zarządz. bezp.inform, Ustrój organów ochrony prawnej, Bezpieczeństwo informacji


Zarządzanie bezpieczeństwem informacji

Błędne myślenie informatyków

Nie wystarczą zabezpieczenia techniczne

Edukacja pracowników

Dlaczego należy zarządzać bezpieczeństwem informacji?

Regulacje prawne

Należy również pamiętać o innych aktach prawnych, które regulują funkcjonowanie danej branży

Standardy bezpieczeństwa

ISO/OSI

Standardy oficjalne - powstają w drodze wieloetapowych uzgodnień, co spowalnia osiągnięcie rezultatów.

podział ma umowny charakter - pewne rozwiązania rozwijane przez firmy są później przekazywane organizacjom normalizacyjnym w celu ich opracowania

International Organization for Standardization, International Electrotechnical Commission

European Committee for Standardization

European Telecommunications Standards Institute

North American Free Trade Agreement

PN-I-02000:1998 - definiuje terminologię zabezpieczeń w systemach informatycznych - stworzono leksykon w j. polskim

to przykładowe wskazanie na normy polskie, bo norm które choćby pośrednio dot bezp. sys jest znacznie więcej

Standardy bezpieczeństwa

Raport techniczny ISO/IEC TR 13335

Pojęcia dot. bezpieczeństwa teleinformatycznego - zasób, podatność, zagrożenie, następstwo, ryzyko, zabezpieczenia. Związki między nimi w formie prostych modeli.

Relacje w modelu bezpieczeństwa

0x08 graphic
0x01 graphic

Standardy BS 7799

Pierwsza część została przyjęta przez organizację ISO jako standard ISO 17799 i dalej przyjęta do systemu „Polska Norma” jako PN-ISO/IEC 17799. Druga część normy (BS 7799-2) nie została przyjęta do systemu norm ISO, natomiast została przyjęta do systemu „Polska Norma” pod numerem PN-I-07799-2.

Zabezpieczenia - organizacyjne, proceduralne, techniczne. Zapisy bardzo uniwersalne - np ochrona przed wrogim kodem, a nie system antywirusowy.

Wybór zabezpieczeń - należy jednak pamiętać, że jeżeli dokona się wyboru tylko niektórych opcji, to zabezpieczenie informacji może być dziurawe i przez to niewystarczające .... stąd rekomendowane jest, aby doboru dokonać na podstawie analizy ryzyka

01. Polityka bezpieczeństwa

02. Organizacja bezpieczeństwa

03. Klasyfikacja i kontrola aktywów

04. Bezpieczeństwo osobowe

05. Bezpieczeństwo fizyczne i środowiskowe

06. Zarządzanie systemami i sieciami

07. Kontrola dostępu do systemu

08. Rozwój i utrzymanie systemu

09. Zarządzanie ciągłością działania

10. Zgodność

proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

  1. Polityka bezpieczeństwa

2. Organizacja bezpieczeństwa

3. Klasyfikacja i kontrola aktywów

4. Bezpieczeństwo osobowe

5 Bezpieczeństwo fizyczne i środowiskowe

6 Zarządzanie systemami i sieciami (bezpieczeństwo operacyjne)

Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

10 Zgodność

Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

    1. Określenie polityki bezpieczeństwa

    2. Określenie zakresu objętego systemem ISMS

    3. Przeprowadzenie oceny ryzyka

    4. Zarządzanie ryzykiem

    5. Wybór celów zabezpieczeń i punktów kontrolnych

    6. Deklaracja stosowania

Jeśli wdrażając system zastosuje się standardowy zestaw zabezpieczeń może to okazać się niewystarczające lub dojdzie do przeinwestowania.

Powinny być wdrożone procedury umożliwiające wykrywanie błędów.

Procedury eliminowania błędów, doskonalenia...

Schemat zarządzania:

PDCA

PLAN - DO - CHECK - ACT

PLANUJ - WYKONAJ - SPRAWDZAJ - DZIAŁAJ

6 etapów budowy ISMS

„Ustanowienie polityki bezpieczeństwa, cele, zakres stosowania, procesy i procedury odpowiadające zarządzaniu ryzykiem oraz zwiększające bezpieczeństwo informacji, tak aby uzyskać wyniki zgodne z ogólnymi zasadami i celami instytucji”

„Wdrożenie i eksploatacja polityki bezpieczeństwa, zabezpieczeń, procesów i procedur”

„Szacowanie oraz tam, gdzie ma zastosowanie, pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, cele i praktyczne doświadczenia oraz przekazywanie kierownictwu wyników przeglądu”

„Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo, tak aby osiągnąć stałe doskonalenie ISMS”

Jest to dokument ogólny, który „wyznacza ogólny kierunek i zasady działania w odniesieniu do bezpieczeństwa informacji”, a nie jak to często widuje się w różnorakich opracowaniach - książka zawierająca wszystkie możliwe procedury

Analiza ryzyka nie jest prostą sprawą, ale w dobrze zorganizowanej instytucji, która wdrożyła normy zarządzania jakością i środowiskiem nie powinno być z tym problemu, za to w małych podmiotach można cały proces znacznie uprościć.

Zaakceptowanie - nie ma systemów w 100% bezpiecznych z niektórymi rodzajami ryzyka trzeba się po prostu pogodzić, ale trzeba być świadomym ryzyka.

Należy podjąć decyzję mając na uwadze podstawowy cel.

Na tym etapie implementujemy plan i poszczególne wymagania, wdrażamy stosowne procedury zapewniające sprawne działanie systemu w tym procedury jak najszybszego wykrywania incydentów i podejmowania reakcji.

szkolenia są bardzo ważym elementem

B. ważna cecha systemu - zdolność do samodoskonalenia. Musza być wbudowane stosowne mechanizmy. Ten etap w zasadzie nie ma początku i końca - musi przebiegać w sposób ciągły.

Procedury reagowania na błędy muszą mieć konkretne efekty - należy podjąć stosowne działania - korygujące i prewencyjne

Rodzina norm ISO/IEC 2700x

Najnowsza rodzina standardów ISO/IEC w zakresie BI.

Jeśli wdrażając system zastosuje się standardowy zestaw zabezpieczeń może to okazac się niewystarczające lub dojdzie do przeinwestowania.

W aneksie do 27001 znajduje się wykaz zabezpieczeń opisanych w ISO/IEC 17799 zmiana dotyczy tego, że w teraz nie są to już wytyczne dotyczące zabezpieczeń a wymagania, jakim musi odpowiadać system.

ISO 27001

Systemu Zarządzania Bezpieczeństwem Informacji

Na model mają wpływ:

Wyżej wymienione czynniki zmieniają się w czasie.

Systemu Zarządzania Bezpieczeństwem Informacji

Proces - działanie, które wykorzystuje zasoby dla transformacji WE w WY

ISO 27001 - terminy i definicje

ISO 27001 - cele stosowania zabezpieczeń i zabezpieczenia

Dokument polityki powinien zostać zatwierdzony przez kierownictwo, opublikowany i udostępniony w odpowiedni sposób wszystkim pracownikom i odpowiednim stronom zewnętrznym.

Polityka bezpieczeństwa powinna być poddawana regularnemu przeglądowi, a w przypadku istotnych zmian powinna zapewniać, że pozostaje ciągle przydatna, adekwatna i skuteczna.

Kierownictwo powinno być aktywnie wspierać bezpieczeństwo wewnątrz organizacji poprzez czytelne instrukcje, wykazywane zaangażowanie, jasne przypisywanie zadań oraz uznanie obowiązków związanych z bezpieczeństwem informacji.

Działania związane z bezpieczeństwem informacji będą koordynowane przez przedstawicieli różnych części organizacji, wykonujących różne działania i pełniących różne funkcje.

Wszystkie obowiązki związane z bezpieczeństwem informacji powinny być jasno określone.

Określone zostaną i poddawane będą regularnej analizie umowy o poufności lub nie ujawnianiu informacji odzwierciedlające potrzebę ochrony informacji w organizacji.

Będą utrzymywane właściwe kontakty z odpowiednimi władzami.

Będą utrzymywane właściwe kontakty z grupami zainteresowania lub z innymi specjalistycznymi forami bezpieczeństwa oraz stowarzyszeniami profesjonalistów.

Podejście organizacji do zarządzania bezpieczeństwem informacji oraz jego wdrożenia, będzie poddawane niezależnemu przeglądowi z zaplanowaną częstotliwością lub w przypadku powstania znacznych zmian we wdrożeniu bezpieczeństwa.

