07. Plan Implementacije ISMS i Menadzemt Rizika

PROJEKTOVANJE MENADMENT SISTEMA ZATITE INFIORMACIJA

Tema 7:Plan implementacije ISMS-a

ISO/IEC 27001:2005 standard

PDCA faza planiranja

SADRAJ

Kritini faktori uspeha ISMS-a PDCA (Plan, Do, Check, Act) model

PDCA=PPPP PPPP- Priprema, Primena, Provera, Poboljanje

Priprema (planiraj, uspostavi ISMS)

Primena (implementiraj i koristi ISMS)

Provera (monitorii i pregledaj ISMS)

Poboljanje (odravaj i poboljavaj ISMS)

PPPP faza planiranja ISMS-a Izrada politike zatite/ISMS politike

Univerzitet Singidunum

Tehniki fakultet

2

Zato je potrebna zatita infomacija?

Poslednji podaci napada, tete (2012.g.):

Trojanci

Rutkit tehnike

Stuxnet

Virusi i crvi

Kraa identiteta (fiing, farming)

Kraa bankarskih podataka korisnika

Botnet

Internet pijunaa

Informaciono ratovanje


Tehniki fakultet

3

Planiranje ISMS implementacije Proces zatite informacija ima ponovljiv ivotni ciklus kroz 4 faze

PPPP- Priprema, Primena, Provera, Poboljanje

PPPP model procesa obezbeuje aktivnosti za:

pripremu (planiranje i uspostavljaje) - Plan,

primenu (implementaciju) - Do,

proveru (monitoring i pregled) - Check i

poboljanje (odravanje i poboljanje) ISMS-a u kontinualnom ciklusu Act i

balans menadmenta rizika sa operativnim ciljevima organizacije


Tehniki fakultet

4

Primer: Kritini faktori uspeha ISMS-a

Kada se donese odluka za implementaciju ISMS-a, treba uzeti u obzir neke kritine

faktore uspeha implementacije ISMS-a


Tehniki fakultet

5

Kritini faktori uspeha ISMS-a - opis

Angaovanje i smernice menadmenta:

Ciljevi menadmenta ISMS-a, namena ISMS-a;

ISMS ciljevi treba da budu opisani u poslovnim terminima

razumljivim za menadment

Menadment treba da bude regularno informisan o statusu ISMS

activnosti i ukljuen u donoenje odluka (ako nije - prioriteti se

mogu pomeriti na operativne probleme)

Finansijska razmatranja:

Alokacija resursa za implementaciju ISMS;

Rizici od ne odravanja strategije zatite;

Monitorisanje SROI, im se ISMS implementira i pone odravanje

SROIUniverzitet Singidunum

Tehniki fakultet

6

Kritini faktori uspeha ISMS opis 1

Organizacija zatite informacija

defiisanje strategije IKT sistema i manadmenta rizika

opis uloga i odgovornosti

Specifikacija aktivnosti domena

zakoni i regulative okruenje

industrijski standardi

Menadment rizika

rizici u obimu ISMS-a treba da budu definisani, da bi se

primenile odgovarajue mere za ublaavanje na

prihvatljiv nivo odobren od strane menadmenta

Ukljuivanje relevantnih uesnikaUniverzitet Singidunum

Tehniki fakultet

7

Zbirni pregled kritinih faktora uspeha ISMS-a

1. Ukljuivanje glavnog menadmenta (npr. UO)

2. Eksplicitna podrka glavnog menadera (npr. pisani

dokument koji jasno navodi da je usaglaenost sa

ISO/IEC 27001 strategijska odluka organizacije)

3. Smernice politike zatite organizacije, koje preporuuju

PPPP pristup

4. Jasno artikulisani bezbednosni zahtevi, koji odraavaju

poslovne potrebe

5. Usaglaenost politike zatite sa misijom i poslovnim

ciljevima organizacije


Tehniki fakultet

8

Zbirni pregled kritinih faktora uspeha ISMS-a -1

6. Sporazum sa menadmentom o procesu implementacije

ISMS-a

7. Uspostavljanje menadera zatite informacija za ISMS i

sertifikaciju

8. Uspostavljanje tima za zatitu informacija

9. Obezbeivanje razvoja svesti o potrebi zatite, obuke i

obrazovanja

10.Uspostavljanje metrike i sistema merenja za evaluaciju

performansi ISMS-a

11.Generisanje izvetaja za menadment, sa teitem na

nove vrednosti.


