plik


ÿþElementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT Filozofia prezentacji wymagaD i zabezpieczeD zgodnie z zaBcznikiem A Elementy wymagaD ISO 17799 NagBówek rozdziaBy normy ISO 17799 osobowe Obszary tematyczne - o ró|nym poziomie komplikacji Cele zabezpieczenia (objectives) Wymagania dotyczce stosowania zabezpieczeD (z dr in|. BolesBaw SzomaDski ISO 27001) Wskazówki realizacji (implementation guidance) b.szomanski@wip.pw.edu.pl 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.1  Przed zatrudnieniem (1) A.8.1. Cel zabezpieczania: Zapewnienie, |e A 8.1 Przed zatrudnieniem o pracownicy, o wykonawcy oraz A 8.2 Podczas zatrudnienia o u|ytkownicy reprezentujcy stron trzeci A 8.3 ZakoDczenie lub zmiana zatrudnienia rozumiej swoje obowizki, o s odpowiedni do peBnienia obowizków, " które maj by im powierzone, oraz Zredukowanie o ryzyka kradzie|y, o naruszenia i o niewBa[ciwego korzystania z urzdzeD. 22/04/2007 (c) B.Sz Strona 1 z 9 Elementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.1  Przed zatrudnieniem (1) 8.1  Przed zatrudnieniem (2) Zaleca si, aby zakres obowizków zawieraB A.8.1.1. Role i odpowiedzialno[ci o wymagania odnoszce si do: Role i odpowiedzialno[ci dziaBaD zgodnych z politykami bezpieczeDstwa informacji " pracowników, organizacji (patrz 5.1); " wykonawców oraz ochrony aktywów przed " u|ytkowników reprezentujcych stron trzeci z o nieuprawnionym dostpem, o zakresu bezpieczeDstwa o ujawnieniem, o powinny zosta okre[lone i o modyfikacj, o udokumentowane o zniszczeniem lub " zgodnie z polityk bezpieczeDstwa informacji organizacji. o znieksztaBceniem; 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.1  Przed zatrudnieniem (4) 8.1  Przed zatrudnieniem (3) wykonywania konkretnych dziaBaD i procesów A.8.1.2 Postpowanie sprawdzajce bezpieczeDstwa; Powinna si przeprowadzi weryfikacja okre[lenia odpowiedzialno[ci osoby za jej dziaBania; " wszystkich kandydatów do zatrudnienia, raportowania zdarzeD zwizanych lub " wykonawców oraz " u|ytkowników reprezentujcych stron trzeci o potencjalnie zwizanych z bezpieczeDstwem oraz o zgodnie z majcymi zastosowanie o innych ryzyk bezpieczeDstwa. o przepisami prawa, Zaleca si, aby role i odpowiedzialno[ci o regulacjami wewntrznymi i w zakresie bezpieczeDstwa byBy o etyk o okre[lone i " oraz o w jasny sposób przekazane o proporcjonalnie do o kandydatom podczas procesu rekrutacji. " wymagaD biznesowych, " klasyfikacji informacji, " która ma by udostpniona, oraz " dostrze|onych ryzyk. 22/04/2007 (c) B.Sz Strona 2 z 9 Elementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.1  Przed zatrudnieniem (4) 8.1  Przed zatrudnieniem (5) Postpowanie sprawdzajce: Je[li stanowisko, wymaganie przedstawienia wymaga przyznania dostpu do satysfakcjonujcych referencji, np. [rodków sBu|cych do przetwarzania informacji wra|liwych o jednego [wiadectwo pracy i to zaleca si, aby o jednej referencji osobistej; o rozwa|ono w organizacji sprawdzenie przeprowadzenie dalszego, o (kompletno[ci i dokBadno[ci) bardziej szczegóBowego sprawdzenia. o przedstawionego |yciorysu; potwierdzenie deklarowanego Zaleca si, aby o wyksztaBcenia i procedury definiowaBy kryteria i o kwalifikacji zawodowych; o ograniczenia postpowania sprawdzajcego, niezale|ne potwierdzenie to|samo[ci " np. kto odpowiada za przeprowadzenie postpowania, o (paszport lub podobny dokument); " jak, kiedy i dlaczego bardziej szczegóBowe sprawdzenia, " postpowanie sprawdzajce jest przeprowadzane " takie jak o sprawdzenie zadBu|enia lub o niekaralno[ci. 