowiskowe
Cel: Uniemożliwienie niedozwolonego dostępu fi-
zycznego lub zniszczenia i uszkodzenia danych.
A.10 ZarzÄ…dzanie systemami i sieciami
Cel: Zapewnienie właściwego i bezpiecznego dzia-
łania urządzeń przetwarzających informacje a także
zabezpieczenia danych podczas działań serwisowych
jednostek zewnętrznych.
A.11 Kontrola dostępu
Cel: Kontrola dostępu do informacji i udostępnienie
informacji upoważnionym osobom.
A.12 Pozyskiwanie, rozwój i utrzymanie systemów
informatycznych
Cel: Zapewnienie, że bezpieczeństwo jest integral-
ną częścią systemu
A.13 ZarzÄ…dzanie incydentami zwiÄ…zanymi z bez-
pieczeństwem informacji
5
System ZarzÄ…dzania
Bezpieczeństwem Informacji
Adam Biegaj
Kierownik Sekcji Systemów Zarządzania
w Przemyśle Motoryzacyjnym
TÜV Rheinland Polska Sp. z o.o.
e-mail: adam.biegaj@pl.tuv.com
Bezpieczeństwo informacji z punktu
widzenia prowadzenia biznesu
Ilość informacji dostępnych dla niemal każdego Powyższa lista to kluczowe aspekty z punktu widzenia
uczestnika rynku jest niewyobrażalnie duża. Wynika funkcjonowania przedsiębiorstwa. W zależności od spe-
to głównie z globalizacji, informatyzacji współczesnego cyfiki danego przedsiębiorstwa może być korygowana
świata, a przede wszystkim z praktycznie stałego dostępu lub poszerzana.
do skarbnicy wiedzy, jakim jest Internet. Dlatego też, nie- Bardzo często zdarza się, że informacja dociera
wielu jest już chyba przedsiębiorców, którzy nie traktują do nas przypadkiem. Nie jesteśmy w stanie przewidzieć
informacji jako towar. Zarządzając firmą potrzebujemy przecież, z kim znajdziemy się, np. na przyjęciu czy ban-
różnego rodzaju informacji, które pozwalają nam podej- kiecie. Wspólna zabawa, luz
na konwersacja i nasz roz-
mować optymalne decyzje dla naszego biznesu. mówca nie zdając sobie sprawy, że reprezentujmy jego
Jak jednak nie zagubić się w gąszczu informacji pły- głównego konkurenta postanawia uchylić rąbka tajem-
nących do nas z każdej strony? Jak wybrać dla siebie nicy o działalności swoje firmy. Kiedy zastanowimy się ile
te, które naprawdę nam się przydadzą? To tylko jedna razy jesteśmy mimowolnymi świadkami takich sytuacji
strona medalu. dociera do nas jak łatwo sami działamy na swoją nieko-
Każdy towar na rynku ma prawo bytu poprzez stero- rzyść. Naiwne byłoby upieranie się, że ktoś nie zrobi użytku
wanie mechanizmem podaży i popytu. Pokazuje nam z zasłyszanych rewelacji działając na szkodę naszej dzia-
to wyraz
nie, że z jednej strony potrzebujemy informacji łalności. Oczywiście skala negatywnych efektów będzie
z zewnątrz do prowadzenia naszej działalności, a z dru- zależała od skali informacji i danych, nad którymi nie był
giej pewne dane są od nas wymagane. A przecież nie w stanie zapanować, np. nasz rozmówca.
wszystkie informacje chcemy, aby były udostępnione W ciągu ostatnich kilku lat duże koncerny zdały sobie
publicznie. Niektóre z nich jesteśmy wręcz zobligowani sprawę, że poza dobrami materialnymi, również ogromną
do utrzymywania w tajemnicy. rolę dla prawidłowego funkcjonowania firmy odgrywa-
Zależnie od skali i charakteru naszej działalności infor- ją zasoby niematerialne, w postaci danych i informacji.
macje te mogą mieć dla nas znaczenie z punktu widze- Złe ich zabezpieczanie może narazić firmę na ogromne
nia między innymi: straty. I musimy sobie zdać sprawę z tego, że nie doty-
a) informacji handlowej, na przykład o potencjal- czy to tylko wojskowości, medycyny, zaawansowanych
nych klientach zainteresowanych naszą ofertą, technologii, ale również organizacji, które na pierwszy rzut
b) szczegółów handlowych oferty, które mogą być oka prowadzą w miarę proste działalności produkcyjne
interesujące dla konkurencji, i usługowe. Działalności wymienione w pierwszej kolejno-
c) strategicznych informacji o technologiach i me- ści, uchodzące za wysoce poufne i dobrze zabezpieczo-
todach biznesowych stosowanych w firmie, które dają ne, aby funkcjonować na jednym rynku muszą przecież
nam przewagę nad konkurencją, korzystać z firm dostarczających różnego rodzaju mate-
d) informacji o kluczowych z
ródłach pozyskiwania riały lub usługi, co niewątpliwie jest ingerencją w ich we-
surowców i materiałów produkcyjnych, wnętrzny system bezpieczeństwa. O ile wojsko stworzyło
e) zachowania tajemnicy naszych Klientów, którzy własne standardy i chcąc z tą branżą współpracować,
powierzając nam pewne zlecenia odkrywają przed nami bezwzględnie trzeba je spełniać, o tyle inne branże tak
część poufnych danych mówiących o ich planach roz- jednoznacznych standardów nie opracowały. Zapisy za-
wojowych, warte w umowach maja charakter bardzo standardowy.
f) oraz wiele innych, możliwych do precyzyjnego Określają one głównie zobowiązania stron do zachowa-
zidentyfikowania wyłącznie przez organizacje działające nia poufności i ewentualnie konsekwencje finansowe
w poszczególnych branżach i znające ich najgłębsze niu- i prawne za ich naruszenie. Jednak w wielu przypadkach
anse i zakamarki biznesowe. to za mało. Wskazują bowiem, na co możemy liczyć, kie-
6 Biuletyn Jakości nr 1/2009
TÜV Rheinland Polska Sp. z o.o.