Tehniki fakultet

9

Faze i aktivnosti PDCA modela

PLAN - Planiraj Analiza poslovanja

Procena rizika

Gap analiza

SoA (izjava o primenljivosti)

Politika zatite informacija

DO - Primeni Plan tretmana rizika

Standardi i procedure IS

ISMS kontrole zatite

Plan implementacije

Obuka i svest o potrebi z.

Menadment incidenta

CHECK - Proveri Monitoring

Merenja ISMS-a

Interna provera ISMS-a

Menaderska revizija ISMS-a

ACT - Poboljaj Identifikacija neusaglaenosti

Merenja plana &

implementacije

Testiranje, monitoring &

rezultati komunikacije

Preventivne i korektivne

(procedure) akcije


Tehniki fakultet

10

Planiranje ISMS-a

Priprema plana ISMS-a u fazama PDCA:

Do Plan implementacije i praenje projekta

Check Revizija performansi i postizanje ciljeva monitoringa

Act Razreavanje moguih slabosti i poboljanje

Mogua integracija sa drugim menadment sistemima

implementiranim u organizaciji

Primer 1: menadment sistem kvaliteta, TQM;

Identifikovanje zajednikih elemenata koji su ve

implementirani

Primer 2: timovi za menadment, potrebni materijali;

Gap analiza sa zahtevima za bezbednost informacija;

Prilagoavanje postojeih elemenata za ISO/IEC 27001

usaglaenostUniverzitet Singidunum

Tehniki fakultet

11

Faza planiranja

Definisanje obima ISMS-a je prva aktivnost u ovoj fazi

Razvoj plana implementacije ISMS-a.

Informaciona imovina

Analiza poslovanja org

Inventar kljune imovine


Tehniki fakultet

12

Faza planiranja analiza poslovanja

Pregled na poslovanje organizacije - taktike i strateke poslovne ciljeve

Zato? Za skupljanje dovoljno informacija za projektovanje ISMS-a organizacije

Kako?

Definisanjem obima ISMS-a.(cela organizacija, deo organizacije?)

Ako se deo organizacije iskljui, treba navesti validne razloge

Skupljati informacija kroz intervjue i pregled dokumentacije

Brainstorming sesija sa menaderima za snimanje poslovnih procesa i

identifikaciju postojeih: zahteva za identifikaciju i adekvatnu zatitu informacione imovine

kljunih aktivnosti za procesiranje informacija koje treba zatititi

procesirane informacije i odnosne IKT sisteme

uloge i odgovornosti menadmenta i ostalih zaposlenih

Rezultati aktivnosti:

Analiza poslovanja organizacije

Inventar kljune imovine i poslovnih procesa

ISMS faza planiranjaUniverzitet Singidunum

Tehniki fakultet

13

Faza planiranja procena rizika

Procena rizika

Cilj: Odrediti bezbednosni rizik na bazi:

vrednovanja kljune imovine

inventara poslovnih procesa i imovine

Zato?

Za analizu i procenu mogue tete za poslovne aktivnosti

Za identifikaciju pretnji i ranjivosti iformacione imovine

Za razumevanje kritinih faktora za informacionu

imovinu organizacije (tekue stanje vs. vizije)


Tehniki fakultet

14

Faza planiranja procena rizika -1

Kako ?

Izborom adekvatne metodologije za procenu rizika (>200)

Generiki metodi za procenu rizika

Analizom i procenom ukupnog operativnog rizika organizacije:

procenom pretnji, ranjivosti i uticaja (tete), tj. iskoristivosti

dogaaja para pretnja/ranjivost

evaluacijom rizika (kvalitativni, polu-kvantitativni metodi,

kvantitativni);

izborom opcija tretmana rizika (ublaiti, prihvatiti, preneti,

ignorisati)

detaljnom procenom kritinih faktora rizika

prihvatanjem preostalog nivoa rizika

dokumentovanjem procene ukupnog rizika!


Tehniki fakultet

15

Faza planiranja gap analiza

Gap analiza: Identifikovanje tekueg nivoa bezbednosti informacija sa

ciljem definisanja sistema zatite informacione imovine organizacije

Zato?

Za pravu orijentaciju i podrku menadmenta zatiti informacija, kroz:

Identifikovanje nedostataka koje treba ukljuiti u akcioni plan

implementacije (reinenjeringa) ISMS-a

Definisanje zahteva za ISMS u formi politike zatite

Kako ?

