Celem opracowania jest dostarczenie pomocy w trakcie oceny procesów związanych z zarządzaniem bezpieczeństwem informacji przetwarzanych metodami elektronicznymi.
Niniejsza publikacja została przygotowana w formie pytań (listy kontrolnej), tak by Czytelnik mógł jednoznacznie stwierdzić, czy w jego systemie występują lub nie określone zasady ochrony informacji.
Listę kontrolną opracowana została w sposób uniwersalny, dla każdego przedsiębiorstwa, niezależnie od specyfiki branży, struktur organizacyjnych i jego wielkości.
Jako podstawę przyjęto model opisany w publikacji Adama Gałacha "Instrukcja zarządzania bezpieczeństwem systemu informatycznego (wydawnictwo ODDK, Gdańsk 2004).
Ze wstępu odautorskiego...
Wdrożenie i utrzymanie efektywnych zasad zarządzania bezpieczeństwem systemu informatycznego jest jednym z podstawowych elementów zapewnienia ochrony informacji przetwarzanych we współczesnym przedsiębiorstwie. Niniejsza
publikacja wspomaga ocenę procesów związanych z zarządzaniem bezpieczeństwem informacji przetwarzanych metodami elektronicznymi. Jako podstawę przyjęto model opisany w publikacji Instrukcja zarządzania bezpieczeństwem systemu informatycznego.
Lista kontrolna umieszczona w niniejszej publikacji zawiera 794 pytania
pozwalające na określenie kompletności i spójności procesów zarządzania bezpieczeństwem w sposób uniwersalny, niezależnie od specyfiki branży, struktur organizacyjnych i wielkości przedsiębiorstwa. Są to pytania o charakterze zamkniętym, pozwalające na jednoznaczne stwierdzenie obecności lub braku określonych zasad ochrony informacji. Szczegóły realizacji tych zasad z reguły są uzależnione od specyfiki danej organizacji, stąd muszą być analizowane indywidualnie. Odpowiedź na pytania pozwoli na dokonanie identyfikacji tych elementów zarządzania bezpieczeństwem, które w przedsiębiorstwie nie
występują, a które być może powinny zostać w nim wdrożone. Wyróżnione zostały pytania dotyczące zabezpieczeń wdrażanych w przypadku wymogu podwyższonej ochrony poufności, integralności bądź dostępności informacji.
Wykaz pytań został opracowany w sposób hierarchiczny, pytania podrzędne precyzują zagadnienie poruszone w pytaniu nadrzędnym.
Kontakty z redaktorem [zasłonięte]@oddk.pl

Spis treści:

1. Odpowiedzialność za bezpieczeństwo systemu informatycznego i ochronę przetwarzanych informacji
2. Polityka bezpieczeństwa informacji
3. Analiza ryzyka
4. Lokalizacja sprzętu informatycznego i bezpieczeństwo fizyczne
5. Klasyfikacja
6. Bezpieczeństwo osobowe
7. Dostęp podmiotów zewnętrznych do systemu informatycznego
8. Outsourcing systemu informatycznego
9. Zarządzanie uprawnieniami użytkowników systemu informatycznego
10. Hasła
11. Generatory haseł jednorazowych
12. Karty mikroprocesorowe
13. Ochrona stanowiska pracy
14. Bezpieczne użytkowanie nośników przenośnych
15. Bezpieczne niszczenie danych
16. Poprawność przetwarzanych informacji
17. Szyfrowanie danych i zarządzanie mechanizmami kryptograficznymi
18. Kopie zapasowe
19. Zabezpieczenie zasilania elektrycznego
20. Komputery przenośne
21. Zdalna praca w systemie informatycznym
22. Wybór podmiotu świadczącego usługi dostępu do Internetu
23. Dostęp użytkowników do Internetu
24. Publikacja informacji w Internecie
25. Poczta elektroniczna
26. Bezpieczne połączenia pomiędzy sieciami informatycznymi
27. Fizyczna separacja sieci informatycznych
28. Ochrona przed niebezpiecznym oprogramowaniem
29. Monitorowanie działania systemu informatycznego
30. Zarządzanie oprogramowaniem
31. Serwis i utrzymanie systemu informatycznego
32. Zarządzanie zmianami
33. Incydenty w zakresie bezpieczeństwa
34. Planowanie ciągłości działania
35. Dostępność procesów przetwarzania informacji
36. Szkolenia w zakresie bezpieczeństwa systemu informatycznego
37. Kontrola bezpieczeństwa systemu informatycznego