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.1  Przed zatrudnieniem (7) 8.1  Przed zatrudnieniem (6) Zaleca si przeprowadzenie postpowania sprawdzajcego A.8.1.3. Zasady i Warunki zatrudnienia o tak|e wobec wykonawców oraz Uzgodnienie i o u|ytkowników reprezentujcych stron trzeci. podpisanie Je[li wykonawcy s rekrutowani za po[rednictwem agencji, o to zaleca si, zasad i o umieszczenie odpowiedzialno[ci w umowie warunków umowy zatrudnienia Zaleca si, aby Powinno by o umowy ze stronami trzecimi (patrz 6.2.3) cz[ci zobowizaD kontraktowych o jasno okre[laBy wszystkie odpowiedzialno[ci oraz " pracowników, o procedury powiadamiania zwizane z postpowaniem sprawdzajcym. " wykonawców oraz Zaleca si, aby " u|ytkowników reprezentujcych stron trzeci o informacje o kandydatach byBy o precyzujcej ich obowizki oraz o przechowywane i o obowizki organizacji o przetwarzane zgodnie z odpowiednimi przepisami prawa. " w zakresie bezpieczeDstwa. Zaleca si, aby kandydaci byli uprzedzeni o przeprowadzaniu postpowania sprawdzajcego. 22/04/2007 (c) B.Sz Strona 3 z 9 Elementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.1  Przed zatrudnieniem (8) 8.1  Przed zatrudnieniem (8) obowizek Zaleca si aby o klasyfikacji informacji i o pracownicy, o zarzdzania aktywami organizacji o wykonawcy oraz " zwizanymi z systemami informacyjnymi i o u|ytkownicy reprezentujcy stron trzeci, którym " usBugami obsBugiwanymi przez " przyznaje si dostp do informacji wra|liwych, " pracownika, " wykonawc oraz o podpisali umow o poufno[ci i nie ujawnianiu informacji " u|ytkownika reprezentujcego stron trzeci (patrz 7.2.1 i 10.7.3); o przed uzyskaniem dostpu do [rodków sBu|cych do obowizki przetwarzania informacji; " pracowników, prawa i obowizki " wykonawców oraz o pracowników, " u|ytkowników reprezentujcych stron trzeci o w zakresie przetwarzania informacji o wykonawców oraz " otrzymywanej z innych firm lub o innych u|ytkowników, " stron zewntrznych; " np. w odniesieniu do praw autorskich lub ochrony danych osobowych (patrz 15.1.1 i 15.1.2); 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.1  Przed zatrudnieniem (10) 8.1  Przed zatrudnieniem (9) obowizki organizacji Zaleca si, aby organizacja zapewniBa, |e o w zakresie przetwarzania danych osobowych pracownika, o pracownicy, " w tym informacji tworzonych w wyniku lub o wykonawcy oraz " w trakcie zatrudnienia w organizacji (patrz 15.1.4); o u|ytkownicy reprezentujcy stron trzeci obowizki, które s akceptuj zasady i warunki o rozszerzone poza siedzib organizacji oraz o zwizane z bezpieczeDstwem informacji, o poza normalne godziny pracy, o odpowiednie do rodzaju i zakresu " np. w przypadku wykonywania pracy w domu (patrz 9.2.5 i 11.7.1); o przyznanego im dostpu do aktywów organizacji powizanych z dziaBania podejmowane, systemami informacyjnymi i usBugami. " je[li pracownik, Zaleca si, " wykonawca lub o aby w uzasadnionych przypadkach, " u|ytkownik reprezentujcego stron trzeci o nie przestrzega wymagaD bezpieczeDstwa organizacji (patrz 8.2.3). obowizki zawarte w zasadach i warunkach zatrudnienia o rozcigaBy si na okre[lony czas po ustaniu stosunku pracy (patrz 8.3). 22/04/2007 (c) B.Sz Strona 4 z 9 Elementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.2  Podczas zatrudnienia (1) 8.2  Podczas zatrudnienia (2) A.8.2. Podczas zatrudnienia A.8.2.1 Obowizki kierownictwa Cel: Zapewnienie, |e Kierownictwo powinno " pracownicy, " wykonawcy oraz o wymaga od " u|ytkownicy reprezentujcy stron trzeci s " pracowników, o [wiadomi zagro|eD i " wykonawców oraz " innych aspektów bezpieczeDstwa informacji, " u|ytkowników reprezentujcych stron trzeci " swoich obowizków i o stosowania bezpieczeDstwa " odpowiedzialno[ci prawnej oraz o s wyposa|eni w [rodki do o zgodnie z wprowadzonymi w organizacji o wspomagajce polityk bezpieczeDstwa organizacji o politykami i o podczas swej normalnej pracy, o procedurami. " a minimalizujce o ryzyko bBdów ludzkich. 