Zostanie określone ryzyko dla informacji, organizacji oraz urządzeń przetwarzających informacje podczas procesów biznesowych związanych ze stronami zewnętrznymi, przed udzieleniem dostępu zostaną wdrożone odpowiednie zabezpieczenia.

Umowy umożliwiające dostęp osób trzecich do urządzeń służących do przetwarzania, przekazywania lub zarządzania informacjami organizacji lub urządzeniami przetwarzającymi informacje lub dodawanie produktów lub usług do urządzeń przetwarzających informacje powinny bazować na formalnych zapisach zawierających wszystkie istotne wymogi bezpieczeństwa.

Należy stworzyć i utrzymywać inwentaryzację wszystkich ważnych aktywów związanych z każdym systemem informacyjnym.

Właścicielem wszelkich informacji i aktywów związanych z urządzeniami przetwarzającymi informacje i powinna być wyznaczona część organizacji.

Zasady możliwego do zaakceptowania korzystania z aktywów i związanych z nimi urządzeniami przetwarzającymi informacje powinny być określone, udokumentowane i wdrożone.

Informacja powinna być zaklasyfikowana ze względu na swoją wartość, przepisy prawne, stopień wrażliwości i wagę dla organizacji.

Należy zdefiniować zestaw procedur oznaczania informacji i postępowała z informacją, zgodnych z przyjętym w organizacji schematem klasyfikacji.

Role i zakresy odpowiedzialności dotyczące bezpieczeństwa, które zostały sformułowane w polityce bezpieczeństwa informacji danej organizacji, powinny być udokumentowane w zakresach obowiązków przypisanych do stanowisk.

Na etapie składania podania o zatrudnienie należy przeprowadzić weryfikację personelu zatrudnionego na czas nieokreślony, określony oraz zleceniobiorców. Weryfikacja powinna być przeprowadzona w zgodzie z odpowiednimi regulacjami prawnymi, wymaganiami regulacyjnymi i etycznymi oraz powinna być proporcjonalna do wymagań biznesowych, klasyfikacji informacji, które będą nadawane.

Częścią zobowiązań kontraktowych pracowników, wykonawców oraz użytkowników reprezentujących stronę trzecią, powinna być zgoda oraz podpisanie zasad i warunków umowy zatrudnienia, precyzującej ich obowiązki oraz obowiązki organizacji w zakresie bezpieczeństwa.

Kierownictwo będzie wymagało od pracowników, kontrahentów i użytkowników stanowiących strony trzecie, by stosowali środki bezpieczeństwa zgodnie z ustanowioną polityką i procedurami.

Wszyscy pracownicy organizacji (i osoby trzecie) powinny przejść właściwe i okresowo uaktualniane szkolenie w zakresie polityk i procedur odpowiednich dla funkcji, którą pełnią w pracy.

Należy opracować sposób prowadzenia formalnego postępowania dyscyplinarnego w stosunku do pracowników, którzy naruszyli procedury i polityki bezpieczeństwa informacji.

Odpowiedzialności związane z wykonaniem zakończenia lub zmianą zatrudnienia powinny być zdefiniowane i przypisane.

Wszyscy pracownicy, kontrahenci i osoby trzecie powinni oddać wszystkie aktywa należące do organizacji, a które są w ich posiadaniu, przed zakończeniem zatrudnienia, kontraktu lub umowy.

Należące do pracowników, kontrahentów i osób trzecich prawa dostępu do informacji i środków przetwarzania informacji, powinny być im odebrane przed zakończeniem zatrudnienia, kontaktu lub umowy.

Organizacja powinna wprowadzić granice obszarów bezpiecznych (mury, bramy wejściowe, recepcje), w których znajdują się informacje i urządzenia do przetwarzania informacji.

Należy chronić obszary bezpieczne (przed nieuprawnionym personelem).

Należy chronić biura, pomieszczenia i urządzenia.

Należy chronić przed ogniem, powodzią, trzęsieniem, eksplozją, rozruchami społecznymi i innymi katastrofami naturalnymi.

Należy chronić obszar bezpieczny.

Należy kontrolować obszary dostaw i załadunku.

Sprzęt powinien być rozmieszczony lub chroniony w taki sposób, aby ograniczyć ryzyko.

Sprzęt należy chronić przed awariami zasilania i zakłóceniami elektrycznymi.

