4
TÜV Rheinland Polska Sp. z o.o.
2007
1/2009
Po co zarządzać bezpieczeństwem?
ISO/IEC 2007 - standard bezpieczeństwa informacji
System Zarządzania Bezpieczeństwem Informacji ISO/IEC 27001 e-mail: post@pl.tuv.com • www.tuv.pl
Wstęp Szanowni Państwo, pierwsze w tym roku wydanie Biuletynu Jakości poświęcamy bezpieczeństwu informacji. Pragniemy w ten sposób przybliżyć Państwu zagadnienia
Biuro Zarządu 02-146 Warszawa ul. 17 Stycznia 56 tel.: 022/ 846 79 99 tel.: 022/ 846 51 63 fax: 022/ 868 37 42
związane z ochroną informacji w przedsiębiorstwie oraz zaprezentować najważniejsze wytyczne za-
Oddziały: 41-800 Zabrze ul. Wolności 327 tel.: 032/ 271 64 89 tel.: 032/ 271 06 23 fax: 032/ 271 64 88
warte w standardzie ISO/IEC 27001. W tym celu zaprosiliśmy ekspertów, którzy w przejrzysty sposób przedstawiają istotę systemu zarządza-
60-729 Poznań ul. Łukaszewicza 43 tel./fax: 061/ 867 81 87 tel./fax: 061/ 864 22 58 tel./fax: 061/ 864 31 34
nia bezpieczeństwem informacji oraz jego wpływ na prawidłowe funkcjonowanie firmy. Mamy na-
10-434 Olsztyn ul. Kołobrzeska 50 tel.: 089/ 533 14 80 tel./fax: 089/ 533 15 39 tel. kom.: 0609 238 186
dzieję, że zawarte w niniejszym Biuletynie Jakości informacje będą Państwu pomocne zarówno w za-
20-950 Lublin ul. Czechowska 4 tel./fax: 081/ 532 86 68 tel./fax: 081/ 532 86 87
kresie poszerzenia wiedzy jak i praktycznych zastosowań.
42-200 Częstochowa ul. Kucelińska 22 tel./fax: 034/ 323 50 54 tel. kom.: 0603 784 817
Tradycyjnie już zapraszamy Państwa do zapoznania się ze stałymi pozycjami naszego Biuletynu
77-100 Bytów ul. Lęborska 24 tel./fax: 059/ 822 79 53 tel. kom.: 0695 888 838
Jakości jakimi są: harmonogram szkoleń organizowanych przez TÜV Akademia Polska Sp. z o.o. oraz
85-130 Bydgoszcz ul. Grudziądzka 27-29 tel./fax: 052/ 345 80 80 tel./fax: 052/ 373 97 05 tel. kom.: 0609 371 661 35- 103 Rzeszów ul. Handlowa 4 tel./fax: 017/ 850 41 59 tel. kom.: 0603 784 813 32-020 Wieliczka Park Kingi 1 tel./fax: 012/ 288 30 90 tel./fax: 012/ 278 75 40 tel./fax: 012/ 278 75 41 43-300 Bielsko-Biała ul. I Dywizji Pancernej 45 tel. 033/ 810 43 47 tel. kom.: 0609 440 910
cykl podróży po krajach, w których swój oddział ulokował TÜV Rheinland Group.
Spis treści ISO/IEC 27001 – standard bezpieczeństwa informacji . . . . . . . . . . . 3 Bezpieczeństwo informacji z punktu widzenia prowadzenia biznesu . . . .
6
Po co zarządzać bezpieczeństwem? . . . . . . . . . . . . . . . . . . 8 Audit Systemu Zarządzania Bezpieczeństwem Informacji – bezpieczne lądowanie . . . . . . . . . . . . . . . . . . . . . . . 11 Redakcja: Mariusz Petri tel.: 032/271 64 89 w. 106 e-mail: mariusz.petri@pl.tuv.com e-mail: post@pl.tuv.com www.tuv.pl
TÜV Akademia Polska – szkolenia otwarte na rok 2009 . . . . . . . . . . 13 Podróże, humor . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Biuletyn Jakości nr 1/2009 TÜV Rheinland Polska Sp. z o.o.
Mariusz Koszeluk
System Zarządzania Bezpieczeństwem Informacji
Główny Informatyk Pełnomocnik ds. Systemu Zarządzania Bezpieczeństwem Informacji TÜV Rheinland Polska Sp. z o.o. e-mail: mariusz.koszeluk@pl.tuv.com
ISO/IEC 27001 – standard bezpieczeństwa informacji Liczne źródła zagrożeń mających wpływ na bezpieczeństwo informacji, powodują wzrost prawdopodobieństwa wystąpienia sytuacji awaryjnych. Każda organizacja posiada swój wewnętrzny system, który pozwala chronić jej aktywa. Migracje pracowników, kradzieże sprzętu komputerowego, wejścia nie zatrudnionych osób na teren firmy, ataki hakerów — to tylko niektóre z czynników, które mogą powodować wyciek ważnych informacji z firmy. Każda firma stara się zabezpieczyć jak najlepiej swoje dane, ale ponieważ na własną rękę jest to dość trudne coraz więcej firm decyduje się na rozwiązania systemowe. Wdrożenie systemu zgodnie z ISO/IEC 27001 z jednej strony umożliwia wykorzystanie uznawanego na całym świecie standardu, z drugiej daje możliwość porównania a w konsekwencji doskonalenia organizacji w zakresie funkcjonującego systemu. System Zarządzania Bezpieczeństwem Informacji zgodny z normą ISO/IEC 27001 nie daje stuprocentowej gwarancji bezpieczeństwa, ale na pewno pozwala zminimalizować ryzyko utraty informacji. Korzyści, jakie zapewnia zdefiniowany system zarządzania trudno jest oszacować podając tylko kwoty. Stwierdzenie to jest trochę paradoksalne zwłaszcza jeżeli mówimy o systemie, w którym z jednej strony optymalizujemy i szacujemy nakłady finansowe, a z drugiej szacujemy wartości ewentualnie poniesionych strat. Niemniej zapewnienie ciągłości działania, wizerunek i prestiż firmy dla każdego właściciela są dobrem najwyższym. Wdrożenie systemu to minimalizowanie ryzyka, a jest co minimalizować, gdyż utrata ważnych danych może doprowadzić do utrudnienia pracy firmy, problemów prawnych strat finansowych, utraty wizerunku, a nawet jej upadku. Przyczyny powstawania zagrożeń wynikają przede wszystkim z braku ugruntowanej wiedzy osób odpowiedzialnych za przetwarzanie informacji oraz braku stosownych środków na zastosowanie optymalnych zabezpieczeń. Najczęściej utrata informacji spowodowana jest
podstawowymi błędami personelu i ich naiwnością. Może to być na przykład biznesowa rozmowa telefoniczna, prowadzona wśród nieznajomych na korytarzu, pozostawione materiały na kserokopiarce, czy otwarcie podejrzanego załącznika otrzymanego w poczcie elektronicznej . Najważniejsze a zarazem najtrudniejsze jest szacowanie ryzyka. Organizacja może wydać pieniądze na sejfy, kamery i firmę ochroniarską, ale może się okazać, że środki jakie zostaną poniesione na zabezpieczenia są zbyt duże w stosunku do wartości chronionych aktywów. Chodzi o to, aby znaleźć kompromis pomiędzy nakładami poniesionymi na zabezpieczenia oraz „wartością” informacji, którą należy chronić. W tym celu kalkuluje się koszty oraz określa próg akceptowalności ryzyka czyli poziom powyżej, którego bezwzględnie powinniśmy wdrożyć i stosować zabezpieczenia. W odniesieniu do tych danych budowany jest cały system. System Zarządzania Bezpieczeństwem Informacji, powinien być dostosowany do potrzeb każdej, konkretnej firmy i wbrew obiegowej opinii nie odnosi się tylko do bezpieczeństwa systemów informatycznych. Przykładowymi korzyściami płynącymi z wdrożonego systemu ISMS są: certyfikat zgodności jako wyróżnik rynkowy wzrost ochrony majątku firmy minimalizowanie strat przewidywanie zagrożeń i umiejętność reagowania na sytuacje awaryjne większa świadomość pracowników identyfikacja nieprawidłowości niezależny nadzór sprawowany przez jednostki zewnętrzne jasno określone odpowiedzialności przewaga marketingowa nad konkurencją lepsza komunikacja wewnętrzna i zewnętrzna lepsze zrozumienie procesów zachodzących w organizacji wzbudzenie zaufania u klientów System zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001 jest kompatybilny z innymi sy-