Na bazi procene rizika i evaluacije tekuih zahteva za bezbednost

informacija (u terminima CIA informacija)

Odreivanjem prioriteta, u kombinaciji sa analizom poslovanja kao

osnove za procenu bezbednosti informacija


Tehniki fakultet

16

Faza planiranja Izjava o primenljivosti (SoA)

SoA: Dokument ciljeva kontrola i kontrola zatite

izabranih za implementaciju ISMS-a

Sa dokumentom SoA upoznati sve zaposlene

Obezbediti da svi razumeju svoje uloge i odgovornosti

Zato ?

Za podrku ciljeva kontrola i kontrola zatite relevantnih za

primenu ISMS-a organizacije

Za opravdanje iskljuenja na bazi rezultata procene rizika:

obavezna aktivnost za ISO/IEC 27001 sertifikaciju


Tehniki fakultet

17

Faza planiranja SoA (1)

Kako?

Izborom ciljeva kontrola i kontrola zatite za primenu u

procesu tretmana rizika

Ako ciljevi i kontrole zatite ne postoje u Annex-u A, mogu

se kreirati novi

Izradom izjave o primenjivosti (SoA):

Dokumenta zatite namenjenog za:

ciljeve kontrola i kontrole zatite iz Annex-a A;

ciljeve kontrola i kontrole zatite iskljuene iz Annex-a A

SoA dokument

Primer: ako nije primenljivokorstiti outsourcing aktivnostUniverzitet Singidunum

Tehniki fakultet

18

Faza planiranja politika zatite informacija

Politika zatite: Dizajniranje i izrada politike zatite informacija

Zato ?

Za uspostavljanje strateke pozicije, koju definie menadment, za ciljeva

bezbednosti informacija u organizaciji

Za primenu principa i zahteva za bezbednost informacija kao smernica

Za definisanje uloga i odgovornosti za zatitu informacija u organizaciji


Tehniki fakultet

19

Faza planiranja politika zatite informacija 1

Kako ?

Izradom nacrta dokumentacije zatite

Na bazi znanja iz prethodnih koraka

Isticanjem, kroz saoptenja politike:

angaovanja menadmenta na principima i ciljevima zatite informacija

definicije informacione bezbednosti

principa i namene drugih politika zatite (procene rizika, AV zatite, BCP ...)

posledica (sankcija) za nesprovoenje politike zatite

uticaja zahteva zakona i standarda na organizaciju (ne prepisivati zahteve

ISO/IEC 27001)

Dovoljno konciznom i jasnom politikom, razumljivom za sve zaposlene

Regularnom proverom menadera odgovornih za sprovoenje i odravanje

politike zatite

Primer: ISMS politika zatite


Tehniki fakultet

20

Dokumentacija zatite

Treba da bude napisana i regularno pregledana

ISMS politiku zatite treba da odobri menadment

Sve verzije politike moraju biti kontrolisane (4.3.2 std)

Primer: SANS Institute uzorci politike zatite

Dokaze o odobravanju dokumenata zatite treba da uva:

menader zatite informacija ili

proveriva usaglaenosti

Sva dokumenta treba proveravati svake ili svake druge

godine


Tehniki fakultet

21

Dokumentacija zatite 1

ISMS standard zahteva definisanje i dokumentovanje: Obima i granice ISMS-a (4.2.1a)

Ciljeva ISMS-a (4.3.1a)

ISMS politike, kao superset politike zatite informacija (4.2.1b)

Pristupa proceni rizika (4.2.1c) ili metodologije (4.3.1d)

Procene rizika ili Izvetaja o analizi rizika (4.2.1c,d,e,f,g i 4.3.1e)

Plana tretmana rizika (4.2.1f i 4.2.2b)

Odobrenja menadmenta za preostali rizik - Rp (4.2.1h)

Akreditacije ISMS-a (4.2.1i)

Izjave o primenljivosti -SoA (4.2.1j) (4.2.1g)

Procedura zatite (4.3.1g)

Zapisa, koji pokazuju da ISMS stvarno radi (4.2.3, 4.3.1 i 4.3.3)

Obavezna ISMS dokumenta

Kontrolna lista ISMS dokumenata

Dokumantacija zatite zahteva upravljanje

Krosreferenciranje dokumenata zatiteUniverzitet Singidunum

Tehniki fakultet

22

ta je politika zatite?