System ZarzÄ…dzania
xxx
Bezpieczeństwem Informacji
dy już dojdzie do  wycieku ważnych informacji, a nie jak chodu na parkingu hipermarketu. I nie chodzi tutaj by-
temu zjawisku przeciwdziałać. najmniej o przypinanie laptopów stalową linką do ręki
Ważnym z punktu widzenia prewencji może okazać użytkownika, czy poprawianie zabezpieczeń antywłama-
się System Zarządzania Bezpieczeństwem Informacji. Po- niowych w samochodach, ale o skonstruowanie takiego
zwala on spojrzeć na organizację i jej zasoby informacyj- systemu zarządzania w firmie, gdzie będzie niepotrzebne
ne jako na jednolity i spójny System, który zintegrowany lub wręcz niemożliwe przenoszenie kluczowych informa-
z innymi systemami zarządzania może lepiej zabezpieczyć cji w komputerach przenośnych. Wszyscy jednak wiemy,
przedsiębiorstwo przed przykrymi konsekwencjami braku że poprzez nakazy, zakazy i obostrzenia nie da się w pełni
nadzoru nad informacją. zabezpieczyć organizacji, a jedyną naprawdę skuteczną
Chociaż system ISMS skupia się na aspektach nadzoru metodą dokonania tego jest budowanie świadomości
nad infrastrukturą informatyczną, nie należy zapominać, pracowników w zakresie ich odpowiedzialności i wpływu
że identycznie jak w innych systemach zarządzania, zwy- na bezpieczeństwo informacyjne firmy.
kle najsłabszym ogniwem każdego systemu okazuje się Nie zapominajmy o tym wdrażając, utrzymując i cer-
tzw.  czynnik ludzki . Niezależnie od zasobów i środków tyfikując nasz system ISMS, że najpewniejszym zabez-
zainwestowanych w zapewnienie optymalnej infrastruk- pieczeniem i zasobem firmy są świadomi i sprawdzeni
tury firmy związanej z bezpieczeństwem danych, może pracownicy, którzy identyfikują się z firmą i wiedzą, jakie
się okazać, że najwyższe nakłady okażą się bezcelowe, konsekwencje dla firmy ma rzetelne wykonywanie powie-
jeżeli człowiek pracujący w organizacji, a mający dostęp rzonej im pracy i dbanie o informacje biznesowe, którymi
do ważnych informacji, zostawi swój świetnie zabezpie- w imieniu firmy dysponują.
czony informatycznie komputer przenośny na przystanku
autobusowym, albo zostanie mu on skradziony z samo-
7
System ZarzÄ…dzania
Bezpieczeństwem Informacji
Marcin Rojszczak
Marek Abramczyk
Po co zarządzać bezpieczeństwem?
Z roku na rok wśród polskich firm rośnie popularność zmów bezpieczeństwa organizacyjnego. Ponieważ każ-
systemów zarządzania zgodnych z ISO 9001. Ostatnie da organizacja jest inna, a tworzący ją ludzie mają inne
badania wskazują, że posiadanie odpowiednich certy- doświadczenia zawodowe  praktycznie nie ma dwóch
fikatów i świadectw jest także coraz częściej czynnikiem takich samych systemów bezpieczeństwa. Bardzo często
uwzględnianym przy wyborze nie tylko dostawców towa- głównym problemem osób zarządzających jest zapew-
rów, ale również usług. Dbanie o zapewnienie odpowied- nienie odpowiedniej ochrony fizycznej  jest to czynnik
niej jakości nie jest jednak zadaniem prostym  bardzo istotny zwłaszcza w przedsiębiorstwach produkcyjnych
często wymaga uwzględnienia specyficznych wymagań czy usługowych. Równie powszechne jest koncentrowa-
lub oczekiwań klientów. Dlatego już od wielu lat systemy nie się na zabezpieczeniach teleinformatycznych  trend
ISO 9001 są rozszerzane i uzupełniane wymaganiami in- ten można zaobserwować na przykład poprzez lokowa-
nych standardów  na przykład związanych z ochroną nie komórek odpowiedzialnych za bezpieczeństwo orga-
środowiska (ISO 14001) czy bezpieczeństwem i higieną nizacji w strukturach obszaru IT.
pracy (PN-N-18001). Oczywiste jest jednak, że aby zapewnić odpowied-
W codziennym funkcjonowaniu organizacji coraz ni poziom bezpieczeństwa potrzebna jest informacja o
większą rolę odgrywa informacja oraz odpowiednia jej zagrożeniach, jak również wiedza o dostępnych zabez-
ochrona. Dlatego  także polskie przedsiębiorstwa  co- pieczeniach. Podstawą wszelkich działań w tym obszarze
raz częściej sięgają po standardy systemowego zarzą- powinna być analiza ryzyka. Wiarygodna ocena bezpie-
dzania bezpieczeństwem informacji. Najpopularniejszym czeństwa bez udokumentowanej i przeprowadzanej re-
systemem tego typu jest niewątpliwie ISO 27001. Od gularnie analizy ryzyka jest niemożliwa  wdrażane me-
2007 roku norma została wprowadzona w Polsce pod chanizmy bezpieczeństwa powinny być jedynie efektem,
oznaczeniem PN-ISO/ISO 27001:2007. Zgodnie z obo- naturalną konsekwencją wyników oceny ryzyka.
wiązującymi zasadami akredytacji ISO 27001 jest jedyną Bezpieczeństwo informacji to nie tylko zabezpieczenia
obowiązującą normą opisującą wymagania dotyczące informatyczne czy fizyczne. To także odpowiednio prze-
systemów bezpieczeństwa informacji  a zatem normą, szkolony i świadomy zagrożeń personel, to odpowiednio
której poprawne wdrożenie można potwierdzić przepro- zdefiniowane umowy z dostawcami, to również sformali-
wadzeniem niezależnego audytu i przyznaniem certyfika- zowane i przetestowane plany ciągłości działania. Bez-
tu. Aktualnie w Polsce już 80 firm posiada akredytowany pieczeństwo to proces  i jak każdy proces wymaga cią-
certyfikat ISO 27001 (z
ródło: www.iso27000.pl)  z pewnoś- głego doskonalenia.
cią popularność standardu będzie się stale zwiększała w Norma ISO 27001 odpowiada na te oczekiwania - ce-
kolejnych latach. lem standardu jest dostarczenie opartej na analizie ryzy-
ka ramy do budowy systemów bezpieczeństwa informa-
cji wraz z katalogiem kilkuset zabezpieczeń, które mogą
być stosowane aby zwiększyć poziom ochrony informacji.
Chociaż organizacje są różne i odmienne są ich potrzeby
w zakresie bezpieczeństwa, dzięki ISO 27001 mogą bu-
dować swoje systemy w podobny sposób. Podobnie jak
w przypadku innych standardów zarządzania, takich jak
ISO 9001 czy ISO 14001, podstawowym celem ISO 27001
nie jest osiągnięcie określonego poziomu bezpieczeń-
stwa, ale wdrożenie mechanizmów zarządzania, które
zapewnią że bezpieczeństwo informacji będzie istotnym
elementem funkcjonowania organizacji.