System Zarządzania Bezpieczeństwem Informacji Powiązanie pomiędzy ISO/IEC 27001 a ISO 9001:2000 i ISO 14001:2004 przedstawiono w poniższej tabeli. ISO/IEC 27001
ISO 9001:2000
ISO 14001:2004
0 Wprowadzenie 0.1 Postanowienia ogólne 0.2 Podejście procesowe 0.3 Zgodność z innymi systemami zarządzania
0 Wprowadzenie 0.1 Postanowienia ogólne 0.2 Podejście procesowe 0.3 Powiązanie z ISO 9004 0.4 Kompatybilność z innymi systemami zarządzania 1 Zakres normy 1.1 Postanowienia ogólne 1.2 Zastosowanie 2 Norma powołana 3 Terminy i definicje 4 System zarządzania jakością
Wprowadzenie
4.1 Wymagania ogólne
4.1 Wymagania ogólne
1 Zakres normy 1.1 Postanowienia ogólne 1.2 Zastosowanie 2 Powołania normatywne 3 Terminy i definicje 4 System zarządzania bezpieczeństwem informacji (SZBI) 4.1 Wymagania ogólne 4.2 Ustanowienie i zarządzanie SZBI 4.2.1 Ustanowienie SZBI 4.2.2 Wdrożenie i eksploatacja SZBI 4.2.3 Monitorowanie i przegląd SZBI 4.2.4 Utrzymanie i doskonalenie SZBI 4.3 Wymagania dotyczące dokumentacji 4.3.1 Postanowienia ogólne 4.3.2 Nadzór nad dokumentami 4.3.3 Nadzór nad zapisami 5 Odpowiedzialność kierownictwa 5.1 Zaangażowanie kierownictwa
8.2.3 Monitorowanie i pomiary procesów 8.2.4 Monitorowanie i pomiary wyrobu
4.2 Wymagania dotyczące dokumentacji 4.2.1 Postanowienia ogólne 4.2.2 Księga jakości 4.2.3 Nadzór nad dokumentami 4.2.4 Nadzór nad zapisami 5 Odpowiedzialność kierownictwa 5.1 Zaangażowanie kierownictwa 5.2 Orientacja na klienta 5.3 Polityka jakości 5.4 Planowanie 5.5 Odpowiedzialność, uprawnienia, komunikacja 5.2 Zarządzanie zasobami 6 Zarządzanie zasobami 5.2.1 Zapewnienie zasobów 6.1 Zapewnienie zasobów 6.2 Zasoby ludzkie 5.2.2 Szkolenie, uświadamianie i 6.2.2 Kompetencje, świadomość i szkolenia kompetencje 6.3 Infrastruktura 6.4 Środowisko pracy 6 Wewnętrzny audyt SZBI 8.2.2 Audit wewnętrzny 7 Przegląd SZBI realizowany przez kierow- 5.6 Przegląd zarządzania nictwo 7.1 Postanowienia ogólne 5.6.1 Postanowienia ogólne 7.2 Dane wejściowe do przeglądu 5.6.2 Dane wejściowe do przeglądu 7.3 Wyniki przeglądu 5.6.3 Dane wyjściowe z przeglądu 8 Doskonalenie SZBI 8.5 Doskonalenie 8.1 Ciągłe doskonalenie 8.5.1 Ciągłe doskonalenie 8.2 Działania korygujące 8.5.2 Działania korygujące 8.3 Działania zapobiegawcze
1 Zakres normy 2 Powołania normatywne 3 Terminy i definicje 4 Wymagania dotyczące systemu zarządzania środowiskowego
4.4 Wdrażanie i funkcjonowanie 4.5.1 Monitorowanie i pomiary
4.4.5 Nadzór nad dokumentami 4.5.4 Nadzór nad zapisami
4.2 Polityka środowiskowa 4.3 Planowanie
4.4.2 Kompetencje, szkolenie i świadomość. 4.5.5 Audit wewnętrzny 4.6 Przegląd zarządzania
4.5.3 Niezgodności, działania korygujące i zapobiegawcze.
8.5.3 Działania zapobiegawcze
Załącznik A. Cele stosowania zabezpieczeń oraz zabezpieczenia
Załącznik A Wytyczne do stosowania niniejszej normy.
Załącznik B. Zasady OECD i niniejsza Norma Międzynarodowa Załącznik C Załącznik A Powiązanie ISO 9001:2000, ISO 14001:2004 Powiązanie pomiędzy z niniejszą Normą Międzynarodową ISO 9001:2000 i ISO 14001:1996
Załącznik B Powiązanie ISO 14001:2004 z ISO 9001:2000
Biuletyn Jakości nr 1/2009 TÜV Rheinland Polska Sp. z o.o.
stemami zarządzania np. jakością (ISO 9001:2000) i środowiskowego (ISO 14001:2004) Podejście procesowe podczas ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i poprawy skuteczności w organizacji znajduje odbicie we wszystkich funkcjonujących systemach zarządzania. Międzynarodowa norma ISO/IEC 27001 określa wymagania na każdym z kroków wdrożenia i funkcjonowania systemu wewnątrz organizacji. Zakres normy obejmuje część podstawową oraz załączniki (jeden normatywny i dwa informacyjne). Część podstawowa normy określa wymagania dla ustanowienia, wdrożenia, eksploatacji, utrzymania i doskonalenia systemu. Mówi o elementach analogicznych z jakimi spotykaliśmy się w przypadku innych systemów zarządzania: audity wewnętrzne, przegląd realizowany przez kierownictwo, nadzór nad dokumentami i zapisami, zarządzanie zasobami. Niewątpliwie nowością w stosunku do innych systemów zarządzania jest załącznik normatywny A, opisujący cele stosowania zabezpieczeń i zabezpieczenia. Spełnienie wymagań określonych w załączniku A jest obligatoryjne. Zabezpieczenia opisano w elementach od A.5 do A.15 A.5 Polityka bezpieczeństwa Cel: Zapewnienie wsparcia dla bezpieczeństwa informacji zgodnie z wymaganiami biznesowymi i wymaganiami prawnymi. A.6 Organizacja bezpieczeństwa informacji Cel: Zarządzanie bezpieczeństwem informacji wewnątrz organizacji oraz na zewnątrz organizacji. A.7 Zarządzanie aktywami Cel: Osiągnięcie i utrzymanie odpowiedniego zabezpieczenia aktywów organizacji oraz zapewnienie odpowiedniego poziomu zabezpieczeń dla informacji. A.8 Bezpieczeństwo zasobów ludzkich Cel: Zapewnienie, że pracownicy rozumieją swoją odpowiedzialność i są odpowiedni do przypisanej im roli, rozumieją zagrożenia bezpieczeństwa informacji i dysponują zasobami dla realizacji polityki bezpieczeństwa. A.9 Bezpieczeństwo fizyczne i środowiskowe Cel: Uniemożliwienie niedozwolonego dostępu fizycznego lub zniszczenia i uszkodzenia danych. A.10 Zarządzanie systemami i sieciami Cel: Zapewnienie właściwego i bezpiecznego działania urządzeń przetwarzających informacje a także zabezpieczenia danych podczas działań serwisowych jednostek zewnętrznych. A.11 Kontrola dostępu Cel: Kontrola dostępu do informacji i udostępnienie informacji upoważnionym osobom. A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych Cel: Zapewnienie, że bezpieczeństwo jest integralną częścią systemu A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji
System Zarządzania Bezpieczeństwem Informacji
Cel: Zapewnienie informowania otoczenia o słabościach systemu informatycznego A.14 Zarządzanie ciągłością działania Cel: Przeciwdziałanie przeszkodom w produkcji A.15 Zgodność z wymaganiami prawnymi Cel: Uniknięcie przekroczenia wymagań prawnych. Zgodnie z wytycznymi normy powyższa lista nie jest wyczerpująca i organizacja może rozważyć, czy nie są konieczne dodatkowe cele stosowania zabezpieczeń i zabezpieczenia. Przy wdrażaniu systemu warto odnieść się do normy ISO/IEC 17799. Rozdziały od 5 do 15 wymienionej normy są poradnikiem zawierającym najlepsze praktyki dotyczące zabezpieczeń określonych w A.5 do A.15. Jednostka certyfikująca TÜV Rheinland wydaje certyfikat uznawany na całym świecie pod warunkiem efektywnego wdrożenia systemu zarządzania bezpieczeństwem informacji i auditu zakończonego oceną pozytywną. Literatura: [1] Tadeusz Kifner „Polityka bezpieczeństwa i ochrony informacji [2] PN-ISO/IEC 27001:2007 – System zarządzania bezpieczeństwem informacji. Wymagania [3] PN-ISO/IEC 17799:2007 – Praktyczne zasady zarządzania bezpieczeństwem informacji.