Należy chronić okablowanie zasilające i telekomunikacyjne przed podsłuchem/uszkodzeniem.

Należy zapewnić dostępność i integralność.

Należy sprawdzać nośniki w celu upewnienia się czy wszystkie istotne dane zostały usunięte.

Sprzęt, informacje, oprogramowanie należące do organizacji nie powinno być wynoszone bez zezwolenia.

Procedury stosowania, wskazywane przez politykę bezpieczeństwa, powinny być udokumentowane, utrzymane i dostępne dla wszystkich urzędników.

Zmiany w urządzeniach/systemach powinny być kontrolowane.

Obowiązki i obszary odpowiedzialności powinny być rozdzielone tak, aby ograniczyć możliwości nieuprawnionej modyfikacji lub nadużycia aktywów.

Należy zapewnić, że trzecia strona wdraża stosuje i utrzymuje środki bezpieczeństwa, definicje usług oraz poziomy dostaw zawarte w umowie o świadczenie usług ze stroną trzecią.

Usługi, raporty i zapisy dostarczone przez stronę trzecią będą regularnie monitorowane i poddawane przeglądom.

Zmiany w świadczeniu usług, włącznie z utrzymywaniem i ulepszaniem istniejących polityk, procedur i zabezpieczeń będą zarządzane.

W celu zapewnienia właściwej wydajności zasobów, wykorzystanie zasobów powinno być monitorowane.

Określone zostaną kryteria akceptacji dla nowych systemów informacyjnych, uaktualnień i nowych wersji, a podczas opracowywania i przed akceptacją będą przeprowadzane odpowiednie testy systemu.

Powinny być wdrożone środki wykrywania i ochrony przed szkodliwym oprogramowaniem.

Oprogramowanie mobilne powinno być tak skonfigurowane, aby działało zgodnie z polityką bezpieczeństwa.

Kopie zapasowe powinny być stosowane i testowane zgodnie z polityką archiwizacyjną.

Należy chronić sieć i aplikacje korzystające z sieci.

Środki bezpieczeństwa, poziomy usług i wymagania będą zidentyfikowane i zawarte w dowolnej umowie o usługach sieciowych (bez względu na to, czy są świadczone wewnątrz, czy pozyskiwane z zewnątrz.

Należy stosować procedury do zarzadzania dyskami wymiennymi.

Nośniki, które nie są dłużej używane powinny być skutecznie i bezpiecznie niszczone.

Należy opracować procedury postępowania i przechowywania informacji.

Należy chronić dokumentację przed nieuwierzytelnionym dostępem.

Ochrona wymiany informacji będzie realizowana poprzez zastosowanie wszystkich rodzajów urządzeń komunikacyjnych, formalne polityki, procedury i zabezpieczenia wymiany.

Między organizacją a stronami trzecimi zawarte będą umowy odnośnie wymiany informacji.

Transportowane nośniki powinny być chronione przed nieuprawnionym dostępem.

Informacje przekazywane za pośrednictwem wiadomości elektronicznych będą odpowiednio chronione.

Zostaną opracowane i wdrożone polityki i procedury chroniące informacje związane z systemami informacji dotyczących działalności.

Informacje związane z prowadzeniem elektronicznej działalności handlowej, przekazywane przez sieci publiczne, będą chronione przed oszustwami.

Informacje przekazywane w trakcie transakcji on-line będą chronione przed niekompletną transmisją, niewłaściwym skierowaniem, nieuprawnionym ujawnieniem/zmianą/powieleniem informacji.

Integralność informacji udostępnionych w ogólnie dostępnym systemie będzie chroniona, aby zapobiec nieuwierzytelnionym modyfikacjom.

Rejestry z audytów zapisujące działania, wyjątki, zdarzenia związane z bezpieczeństwem informacji będą wytwarzane i zachowywane przez uzgodniony okres czasu.

Zostaną określone procedury korzystania z urządzeń przetwarzających informacje dla celów monitoringu, a rezultaty działań monitorujących będą analizowane.

Urządzenia do rejestrowania i informacje w rejestrach będą chronione przed dostępem osób nieuprawnionych.

Działania administratora i operatora systemu powinny być rejestrowane.

Błędy będą rejestrowane, analizowane i poddane odpowiednim działaniom.

Zegary będą synchronizowane w stosunku do uzgodnionego, dokładnego źródła czasu.