Standard ISO 27001 zorganizowany został w dwóch
Bezpieczeństwo informacji - systemowo
głównych częściach. W pierwszej zdefiniowane zosta-
Å‚y elementy zwiÄ…zane z budowÄ… systemu zarzÄ…dzania
System bezpieczeństwa informacji każdej organizacji
bezpieczeństwem informacji  takie jak mechanizmy
składa się z wielu elementów  ochrony fizycznej obiek-
zarządzania ryzykiem, odpowiedzialność kierownictwa,
tów, zabezpieczeń teleinformatycznych czy mechani-
elementy ciągłego doskonalenia czy zasady realizacji
8 Biuletyn Jakości nr 1/2009
TÜV Rheinland Polska Sp. z o.o.
System ZarzÄ…dzania
Przykładowe wymagania:
Bezpieczeństwem Informacji
Punkt 3.1:
Polityka bezpieczeństwa informacji
Cel: Etap ten polega na opracowaniu ogólnego progra-
Zapewnienie kierunków działania i wsparcia kie- mu, zbudowanego z szeregu pojedynczych projektów
rownictwa dla bezpieczeństwa informacji. wdrożeniowych. Projekty odnoszą się do zbioru dobrych
Zaleca się, aby kierownictwo ustaliło klarowny praktyk opisanych w standardzie ISO/IEC 27002. Na tym
kierunek działań oraz demonstrowało wsparcie i za- etapie osoby odpowiedzialne za tworzenie SZBI zazwyczaj
angażowanie w dziedzinie zabezpieczania informacji potrzebują pomocy doświadczonych profesjonalistów z
poprzez opracowanie i stosowanie w instytucji polityki zakresu bezpieczeństwa informacji (szczególnie w zakre-
bezpieczeństwa informacji. sie kierowania grupą roboczą odpowiedzialną za two-
rzenie SZBI). Opracowanie projektów wymaga również
współpracy z różnymi komórkami organizacyjnymi takimi
audytów wewnętrznych. W drugiej części normy omó-
jak komórki IT, audytu wewnętrznego, ryzyka, zgodności,
wiono katalog przykładowych zabezpieczeń, zorganizo-
HR, finansowa. Radzimy, aby jeżeli to możliwe kolejność
wanych w 11 obszarów bezpieczeństwa.
opracowywania projektów uzależniona była od wartości
zidentyfikowanych ryzyk tzn. w pierwszej kolejności zale-
ISO 27001: krok po kroku
ca się tworzenie projektów, dotyczących obszarów o naj-
większym ryzyku utraty bezpieczeństwa informacji.
Wdrożenie systemu zarządzania bezpieczeństwem in-
7. Implementacja programu wdrożenia SZBI
formacji SZBI powinno być procesem długofalowym, wy-
Na tym etapie implementuje siÄ™ zabezpieczenia zgodnie
magającym przeprowadzenia szeregu czynności. Wpływ
z opracowanym programem wdrażania SZBI. Poszczegól-
na czas wdrożenia i certyfikowania SZBI ma między inny-
ne projekty programu realizowane są przez różne komórki
mi wielkość organizacji. Niemniej jednak w procesie tym
organizacyjne. Ważne jest, aby całość prac była nadzo-
można wskazać następujące etapy:
rowana i zarzÄ…dzana.
1. Uzyskanie wsparcia Kierownictwa
8. Eksploatacja SZBI
A
atwiej powiedzieć niż zrobić. Dobrym sposobem jest
Na SZBI składa się szereg procesów, którym towarzy-
uświadomienie kierownictwa poprzez np. wskazanie ak-
szą polityki, standardy procedury, wytyczne itd. Należy
tualnych luk bezpieczeństwa, zagrożeń dla bezpieczeń-
pamiętać, że budowanie systemu bezpieczeństwa nie
stwa informacji oraz praktycznych zabezpieczeń (posił-
polega na jednostkowym wdrożeniu.
kując się ISO 27002), uświadomienie ewentualnych strat
9. Dokumentowanie SZBI
wynikających z braku systemu zarządzania bezpieczeń-
SZBI mieści w sobie szereg dokumentów takich jak
stwem oraz korzyści wynikających z jego posiadania.
opracowane polityki bezpieczeństwa, standardy, proce-
2. Zdefiniowanie zakresu SZBI
dury, wytyczne itp. Oprócz tego w trakcie eksploatacji
Należy wskazać, co system zarządzania bezpieczeń-
systemu zarządzania bezpieczeństwem informacji gene-
stwem informacji będzie obejmował np. jakie jednostki,
rowane są różnego rodzaju zapisy np. raporty z analizy
departamenty, zespoły, systemy itd.
ryzyka, różne logi, raporty z przeglądu logów, raporty z
3. Kolejne równolegle etapy to:
audytów itp. Dokumentacja wchodząca w skład SZBI wy-
a. Przygotowanie Deklaracji Stosowania
maga właściwego przechowywania oraz zarządzania.
Należy określić cele stosowania zabezpieczeń oraz
Ma ona decydujące znaczenie zarówno dla zapewnie-
zabezpieczenia odpowiednie dla budowanego przez
nia poprawnej eksploatacji systemu zarzÄ…dzania bezpie-
organizację SZBI oraz uzasadnić, które są odpowiednie,
czeństwem jak i w celu potwierdzenia (w szczególności
a które nie.
przed audytorami), że ustanowiony i wdrożony system
b. Zinwentaryzowanie zasobów. Inwentaryzacja
funkcjonuje i jest efektywny.
powinna obejmować wszystkie systemy informacyjne,
10. Sprawdzanie zgodności
sieci, bazy danych, inne zasoby informacyjne, dokumen-
Nie zawsze jest tak, że wdrożone i przekazane do wy-
ty itd. zgodnie ze zdefiniowanym zakrem SZBI.
konania zarządzenia rzeczywiście będą wykonywane.
4. Przeprowadzenie analizy ryzyka
Rozdział 15 normy ISO/IEC 27002 zawiera zabezpieczenia,
Aby przeprowadzić analizę ryzyka najlepiej skorzystać
dotyczące zapewnienia zgodności, zarówno z wewnętrz-
z gotowej i uznanej metodyki. Istnieją różne metody anali-
nymi (np. polityką bezpieczeństwa) jak i zewnętrznymi (np.
zy ryzyka. Przykład metody został omówiony np. w normie
przepisy prawa) wymaganiami. SZBI wymaga sprawdza-
ISO/IEC TR 13335 Information technology - Guiedlines for
nia oraz raportowania odnośnie zapewnienia zgodności,
the management of IT Security.
a w konsekwencji podejmowania działań korygujących.