System Zarządzania Bezpieczeństwem Informacji
Adam Biegaj Kierownik Sekcji Systemów Zarządzania w Przemyśle Motoryzacyjnym TÜV Rheinland Polska Sp. z o.o. e-mail: adam.biegaj@pl.tuv.com
Bezpieczeństwo informacji z punktu widzenia prowadzenia biznesu Ilość informacji dostępnych dla niemal każdego uczestnika rynku jest niewyobrażalnie duża. Wynika to głównie z globalizacji, informatyzacji współczesnego świata, a przede wszystkim z praktycznie stałego dostępu do skarbnicy wiedzy, jakim jest Internet. Dlatego też, niewielu jest już chyba przedsiębiorców, którzy nie traktują informacji jako towar. Zarządzając firmą potrzebujemy różnego rodzaju informacji, które pozwalają nam podejmować optymalne decyzje dla naszego biznesu. Jak jednak nie zagubić się w gąszczu informacji płynących do nas z każdej strony? Jak wybrać dla siebie te, które naprawdę nam się przydadzą? To tylko jedna strona medalu. Każdy towar na rynku ma prawo bytu poprzez sterowanie mechanizmem podaży i popytu. Pokazuje nam to wyraźnie, że z jednej strony potrzebujemy informacji z zewnątrz do prowadzenia naszej działalności, a z drugiej pewne dane są od nas wymagane. A przecież nie wszystkie informacje chcemy, aby były udostępnione publicznie. Niektóre z nich jesteśmy wręcz zobligowani do utrzymywania w tajemnicy. Zależnie od skali i charakteru naszej działalności informacje te mogą mieć dla nas znaczenie z punktu widzenia między innymi: a) informacji handlowej, na przykład o potencjalnych klientach zainteresowanych naszą ofertą, b) szczegółów handlowych oferty, które mogą być interesujące dla konkurencji, c) strategicznych informacji o technologiach i metodach biznesowych stosowanych w firmie, które dają nam przewagę nad konkurencją, d) informacji o kluczowych źródłach pozyskiwania surowców i materiałów produkcyjnych, e) zachowania tajemnicy naszych Klientów, którzy powierzając nam pewne zlecenia odkrywają przed nami część poufnych danych mówiących o ich planach rozwojowych, f) oraz wiele innych, możliwych do precyzyjnego zidentyfikowania wyłącznie przez organizacje działające w poszczególnych branżach i znające ich najgłębsze niuanse i zakamarki biznesowe.
Powyższa lista to kluczowe aspekty z punktu widzenia funkcjonowania przedsiębiorstwa. W zależności od specyfiki danego przedsiębiorstwa może być korygowana lub poszerzana. Bardzo często zdarza się, że informacja dociera do nas przypadkiem. Nie jesteśmy w stanie przewidzieć przecież, z kim znajdziemy się, np. na przyjęciu czy bankiecie. Wspólna zabawa, luźna konwersacja i nasz rozmówca nie zdając sobie sprawy, że reprezentujmy jego głównego konkurenta postanawia uchylić rąbka tajemnicy o działalności swoje firmy. Kiedy zastanowimy się ile razy jesteśmy mimowolnymi świadkami takich sytuacji dociera do nas jak łatwo sami działamy na swoją niekorzyść. Naiwne byłoby upieranie się, że ktoś nie zrobi użytku z zasłyszanych rewelacji działając na szkodę naszej działalności. Oczywiście skala negatywnych efektów będzie zależała od skali informacji i danych, nad którymi nie był w stanie zapanować, np. nasz rozmówca. W ciągu ostatnich kilku lat duże koncerny zdały sobie sprawę, że poza dobrami materialnymi, również ogromną rolę dla prawidłowego funkcjonowania firmy odgrywają zasoby niematerialne, w postaci danych i informacji. Złe ich zabezpieczanie może narazić firmę na ogromne straty. I musimy sobie zdać sprawę z tego, że nie dotyczy to tylko wojskowości, medycyny, zaawansowanych technologii, ale również organizacji, które na pierwszy rzut oka prowadzą w miarę proste działalności produkcyjne i usługowe. Działalności wymienione w pierwszej kolejności, uchodzące za wysoce poufne i dobrze zabezpieczone, aby funkcjonować na jednym rynku muszą przecież korzystać z firm dostarczających różnego rodzaju materiały lub usługi, co niewątpliwie jest ingerencją w ich wewnętrzny system bezpieczeństwa. O ile wojsko stworzyło własne standardy i chcąc z tą branżą współpracować, bezwzględnie trzeba je spełniać, o tyle inne branże tak jednoznacznych standardów nie opracowały. Zapisy zawarte w umowach maja charakter bardzo standardowy. Określają one głównie zobowiązania stron do zachowania poufności i ewentualnie konsekwencje finansowe i prawne za ich naruszenie. Jednak w wielu przypadkach to za mało. Wskazują bowiem, na co możemy liczyć, kie-
Biuletyn Jakości nr 1/2009 TÜV Rheinland Polska Sp. z o.o.
System Zarządzania xxx Bezpieczeństwem Informacji
dy już dojdzie do „wycieku” ważnych informacji, a nie jak temu zjawisku przeciwdziałać. Ważnym z punktu widzenia prewencji może okazać się System Zarządzania Bezpieczeństwem Informacji. Pozwala on spojrzeć na organizację i jej zasoby informacyjne jako na jednolity i spójny System, który zintegrowany z innymi systemami zarządzania może lepiej zabezpieczyć przedsiębiorstwo przed przykrymi konsekwencjami braku nadzoru nad informacją. Chociaż system ISMS skupia się na aspektach nadzoru nad infrastrukturą informatyczną, nie należy zapominać, że identycznie jak w innych systemach zarządzania, zwykle najsłabszym ogniwem każdego systemu okazuje się tzw. „czynnik ludzki”. Niezależnie od zasobów i środków zainwestowanych w zapewnienie optymalnej infrastruktury firmy związanej z bezpieczeństwem danych, może się okazać, że najwyższe nakłady okażą się bezcelowe, jeżeli człowiek pracujący w organizacji, a mający dostęp do ważnych informacji, zostawi swój świetnie zabezpieczony informatycznie komputer przenośny na przystanku autobusowym, albo zostanie mu on skradziony z samo-
chodu na parkingu hipermarketu. I nie chodzi tutaj bynajmniej o przypinanie laptopów stalową linką do ręki użytkownika, czy poprawianie zabezpieczeń antywłamaniowych w samochodach, ale o skonstruowanie takiego systemu zarządzania w firmie, gdzie będzie niepotrzebne lub wręcz niemożliwe przenoszenie kluczowych informacji w komputerach przenośnych. Wszyscy jednak wiemy, że poprzez nakazy, zakazy i obostrzenia nie da się w pełni zabezpieczyć organizacji, a jedyną naprawdę skuteczną metodą dokonania tego jest budowanie świadomości pracowników w zakresie ich odpowiedzialności i wpływu na bezpieczeństwo informacyjne firmy. Nie zapominajmy o tym wdrażając, utrzymując i certyfikując nasz system ISMS, że najpewniejszym zabezpieczeniem i zasobem firmy są świadomi i sprawdzeni pracownicy, którzy identyfikują się z firmą i wiedzą, jakie konsekwencje dla firmy ma rzetelne wykonywanie powierzonej im pracy i dbanie o informacje biznesowe, którymi w imieniu firmy dysponują.
