Információbiztonság fejlesztése önértékeléssel



Hasonló dokumentumok
Információbiztonság fejlesztése önértékeléssel Fábián Zoltán, Dr. Horváth Zsolt (SZTE Szent-Györgyi Albert Klinikai Központ -INFOBIZ Kft.

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Információbiztonság irányítása

Az információbiztonság megjelenése az egészségügyi szolgáltató szervezetek minőségirányítási rendszerében Dr. Horváth Zsolt, Dr.

Egészségügyi kockázatok integrált kezelésének számítógéppel támogatott gyakorlata

A BELLA PROGRAM SZEGEDI ADAPTÁCIÓJA

Szabályozók felülvizsgálata Ellenőrzési-mátrix

Akkreditáció szerepe és lehetőségei a hazai egészségügyi ellátás szakmai minőségfejlesztésében

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

Vállalati adatvédelem

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Informatikai Biztonsági szabályzata

Standardfejlesztési tevékenység

Aktualitások a minőségirányításban

Jogalkotási előzmények

A Bankok Bázel II megfelelésének informatikai validációja

Általános adatvédelmi rendelet. Avagy, ki lesz nyertes az adatkezelésben?

KÉRDŐÍV. Az iskolarendszerű szakképzést folytató intézményekben történő minőségfejlesztési tevékenység felmérésére.

Uniós fejlesztések a köznevelésben - A pedagógiai-szakmai ellenőrzés rendszere

A projekt ütemezése Tevékenység

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

JÓ GYAKORLATOK A BUDAPESTI GAZDASÁGI FŐISKOLA MINŐSÉGFEJLESZTÉSI TEVÉKENYSÉGÉBEN

IT üzemeltetés és IT biztonság a Takarékbankban

Veresné dr. Somosi Mariann

IT biztonsági törvény hatása

Az ISO es tanúsításunk tapasztalatai

Indikátorok projekt modellhelyszínein. Domokos Tamás szeptember 13.

2013. évi L. törvény ismertetése. Péter Szabolcs

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

A SZAKKÉPZÉSI ÖNÉRTÉKELÉSI MODELL ÉS AZ INKLÚZIÓS INDEX KAPCSOLATA M&S Consulting Kft.

Lehetséges-e rendszerszerű minőségfejlesztés a neonatológiai sürgősségi ellátásban?

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

A LICENSZGAZDÁLKODÁS ÚTVESZTŐI. Gintli Sándor - Neubauer János

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia Szeptember 17.

Trendek és kihívások a pénzintézeti compliance tevékenységben

ÁROP Új közszolgálati életpálya. Kérdőíves felmérés. A közszolgálati tisztviselők képesítési keretrendszerének felülvizsgálata

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

A KKV-k felkészülésének feladatai a GDPR alkalmazására (szabályzatok, tájékoztatók, nyilvántartások és oktatások) Tóth Szilárd

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

XXIII. MAGYAR MINŐSÉG HÉT

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

ÉVES BELSŐ ELLENŐRZÉSI TERV 2016 ÉV

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

NYÍREGYHÁZI FŐISKOLA A BELSŐ ELLENŐRZÉSI IRODA ÜGYRENDJE. Elfogadva: március 22. Módosítva: január 22., hatályba lép: 2013.

Rózsa Tünde. Debreceni Egyetem AGTC, Pannon Szoftver Kft SINCRO Kft. Forrás:

XXVII. Magyar Minőség Hét Konferencia

Minőségbiztosítás a koraszülöttmentésben. Széll András Peter Cerny Alapítványi Mentőszolgálat

ÖNÉRTÉKELÉSI SZABÁLYZAT

Informatikai ellenırzések, az informatika szerepe az ellenırzések támogatásában

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

MINTA Kereskedelmi és Szolgáltató Kft. FELMÉRÉS EREDMÉNYE

INTÉZMÉNYI ÖNÉRTÉKELÉSI ÉVES TERV

Smarter cities okos városok. Dr. Lados Mihály intézetigazgató Horváthné Dr. Barsi Boglárka tudományos munkatárs MTA RKK NYUTI

AZ IKIR TANULSÁGAI ÉS KITERJESZTÉSE

Bevezetés az Informatikai biztonsághoz

.. ÁLTALÁNOS ISKOLA. Éves önértékelési terv MINTA. 2017/2018. tanév

A BELLA akkreditáció HATÁSVIZSGÁLATA. Takács Erika SE EMK május 28.

Az ITIL egyszeruen. avagy. híd

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

A minőségirányítási rendszerek fejlesztési lehetősségei az egészségügyben. Dr. Szecsei Klára 2010.

Kockázatmenedzsment a vállalati sikeresség érdekében. ISOFÓRUM XXIII. NMK Balatonalmádi, Dr. Horváth Zsolt (INFOBIZ Kft.

DOKUMENTUMKEZELÉSI MEGOLDÁSOK A MAGYAR EGÉSZSÉGÜGY RÉSZÉRE

A korrupció megelőzése érdekében tett intézkedések

Rejtett tartalékok vagy kidobott pénz?