Politika zatite JESTE:

Dokumentovana izjava menadmenta na visokom nivou

Formalni nain da se kae:

Ovo je nain na koji mi titimo nau informacionu imovinu

Generalizovane izjave zahteva za minimizaciju bezbednosnog rizika informacione imovine

Dokument zatite na viem nivou od standarda i procedura

Politika zatite NIJE:

Konfigurisanje sistema

Primer: Firewalls, IDPS, AC i drugih mehanizama zatite

Nema opcija reenja

Primer: za razliku od smernica/uputstava (Guidelines),

Ne zavisi od proizvoda/tehnologija zatite

Primer: za razliku od arhitekture sistema zatite Univerzitet Singidunum

Tehniki fakultet

23

Indikatori potrebe za politikom zatite

Pokuaji da se zadovolje zahtevi interne i spoljne provere (revizije, auditing-a)

Frustracija zbog ogranienih rezultata sa ogranienim strunim osobljem

Ponienje organizacije zbog proboja sistema zatite

Neorganizovan/sproveden program razvoja svesti o potrebi zatite

Nedovoljna ili neaurna dokumentacija zatite

Nisu izvreni kritini zadaci zatite kako bi trebalo

Zaposleni raspravljaju o tome ta treba uiniti da se pobolja zatita


Tehniki fakultet

24

Security Policy Drivers

RReegguulalattioionnss TTeecchhnnoolologgyy

TTeecchhnnoollooggyy DDeeppllooyymmeenntt

{ }

PDA

Spyware

Wireless

VOIP

Sarbox

HIPAA

GLBA

EU Data Privacy

Encryption

TThhrreeaattss SPAM

HACKS

Data Loss

Policies

Standards

IDS Anti-Virus Firewalls

BBeehhaavvioiorr

Internet Use Incident Reporting

Primer: Pokretai razvoja politike zatite

HakeriGubitakpodataka

pijuni,SPAM

PRETNJE

REGULATIVE TEHNOLOGIJE

Politike

Standardi

Implementacija tehnologije Praksa zatite


Tehniki fakultet

25

Primer: Hijerarhijska struktura politike poslovanja


Tehniki fakultet

26

Primer: Organizaciona struktura menadmenta ISMS-a


Tehniki fakultet

27

Politika zatite-Pokreta razvoja sistema zatite-

Pre implementacije sistema zatite, politika zatite:

Razjanjava: pravila zatite pre razvoja i konfigurisanja sistema zatite

Osigurava : konzistentnu aplikaciju kontrola zatite

Koordinira: rad razliitih grupa

Olakava: komunikaciju i interoperabilnost

Definie: materijal za obuku i razvoj svesti o potrebi zatite

kompromis izmeu intranet i ekstranet mrea

razmenu vlasnikih informacija sa treom stranomUniverzitet Singidunum

Tehniki fakultet

28

Atributi efektivne politike zatite informacija

Kompletnost:

obuhvata sve kritine oblasti rizika za informacionu imovinu

Organizovanost:

bazirana na iroko prihvaenom standardu (ISO/IEC 27001/2, ISO/IEC 21827, NIST SP 800-12)

Dokumentovanost:

napisana i odravana sa eksplicitno definisanim vlasnitvom i verzijom

Aurnost:

periodino revidirana i aurirana na bazi poslednje procene rizika

Komunikativnost:

politike su dostavljene svim odnosnim stranama, proitane i shvaene od strane svih zaposlenih u organizaciji


Tehniki fakultet

29

Podrka drugim procesima zatite informacija

Eksplicitno pokazuje podrku menadmenta zatiti informacija

Uspostavlja kredibilitet i transparentnost procesa zatite

Eliminie nesporazume o zatiti informacija

Proaktivno definie odgovore na proboje sistema zatite

Daje smernice za izbor servisa i kontrola zatite

Omoguava brz razvoj novog sistema zatite informacija

Definie osnovne mere zatite informacija :

duna panja (due care controles)

etiki kodeks ponaanja u IKT sistemu

minimum privilegija, znati to je potrebno, nikad sam itd.


Tehniki fakultet

30

Podrka usaglaenosti sa zakonom/regulativama...