5. Przygotowanie Planu Postępowania z Ryzykiem
Wewnętrzna ocena zgodności jest rutynowym działaniem
Plan przedstawia jakie zabezpieczenia będą zastoso-
w przypadku dojrzałych i poprawnie funkcjonujących sy-
wane w celu ograniczenia zidentyfikowanych ryzyk, zwy-
stemów zarządzania bezpieczeństwem informacji.
kle poprzez odwołanie się do zabezpieczeń proponowa-
11. Podejmowanie działań korygujących
nych w ISO/IEC 27002, innych standardów lub dobrych
Wynikiem przeglądów oraz sprawdzenia niezgodności
praktyk stosowanych w Twojej organizacji.
powinny być działania korygujące, mające na celu wy-
6. Opracowanie programu wdrażania SZBI
eliminowanie wszelkich zidentyfikowanych niezgodności
9
System ZarzÄ…dzania
 normy ISO/IEC 27001  na pewno przyczyni siÄ™ do dal-
Bezpieczeństwem Informacji
szej popularyzacji systemów bezpieczeństwa. Już dzisiaj
firmy z branży nowych technologii częściej decydują się
na wdrożenie normy bezpieczeństwa  traktując ją jako
oraz niedoskonałości, a tym samym zapewniające cią-
naturalne rozszerzenie i uzupełnienie posiadanych syste-
głe ulepszanie SZBI.
mów jakości.
12. Ocena przedcertyfikacyjna
Kiedy SZBI zostanie wdrożony, a jego funkcjonowanie
ustabilizuje się, kierownictwo powinno podjąć decyzję o
Różne twarze bezpieczeństwa
przeprowadzeniu audytu sprawdzajÄ…cego, czy SZBI funk-
cjonuje poprawnie (np. prace w tym zakresie można zle-
Skuteczna ochrona danych już od dawna nie jest utoż-
cić zewnętrznemu konsultantowi). Audyt ten jest obszerną
samiana wyłącznie z obszarem IT. Dlatego w normie ISO/
oceną zgodności, w czasie której dokonuje się przeglądu
IEC 27001 wyróżniono jedenaście obszarów, mających
między innymi Deklaracji Stosowania oraz Planu Postępo-
wpływ na bezpieczeństwo informacji w organizacji:
wania z Ryzykiem. Etap ten ma na celu upewnienie siÄ™,
" Polityka bezpieczeństwa
że w trakcie wdrażania SZBI nic ważnego nie pominięto
" Organizacja bezpieczeństwa informacji
(co może mieć miejsce szczególnie w przypadku zacho-
" ZarzÄ…dzanie aktywami
dzących w biznesie ciągłych zmian, które wpływają na
" Bezpieczeństwo zasobów ludzkich
ryzyko związane z bezpieczeństwem informacji).
" Pozyskiwanie, rozwój i utrzymanie systemów informa-
13. Audyt certyfikacyjny
tycznych
W przypadku wdrożonego i poprawnie funkcjonują-
" Zarządzanie incydentami związanymi z bezpieczeń-
cego systemu zarządzania bezpieczeństwem informacji,
stwem informacji
kierownictwo może podjąć decyzję o przeprowadzeniu
" Zgodność z wymaganiami prawnymi i własnymi stan-
certyfikacji. W tym przypadku wybiera i zaprasza siÄ™ akre-
dardami
dytowanÄ… organizacjÄ™ certyfikujÄ…cÄ…. Audytorzy spraw-
" Bezpieczeństwo fizyczne i środowiskowe
dzają istnienie dowodów świadczących o wdrożeniu i
" ZarzÄ…dzanie systemami i sieciami
funkcjonowaniu systemu zarządzania bezpieczeństwem
" Kontrola dostępu
informacji takich jak Polityka Bezpieczeństwa, Deklaracja
" Zarządzanie ciągłością działania
Stosowania, Plan Postępowania z Ryzykiem, zapisy opera-
PBSG jest eksperckÄ… firmÄ… doradczÄ…. Koncentrujemy
się na świadczeniu usług doradczych w obszarze analizy
ryzyka, bezpieczeństwa informacji, zarządzania, doradz-
twa IT oraz zarządzania ciągłością działania. Dywersy-
fikacja rozwijanych produktów pozwala na tworzenie
atrakcyjnej i kompleksowej oferty doradczej wspartej
własnymi i obcymi rozwiązaniami informatycznymi.
PBSG zbudowało silne kompetencje w zakresie bez-
pieczeństwa informacji. Opracowana metodyka reali-
zacji wdrożenia normy ISO 27001 pozwala na sukcesyw-
ne rozszerzanie zakresów usług obejmujących wszystkie
aspekty bezpieczeństwa organizacji. Kompleksowe
cyjne itd. Audytorzy starają się potwierdzić, że system za-
wdrożenia polityki bezpieczeństwa informacji wsparte są
rządzania bezpieczeństwem informacji jest odpowiedni
specjalistycznymi usługami w zakresie przeprowadzenia
i wystarczający, aby spełnić wymagania organizacji zwią-
testów penetracyjnych systemów IT i sieci teleinforma-
zane z bezpieczeństwem informacji. Audytorzy potwier-
tycznych.
dzają również, czy ustanowiona polityka bezpieczeństwa
jest stosowana w praktyce.
Podsumowanie
Ewolucja systemów zarządzania bezpieczeństwem
informacji trwa już od ponad dziesięciu lat. Początkowo
zapisane w normie BS 7799 najlepsze praktyki traktowane
były wyłącznie jako wytyczne, pozwalające na skutecz-
ne zarządzanie bezpieczeństwem informacji. Jednak w
kolejnych latach rola bezpieczeństwa w firmach rosła  a
w raz z niÄ… potrzeba standaryzacji w tym obszarze. Wraz
z przyjęciem w 1999 roku na potrzeby BS 7799 modelu
PDCA oraz wprowadzeniem zasad certyfikacji i akredy-
tacji systemów, popularność standardu znacznie wzro-
sła. Wprowadzenie międzynarodowego odpowiednika
10 Biuletyn Jakości nr 1/2009
TÜV Rheinland Polska Sp. z o.o.