Pedagógus vezetői intézményi ÖNÉRTÉKELÉS

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

BELSŐ ELLENŐRZÉS ÜTEMTERVE

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Polgár Város Önkormányzata és Intézményei évi belső ellenőrzési tervét megalapozó kockázatelemzése

ÖNKORMÁNYZATOK HELYZETE ÉS

INTÉZMÉNYI ÖNÉRTÉKELÉSI ÉVES TERV

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

A Nemzeti Elektronikus Információbiztonsági Hatóság

Vezetői beszámoló Kerekegyháza Polgármesteri Hivatala ÁROP hivatali szervezetfejlesztésről

A SPORTISKOLAI PROGRAM MONITORINGJA ÉS A SZAKÉRTŐI MUNKA LEHMANN LÁSZLÓ

Csongrád megyei vállalkozások innovációs fejlesztései. Nemesi Pál CSMKIK elnök június 26.

A HATÉKONY VÁLLALATI MŰKÖDÉS VEZETŐI ESZKÖZTÁRA

QSA assessment tapasztalatok az auditor szemszögéből Tassi Miklós Tátrai Péter

A minőség és a kockázat alapú gondolkodás kapcsolata

Az es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység

AZ INTÉZMÉNYFEJLESZTÉSI TERVEK ÉRTÉKELÉSI SZEMPONTRENDSZERE

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

6501/17 ea/ac/eo 1 DG D 1 A

GYAKORLATI TAPASZTALATOK AZ ISO EIR SZABVÁNY TANÚSÍTÁSOKRÓL BUZNA LEVENTE AUDITOR

4. Prioritás: Információs társadalom- és gazdaságfejlesztés 4.3. intézkedés: Az e-közigazgatás fejlesztése & MITS e-önkormányzat KKP

Klinikai kockázatelemzésre épülő folyamatfejlesztés. Katonai Zsolt

ENERGIAHATÉKONYSÁGI DIREKTÍVA (27/2012 EK) ÉS AZ ISO 50001:2012 SZABVÁNY KAPCSOLATA KOHL ZSUZSANNA ÜGYVEZETŐ FRAMEWORK HUNGARY KFT.

Polgár Város Önkormányzata és Intézményei évi belső ellenőrzési tervét megalapozó kockázatelemzése

The Leader for Exceptional Client Service. szolgáltatások

Pest Megyei Pedagógiai Szakszolgálat A TAGINTÉZMÉNY ÉVES ÖNÉRTÉKELÉSI TERVE

Nem pedagógus munkakörben foglalkoztatottak teljesítményértékelési szabályzata

INT-13 ADATVÉDELMI SZABÁLYZAT. (4. kiadás 1. módosítása) Módosítások

SZERVEZETI ÖNÉRTÉKELÉSI EREDMÉNYEK ALAKULÁSA 2013 ÉS 2017 KÖZÖTT

A személyes kontrolltól a rendszereken át az önműködő szervezetig. Münnich Iván ügyvezető Sämling Solution Consulting Kft.

Átírás:

Információbiztonság fejlesztése önértékeléssel Fábián Zoltán Dr. Horváth Zsolt, 2011

Kiindulás SZTE SZAKK információ információ adatvédelmi szabályozás napi gyakorlat információ Milyen az összhang? belső audit adatvédelmi kérdések információ 2

Elvárások biztonság fejlesztésére Ne jelentsen nagy terhet a munkatársaknak (egyszerű és átlátható működés) Ne legyen drága Valóban növelje a biztonságot Ne csak adatvédelmet, hanem információbiztonságot jelentsen

Együttműködés külső tanácsadó szervezettel Klinikánként eltérő adatvédelmi szintek Kompetencia és kapacitás hiány Megfelelő partner keresése Többlépcsős együttműködés lehetősége

Együttműködés programja lépésről- lépésre 1. lépés: Önértékelő kérdőíves felmérés és a kapcsolódó intézkedési javaslatok a statisztikailag feltárt problémák pótlására 2. lépés: Szakértői informatikai és információbiztonsági kezdeti állapotfelmérés és a kapcsolódó intézkedési javaslatok a feltárt gyenge pontok, problémák javítására 3. lépés: Adatvagyon, információs vagyon és fenyegetettségeinek, kockázatainak felmérése és a kapcsolódó intézkedési javaslatok az el nem fogadható kockázatok kezelésére 4. lépés: Folyamatos kockázatkezelésen alapuló biztonsági intézkedések beemelése az irányítási rendszerbe ( integrált irányítási rendszer ezzel tartalmazza az információbiztonsági irányítási rendszert is)