Wymagania dotyczące KD powinny być zdefiniowane i udokumentowane.

Przyznawanie dostępu do systemów i usług należy oprzeć na formalnej procedurze rejestrowania/wyrejestrowywania.

Przyznawanie i używanie przywilejów powinno być ograniczone i kontrolowane.

Przydzielanie haseł powinno być kontrolowane zgodnie z formalnym procesem zarządzania.

Kierownictwo powinno regularnie przeprowadzać formalny przegląd praw dostępu użytkowników.

Wybór/używanie haseł powinno być realizowane zgodnie ze sprawdzonymi praktykami bezpieczeństwa.

Od użytkowników należy wymagać, aby zapewniali właściwą ochronę sprzętu.

Zostanie przyjęta jasna polityka dla biurek (dot. dokumentów i dysków wymiennych) oraz jasna polityka dla monitorów (dot. Urządzeń przetwarzających informacje).

Użytkownicy powinni mieć zapewniony bezpośredni dostęp tylko do tych usług, do których mają uprawnienia.

Dostęp zdalnych użytkowników powinien być uwierzytelniony.

Rozważy się zastosowanie automatycznej identyfikacji dla połączeń z określonych lokalizacji i urządzeń.

Dostęp do portów diagnostycznych powinien być ograniczony i zabezpieczony.

Sieć powinna być rozdzielona z uwagi na grupy usług/użytkowników/systemów.

Możliwości połączeń pomiędzy użytkownikami we współużytkowanych sieciach powinny być ograniczone, uwzględniając politykę kontroli dostępu.

Drogi połączeń nie mogą naruszać polityki KD aplikacji biznesowych.

Dostęp do SO powinien być zabezpieczony procedurą rejestrowania (logowania).

Wszyscy użytkownicy powinni posiadać unikalne ID oraz powinna być wybrana odpowiednia technika weryfikacji tożsamości użytkownika.

Systemy zarządzania hasłami powinny opierać się na efektywnych, interaktywnych mechanizmach zapewniających hasła odpowiedniej jakości.

Użycie systemowych programów narzędziowych, które mogłyby mieć pierwszeństwo przed środkami kontroli systemu i aplikacji powinno być ograniczone i ściśle kontrolowane.

Nieaktywne sesje zostaną zakończone po określonym czasie braku aktywności.

W celu zapewnienia dodatkowego bezpieczeństwa aplikacjom o wysokim ryzyku, należy ograniczać czas trwania połączenia.

Dostęp użytkowników do informacji i funkcji w aplikacji powinien być ograniczony zgodnie z polityką KD.

Systemy wrażliwe powinny być instalowane.

Należy przyjąć formalną politykę postępowania i odpowiednie środki bezpieczeństwa, uwzględniające ryzyko związane z pracą z komputerami przenośnymi.

Należy opracować i stosować politykę i procedury pracy na odległość.

Wymagania biznesowe dotyczące nowych systemów informacyjnych lub rozszerzenie istniejących systemów powinny uwzględniać wymagania dotyczące zabezpieczeń.

Dane WE systemów/aplikacji powinny podlegać walidacji.

Do systemów/aplikacji należy wprowadzić potwierdzenie ważności wyników przetwarzania.

Powinny być określone wymagania dla zapewnienia ochrony integralności wiadomości w aplikacjach.

Dane WY systemów/aplikacji powinny podlegać walidacji.

Należy opracować i rozwijać politykę używania zabezpieczeń kryptograficznych do ochrony informacji.

Zarządzanie kluczami powinno być wdrożone w celu pomocy organizacji w używaniu technik kryptograficznych.

Należy zapewnić kontrolę wprowadzania oprogramowania dla eksploatowanych systemów.

Dane testowe powinny być uważnie wybierane/chronione /kontrolowane.

Należy chronić kod źródłowy.

Wprowadzenie zmian powinno być ściśle kontrolowane przed użyciem formalnych procedur kontroli zmian.

Po przeprowadzeniu zmian system systemy aplikacji należy poddać przeglądowi i testom w celu upewnienia się, że nie powstały negatywne skutki dla bezpieczeństwa organizacji.

Należy unikać zmian w pakietach oprogramowania, a jeśli są one konieczne, to należy je ściśle kontrolować.

Powinno się zapobiegać możliwościom przecieku informacji.

Należy zastosować zabezpieczenia w celu ochrony prac rozwojowych nad oprogramowaniem powierzonych firmie zewnętrznej.

Odpowiednio wcześniej należy uzyskać informacje o podatnościach technicznych stosowanych systemów i ocenić związane z tymi punktami ryzyko organizacji.

Raportowanie wiadomości związanych z bezpieczeństwem informacji powinno być realizowane przez odpowiednie kanały kierownicze.

Wszyscy pracownicy/kontrahenci/użytkownicy systemów i informacji będącymi stronami trzecimi będą zobowiązani odnotowywać i raportować wszystkie słabe punkty.

Zakres odpowiedzialności kierownictwa i procedury powinny być ustanowione w celu szybkiej reakcji na incydenty związane z bezpieczeństwem informacji.

Na miejscu będą dostępne mechanizmy umożliwiające określenie ilości/rodzaju/rozmiaru/kosztów incydentów.

Jeżeli działania przeciwko osobie lub organizacji, występujące po wykryciu incydentu związanego z bezpieczeństwem informacji wymagają kroków prawnych, zostaną zebrane dowody, które będą zachowane i przedstawione w sposób zgodny z zasadami dowodów zawartymi w odpowiedniej jurysdykcji.

Proces BCM powinien być wdrożony i utrzymany w celu spełnienia wymagań związanych z bezpieczeństwem informacji potrzebnych do uzyskania ciągłości działania.

Powinny być określone zdarzenia, które mogą spowodować przerwę w procesie biznesowym, ich wpływ i ewentualne konsekwencje takiego zdarzenia dla bezpieczeństwa informacji.

Powinny zostać opracowane plany ciągłości działania zapewniające utrzymanie lub przywracanie w wymaganym czasie działań biznesowych po przerwach lub awariach.

Należy upewnić się, że wszystkie plany ciągłości działania są ze sobą zgodne.

Plany ciągłości działania powinny być regularnie testowane.

Należy wprowadzić odpowiednie procedury zapewnienia zgodności z wymaganiami prawnymi.

Należy chronić ważne zapisy organizacji przed utratą/zniszczeniem/sfałszowaniem zgodnie z wymaganiami wynikającymi ustaw/zarządzeń/umów.

Należy chronić dane osobowe.

Zabezpieczenia kryptograficzne powinny być używane zgodnie z prawem.

Należy zapewnić, aby wszystkie procedury związane z bezpieczeństwem były zgodne z politykami i normami bezpieczeństwa.

Należy odpowiednio planować i uzgadniać działania i potrzeby związane z audytem wymagające sprawdzania systemów operacyjnych.

Należy właściwie chronić dostęp do narzędzi audytu.

System zarządzania bezpieczeństwem informacji (Plan)

(Do)

(Check)

(Act)

(Plan)

Ustanowienie i zarządzanie SZBI

Dokumentacja SZBI

Uwaga! Dokumentacja może mieć dowolną formę lub dowolny rodzaj nośnika

Uwaga! Dokumentacja może mieć dowolną formę lub dowolny rodzaj nośnika

Przykłady zapisów: księgi gości, raporty audytowe, logi

(Do)

Odpowiedzialność kierownictwa

(Check)

Wewnętrzne audyty SZBI

Przegląd zarządu SZBI

(Act)

Doskonalenie SZBI

Działania korygujące

Działania prewencyjne

Zarządzanie bezpieczeństwem informacji - wykłady

3



Wyszukiwarka

Podobne podstrony:
Ustrój Organów Ochrony Prawnej
Ustrój organów ochrony prawnej(1), st. Administracja notatki
Ustrój Organów Ochrony Prawnej
p us270406, USTRÓJ ORGANÓW OCHRONY PRAWNEJ
wyklad 8 10.04.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 1 21.02.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 3 6.03.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 2 28.02.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 4 13.03.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 9 17.04.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 7 3.04.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 11 08.05.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
uoop pytanka, WPIA, Ustrój Organów Ochrony Prawnej
Ustrój organów ochrony prawnej (1)
wyklad 5 20.03.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 12 15.05.2008 i 13 29.05.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochron
wyklad 6 27.03.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 14 05.06.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej
wyklad 10 24.04.2008, Administracja UŁ, Administracja I rok, Ustrój organów ochrony prawnej

więcej podobnych podstron