Aranira ugovorne obaveze:

potrebne za tuilatvo u sluaju spora/kompjuterskog kriminala

Uspostavlja disciplinske mere:

otputanje sa posla i eventualno krivinu prijavu

Dokumentuje zahtev za usaglaenost:

sa zakonom, regulativama i standardima

Odrava i obezbeuje :

skrivenu zatitu legalnoj e-trgovini i e-poslovanju

Otklanja sumnju:

u krenje ugovornih/zakonskih obaveza ili zatite privatnosti

Podrava:

internu reviziju u proveri usaglaenosti


Tehniki fakultet

31

Generika struktura politike zatite - (NIST) -

Struktura politike zatite informacija: opta od 1.- 3., specifina od 4. 5:

1. Naslov:

2. Autor:

3. Verzija:

Datum:

Amandmani: kontrolni podaci dokumenta, poetak primene, revizija

4. Namena: predmet politike, bezbednosni ciljevi i ciljna grupa (namena) za koju je dokument namenjen.

Uvod: definicija zatite informacija, objanjenje konteksta sistema zatite.

Struktura, obim i granice: kratak opis strukture, obima, granica politike.

Bezbednosni ciljevi: svi bezbednosni ciljevi po prioritetima.

Specifini zahtevi: Funkcionalni: saoptenja, uloge/odgovornosti

Obavezujui: sankcije za nespovoenje, vlasnik politike

Usaglaenost sa zakonima, standardima i drugim regulativama

5. Renik termina: kljune rei koriene u dokumentu

6. Odobrava: poslednja stranica koju potpisuje akreditacioni autoritet organizacije.


Tehniki fakultet

32

I. Programska politika zatite (NIST)

1 3. (Tipini deo opte strukture politike zatite).

4. Saoptenja politike eksplicitna podrka i smernice za obim i granice politike,

4.1 Saoptenje o zahtevima: za zatitu informacija i IKT sistema organizacije.

4.2 Saoptenje o odgovornosti: obavezu odreivanja uloga (vlasnika) i odgovornosti svih zaposlenih.

4.3. Usaglaenost i obaveza primene: usaglaenosti politike sa standardima i praksom zatite;

definie vlasnika, sankcije za nesprovoenje i neusaglaenost politike zatite

5. Definicije termina: renik kljunih termina u odnosnoj politici zatite

6. Odobrava: potpisuje glavni menader.

Uzorak politike bezbednosti


Tehniki fakultet

33

II. Politika zatite IKT sistema (NIST)

Istie odluke menadmenta za zatitu IKT sistema

Definie odgovornosti za akcije u sistemu zatite

Odobrena na bazi analize i procene rizika

Fleksibilna/varira zavisno od bezbednosnih ciljeva

Saoptena kroz pravila ovlaenja:

ko (prema poloaju, kategoriji posla, imenu) i

ta ko moe raditi (modifikovati, brisati, itati...) nad objektima IS


Tehniki fakultet

34

II. Politika zatite IKT sistema (NIST) -1

1 3. (Tipini deo opte strukture politike zatite)

4. Saoptenja politike eksplicitna podrka i smernice za obim i granice politike

4.1 Saoptenje o zahtevima: za zatitu specifinog objekata imovine, komponente, sistema

4.2 Saoptenje o ulogama i odgovornostima: glavnog menadmenta i izvrnih menadera

svih zaposlenih, spoljnih saradnika i TTP provajdera

za razvoj svesti o potrebi zatite svih uesnika

4.3. Usaglaenost i obaveza primene: objanjava hijerarhiju odnosnih dokumenata zatite i znaaj usaglaenosti politike sa

standardima i praksom zatite

definie sankcije za nesprovoenje i neusaglaenost politike zatite

odreuje vlasnika politike i listu vanih kontakata sa funkcijama, a ne imenima

5. Definicije termina: renik kljunih termina u odnosnoj politici zatite

6. Odobrava: potpisuje akreditator i obino dobrovoljno ustupa autorska prava na dokument.

Primer: Politike zatite IKT sistema XYZ


Tehniki fakultet

35

III. ISMS politike zatite (ISO/IEC 27001)

1. 3. (Tipini deo opte strukture politike zatite)

4. Saoptenja politike:

Definicija bezbednosti informacija i zahtevane zatite -

Lista pravila zatite koju treba razviti:

fizika zatita sistema, personalna zatita, upotreba kriptografije, upravljanje kompjuterskim incidentom, logovanje i kontrolni tragovi, udaljeni pristup, autorizacija i kontrola pristupa,zatita poverljivost, integriteta i raspoloivost itd.

Uloge i odgovornosti: detaljne uloge i odgovornosti za ISMS.