System Zarządzania Bezpieczeństwem Informacji Marcin Rojszczak Marek Abramczyk
Po co zarządzać bezpieczeństwem? Z roku na rok wśród polskich firm rośnie popularność systemów zarządzania zgodnych z ISO 9001. Ostatnie badania wskazują, że posiadanie odpowiednich certyfikatów i świadectw jest także coraz częściej czynnikiem uwzględnianym przy wyborze nie tylko dostawców towarów, ale również usług. Dbanie o zapewnienie odpowiedniej jakości nie jest jednak zadaniem prostym – bardzo często wymaga uwzględnienia specyficznych wymagań lub oczekiwań klientów. Dlatego już od wielu lat systemy ISO 9001 są rozszerzane i uzupełniane wymaganiami innych standardów – na przykład związanych z ochroną środowiska (ISO 14001) czy bezpieczeństwem i higieną pracy (PN-N-18001). W codziennym funkcjonowaniu organizacji coraz większą rolę odgrywa informacja oraz odpowiednia jej ochrona. Dlatego – także polskie przedsiębiorstwa – coraz częściej sięgają po standardy systemowego zarządzania bezpieczeństwem informacji. Najpopularniejszym systemem tego typu jest niewątpliwie ISO 27001. Od 2007 roku norma została wprowadzona w Polsce pod oznaczeniem PN-ISO/ISO 27001:2007. Zgodnie z obowiązującymi zasadami akredytacji ISO 27001 jest jedyną obowiązującą normą opisującą wymagania dotyczące systemów bezpieczeństwa informacji – a zatem normą, której poprawne wdrożenie można potwierdzić przeprowadzeniem niezależnego audytu i przyznaniem certyfikatu. Aktualnie w Polsce już 80 firm posiada akredytowany certyfikat ISO 27001 (źródło: www.iso27000.pl) – z pewnością popularność standardu będzie się stale zwiększała w kolejnych latach.
Bezpieczeństwo informacji - systemowo System bezpieczeństwa informacji każdej organizacji składa się z wielu elementów – ochrony fizycznej obiektów, zabezpieczeń teleinformatycznych czy mechani-
zmów bezpieczeństwa organizacyjnego. Ponieważ każda organizacja jest inna, a tworzący ją ludzie mają inne doświadczenia zawodowe – praktycznie nie ma dwóch takich samych systemów bezpieczeństwa. Bardzo często głównym problemem osób zarządzających jest zapewnienie odpowiedniej ochrony fizycznej – jest to czynnik istotny zwłaszcza w przedsiębiorstwach produkcyjnych czy usługowych. Równie powszechne jest koncentrowanie się na zabezpieczeniach teleinformatycznych – trend ten można zaobserwować na przykład poprzez lokowanie komórek odpowiedzialnych za bezpieczeństwo organizacji w strukturach obszaru IT. Oczywiste jest jednak, że aby zapewnić odpowiedni poziom bezpieczeństwa potrzebna jest informacja o zagrożeniach, jak również wiedza o dostępnych zabezpieczeniach. Podstawą wszelkich działań w tym obszarze powinna być analiza ryzyka. Wiarygodna ocena bezpieczeństwa bez udokumentowanej i przeprowadzanej regularnie analizy ryzyka jest niemożliwa – wdrażane mechanizmy bezpieczeństwa powinny być jedynie efektem, naturalną konsekwencją wyników oceny ryzyka. Bezpieczeństwo informacji to nie tylko zabezpieczenia informatyczne czy fizyczne. To także odpowiednio przeszkolony i świadomy zagrożeń personel, to odpowiednio zdefiniowane umowy z dostawcami, to również sformalizowane i przetestowane plany ciągłości działania. Bezpieczeństwo to proces – i jak każdy proces wymaga ciągłego doskonalenia. Norma ISO 27001 odpowiada na te oczekiwania - celem standardu jest dostarczenie opartej na analizie ryzyka ramy do budowy systemów bezpieczeństwa informacji wraz z katalogiem kilkuset zabezpieczeń, które mogą być stosowane aby zwiększyć poziom ochrony informacji. Chociaż organizacje są różne i odmienne są ich potrzeby w zakresie bezpieczeństwa, dzięki ISO 27001 mogą budować swoje systemy w podobny sposób. Podobnie jak w przypadku innych standardów zarządzania, takich jak ISO 9001 czy ISO 14001, podstawowym celem ISO 27001 nie jest osiągnięcie określonego poziomu bezpieczeństwa, ale wdrożenie mechanizmów zarządzania, które zapewnią że bezpieczeństwo informacji będzie istotnym elementem funkcjonowania organizacji. Standard ISO 27001 zorganizowany został w dwóch głównych częściach. W pierwszej zdefiniowane zostały elementy związane z budową systemu zarządzania bezpieczeństwem informacji – takie jak mechanizmy zarządzania ryzykiem, odpowiedzialność kierownictwa, elementy ciągłego doskonalenia czy zasady realizacji
Biuletyn Jakości nr 1/2009 TÜV Rheinland Polska Sp. z o.o.
Przykładowe wymagania: Punkt 3.1: Polityka bezpieczeństwa informacji Cel: Zapewnienie kierunków działania i wsparcia kierownictwa dla bezpieczeństwa informacji. Zaleca się, aby kierownictwo ustaliło klarowny kierunek działań oraz demonstrowało wsparcie i zaangażowanie w dziedzinie zabezpieczania informacji poprzez opracowanie i stosowanie w instytucji polityki bezpieczeństwa informacji. audytów wewnętrznych. W drugiej części normy omówiono katalog przykładowych zabezpieczeń, zorganizowanych w 11 obszarów bezpieczeństwa.
ISO 27001: krok po kroku Wdrożenie systemu zarządzania bezpieczeństwem informacji SZBI powinno być procesem długofalowym, wymagającym przeprowadzenia szeregu czynności. Wpływ na czas wdrożenia i certyfikowania SZBI ma między innymi wielkość organizacji. Niemniej jednak w procesie tym można wskazać następujące etapy: 1. Uzyskanie wsparcia Kierownictwa Łatwiej powiedzieć niż zrobić. Dobrym sposobem jest uświadomienie kierownictwa poprzez np. wskazanie aktualnych luk bezpieczeństwa, zagrożeń dla bezpieczeństwa informacji oraz praktycznych zabezpieczeń (posiłkując się ISO 27002), uświadomienie ewentualnych strat wynikających z braku systemu zarządzania bezpieczeństwem oraz korzyści wynikających z jego posiadania. 2. Zdefiniowanie zakresu SZBI Należy wskazać, co system zarządzania bezpieczeństwem informacji będzie obejmował np. jakie jednostki, departamenty, zespoły, systemy itd. 3. Kolejne równolegle etapy to: a. Przygotowanie Deklaracji Stosowania Należy określić cele stosowania zabezpieczeń oraz zabezpieczenia odpowiednie dla budowanego przez organizację SZBI oraz uzasadnić, które są odpowiednie, a które nie. b. Zinwentaryzowanie zasobów. Inwentaryzacja powinna obejmować wszystkie systemy informacyjne, sieci, bazy danych, inne zasoby informacyjne, dokumenty itd. zgodnie ze zdefiniowanym zakrem SZBI. 4. Przeprowadzenie analizy ryzyka Aby przeprowadzić analizę ryzyka najlepiej skorzystać z gotowej i uznanej metodyki. Istnieją różne metody analizy ryzyka. Przykład metody został omówiony np. w normie ISO/IEC TR 13335 Information technology - Guiedlines for the management of IT Security. 5. Przygotowanie Planu Postępowania z Ryzykiem Plan przedstawia jakie zabezpieczenia będą zastosowane w celu ograniczenia zidentyfikowanych ryzyk, zwykle poprzez odwołanie się do zabezpieczeń proponowanych w ISO/IEC 27002, innych standardów lub dobrych praktyk stosowanych w Twojej organizacji. 6. Opracowanie programu wdrażania SZBI
System Zarządzania Bezpieczeństwem Informacji Etap ten polega na opracowaniu ogólnego programu, zbudowanego z szeregu pojedynczych projektów wdrożeniowych. Projekty odnoszą się do zbioru dobrych praktyk opisanych w standardzie ISO/IEC 27002. Na tym etapie osoby odpowiedzialne za tworzenie SZBI zazwyczaj potrzebują pomocy doświadczonych profesjonalistów z zakresu bezpieczeństwa informacji (szczególnie w zakresie kierowania grupą roboczą odpowiedzialną za tworzenie SZBI). Opracowanie projektów wymaga również współpracy z różnymi komórkami organizacyjnymi takimi jak komórki IT, audytu wewnętrznego, ryzyka, zgodności, HR, finansowa. Radzimy, aby jeżeli to możliwe kolejność opracowywania projektów uzależniona była od wartości zidentyfikowanych ryzyk tzn. w pierwszej kolejności zaleca się tworzenie projektów, dotyczących obszarów o największym ryzyku utraty bezpieczeństwa informacji. 7. Implementacja programu wdrożenia SZBI Na tym etapie implementuje się zabezpieczenia zgodnie z opracowanym programem wdrażania SZBI. Poszczególne projekty programu realizowane są przez różne komórki organizacyjne. Ważne jest, aby całość prac była nadzorowana i zarządzana. 8. Eksploatacja SZBI Na SZBI składa się szereg procesów, którym towarzyszą polityki, standardy procedury, wytyczne itd. Należy pamiętać, że budowanie systemu bezpieczeństwa nie polega na jednostkowym wdrożeniu. 9. Dokumentowanie SZBI SZBI mieści w sobie szereg dokumentów takich jak opracowane polityki bezpieczeństwa, standardy, procedury, wytyczne itp. Oprócz tego w trakcie eksploatacji systemu zarządzania bezpieczeństwem informacji generowane są różnego rodzaju zapisy np. raporty z analizy ryzyka, różne logi, raporty z przeglądu logów, raporty z audytów itp. Dokumentacja wchodząca w skład SZBI wymaga właściwego przechowywania oraz zarządzania. Ma ona decydujące znaczenie zarówno dla zapewnienia poprawnej eksploatacji systemu zarządzania bezpieczeństwem jak i w celu potwierdzenia (w szczególności przed audytorami), że ustanowiony i wdrożony system funkcjonuje i jest efektywny. 10. Sprawdzanie zgodności Nie zawsze jest tak, że wdrożone i przekazane do wykonania zarządzenia rzeczywiście będą wykonywane. Rozdział 15 normy ISO/IEC 27002 zawiera zabezpieczenia, dotyczące zapewnienia zgodności, zarówno z wewnętrznymi (np. polityką bezpieczeństwa) jak i zewnętrznymi (np. przepisy prawa) wymaganiami. SZBI wymaga sprawdzania oraz raportowania odnośnie zapewnienia zgodności, a w konsekwencji podejmowania działań korygujących. Wewnętrzna ocena zgodności jest rutynowym działaniem w przypadku dojrzałych i poprawnie funkcjonujących systemów zarządzania bezpieczeństwem informacji. 11. Podejmowanie działań korygujących Wynikiem przeglądów oraz sprawdzenia niezgodności powinny być działania korygujące, mające na celu wyeliminowanie wszelkich zidentyfikowanych niezgodności
System Zarządzania Bezpieczeństwem Informacji oraz niedoskonałości, a tym samym zapewniające ciągłe ulepszanie SZBI. 12. Ocena przedcertyfikacyjna Kiedy SZBI zostanie wdrożony, a jego funkcjonowanie ustabilizuje się, kierownictwo powinno podjąć decyzję o przeprowadzeniu audytu sprawdzającego, czy SZBI funkcjonuje poprawnie (np. prace w tym zakresie można zlecić zewnętrznemu konsultantowi). Audyt ten jest obszerną oceną zgodności, w czasie której dokonuje się przeglądu między innymi Deklaracji Stosowania oraz Planu Postępowania z Ryzykiem. Etap ten ma na celu upewnienie się, że w trakcie wdrażania SZBI nic ważnego nie pominięto (co może mieć miejsce szczególnie w przypadku zachodzących w biznesie ciągłych zmian, które wpływają na ryzyko związane z bezpieczeństwem informacji). 13. Audyt certyfikacyjny W przypadku wdrożonego i poprawnie funkcjonującego systemu zarządzania bezpieczeństwem informacji, kierownictwo może podjąć decyzję o przeprowadzeniu certyfikacji. W tym przypadku wybiera i zaprasza się akredytowaną organizację certyfikującą. Audytorzy sprawdzają istnienie dowodów świadczących o wdrożeniu i funkcjonowaniu systemu zarządzania bezpieczeństwem informacji takich jak Polityka Bezpieczeństwa, Deklaracja Stosowania, Plan Postępowania z Ryzykiem, zapisy opera-
cyjne itd. Audytorzy starają się potwierdzić, że system zarządzania bezpieczeństwem informacji jest odpowiedni i wystarczający, aby spełnić wymagania organizacji związane z bezpieczeństwem informacji. Audytorzy potwierdzają również, czy ustanowiona polityka bezpieczeństwa jest stosowana w praktyce.
– normy ISO/IEC 27001 – na pewno przyczyni się do dalszej popularyzacji systemów bezpieczeństwa. Już dzisiaj firmy z branży nowych technologii częściej decydują się na wdrożenie normy bezpieczeństwa – traktując ją jako naturalne rozszerzenie i uzupełnienie posiadanych systemów jakości.
Różne twarze bezpieczeństwa
Skuteczna ochrona danych już od dawna nie jest utożsamiana wyłącznie z obszarem IT. Dlatego w normie ISO/ IEC 27001 wyróżniono jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji: • Polityka bezpieczeństwa • Organizacja bezpieczeństwa informacji • Zarządzanie aktywami • Bezpieczeństwo zasobów ludzkich • Pozyskiwanie, rozwój i utrzymanie systemów informatycznych • Zarządzanie incydentami związanymi z bezpieczeństwem informacji • Zgodność z wymaganiami prawnymi i własnymi standardami • Bezpieczeństwo fizyczne i środowiskowe • Zarządzanie systemami i sieciami • Kontrola dostępu • Zarządzanie ciągłością działania PBSG jest ekspercką firmą doradczą. Koncentrujemy się na świadczeniu usług doradczych w obszarze analizy ryzyka, bezpieczeństwa informacji, zarządzania, doradztwa IT oraz zarządzania ciągłością działania. Dywersyfikacja rozwijanych produktów pozwala na tworzenie atrakcyjnej i kompleksowej oferty doradczej wspartej własnymi i obcymi rozwiązaniami informatycznymi. PBSG zbudowało silne kompetencje w zakresie bezpieczeństwa informacji. Opracowana metodyka realizacji wdrożenia normy ISO 27001 pozwala na sukcesywne rozszerzanie zakresów usług obejmujących wszystkie aspekty bezpieczeństwa organizacji. Kompleksowe wdrożenia polityki bezpieczeństwa informacji wsparte są specjalistycznymi usługami w zakresie przeprowadzenia testów penetracyjnych systemów IT i sieci teleinformatycznych.
Podsumowanie Ewolucja systemów zarządzania bezpieczeństwem informacji trwa już od ponad dziesięciu lat. Początkowo zapisane w normie BS 7799 najlepsze praktyki traktowane były wyłącznie jako wytyczne, pozwalające na skuteczne zarządzanie bezpieczeństwem informacji. Jednak w kolejnych latach rola bezpieczeństwa w firmach rosła – a w raz z nią potrzeba standaryzacji w tym obszarze. Wraz z przyjęciem w 1999 roku na potrzeby BS 7799 modelu PDCA oraz wprowadzeniem zasad certyfikacji i akredytacji systemów, popularność standardu znacznie wzrosła. Wprowadzenie międzynarodowego odpowiednika
10
Biuletyn Jakości nr 1/2009 TÜV Rheinland Polska Sp. z o.o.
Danuta Kędzierska
System Zarządzania Bezpieczeństwem Informacji
Asystent Dyrektora Działu Certyfikacji Systemów TÜV Rheinland Polska Sp. z o.o. e-mail: danuta.kedzierska@pl.tuv.com
Audit Systemu Zarządzania Bezpieczeństwem Informacji – bezpieczne lądowanie Jeżeli pokonali już Państwo żmudną drogę wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) to audit certyfikacyjny, przeprowadzony przez naszą niezależną i obiektywną jednostkę certyfikującą przypominać już tylko może bezpieczne lądowanie po trudnym i wymagającym locie. Dla tych spośród naszych klientów, którzy skorzystali już z usług certyfikacji systemów, audit SZBI nie będzie żadnym zaskoczeniem, ponieważ zasady auditowania wszystkich systemów zarządzania są podobne. Dla tych z Państwa, którzy chcieliby bliżej poznać zasady działania naszej jednostki certyfikującej lub ocenić stopień gotowości do certyfikacji, proponujemy przeprowadzenie tzw. auditu wstępnego. Audit taki jest przeprowadzany w siedzibie klienta i służy dokonaniu wstępnej oceny stopnia wdrożenia wymagań normy ISO 27001. Jako potwierdzenie przeprowadzenia auditu wstępnego otrzymują Państwo pisemny raport, w którym nasi auditorzy wskażą słabe punkty i niedoskonałości wdrożonego SZBI. Audit wstępny można potraktować jako gruntowne przygotowanie się do auditu certyfikacyjnego. Z naszego doświadczenia wynika, że szanse na pomyślne przeprowadzenie auditu certyfikacyjnego wzrastają poprzez przeprowadzenie auditu wstępnego. Należy jednak pamiętać o tym, że czas poświęcony na ocenę SZBI nie skraca czasu wymaganego na przeprowadzenie auditu certyfikacyjnego. Na podstawie dokumentacji SZBI oraz oceny działania SZBI na miejscu, w siedzibie klienta, ocenia się gotowość klienta do certyfikacji. Działania te prowadzone są w ramach tzw. pierwszego etapu auditu certyfikacyjnego. Wynik oceny dokumentowany jest w pisemnym raporcie, który stanowi podstawę do zaplanowania i przeprowadzenia głównej oceny SZBI, tj. drugiego etapu auditu certyfikacyjnego. Oprócz pisemnego raportu otrzymają Państwo plan auditu certyfikacyjnego (etap drugi), w którym wyspecyfikowana zostanie kolejność badania auditowego oraz wskazane zostaną te osoby z najwyższego kierownictwa oraz odpowiedzialnego personelu, które będą brały w nim bezpośredni udział. W ramach badania auditowego, podobnie jak to ma miejsce podczas auditowania innych systemów zarządzania, auditorzy TÜV Rheinland przeprowadzą rozmowy z Państwa
pracownikami oraz na miejscu dokonają oceny używanej infrastruktury. Drugi etap auditu certyfikacyjnego jest także dokumentowany w postaci pisemnego raportu. Na podstawie pozytywnej oceny, będącej wynikiem dwuetapowego auditu certyfikacyjnego, jednostka certyfikująca SZBI przyzna odpowiedni certyfikat a nazwa Państwa firmy pojawi się na liście referencyjnej TÜV Rheinland. Certyfikat jest wystawiany w języku polskim i niemieckim lub angielskim. Na Państwa życzenie może także zostać wystawiony w innych językach takich jak: francuski, hiszpański, rosyjski lub włoski. W przypadku pozytywnego wyniku auditu certyfikacyjnego oraz udzielenia certyfikatu przez naszą jednostkę certyfikującą mają Państwo także prawo do posługiwania się znakiem certyfikacji TUV Rheinland, który może pojawiać się na Państwa papierze firmowym lub innych materiałach reklamowych. Warunkiem do utrzymania ważności certyfikatu przez trzy lata jest przeprowadzenie co roku auditu w nadzorze. Podobnie jak w przypadku auditu certyfikacyjnego auditorzy TÜV Rheinland przekażą przed auditem w nadzorze uzgodniony z Państwa przedstawicielami firmy plan auditu, który pozwoli Państwu na przygotowanie się do niego. Audit w nadzorze przeprowadzany jest także w siedzibie klienta a czas jego trwania wynosi mniej więcej jedną trzecią czasu poświęconego na badanie auditowe podczas auditu certyfikacyjnego. Wynik auditu dokumentowany jest w pisemnym raporcie. Wybierając jednostkę certyfikującą TÜV Rheinland do przeprowadzenia auditu certyfikacyjnego SZBI wybierają Państwo ekspertów w branży bezpieczeństwa informacji, którzy legitymują się wieloletnim doświadczeniem zdobytym w międzynarodowej współpracy w biznesie. Ich kompetencje potwierdzone zostały przez jednostkę certyfikującą akredytowaną przez jednostkę akredytującą TGA. Z uwagi na szczególną specyfikę SZBI każdy etap auditu, począwszy od jego zaplanowania, jest prowadzony w ścisłej współpracy z Państwa przedstawicielami odpowiedzialnymi za bezpieczeństwo informacji w Państwa firmie. Proces certyfikacji rozpoczyna się zazwyczaj po ok. czterech tygodniach od złożenia przez Państwa zlecenia. Realizacja poszczególnych faz auditu zależy
11
System Zarządzania Bezpieczeństwem Informacji od indywidualnego przebiegu auditu a poszczególne terminy uzgadniane są klientem. Na podstawie naszego doświadczenia możemy powiedzieć, że wystawienie dokumentu certyfikatu następuje w przeciągu czterech do ośmiu tygodni po zakończeniu drugiego etapu auditu certyfikacyjnego. Jednym z najczęstszych pytań pojawiających się na etapie podjęcia decyzji o certyfikacji SZBI oraz wyboru jednostki certyfikującej jest pytanie o koszt certyfikacji. W przypadku tak zaawansowanego systemu zarządzania jakim jest SZBI odpowiedzi nie można udzielić wprost. Dzieje się tak dlatego, że dobór próby do badania auditowego jest trudniejszy niż w przypadku pozostałych systemów zarządzania a oszacowanie czasu potrzebnego do efektywnego przeprowadzenia auditu wiąże się z oszacowaniem ryzyka SZBI stosowanym w danej organizacji. Odpowiedni dobór próby i zaplanowanie auditu jest podstawowym warunkiem jego skuteczności. Dlatego też w celu sporządzenia oferty prosimy Państwa o udzielenie odpowiedzi na kilka pytań. Proszę nie traktować kwestionariusza zapytania ofertowego jako kolejnego „papieru do wypełnienia”, lecz jako narzędzie pomocne do odpowiedniego zaplanowania auditu Państwa systemu zarządzania bezpieczeństwem informacji. Tylko na podstawie rzetelnych informacji jesteśmy w stanie zaprojektować audit u Państwa. Podstawowymi czynnikami wpływającymi na oszacowanie czasu pracy koniecznego do skutecznego przeprowadzenia auditu są m.in.: – wielkość organizacji i stopień skomplikowania systemu zarządzania bezpieczeństwa informacji (jedna lub kilka lokalizacji, charakter działalności lokalizacji, podobieństwo procesów realizowanych w lokalizacjach, ilość informacji krytycznych i wrażliwych, liczba transakcji zawieranych drogą elektroniczną, liczba projektów ), – rozmiar i różnorodność technologii stosowanych we wdrożeniu różnych elementów SZBI takich jak: nadzór nad procesami /dokumentami, działania korygujące i zapobiegawcze, – liczba zatrudnionych, – liczba serwerów, – liczba punktów dostępu (stacji roboczych – komputerów stacjonarnych jak i laptopów), – liczba pracowników administracyjnych (administratorzy sieci, programiści itd.), – parametry sieci, sposób kodowania danych i kontrola dostępu, – zgodność z przepisami prawnymi, – charakter procesów (proste, powtarzalne lub wiele skomplikowanych), zakres systemu, ryzyko wiążące się z prowadzonymi procesami,
12
– stopień zaawansowania systemu zarządzania, – liczba procesów zlecanych na zewnątrz w zakresie SZBI. Nie bez znaczenia jest również to, czy Państwa struktura organizacyjna oraz prowadzone procesy są znane auditorom naszej jednostki certyfikującej z innych auditów, np. na zgodność z wymaganiami normy ISO 9001. Kolejnym ważnym czynnikiem determinującym nakład czasu pracy potrzebny do przeprowadzenia auditu jest rodzaj danych, jakie są przetwarzane w systemie. W każdym przedsiębiorstwie przetwarzane są dane wrażliwe dotyczące np.: wynagrodzeń, zdrowia i bezpieczeństwa personelu, jak również dane wrażliwe z punktu widzenia biznesowego/finansowego, takie jak dane projektowobadawcze, dane nt. klientów, wyniki i prognozy finansowe, plany biznesowe, własność intelektualna i inne. Można jednak wskazać pewne szczególne branże, które z uwagi na rodzaj danych jakie są w nich przetwarzane można zaszeregować do grup o szczególnie wysokim ryzyku dla stosowanego w nich SZBI. Do tych branż należą: ochrona zdrowia, edukacja, przemysł lotniczy i wojskowy, telekomunikacja, usługi finansowe, organizacje charytatywne. Szczególnie duże ryzyko wiąże się z instytucjami państwowymi, które przetwarzają dane wrażliwe wszystkich obywateli (zdrowie, pomoc socjalna, podatki itd.). Określenie stopnia ryzyka ze względu na branżę, w której działa dane przedsiębiorstwo, pozwala nie tylko na określenie czasu potrzebnego na przeprowadzenie auditu, ale również na odpowiednie dobranie auditora z doświadczeniem w auditowaniu specyficznych wymagań SZBI. Powyżej przywołane czynniki nie są brane pod uwagę w odosobnieniu. Określając poziom ryzyka jaki wiąże się z danym SZBI należy dołożyć wszelkich starań, aby uzyskać w miarę pełny obraz działalności przedsiębiorstwa. Dlatego tak istotne jest uzyskanie rzetelnych i kompletnych danych już na etapie sporządzania oferty i planowania auditu. Audit SZBI trwa dłużej niż audit systemu zarządzania jakością lub audit systemu zarządzania środowiskowego z uwagi na specyficzne wymagania właściwie tylko dla SZBI. Ci z Państwa, którzy zdecydują się certyfikować swój SZBI w tym samym terminie co system zarządzania jakością, środowiskowego lub bezpieczeństwem i higieną pracy mogą liczyć na to, że audit SZBI zostanie przeprowadzony w krótszym czasie. Podczas auditu zintegrowanego systemu zarządzania auditorzy nie muszą bowiem dwa razy poświęcać czasu na badanie takich elementów jak przegląd zarządzania lub audity wewnętrzne. Jeżeli są Państwo zainteresowani wyceną i zaplanowaniem certyfikacji Państwa SZBI zapraszamy do odwiedzenia naszej strony www.tuv.pl i wypełnienia formularza zapytania ofertowego. Na podstawie przekazanych przez Państwa danych sporządzimy ofertę odpowiadającą Państwa potrzebom.
Biuletyn Jakości nr 1/2009 TÜV Rheinland Polska Sp. z o.o.
Szkolenia
Szkolenia otwarte TÜV Akademia Polska z zakresu Systemów Zarządzania na rok 2009 ISO 9001:2008 Nazwa szkolenia
Cena szkolenia (PLN)
Termin szkolenia I półrocze
Termin szkolenia II półrocze
moduł 1 - Wstęp do systemu zarządzania jakością (ISO 9001:2008)
1200
02.04 - 03.04.2009
28.09 - 29.09.2009
moduł 2 - Auditor wewnętrzny systemu zarządzania jakością (ISO 9001:2008)
1600
16.03 - 18.03.2009 25.05 - 27.05.2009
14.10 - 16.10.2009 02.12 - 04.12.2009
moduł 3 - Warsztaty doskonalące dla auditorów wewnętrznych
1600
25.03 - 27.03.2009 24.06 - 26.06.2009
25.11 - 27.11.2009
Pełnomocnik Jakości TÜV
3600
18.05 - 24.05.2009
21.09 - 27.09.2009
Warsztaty doskonalące dla Pełnomocników Jakości
1600
27.04 - 29.04.2009
25.11 - 27.11.2009
Auditor Jakości TÜV
3800
23.03 - 27.03.2009 22.06 - 26.06.2009
19.10 - 23.10.2009
Badanie satysfakcji klienta pod względem wymagań normy ISO 9001:2008
1200
02.04 - 03.04.2009
01.10 - 02.10.2009
ISO 14001:2004 Nazwa szkolenia
Cena szkolenia (PLN)
Termin szkolenia I półrocze
Termin szkolenia II półrocze
moduł 1 - Wstęp do systemu zarządzania środowiskowego (ISO 14001:2004)
1200
20.04 - 21.04.2009
26.10 - 27.10.2009
moduł 2 - Auditor wewnętrzny systemu zarządzania środowiskowego (ISO 14001:2004)
1600
25.05 - 27.05.2009
02.11 - 04.11.2009
moduł 3 - Warsztaty doskonalące dla auditorów wewnętrznych
1600
24.06 - 26.06.2009
16.11 - 18.11.2009
Pełnomocnik i Auditor systemu zarządzania środowiskowego TÜV
4000
01.06 - 05.06.2009
16.11 - 20.11.2009
ISO/TS 16949:2002 Nazwa szkolenia
Cena szkolenia (PLN)
Termin szkolenia I półrocze
Termin szkolenia II półrocze
moduł 1 - Wstęp do systemu zarządzania jakością w przemyśle motoryzacyjnym (ISO/TS 16949:2002)
1200
16.03 - 17.03.2009
05.10 - 06.10.2009
moduł 2 - Auditor wewnętrzny systemu zarządzania jakością w przemyśle motoryzacyjnym (ISO/TS 16949:2002)
1600
20.04 - 22.04.2009
16.11 - 18.11.2009
Pełnomocnik Jakości w przemyśle motoryzacyjnym (ISO/TS 16949:2002)
4200
23.11 - 27.11.2009
PN-N-18001 Nazwa szkolenia
Cena szkolenia (PLN)
moduł 1 - Podstawy systemu zarządzania bezpieczeństwem i higieną pracy wg PN-N-18001
1200
moduł 2 - Auditor wewnętrzny systemu zarządzania bezpieczeństwem i higieną pracy PN-N-18001
1600
Termin szkolenia I półrocze
Termin szkolenia II półrocze 05.10 - 06.10.2009
25.05 - 27.05.2009
16.11 - 18.11.2009
13
Szkolenia Branża Spożywcza Cena szkolenia (PLN)
Nazwa szkolenia
Termin szkolenia I półrocze
Termin szkolenia II półrocze
moduł 1 - Wstęp do systemu HACCP
1200
14.09 - 16.09.2009
moduł 2 - Auditor wewnętrzny systemu HACCP
1600
17.06 - 19.06.2009
29.10 - 31.10.2009
Auditor Wewnętrzny Systemu Zarządzania Bezpieczeństwem Żywności wg ISO 22000:2005
1600
01.06 - 03.06.2009
18.11 - 20.11.2009
Cena szkolenia (PLN)
Termin szkolenia I półrocze
Termin szkolenia II półrocze
600
15.05.2009
01.10.2009
2400
08.06 - 10.06.2009
28.10 - 30.10.2009
Cena szkolenia (PLN)
Termin szkolenia I półrocze
Termin szkolenia II półrocze
Pełnomocnik Zintegrowanych Systemów Zarządzania
4000
16.03 - 20.03.2009 29.06 - 03.07.2009
28.09 - 02.10.2009
Auditor Wewnętrzny Zintegrowanych Systemów Zarządzania
2000
18.05 - 21.05.2009
02.11 - 05.11.2009
Cena szkolenia (PLN)
Termin szkolenia I półrocze
Termin szkolenia II półrocze
Wyroby Medyczne Nazwa szkolenia Wyroby medyczne – wymagania Dyrektyw MDD/IVDD/AIMD, Technical Files. Zarządzanie ryzykiem wg EN ISO 14971 Auditor wewnętrzny systemu zarządzania jakością wytwórców wyrobów medycznych Zintegrowane Systemy Zarządzania (ISO 9001, ISO 14001, PN-N-18001) Nazwa szkolenia
ISO/IEC 27001 Nazwa szkolenia moduł 1 - Polityka zarządzania bezpieczeństwem informacji
600
moduł 2 - Wstęp do systemu zarządzania bezpieczeństwem informacji wg ISO 27001:2005
12.10.2009
1600
16.03 - 18.03.2009
19.10 - 21.10.2009
moduł 3 - Auditor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg ISO 27001:2005
1600
06.04 - 08.04.2009
23.11 - 25.11.2009
Doskonalenie Systemów Zarządzania Nazwa szkolenia
Cena szkolenia (PLN)
Termin szkolenia I półrocze
Termin szkolenia II półrocze
Six Sigma
1600
06.04 - 07.04.2009
01.12 - 03.12.2009
Lean Manufacturing
1600
13.05 - 15.05.2009
02.11 - 04.11.2009
Techniki doskonalenia jakości
1600
08.06 - 10.06.2009
23.11 - 25.11.2009
FMEA – Analiza przyczyn i skutków potencjalnych wad
1200
12.10 - 13.10.2009
Problem Solving – Rozwiązywanie problemów
750
Metodologia SPC i MSA
1200
28.05 - 29.05.2009
08.10 - 09.10.2009
16.11.2009
APQP – Zaawansowane planowanie jakości PPAP – Proces zatwierdzenia części do produkcji
1200
04.06 - 05.06.2009
19.10 - 20.10.2009
Cena szkolenia (PLN)
Termin szkolenia I półrocze
IRIS – INTERNATIONAL RAILWAY INDUSTRY STANDARD Nazwa szkolenia
Termin szkolenia II półrocze
IRIS – Nowy standard jakości w branży kolejowej
550
08.06.2009
02.11.2009
Standard IRIS – Warsztaty z budowania dokumentacji systemowej
1400
22-23.06.2009
16.11 - 17.11.2009 14.12 - 15.12.2009
14
Biuletyn Jakości nr 1/2009 TÜV Rheinland Polska Sp. z o.o.