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.2  Podczas zatrudnienia (2) 8.2  Podczas zatrudnienia (3) Zaleca si, aby kierownictwo byBo s motywowani do stosowania polityk bezpieczeDstwa zobowizane do zapewnienia, |e organizacji; " pracownicy, osigaj poziom [wiadomo[ci bezpieczeDstwa odpowiedni " wykonawcy oraz " u|ytkownicy reprezentujcy stron trzeci: do swoich obowizków w organizacji (patrz 8.2.2); s informowani o swoich obowizkach wypeBniaj zalecenia i warunki zatrudnienia, które o zwizanych z bezpieczeDstwem informacji uwzgldniaj polityk bezpieczeDstwa informacji o przed przyznaniem im dostpu do organizacji oraz wBa[ciwe metody pracy; o wra|liwych informacji lub systemów informacyjnych; otrzymuj zalecenia w sposób cigBy utrzymuj odpowiednie umiejtno[ci i o okre[lajce wymagania w kwalifikacje. o zakresie bezpieczeDstwa zwizane z ich " obowizkami w organizacji; 22/04/2007 (c) B.Sz Strona 5 z 9 Elementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.2  Podczas zatrudnienia (4) 8.2  Podczas zatrudnienia (5) A8.2.2 U[wiadamianie, ksztaBcenie i szkolenia z zakresu bezpieczeDstwa Zalecenia informacji szkolenia u[wiadamiajce Wszyscy o przeprowadza przed przyznaniem " pracownicy organizacji o dostpu do informacji lub usBug i " oraz, gdzie jest to wskazane, o rozpoczyna je od formalnego wprowadzenia polityki oraz wymagaD " wykonawcy i bezpieczeDstwa organizacji. " u|ytkownicy reprezentujcy stron trzeci powinni zosta odpowiednio przeszkoleni oraz Aby szkolenie obejmowaBo by regularnie informowani o o wymagania bezpieczeDstwa, o uaktualnieniach o zabezpieczenia wynikajce z zobowizaD prawnych i biznesowych oraz polityk i procedur o dotyczyBo wBa[ciwego korzystania z [rodków sBu|cych do o obowizujcych w organizacji, przetwarzania informacji, np. procedur logowania, korzystania z " które s zwizane z wykonywan pakietów oprogramowania oraz o przez nich prac. o postpowanie dyscyplinarne (patrz 8.2.3). 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.2  Podczas zatrudnienia (6) 8.2  Podczas zatrudnienia (6) A.8.2.3. Postpowanie dyscyplinarne Zalecenia Postpowania dyscyplinarnego nie nale|y rozpoczyna Wobec pracowników, bez uprzedniej weryfikacji, októrzy naruszyli |e nastpiBo naruszenie bezpieczeDstwa (patrz 13.2.3  oprocedury i polityki bezpieczeDstwa organizacji gromadzenie materiaBu dowodowego). powinien by wdro|ony oformalny proces postpowania dyscyplinarnego 22/04/2007 (c) B.Sz Strona 6 z 9 Elementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.2  Podczas zatrudnienia (7) 8.3  ZakoDczenie lub zmiana zatrudnienia (1) Zaleca si, aby formalne postpowanie dyscyplinarne A.8.3. ZakoDczenie lub zmiana zatrudnienia zapewniaBo Cel: Zapewnienie, |e " pracownicy, poprawne i obiektywne traktowanie pracowników, którzy podejrzani " wykonawcy i s o naruszenie bezpieczeDstwa. " u|ytkownicy reprezentujcy stron trzeci Zaleca si, aby to postpowanie byBo o odchodz z organizacji lub stopniowane, uwzgldniaBo takie czynniki, jak natura i ci|ar o zmieniaj stanowisko w sposób zorganizowany. naruszenia, jego wpByw na biznes, czy jest to A 8.3.1 Odpowiedzialno[ci zwizane z zakoDczeniem pierwsze, czy kolejne naruszenie, czy winny zostaB prawidBowo zatrudnienia przeszkolony, wBa[ciwe przepisy prawne lub inne stosowne czynniki. Odpowiedzialno[ci zwizane z W powa|nych przypadkach naruszeD, zaleca si, aby o zakoDczeniem lub postpowanie dopuszczaBo o zmian zatrudnienia powinny by natychmiastowe zwolnienie z obowizków, odebranie praw dostpu i o jasno okre[lone i przypisane. przywilejów oraz, je[li to konieczne, natychmiastowe wydalenie pod stra| z siedziby organizacji.. 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.3  ZakoDczenie lub zmiana zatrudnienia (2) 8.3  ZakoDczenie lub zmiana zatrudnienia (3) Zaleca si, aby przekazywanie odpowiedzialno[ci przy Zaleca si, aby te obowizki i odpowiedzialno[ci, zakoDczeniu zatrudnienia odnosiBo si do które pozostaj w mocy po ustaniu stosunku pracy Istniejcych wymagaD bezpieczeDstwa, zawiera w umowach pracowników, wykonawców i zobowizaD prawnych oraz tam, gdzie to stosowne, u|ytkowników reprezentujcych stron trzeci. odpowiedzialno[ci wynikajcej z umowy o zachowaniu poufno[ci Zaleca si, aby zmiany obowizków lub (patrz 6.1.5) oraz zatrudnienia byBy traktowane jak zasad i warunków zatrudnienia (patrz 8.1.3), które zakoDczenie wykonywania odpowiednich obowizków trwaj przez okre[lony czas po ustaniu stosunku pracy lub zatrudnienia, a o pracownika, przyjcie nowych obowizków lub zatrudnienie byBo o wykonawcy lub przeprowadzone zgodnie z rozdziaBem 8.1 o u|ytkownika reprezentujcego stron trzeci. 22/04/2007 (c) B.Sz Strona 7 z 9 Elementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.3  ZakoDczenie lub zmiana zatrudnienia (4) 8.3  ZakoDczenie lub zmiana zatrudnienia (4) Zaleca si, aby sformalizowa proces zakoDczenia A.8.3.2 Zwrot aktywów zatrudnienia tak, aby Wszyscy obejmowaB zwrot wydanego oprogramowania, " pracownicy, " wykonawcy i dokumentów i sprztu, " u|ytkownicy reprezentujcy stron trzeci jak równie| innych aktywów organizacji, takich jak o powinni zwróci wszystkie posiadane aktywa organizacji o przeno[ne urzdzenia do przetwarzania danych, o przy zakoDczeniu stosunku pracy, o karty kredytowe, " kontraktu lub o karty dostpowe, " umowy. o oprogramowanie, o podrczniki oraz o informacje przechowywane na mediach elektronicznych. 8 - BezpieczeDstwo zasobów 8 - BezpieczeDstwo zasobów ludzkich ludzkich 8.3  ZakoDczenie lub zmiana zatrudnienia (5) 8.3  ZakoDczenie lub zmiana zatrudnienia (6) W przypadkach gdy pracownicy, wykonawcy i u|ytkownicy 8.3.3 Odebranie praw dostpu reprezentujcy stron trzeci Prawa dostpu " pracowników, wykupuj sprzt organizacji lub korzystaj z wBasnego, " wykonawców i zaleca si postpowanie zgodne z procedurami zapewniajcymi, |e " u|ytkowników reprezentujcych stron trzeci wszystkie odpowiednie o do informacji lub informacje zostan przekazane organizacji i o [rodków sBu|cych do jej przetwarzania. w bezpieczny sposób usunite ze sprztu (patrz 10.7.1). o Powinny by odebrane W przypadku, gdy pracownicy, wykonawcy i u|ytkownicy o zakoDczenia albo reprezentujcy stron trzeci o zmiany zatrudnienia, " kontraktu lub dysponuj wiedz na temat toczcych si operacji, " umowy zaleca si jej udokumentowanie i przekazanie organizacji. " lub " zmodyfikowane zgodnie " z zaistniaBymi zmianami zatrudnienia 22/04/2007 (c) B.Sz Strona 8 z 9 Elementy wymagan osobowe Bezpieczenstwo teleinformatyczne WAT 8 - BezpieczeDstwo zasobów ludzkich 8.3  ZakoDczenie lub zmiana zatrudnienia (7) Przy zakoDczeniu zatrudnienia zaleca si przegld praw dostpu do aktywów zwizanych z systemami informacyjnymi i usBugami. W ten sposób mo|na zdecydowa, czy zachodzi potrzeba odebrania praw dostpu. Zaleca si, aby zmiany w zatrudnieniu byBy odzwierciedlone w odebraniu wszystkich praw, które s nieuzasadnione w zwizku z nowymi obowizkami. Prawa dostpu, które zaleca si odebra lub dostosowa, obejmuj dostp fizyczny i logiczny, klucze, karty identyfikacyjne, [rodki sBu|ce do przetwarzania informacji (patrz 11.2.4), subskrypcje oraz 22/04/2007 (c) B.Sz Strona 9 z 9

Wyszukiwarka

Podobne podstrony:
Elementy wymagan organizacyjne
Elementy wymagan fizyczne
Elementy wymagan zgodnosc
Elementy wymagan informatyczne
Wymagania zasadnicze oraz tryb i procedury oceny zgodności maszyn i elementów bezpieczeństwa(1)
rozporz minist gospod z dnia 20 12 05r w spr zasadniczych wymagań dla maszyn i elementów bezpiecz
Zasadnicze wymagania dla maszyn i elementów bezpieczeństwa 03 91 858
wymagania ogolne elementy budynku
Dz U 01 127 1391 Wymagania zasadnicze dla maszyn i elementów bezpieczeństwa podlegających ocenie z
option extended valid elements
Christmas elementary
elements
identify?sign elements?84AB82

więcej podobnych podstron