System ZarzÄ…dzania
Bezpieczeństwem Informacji
Danuta Kędzierska
Asystent Dyrektora Działu
Certyfikacji Systemów
TÜV Rheinland Polska Sp. z o.o.
e-mail: danuta.kedzierska@pl.tuv.com
Audit Systemu Zarządzania Bezpieczeństwem
Informacji  bezpieczne lÄ…dowanie
Jeżeli pokonali już Państwo żmudną drogę wdrożenia pracownikami oraz na miejscu dokonają oceny używa-
Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) nej infrastruktury. Drugi etap auditu certyfikacyjnego jest
to audit certyfikacyjny, przeprowadzony przez naszą nie- także dokumentowany w postaci pisemnego raportu.
zależną i obiektywną jednostkę certyfikującą przypomi- Na podstawie pozytywnej oceny, będącej wynikiem
nać już tylko może bezpieczne lądowanie po trudnym dwuetapowego auditu certyfikacyjnego, jednostka cer-
i wymagajÄ…cym locie. tyfikujÄ…ca SZBI przyzna odpowiedni certyfikat a nazwa
Dla tych spoÅ›ród naszych klientów, którzy skorzysta- PaÅ„stwa firmy pojawi siÄ™ na liÅ›cie referencyjnej TÜV Rhein-
li już z usług certyfikacji systemów, audit SZBI nie będzie land. Certyfikat jest wystawiany w języku polskim i niemie-
żadnym zaskoczeniem, ponieważ zasady auditowania ckim lub angielskim. Na Państwa życzenie może także zo-
wszystkich systemów zarządzania są podobne. stać wystawiony w innych językach takich jak: francuski,
Dla tych z Państwa, którzy chcieliby bliżej poznać za- hiszpański, rosyjski lub włoski. W przypadku pozytywnego
sady działania naszej jednostki certyfikującej lub ocenić wyniku auditu certyfikacyjnego oraz udzielenia certyfi-
stopień gotowości do certyfikacji, proponujemy przepro- katu przez naszą jednostkę certyfikującą mają Państwo
wadzenie tzw. auditu wstępnego. Audit taki jest przepro- także prawo do posługiwania się znakiem certyfikacji TUV
wadzany w siedzibie klienta i służy dokonaniu wstępnej Rheinland, który może pojawiać się na Państwa papierze
oceny stopnia wdrożenia wymagań normy ISO 27001. firmowym lub innych materiałach reklamowych.
Jako potwierdzenie przeprowadzenia auditu wstępnego Warunkiem do utrzymania ważności certyfikatu przez
otrzymują Państwo pisemny raport, w którym nasi audito- trzy lata jest przeprowadzenie co roku auditu w nadzorze.
rzy wskażą słabe punkty i niedoskonałości wdrożonego Podobnie jak w przypadku auditu certyfikacyjnego
SZBI. Audit wstÄ™pny można potraktować jako gruntowne auditorzy TÜV Rheinland przekażą przed auditem w nad-
przygotowanie się do auditu certyfikacyjnego. zorze uzgodniony z Państwa przedstawicielami firmy
Z naszego doświadczenia wynika, że szanse na po- plan auditu, który pozwoli Państwu na przygotowanie
myślne przeprowadzenie auditu certyfikacyjnego wzra- się do niego. Audit w nadzorze przeprowadzany jest tak-
stają poprzez przeprowadzenie auditu wstępnego. Nale- że w siedzibie klienta a czas jego trwania wynosi mniej
ży jednak pamiętać o tym, że czas poświęcony na ocenę więcej jedną trzecią czasu poświęconego na badanie
SZBI nie skraca czasu wymaganego na przeprowadzenie auditowe podczas auditu certyfikacyjnego. Wynik auditu
auditu certyfikacyjnego. dokumentowany jest w pisemnym raporcie.
Na podstawie dokumentacji SZBI oraz oceny dziaÅ‚ania WybierajÄ…c jednostkÄ™ certyfikujÄ…cÄ… TÜV Rheinland
SZBI na miejscu, w siedzibie klienta, ocenia się gotowość do przeprowadzenia auditu certyfikacyjnego SZBI wybie-
klienta do certyfikacji. Działania te prowadzone są w ra- rają Państwo ekspertów w branży bezpieczeństwa infor-
mach tzw. pierwszego etapu auditu certyfikacyjnego. macji, którzy legitymują się wieloletnim doświadczeniem
Wynik oceny dokumentowany jest w pisemnym rapor- zdobytym w międzynarodowej współpracy w biznesie.
cie, który stanowi podstawę do zaplanowania i przepro- Ich kompetencje potwierdzone zostały przez jednostkę
wadzenia głównej oceny SZBI, tj. drugiego etapu auditu certyfikującą akredytowaną przez jednostkę akredytują-
certyfikacyjnego. Oprócz pisemnego raportu otrzyma- cą TGA.
ją Państwo plan auditu certyfikacyjnego (etap drugi), Z uwagi na szczególną specyfikę SZBI każdy etap au-
w którym wyspecyfikowana zostanie kolejność badania ditu, począwszy od jego zaplanowania, jest prowadzony
auditowego oraz wskazane zostaną te osoby z najwyż- w ścisłej współpracy z Państwa przedstawicielami odpo-
szego kierownictwa oraz odpowiedzialnego personelu, wiedzialnymi za bezpieczeństwo informacji w Państwa
które będą brały w nim bezpośredni udział. W ramach firmie.
badania auditowego, podobnie jak to ma miejsce pod- Proces certyfikacji rozpoczyna siÄ™ zazwyczaj
czas auditowania innych systemów zarządzania, audi- po ok. czterech tygodniach od złożenia przez Państwa
torzy TÜV Rheinland przeprowadzÄ… rozmowy z PaÅ„stwa zlecenia. Realizacja poszczególnych faz auditu zależy
11
System ZarzÄ…dzania
 stopień zaawansowania systemu zarządzania,
 liczba procesów zlecanych na zewnątrz w zakresie
Bezpieczeństwem Informacji
SZBI.
Nie bez znaczenia jest również to, czy Państwa struktu-
ra organizacyjna oraz prowadzone procesy sÄ… znane au-
od indywidualnego przebiegu auditu a poszczególne
ditorom naszej jednostki certyfikującej z innych auditów,
terminy uzgadniane sÄ… klientem. Na podstawie nasze-
np. na zgodność z wymaganiami normy ISO 9001.
go doświadczenia możemy powiedzieć, że wystawienie
Kolejnym ważnym czynnikiem determinującym nakład
dokumentu certyfikatu następuje w przeciągu czterech
czasu pracy potrzebny do przeprowadzenia auditu jest
do ośmiu tygodni po zakończeniu drugiego etapu auditu
rodzaj danych, jakie są przetwarzane w systemie. W każ-
certyfikacyjnego.
dym przedsiębiorstwie przetwarzane są dane wrażliwe
Jednym z najczęstszych pytań pojawiających się
dotyczące np.: wynagrodzeń, zdrowia i bezpieczeństwa
na etapie podjęcia decyzji o certyfikacji SZBI oraz wybo-
personelu, jak również dane wrażliwe z punktu widzenia
ru jednostki certyfikujÄ…cej jest pytanie o koszt certyfikacji.
biznesowego/finansowego, takie jak dane projektowo-
W przypadku tak zaawansowanego systemu zarzÄ…dza-
badawcze, dane nt. klientów, wyniki i prognozy finan-
nia jakim jest SZBI odpowiedzi nie można udzielić wprost.
sowe, plany biznesowe, własność intelektualna i inne.
Dzieje się tak dlatego, że dobór próby do badania au-
Można jednak wskazać pewne szczególne branże, które
ditowego jest trudniejszy niż w przypadku pozostałych
z uwagi na rodzaj danych jakie sÄ… w nich przetwarza-
systemów zarządzania a oszacowanie czasu potrzebne-
ne można zaszeregować do grup o szczególnie wyso-
go do efektywnego przeprowadzenia auditu wiąże się
kim ryzyku dla stosowanego w nich SZBI.
z oszacowaniem ryzyka SZBI stosowanym
Do tych branż należą: ochrona zdrowia,
w danej organizacji. Odpowiedni dobór
edukacja, przemysł lotniczy i wojskowy,
próby i zaplanowanie auditu jest pod-
telekomunikacja, usługi finansowe, orga-
stawowym warunkiem jego skuteczności.
nizacje charytatywne. Szczególnie duże
Dlatego też w celu sporządzenia oferty
ryzyko wiąże się z instytucjami państwo-
prosimy Państwa o udzielenie odpowie-
wymi, które przetwarzają dane wrażliwe
dzi na kilka pytań. Proszę nie traktować
wszystkich obywateli (zdrowie, pomoc
kwestionariusza zapytania ofertowego
socjalna, podatki itd.). Określenie stop-
jako kolejnego  papieru do wypełnienia ,
nia ryzyka ze względu na branżę, w której
lecz jako narzędzie pomocne do odpo-
działa dane przedsiębiorstwo, pozwala
wiedniego zaplanowania auditu Państwa
nie tylko na określenie czasu potrzebnego
systemu zarządzania bezpieczeństwem in-
na przeprowadzenie auditu, ale również
formacji. Tylko na podstawie rzetelnych in-
na odpowiednie dobranie auditora z do-
formacji jesteśmy w stanie zaprojektować
świadczeniem w auditowaniu specyficz-
audit u Państwa.
nych wymagań SZBI.
Podstawowymi czynnikami wpływa-
Powyżej przywołane czynniki nie
jÄ…cymi na oszacowanie czasu pracy ko-
sÄ… brane pod uwagÄ™ w odosobnieniu.
niecznego do skutecznego przeprowa-
Określając poziom ryzyka jaki wiąże się
dzenia auditu sÄ… m.in.:
z danym SZBI należy dołożyć wszelkich starań, aby uzy-
 wielkość organizacji i stopień skomplikowania syste-
skać w miarę pełny obraz działalności przedsiębiorstwa.
mu zarządzania bezpieczeństwa informacji (jedna lub
Dlatego tak istotne jest uzyskanie rzetelnych i komplet-
kilka lokalizacji, charakter działalności lokalizacji, podo-
nych danych już na etapie sporządzania oferty i plano-
bieństwo procesów realizowanych w lokalizacjach, ilość
wania auditu.
informacji krytycznych i wrażliwych, liczba transakcji za-
Audit SZBI trwa dłużej niż audit systemu zarządzania
wieranych drogą elektroniczną, liczba projektów ),
jakością lub audit systemu zarządzania środowiskowego
 rozmiar i różnorodność technologii stosowanych
z uwagi na specyficzne wymagania właściwie tylko dla
we wdrożeniu różnych elementów SZBI takich jak: nad-
SZBI.
zór nad procesami /dokumentami, działania korygujące
Ci z Państwa, którzy zdecydują się certyfikować swój
i zapobiegawcze,
SZBI w tym samym terminie co system zarzÄ…dzania jakoÅ›-
 liczba zatrudnionych,
cią, środowiskowego lub bezpieczeństwem i higieną pra-
 liczba serwerów,
cy mogą liczyć na to, że audit SZBI zostanie przeprowa-
 liczba punktów dostępu (stacji roboczych  kompu-
dzony w krótszym czasie. Podczas auditu zintegrowanego
terów stacjonarnych jak i laptopów),
systemu zarzÄ…dzania auditorzy nie muszÄ… bowiem dwa
 liczba pracowników administracyjnych (administra-
razy poświęcać czasu na badanie takich elementów jak
torzy sieci, programiści itd.),
przegląd zarządzania lub audity wewnętrzne.
 parametry sieci, sposób kodowania danych i kon-
Jeżeli są Państwo zainteresowani wyceną i zaplano-
trola dostępu,
waniem certyfikacji Państwa SZBI zapraszamy do odwie-
 zgodność z przepisami prawnymi,
dzenia naszej strony www.tuv.pl i wypełnienia formula-
 charakter procesów (proste, powtarzalne lub wie-
rza zapytania ofertowego. Na podstawie przekazanych
le skomplikowanych), zakres systemu, ryzyko wiążące się
przez Państwa danych sporządzimy ofertę odpowiadają-
z prowadzonymi procesami,
cą Państwa potrzebom.
12 Biuletyn Jakości nr 1/2009
TÜV Rheinland Polska Sp. z o.o.