Célok: 1. lépés feladatai a felső vezetésnek bemutatni az információbiztonság jelentőségét, gyors és költséghatékony módon az adatvédelem / információbiztonság állapotát nagyságrendileg jellemezni (Ez nem helyettesíti a későbbi részletes, helyszíni szakértői felmérések szükségességét.) Főbb problémákra rámutatni Tevékenységek: Képzés: : Információbiztonsági tájékoztató, ismeretfrissítő és tudatosságnövelő alapképzés Önértékelés: : Egy széles körű, általános célú önértékelési kérdőív az információbiztonság és adatvédelem gyakorlati alkalmazási szintjének meghatározása, valamint egy informatikai üzemeltetés körben Kiértékelések, következtetések

A bevezető információbiztonsági témájú képzés Képzés célja: az adatvédelmi felelősök és a középvezetők számára ismeretfrissítés, az adatbiztonsági tudatosság erősítése, valamint a figyelem felhívása az információbiztonság és informatikai üzemeltetés hatásának jelentőségére a Klinika működési - és adatbiztonságára. A képzés főbb témái: A képzés résztvevői: Középvezetők (és felső vezetők) Adatvédelmi felelősök Informatikai üzemeltetés Minőségirányítás Csapdás esetek, előre nem számított negatív események és ezek tapasztalatai a betegek adatvédelmével kapcsolatban; Az információbiztonság szerepe és jelentősége egészségügyi szolgáltató szervezetek működésében; A A kórházi információtechnológiai (IT) adatvédelem főbb gyakorlati szempontjai; Az informatikai üzemeltetés, mint szolgáltatás megbízhatóságának kritériumai, mutatói.

Az önértékelés módszere Általános célú Informatikai célú Célja A teljes szervezetet átfogóan, felhasználói körben az adatvédelem gyakorlatának és tudatosságának (előzetes) felmérése. Az informatikai rendszer fenyegetettségi és védelmi profiljának (előzetes) felmérése. Módszere A teljes szervezetet átfogóan, felhasználói körben az adatvédelem gyakorlatának és tudatosságának (előzetes) felmérése. Egy 8 10 oldalas kérdőív, az informatikai és informatikai biztonsági rendszer kulcselemei. Résztvevők köre Minél szélesebb körben, minden betegellátó és adminisztratív egységből több dolgozó. Szervezet informatikai vezetése. Kiértékelés módja IT alapú statisztikai kiértékelés, majd az eredmények alapján a kimutatható gyenge pontok. Szakértői verbális kiértékelés a kulcselemekre adott válaszok és összefüggéseik alapján.

Az önértékelés témakörei Általános célú önértékelés témái: o o o papíralapú dokumentációk biztonságos / bizalmas kezelése adatvédelmi szabályok és előírások megléte, ismerete és betartása informatikai biztonsági szabályozások megléte, ismerete és betartása az egyes betegellátó és adminisztratív szervezeti egységek mindennapi gyakorlatában. Informatikai célú önértékelés témái: informatikai infrastruktúra, alkalmazások, üzemeltetés, felhasználói állomány, működési környezet o kereteinek, működésének jellemzése (fenyegetettségi( profil) o üzemeltetése meglévő védelmi elemeinek jellemzése (védelmi( profil)

Eredmények Papíralapú betegdokumentáció-kezelés használhatósága Papíralapú betegdokumentációhoz való hozzáférhetőség Papíralapú betegdokumentáció másolatának biztonsága Papíralapú betegdokumentáció tárolásának, archiválásának biztonsága Adatvédelmi szabályozás létének ismerete Tudatosság social engineeringgel szemben Munkakörökhöz kapcsolódó különleges adatvédelmi követelmények Informatikai biztonsági szabályzat Jelszókezelés Betegadatokhoz való informatikai hozzáférés Betegadatok elektronikus tárolásának helye IT eszközhasználat

Eredmények Papíralapú dokumentumok biztonságos kezelése 100 80 60 40 20 0 használhatóság hozzáférés másolat tárolás, archiválás 120 Adatok védelme Informatikai biztonsági szabályozások 100 80 60 40 20 0 szabályzás adatok bizalmas kezelése soc.eng. munkaköri 120 100 80 60 40 20 0 szabályzás jelszó betegadatokhoz adathely IT hozzáférés eszközhasználat

Eredmények Fenyegetettségek Védelmi profil 80 70 60 50 40 30 20 10 0 IT- Alkalmazás Működtetés Infrastruktúra Humán

Humán csoport - eredmények Információbiztonsági felelős és speciális szakrtelem hiánya Információbiztonság hiánya a menedzsment általi központi elvárásokból Biztonság rendszeres felülvizsgálatának hiánya Új alkalmazottak (személyi jellegű) biztonsági kockázatai vizsgálata Külső kapcsolatok biztonsági veszélyeinek kezelése hiánya Belső biztonsági tudatossági képzések hiánya Belső biztonsági szabályok felülvizsgálata

Köszönöm megtisztelő figyelmüket! Fábián Zoltán fabian.zoltan@si.szote-hu.szeged.hu http://www.klinikaikozpont.u-szeged.hu Dr. Horváth Zsolt horvathzs@infobiz.hu http://www.infobiz.hu

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés