http://www.securityrevue.com/article...ych-podnikoch/

http://www.csirt.gov.sk/informacna-bezpecnost/standardy-a-legislativa/isoiec-27000-814.html


http://www.csirt.gov.sk/informacna-b...cania-80f.html

Hm... za to si firmy/ludia davaju dost platit, tak neviem ci sa nejaky dobrak najde. Snad ano...

PS1
Doporučuji autorovi nejprve nastudovat co to je ISO.

PS2
Norma: ISO 9001 nepožaduje směrnice.

zadavatel mal na mysli asi toto:

428/2002 Z. z.Zákon o ochrane osobných údajov
§ 16
Bezpečnostný projekt

(1) Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2) Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(3) Bezpečnostný projekt obsahuje najmä
a) bezpečnostný zámer,
b) analýzu bezpečnosti informačného systému,
c) bezpečnostné smernice.
(4) Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä
a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
b) špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
d) vymedzenie hraníc určujúcich množinu zvyškových rizík.
(5) Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému, ktorá obsahuje najmä
a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých rizík,
b) použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami.
(6) Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä
a) popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,
b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k informačnému systému,
c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov (§ 19),
d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému,
e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.

ak ano, je tu na porade niekolko tem ohladne tohto, skus vyhladat

pre 1Dara: bezpecnostny projekt je nieco ine, aj ked tam vatsinou byvaju veci aj ohladom IT (pristup k osobnym udajom, zalohovanie,...).

pre PASKOV: 9001 asi nie (aj ked nemam nastudovane), ale ISO je tak zlozita byrokracia, ze niekde sa nejaka zmienka urcite najde, kedze tych ISO je viac. A Auditori sa radi prehrabuju smernicami, ved zaco by boli plateni? :-)

Tak zas aby som aspon trochu napomohol, tak tu je nejaka struktura obsahu, ako by to mohlo vyzerat. Obsah a formu treba dplnit podla vlastnych zvyklosti.

1. Predmet
2. Oblasť platnosti
3. Skratky a pojmy
4. Popis informačného systému
4.1. Používané zariadenia
4.2. Používané programy
4.3. Spracovávanie dát
4.4. Používané formáty dokumentov
4.5. Zdieľanie dát
4.6. Elektronická pošta
4.7. Internet
5. Nastavenie a parametre informačného systému
6. Zálohovanie dát (toto treba spravit poriadne, samozrejme to ale aj dodrzovat, lebo zvysknu kontrolovat :-)
6.1. Skratky a pojmy
6.2. Oblasti zálohovania
6.3. Zálohovacie zariadenia
6.4. Spôsob zálohovania
6.5. Obnova dát
7. Zoznam príloh a formulárov (napriklad pristupove udaje, konfiguracie, sposoby pomenovavani zariadeni a pod.)
8. Oboznámenie sa s organizačnou smernicou (len tabulka pre podpisy)

A netreba zabúdať, že ak chcete naplniť ISO do bodky, tak Vám neostane čas na samostatnú prácu. Tento názor mám od viacerých ľudí, ktorí to museli zaviesť.

Suhlasim, aj ked to nieco ma do seba - samozrejme treba spravit smernicu tak, aby bola jednoducha, vyhovovala auditorom, ale zase aby bola aj pouzitelna a dalo sa podla nej robit. Problem je ten, ze smernice sa robia zbytocne zlozite, takze ich skoro nik nielenze necita, ale uz vobec nedodrzuje. To ale preto, ze treba aj pracovat.

Som laik, preto sa pýtam: toto by sme mali mať všetci, ktorí používame IT?

Nie, iba tí od ktorých to požadujú ich partneri. Ber to "približne", nie doslovne.

Doporučuji o ISO 9001 psát jen v tom případě, že pochopím text normy.


PS1
Norma ISO 9001 požaduje jen minimum:


Politika kvality

Cíle kvality

Příručka kvality


PS2
Ostatní text je jen na dobrovolné a účelné podstatě.

Dakujem, to co som potrebovala som nasla, dokuemnt uz mamlen psom potrebovala si o niektore veci dollnit na ktore som mohla pripadne zabudnut.