Szkolenia
Szkolenia otwarte TÜV Akademia Polska
z zakresu Systemów Zarządzania na rok 2009
ISO 9001:2008
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
moduł 1 - Wstęp do systemu zarządzania jakością
1200 02.04 - 03.04.2009 28.09 - 29.09.2009
(ISO 9001:2008)
moduł 2 - Auditor wewnętrzny systemu 16.03 - 18.03.2009 14.10 - 16.10.2009
1600
zarządzania jakością (ISO 9001:2008) 25.05 - 27.05.2009 02.12 - 04.12.2009
moduł 3 - Warsztaty doskonalące dla auditorów we- 25.03 - 27.03.2009
1600 25.11 - 27.11.2009
wnętrznych 24.06 - 26.06.2009
PeÅ‚nomocnik JakoÅ›ci TÜV 3600 18.05 - 24.05.2009 21.09 - 27.09.2009
Warsztaty doskonalące dla Pełnomocników Jakości 1600 27.04 - 29.04.2009 25.11 - 27.11.2009
23.03 - 27.03.2009
Auditor JakoÅ›ci TÜV 3800 19.10 - 23.10.2009
22.06 - 26.06.2009
Badanie satysfakcji klienta pod względem wymagań
1200 02.04 - 03.04.2009 01.10 - 02.10.2009
normy ISO 9001:2008
ISO 14001:2004
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
moduł 1 - Wstęp do systemu zarządzania
1200 20.04 - 21.04.2009 26.10 - 27.10.2009
środowiskowego (ISO 14001:2004)
moduł 2 - Auditor wewnętrzny systemu zarządzania śro-
1600 25.05 - 27.05.2009 02.11 - 04.11.2009
dowiskowego (ISO 14001:2004)
moduł 3 - Warsztaty doskonalące dla auditorów we-
1600 24.06 - 26.06.2009 16.11 - 18.11.2009
wnętrznych
Pełnomocnik i Auditor systemu zarządzania
4000 01.06 - 05.06.2009 16.11 - 20.11.2009
Å›rodowiskowego TÜV
ISO/TS 16949:2002
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
moduł 1 - Wstęp do systemu zarządzania jakością w
1200 16.03 - 17.03.2009 05.10 - 06.10.2009
przemyśle motoryzacyjnym (ISO/TS 16949:2002)
moduł 2 - Auditor wewnętrzny systemu zarządzania
jakością w przemyśle motoryzacyjnym (ISO/TS 1600 20.04 - 22.04.2009 16.11 - 18.11.2009
16949:2002)
Pełnomocnik Jakości w przemyśle motoryzacyjnym
4200 23.11 - 27.11.2009
(ISO/TS 16949:2002)
PN-N-18001
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
moduł 1 - Podstawy systemu zarządzania bezpieczeń-
stwem i higienÄ… pracy 1200 05.10 - 06.10.2009
wg PN-N-18001
moduł 2 - Auditor wewnętrzny systemu zarządzania
1600 25.05 - 27.05.2009 16.11 - 18.11.2009
bezpieczeństwem i higieną pracy PN-N-18001
13
Szkolenia
Branża Spożywcza
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
moduł 1 - Wstęp do systemu HACCP 1200 14.09 - 16.09.2009
moduł 2 - Auditor wewnętrzny systemu HACCP 1600 17.06 - 19.06.2009 29.10 - 31.10.2009
Auditor Wewnętrzny Systemu Zarządzania
1600 01.06 - 03.06.2009 18.11 - 20.11.2009
Bezpieczeństwem Żywności wg ISO 22000:2005
Wyroby Medyczne
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
Wyroby medyczne  wymagania Dyrektyw MDD/IVDD/AIMD,
600 15.05.2009 01.10.2009
Technical Files. ZarzÄ…dzanie ryzykiem wg EN ISO 14971
Auditor wewnętrzny systemu zarządzania
2400 08.06 - 10.06.2009 28.10 - 30.10.2009
jakością wytwórców wyrobów medycznych
Zintegrowane Systemy ZarzÄ…dzania (ISO 9001, ISO 14001, PN-N-18001)
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
16.03 - 20.03.2009
Pełnomocnik Zintegrowanych Systemów Zarządzania 4000 28.09 - 02.10.2009
29.06 - 03.07.2009
Auditor Wewnętrzny Zintegrowanych Systemów Zarządzania 2000 18.05 - 21.05.2009 02.11 - 05.11.2009
ISO/IEC 27001
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
moduł 1 - Polityka zarządzania bezpieczeństwem informacji 600 12.10.2009
moduł 2 - Wstęp do systemu zarządzania bezpieczeństwem
1600 16.03 - 18.03.2009 19.10 - 21.10.2009
informacji wg ISO 27001:2005
moduł 3 - Auditor wewnętrzny systemu zarządzania
1600 06.04 - 08.04.2009 23.11 - 25.11.2009
bezpieczeństwem informacji wg ISO 27001:2005
Doskonalenie Systemów Zarządzania
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
Six Sigma 1600 06.04 - 07.04.2009 01.12 - 03.12.2009
Lean Manufacturing 1600 13.05 - 15.05.2009 02.11 - 04.11.2009
Techniki doskonalenia jakości 1600 08.06 - 10.06.2009 23.11 - 25.11.2009
FMEA  Analiza przyczyn i skutków potencjalnych wad 1200 12.10 - 13.10.2009
Problem Solving  Rozwiązywanie problemów 750 16.11.2009
Metodologia SPC i MSA 1200 28.05 - 29.05.2009 08.10 - 09.10.2009
APQP  Zaawansowane planowanie jakości
1200 04.06 - 05.06.2009 19.10 - 20.10.2009
PPAP  Proces zatwierdzenia części do produkcji
IRIS  INTERNATIONAL RAILWAY INDUSTRY STANDARD
Cena szkolenia Termin szkolenia Termin szkolenia
Nazwa szkolenia
(PLN) I półrocze II półrocze
IRIS  Nowy standard jakości w branży kolejowej 550 08.06.2009 02.11.2009
Standard IRIS 16.11 - 17.11.2009
1400 22-23.06.2009
 Warsztaty z budowania dokumentacji systemowej 14.12 - 15.12.2009
14 Biuletyn Jakości nr 1/2009
TÜV Rheinland Polska Sp. z o.o.
