639-3009/01 – Systémy managementu informační bezpečnosti (ISMS)
Garantující katedra | Katedra managementu kvality | Kredity | 5 |
Garant předmětu | Ing. Václav Štverka | Garant verze předmětu | Ing. Václav Štverka |
Úroveň studia | pregraduální nebo graduální | Povinnost | povinně volitelný |
Ročník | 1 | Semestr | letní |
| | Jazyk výuky | čeština |
Rok zavedení | 2014/2015 | Rok zrušení | 2020/2021 |
Určeno pro fakulty | FMT | Určeno pro typy studia | navazující magisterské |
Cíle předmětu vyjádřené dosaženými dovednostmi a kompetencemi
Získané znalosti:
- student bude znát a rozumět teoretickým základům požadavků na ISMS dle ISO/IEC 27001;
- student si osvojí, jak tyto požadavky aplikovat do praxe;
- student získá znalosti v oblasti postupů a praktik při provádění interních auditů ISMS dle ISO/IEC 27001.
Získané dovednosti:
- student by měl být schopen zastávat pozici manažera pro management systému informační bezpečnosti;
- student by měl být schopen provádět interní audity systému informační bezpečnosti dle norem ISO/IEC 27001;
- student by měl být schopen implementovat systém managementu informační bezpečnosti v organizaci.
Vyučovací metody
Přednášky
Cvičení (v učebně)
Anotace
Cílem je dát teoretický základ požadavků na ISMS dle ISO/IEC 27001, jejich pochopení a aplikování do praxe; seznámit s požadavky norem řady ISO/IEC 2700x, které tvoří základ ISMS; seznámit s postupy a praktikami při provádění interních auditů ISMS dle ISO/IEC 27001; dát studentům celkový přehled o požadavcích a rozsahu projektu implementace ISMS.
Povinná literatura:
[1] Ing. Václav Štverka, CISA, CISM: SYSTÉM MANAGEMENTU BEZPEČNOSTI INFORMACÍ
DLE ISO/IEC 27001:2005, prezentace.
[2] Norma ČSN ISO/IEC 27000 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník, ÚNMZ.
[3] Norma ČSN ISO/IEC 27001 Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky, ÚNMZ.
[4] Norma ČSN ISO/IEC 27002 (ČSN ISO/IEC 17799:2006) Informační technologie - Bezpečnostní techniky Soubor postupů pro management bezpečnosti informací, ÚNMZ.
[5] ISO/IEC 27001 Information technology — Security techniques — Information security management systems — Requirements, ISO, Geneva, Switzerland.
[6] Edward Humphreys & Angelika Plate, BIP 0071:2005: Guidelines on requirements and preparations for ISMS certification based on ISO/IEC 27001, BSI London, UK.
Doporučená literatura:
[1] ČSN ISO/IEC 27005 Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací, ÚNMZ.
Forma způsobu ověření studijních výsledků a další požadavky na studenta
E-learning
Další požadavky na studenta
Vypracování semestrálního projektu a absolvování průběžných testů (rozsah semestrálního projektu cca 10 str.)
Prerekvizity
Předmět nemá žádné prerekvizity.
Korekvizity
Předmět nemá žádné korekvizity.
Osnova předmětu
1. Současný stav v informační bezpečnosti v ČR a EU. ISMS a návaznost na Integrované systémy řízení. Úvod do procesního přístupu řízení bezpečnosti informací.
2. Management informací: základní pojmy teorie, existující nástroje. Model ISO 9001 pro kvalitu a jeho vztah k ISMS. Model ISO 27001 pro bezpečnost informací. Přehled norem a legislativy pro bezpečnost informací.
3. Základní normy pro ISMS. Výklad jednotlivých článků normy ISO/IEC 27001. Vztah mezi normami ISO/IEC 27001 a ISO/IEC 27002.
4. Metody analýzy rizik v podnikatelských procesech. Metody analýzy rizik v ISMS. Nástroje pro analýzy rizik v ISMS. Základní fáze managementu rizik. Řízení rizik a návrh protiopatření - krok za krokem. Programy a cíle pro řízení rizik. Metody monitorování rizik. Co a jak často monitorovat, nástroje, reporting. Aktualizace analýzy rizik, informační aktiva, hrozby, zranitelnosti, dostupnost, důvěrnost, integrita.
5. Bezpečnostní incidenty: informace o vzniku, vlastní šetření, vyhodnocení, sledování plnění opatření.
6. Technologické minimum v ISMS. Pojmy z informační bezpečnosti. Základy z pojmů v IT pro ISMS. Právní opora a požadavky legislativy z pohledu požadavků v ISMS. Legislativa v ČR a EU pro ISMS.
7. Management incidentů – základní rámec, definice a pojmy. Management incidentů – proces, výstupy, řešení.
8. BCM – základní rámec, definice a pojmy. Analýza a hodnocení dopadů – BIA. Role ISMS v BCM – vzájemné vztahy a vazby. BCM – tvorba BCP krok za krokem.
9. Údržba a testování BCP.
10. Proces auditu a plánování auditu v ISMS. Základní principy a účel auditů ISMS. Struktura auditu ISMS. Pravidla pro provádění auditů. Charakteristika auditora a kvalifikace auditora.
11. Proces auditu a techniky auditu. Praktické příklady neshod zjišťovaných při auditech ISMS.
12. Význam certifikace v kontextu bezpečnosti informací. Certifikační schéma podle ISO 27001
13. Předmět auditu 1. stupně. Předmět auditu 2. stupně.
14. Akreditace a normy pro certifikační audity.
Podmínky absolvování předmětu
Výskyt ve studijních plánech
Výskyt ve speciálních blocích
Hodnocení Výuky