Usaglaenost i obaveza primene

Vlasnitvo i kontakti

5. Definicije termina

6. Odobrava i autorska prava

Primer: ISMS politika LANEUniverzitet Singidunum

Tehniki fakultet

36

III. Politike (pravila) zatite

Politika (pravilo) zatite funkcionalne komponente sistema zatite

1. 3. (Tipini deo opte strukture politike zatite)

4. Saoptenja:

zahtevi za: uskladitene informacije, metod skupljanja informacija, upravljanje kolaiima, pristup linim podacima, auriranje linih podataka, iskljuivanje informacija, dostupnost za treu stranu i sl.

uloge i odgovornosti svih relevantnih uesnika na koje se politika odnosi.

5 i 6. Kao u standardnoj strukturi, ali specifino za konkretnu komponentu zatite.

Primer: Politika kontrole pristupa


Tehniki fakultet

37

Plan zatite (NIST)- proces razvoja i struktura-

Plan projekta za implementaciju politike i procedura zatite

Generiki proces razvoja plana zatite:

iniciranje projekta

razvoj politika zatite

konsultacije i odobravanje

razvoj svesti i obuka

distribucija politika zatite svim korisnicima

Primer uzorka plana zatite: Uzorak za izradu plana zatite

Primeri procedure zatite: Procedura kontrole pristupa


Tehniki fakultet

38

Primeri saoptenja bitnih politika zatite

1. Redovno izvetavati o svim problemima i ranjivostima sistema zatite centralni entitet organizacije za upravljanje zatitom informacija.

2. Pristup sistemima i informacijama davati na baziznati samo ono to je potrebno za izvravanje posla.

3. Informacije klasifikovati na bazi osetljivosti i oznaavati svaku osetljivu informaciju.

4. Korisniki izabrane lozinke moraju slediti pravilo kompleksnosti i moraju se periodino aurirati/menjati.

5. .


Tehniki fakultet

39

Faktori uspeha implementacije politike zatite

Konzistentno ukljuivanje korisnika

Podrka menadmenta (aktivni interes)

Jasna izjava o zahtevima

Dobro planiranje

Realistina oekivanja

Manje kontrolnih taaka - vea transparentnost

Vlasnitvo (odgovornosti)

Jasna vizija i ciljevi

Planiranje rizika, identifikacija i ublaavanje

Budunost politike zatite:

automatizacija (VigilEnt Policy Center from NetIQ, Informatio cecurity Policy Shield)


Tehniki fakultet

40

Primer: Problemi nedostatka politike zatite

*CSI/FBI & Information Security shield anketa

>25% zaposlenih nije proitalo ni jednu politiku zatite u 2007 godini*

50% nije proitalo sve politike zatite koje su im namenjene u 2007

75% zaposlenih ignorie politiku zatite ak i kada su svesni njenog postojanja *


Tehniki fakultet

41

Primer: Problemi nedostatka politike zatite

*CSI/FBI & Information Security shield anketa

46% korisnika rutinski deli pasvorde*

50% organizacija nema politiku za izvetavanje o bezbednosnom incidentu i ranjivostima sistema

67% organizacija istie da je kljuni prioritet u sledeoj (2010) podizanje svesti o potrebi zatite

22% organizacija imaju program za razvoj svesti o potrebi zatite

13% organizacija ima asove obuke iz oblasti zatite informacija


Tehniki fakultet

42

ZAKLJUCI

1. Glavni cilj upravljanja zatitom informacija (ZI):

uspostavljanje odrivog programa,

selekcija i izbor resursa i revizija sistema zatite

za odravanje rizika na prihvatljivom nivou.

2. GAISP - osnovni skup principa za upravljanje sistemom ZI:

informacija i integralno upravljanje IKTS/SZI

upravljanje SZ - odreeni broj infrastrukturnih servisa koji

obezbeuju normalni rad komponenti zatite i IKTS

najznaajniji resurs - tim specijalista zatite

integralno upravljanje sa IKTS i SZI (ITU X.700)

integrie skupove informacionih servisa i servisa zatite

3. Metodologija za upravljanje ZI: IEC/ISO 27001 (ISMS)

4. Planiranje implementacije ISMS-a ukljuuje sledee aktivnosti:

analizu poslovanja, procenurizika, gap analizu, izradu SoA dokumenta

i izradu politike zatiteUniverzitet Singidunum

Tehniki fakultet

43

Pitanja ?

Documents

07. Plan Implementacije ISMS i Menadzemt Rizika