Szkolenia
Badania NieniszczÄ…ce
Czas Cena
Termin szkolenia Termin szkolenia
Nazwa szkolenia Symbol trwania szkolenia
I półrocze II półrocze
(godz.) (PLN)
1 stopień kwalifikacji wg EN 473
Badania radiograficzne RT 1 24.08 - 02.09.2009 72 3175
09.03 - 19.03.2009 21.09 - 01.10.2009
Badania ultradz
więkowe UT 1 72 3575
15.06 - 25.06.2009 07.12 - 17.12.2009
Badania ultradz
więkowe - pomiary
UTT 1 11.05 - 14.05.20091 17.08 - 20.08.20091 32 *
grubości
Badania prÄ…dami wirowymi ET 1 15.06 - 22.06.20092 --------- 62 3850
2 stopień kwalifikacji wg EN 473
05.10 - 09.10.2009
Badania penetracyjne PT (1+2) 40 2650
16.11 - 20.11.20091
31.08 - 11.09.2009
Badania ultradz
więkowe UT 2 18.05 - 29.05.2009 80 44003 / 48004
16.11 - 27.11.2009
24.08 - 28.08.2009
30.03 - 03.04.20091
Badania wizualne VT (1+2) 02.11 - 06.11.2009 40 2650
22.06 - 26.06.20091
14.12 - 18.12.20091
Badania magnetyczno-proszkowe MT (1+2) 14.09 - 18.09.2009 40 2650
Ocena zdjęć radiograficznych RT 2 (FAS) 07.05 - 14.05.2009 15.10 - 22.10.2009 60 2700
Badania radiograficzne RT 25 04.05 - 14.05.20092 12.10 - 22.10.20092 80 3950
Badania prÄ…dami wirowymi ET (1+2) 15.06 - 25.06.20092 --------- 80 4900
3 stopień kwalifikacji wg EN 473
Kurs podstawowy BASIC 16.03 - 26.03.2009 --------- 100 72502
Metoda główna - badania penetracyjne PT 3 27.04 - 29.04.2009 --------- 24 43507
Metoda główna - badania
MT 3 26.10 - 29.10.2009 --------- 32 44507
magnetyczno - proszkowe
Metoda główna - badania wizualne VT 3 15.04 - 17.04.2009 --------- 24 43507
Badania radiograficzne RT 36 01.06 - 04.06.2009 --------- 40 65007
Badania ultradz
więkowe UT 36 20,04 - 24,04.2009 --------- 50 70007
Badania prÄ…dami wirowymi ET 3 16.11 - 19.11.2009 --------- 40 67507
Ceny podane w PLN
* Cena zostanie ustalona w póz
niejszym terminie i zamieszczona na stronie internetowej
1
Szkolenie organizowane w ośrodku zewnętrznym w Szczecinie
2
Zajęcia odbywają się również w sobotę
3
Cena szkolenia z wykorzystaniem własnego sprzętu
4
Cena szkolenia z wykorzystaniem sprzÄ™tu TÜV Akademia Polska Sp. z o.o.
5
Dla osób posiadających wcześniejsze certyfikaty RT2 FAS istnieje możliwość rozszerzenia uprawnień poprzez uczestnictwo
w kursie rozszerzającym RT2 FER (pierwszy tydzień kursu RT2); cena szkolenia RT2 FER wynosi 2775,00 zł/osobę
6
Dla osób posiadających certyfikat 2 stopnia.
7
Cena obejmuje zakwaterowanie i pełne wyżywienie w czasie szkolenia i egzaminu.
15
Różności
HUMOR
Wokół samicy pływa wieloryb i narzeka:
 DziesiÄ…tki organizacji ekologicznych, setki
PODRÓŻE
aktywistów, tysiące polityków i naukow-
ców, dziesiątki tysięcy ludzi na manifesta-
RUMUNIA
cjach, rzÄ…dy w tylu krajach robiÄ… wszystko,
by zachować nasz gatunek, a ciebie boli
PrezentujÄ…c ciekawe miejsca,
głowa...
gdzie siedzibę swojego oddziału
ulokowaÅ‚ TÜV Rheinland Group,  Jasiu zaprowadz
panów archeologów
tam, skąd przyniosłeś te stare monety!
zapraszamy Państwa na podróż
 Dzisiaj nie mogÄ™!
po Rumunii, przez wielu opisywa-
 Dlaczego nie?!
nej jako wielobarwna mozaika
 Bo dzisiaj muzeum jest zamknięte.
tradycji i obyczajów. Rumunia
to kraj z żywym kolorem, który
Jeden przedszkolak mówi do drugiego:
przetrwał w niezmienionej formie
 U mnie modlimy się przed każdym posił-
od wieków. Tu wciąż można spot-
kiem.
kać dzikie zwierzęta, wielkie sta-
 U mnie nie. Moja mama bardzo dobrze
da owiec i koni.
gotuje.
Rumunia wabi nas zarówno
zabytkami jak i niespotykanymi
Do apteki wpada blady, drżący chło-
krajobrazami, a tradycyjna już piec:
gościnność mieszkańców tego  Czy ma pani jakieś środki przeciwbólowe?
 A co cię boli chłopcze?
kraju pozwoli każdemu poczuć
 Jeszcze nic, ale ojciec właśnie ogląda
się swobodnie i w miłej atmosfe-
moje świadectwo.
rze rozkoszować się urokiem ota-
czajÄ…cej przyrody.
Położenie geograficzne
Rumunii sprawia, że zwolen-
nicy aktywnego wypoczyn-
ku w górach będą w pełni usatys-
fakcjonowani. Bowiem przez kraj
przebiega większa część łańcucha karpackiego, który ze względu
na wysokości przekraczające ponad 2500 m n.p.m. i śmielszą z reguły
rzez
bę zwykło się nazywać Alpami Transylwańskimi. To doskonałe miej-
sce na uprawianie wspinaczki wysokogórskiej, trekkingu, speleologii,
turystyki rowerowej, sportów ekstremalnych oraz dyscyplin zimowych
i wodnych.
Na turystów lubiących wypoczynek nad ciepłym morzem i spa-
cery po złocistych plażach, czekają liczne kurorty i uzdrowiska usy-
tuowane nad Morzem Czarnym. Można tu także skorzystać z pro-
fesjonalnie wyposażonych centrów rehabilitacyjnych i SPA.
Na szczególną uwagę zasługuje Delta Dunaju, której obszar znaj-
duje się pod ochroną UNESCO i która jest największą deltą w Europie.
To ostoja ponad 5000 gatunków zwierząt i roślin. Miłośnicy kawio-
ru wiedzą doskonale, że to właśnie tu, u ujścia Dunaju do Morza
Czarnego, żyją jesiotry, które stanowią również cenne trofeum wśród
wędkarzy i rybaków.
Podróżując po Rumunii koniecznie należy odwiedzić historyczny
Siedmiogród zwany Transylwanią. Nazwa Siedmiogród odwołuje się
do siedmiu zamków, które nakazał wybudować król węgierski by za-
bezpieczyć granicę. Jednym z nich jest zamek hrabiego Draculi,
Castelul Bran w miasteczku Bran. Twierdza z wieloma wieżami, wznie-
siona w XIV wieku, stoi w strategicznym miejscu, które broni przejścia
przez południowe Karpaty. Ten zamek to jeden z wielu zabytków, których w Rumunii jest bez liku. Warto też zoba-
czyć warowne kościoły oraz malowane monastyry Bukowiny, a także starożytne ruiny w Histrii i Adamclisi.
Z całą pewnością, wizyta w Rumunii pozwoli nam zaczerpnąć pozytywnej energii, której będziemy mogli do-
świadczyć w każdym zakątku tego kraju. Rumunia to miejsce, w którym zostaniemy obdarowani pięknem przyro-
dy, gościnnością ludzi, magiczną atmosferą oraz bogactwem zapachów i smaków rumuńskiej kuchni.
PODRÓŻE