Szkolenia Badania Nieniszczące Nazwa szkolenia
Symbol
Termin szkolenia II półrocze
Czas trwania (godz.)
Cena szkolenia (PLN)
24.08 - 02.09.2009
72
3175
Termin szkolenia I półrocze
1 stopień kwalifikacji wg EN 473 Badania radiograficzne
RT 1
Badania ultradźwiękowe
UT 1
09.03 - 19.03.2009 15.06 - 25.06.2009
21.09 - 01.10.2009 07.12 - 17.12.2009
72
3575
Badania ultradźwiękowe - pomiary grubości
UTT 1
11.05 - 14.05.20091
17.08 - 20.08.20091
32
*
Badania prądami wirowymi
ET 1
15.06 - 22.06.20092
---------
62
3850
05.10 - 09.10.2009 16.11 - 20.11.20091
40
2650
2 stopień kwalifikacji wg EN 473 Badania penetracyjne
PT (1+2) UT 2
18.05 - 29.05.2009
31.08 - 11.09.2009 16.11 - 27.11.2009
80
44003 / 48004
Badania wizualne
VT (1+2)
30.03 - 03.04.20091 22.06 - 26.06.20091
24.08 - 28.08.2009 02.11 - 06.11.2009 14.12 - 18.12.20091
40
2650
Badania magnetyczno-proszkowe
MT (1+2)
14.09 - 18.09.2009
40
2650
Ocena zdjęć radiograficznych
RT 2 (FAS)
07.05 - 14.05.2009
15.10 - 22.10.2009
60
2700
RT 25
04.05 - 14.05.20092
12.10 - 22.10.20092
80
3950
ET (1+2)
15.06 - 25.06.20092
---------
80
4900
Badania ultradźwiękowe
Badania radiograficzne Badania prądami wirowymi
3 stopień kwalifikacji wg EN 473 Kurs podstawowy
BASIC
16.03 - 26.03.2009
---------
100
72502
Metoda główna - badania penetracyjne
PT 3
27.04 - 29.04.2009
---------
24
43507
Metoda główna - badania magnetyczno - proszkowe
MT 3
26.10 - 29.10.2009
---------
32
44507
Metoda główna - badania wizualne
VT 3
15.04 - 17.04.2009
---------
24
43507
Badania radiograficzne
RT 36
01.06 - 04.06.2009
---------
40
65007
Badania ultradźwiękowe
UT 36
20,04 - 24,04.2009
---------
50
70007
Badania prądami wirowymi
ET 3
16.11 - 19.11.2009
---------
40
67507
Ceny podane w PLN * Cena zostanie ustalona w późniejszym terminie i zamieszczona na stronie internetowej 1 Szkolenie organizowane w ośrodku zewnętrznym w Szczecinie 2 Zajęcia odbywają się również w sobotę 3 Cena szkolenia z wykorzystaniem własnego sprzętu 4 Cena szkolenia z wykorzystaniem sprzętu TÜV Akademia Polska Sp. z o.o. 5 Dla osób posiadających wcześniejsze certyfikaty RT2 FAS istnieje możliwość rozszerzenia uprawnień poprzez uczestnictwo w kursie rozszerzającym RT2 FER (pierwszy tydzień kursu RT2); cena szkolenia RT2 FER wynosi 2775,00 zł/osobę 6 Dla osób posiadających certyfikat 2 stopnia. 7 Cena obejmuje zakwaterowanie i pełne wyżywienie w czasie szkolenia i egzaminu.
15
Różności
PODRÓŻE RUMUNIA
HUMOR
Wokół samicy pływa wieloryb i narzeka: – Dziesiątki organizacji ekologicznych, setki aktywistów, tysiące polityków i naukowców, dziesiątki tysięcy ludzi na manifestacjach, rządy w tylu krajach robią wszystko, by zachować nasz gatunek, a ciebie boli głowa...
PODRÓŻE
Prezentując ciekawe miejsca, gdzie siedzibę swojego oddziału ulokował TÜV Rheinland Group, – Jasiu zaprowadź panów archeologów zapraszamy Państwa na podróż tam, skąd przyniosłeś te stare monety! po Rumunii, przez wielu opisywa- – Dzisiaj nie mogę! nej jako wielobarwna mozaika – Dlaczego nie?! tradycji i obyczajów. Rumunia – Bo dzisiaj muzeum jest zamknięte. to kraj z żywym kolorem, który Jeden przedszkolak mówi do drugiego: przetrwał w niezmienionej formie – U mnie modlimy się przed każdym posiłod wieków. Tu wciąż można spotkiem. kać dzikie zwierzęta, wielkie sta- – U mnie nie. Moja mama bardzo dobrze da owiec i koni. gotuje. Rumunia wabi nas zarówno zabytkami jak i niespotykanymi Do apteki wpada blady, drżący chłokrajobrazami, a tradycyjna już piec: gościnność mieszkańców tego – Czy ma pani jakieś środki przeciwbólowe? kraju pozwoli każdemu poczuć – A co cię boli chłopcze? się swobodnie i w miłej atmosfe- – Jeszcze nic, ale ojciec właśnie ogląda rze rozkoszować się urokiem ota- moje świadectwo. czającej przyrody. Położenie geograficzne Rumunii sprawia, że zwolennicy aktywnego wypoczynku w górach będą w pełni usatysfakcjonowani. Bowiem przez kraj przebiega większa część łańcucha karpackiego, który ze względu na wysokości przekraczające ponad 2500 m n.p.m. i śmielszą z reguły rzeźbę zwykło się nazywać Alpami Transylwańskimi. To doskonałe miejsce na uprawianie wspinaczki wysokogórskiej, trekkingu, speleologii, turystyki rowerowej, sportów ekstremalnych oraz dyscyplin zimowych i wodnych. Na turystów lubiących wypoczynek nad ciepłym morzem i spacery po złocistych plażach, czekają liczne kurorty i uzdrowiska usytuowane nad Morzem Czarnym. Można tu także skorzystać z profesjonalnie wyposażonych centrów rehabilitacyjnych i SPA. Na szczególną uwagę zasługuje Delta Dunaju, której obszar znajduje się pod ochroną UNESCO i która jest największą deltą w Europie. To ostoja ponad 5000 gatunków zwierząt i roślin. Miłośnicy kawioru wiedzą doskonale, że to właśnie tu, u ujścia Dunaju do Morza Czarnego, żyją jesiotry, które stanowią również cenne trofeum wśród wędkarzy i rybaków. Podróżując po Rumunii koniecznie należy odwiedzić historyczny Siedmiogród zwany Transylwanią. Nazwa Siedmiogród odwołuje się do siedmiu zamków, które nakazał wybudować król węgierski by zabezpieczyć granicę. Jednym z nich jest zamek hrabiego Draculi, Castelul Bran w miasteczku Bran. Twierdza z wieloma wieżami, wzniesiona w XIV wieku, stoi w strategicznym miejscu, które broni przejścia przez południowe Karpaty. Ten zamek to jeden z wielu zabytków, których w Rumunii jest bez liku. Warto też zobaczyć warowne kościoły oraz malowane monastyry Bukowiny, a także starożytne ruiny w Histrii i Adamclisi. Z całą pewnością, wizyta w Rumunii pozwoli nam zaczerpnąć pozytywnej energii, której będziemy mogli doświadczyć w każdym zakątku tego kraju. Rumunia to miejsce, w którym zostaniemy obdarowani pięknem przyrody, gościnnością ludzi, magiczną atmosferą oraz bogactwem zapachów i smaków rumuńskiej kuchni.