Professional Documents
Culture Documents
Menaxhimi i Sigurise
Standardet ISO 20000; ISO 27001
Menaxhimi i IT ne teresi dhe lidhja me
sigurine
Siguria e informacionit
Kemi nje ligj te ri per sigurine e sistemeve te informacionit: Ligji per sigurine
kibernetik
Rendesia e informacionit
Informacioni eshte nje aset
Si cdo aset tjeter i rendesishem i biznesit, ka vlere per nje organizate dhe
kerkon mbrojtjen e pershtatshme.
Cfare eshte Informacioni?
Planet e biznesit aktuale
Planet e te ardhmes
Pronesia Intelektuale (Patents, etj)
Regjistrimet e punonjesve
Detaje te klienteve
Informacion per partnere biznesi
Te dhena financiare
Standartet
Standarte te ndryshme
ISO 9000 (QMS)
ISO 14000 (EMS)
ISO 27000 (ISMS) Menaxhimi i Sigurise
ISO 20000 (IT SMS) Menaxhimi i Sherbimeve IT
ISO 20000
Normat
Masat
Input
output
Aktivieti Aktiviteti Aktiviteti
Objektivat
Kater aspekte per t’u pasur vemendje
Do te thote qe:
Act Plan
Bussine
IT Alig.
Check Do
Effective Quality Improvement
Consolidation of the level reached
Siguria e informacionit
Gjithashtu perfshin:
Autenticitetin
Pergjegjshmerine
mosnjohjen
Besueshmerine
Burimet Hardware IT te nje organizate
Rreziqet e sigurise se IT
• Rreziqet ne IT lidhen me:
• System failures
• Denial of service (DOS)
attacks
• Misuse f resources
• Internet/email /telephone
• Damage of reputation
• Espionage
• Fraud
• Viruses/spy-ware etc
• Use of unlicensed software
• Software and network
risks
Siguria ne shtresa te ndryshme
menaxheriale dhe teknike
Ndergjegjesimi per sigurine
Feedback Aktivitetet
Punonjesit
Perfitimet nga ndjekja e certifikates
I mundeson organizates te perballoje “IS breaches”
I mundeson organizates te perballoje impaktin e “IS breaches”
kur ndodh
Ne rastin e nje rreziku certifikimi mund te reduktoje
Masat e imponuara nga rregullatoret
Organizata demonstron kujdesin e duhur
Me aksioneret, klientet, partneret e biznesit
Lejon organizaten te demonstroje perputhshmeri proaktive
ligjore, rregullatore, kerkesat kontraktore
Siguron validimin nga nje pale e trete te ISMS
Familja e ISO 27000
27001:ISMS
27005
27002 Code of Practice for ISM
Risk
Management 27003 Implementation Guidance
Siguria e Informacionit
Konfidencialiteti Vlefshmeria
Mbrojtja e informacionit Siguria qe informacioni dhe
sensitiv sherbimet u garantohen
perdoruesve kur kerkohen
Integriteti
Garancia, saktesia dhe plotesia
e informacionit
ISO 27001 Kerkesat Baze
Palet e Palet e
interesuara interesuara
Plan
Krijo ISMS
4 Konteksti i organizates
4.1 Kuptimi i “Rreth organizates” ne Kuptimi i organizate, vecorite e Rishikimi i dokumentit te
organizates dhe dokumentin e biznesit te saj dhe percaktoje politikave te IS
kontekstit te saj politikave te IS ate ne dokumentin e politikave
te IS
4.2 Kuptimi i Targetimi i audiences Brainstorming me menaxhimin Rishikimi i dokumentit te
nevojave dhe ne dokumentin e dhe perfshirja e saj ne politikave te IS
pritshmerive te politikave te IS dokumentin e politikave te IS
grupeve te
interesit
4.3 Percaktimi i Fusha e ISMS ne Brainstorming me menaxhimin Rishikimi i dokumentit te
fushes se ISMS dokumentin e dhe perfshirja e saj ne politikave te IS
politikave te IS dokumentin e politikave te IS
4.4 ISMS Dokumenti i politikave Krijimi i IS Rishikimi i dokumentit te
te IS Caktimi i Menaxherit te IS politikave te IS
Kryerja e trajnimeve dhe
ndergjegjesimit per IS
Percaktimi i RACI
ISO 27001
ISO 27001 Pjesa I
Kodi i praktikes per Menaxhimin e Sigurise se Informacionit
(ISM)
Praktikat me te mira, guide, rekomandtimet per
konfidencialitetin ( C )
Integritetin (I)
Disponueshmerine ( A )
Plan
Act Do
Check
“Plan-Do-Check-Act”
PDCA Model
Establish ISMS policy, objectives, processes and procedures
relevant to managing risk and improving IS to deliver results in
Plan Establish ISMS
accordance with an organization’s overall policies and
objectives
Implement and Implement and operate ISMS policy, controls, processes and
Do operate ISMS procedures
Asses, and where applicable, measure process performance
Chec Monitor and
against ISMS policy, objectives and practical experience and
k review ISMS
report the results to management for review
Take corrective actions, based on the results of the internal
Maintain and
Act improve ISMS
audit and management review or other relevant information,
to achieve continual improvement of ISMS
Plan:
Studimi i kerkesave
Draftimi i nje Politike IS
Diskutimi ne Forume i politikes IS
Finalizimi dhe miratimi i politikes
Krjimi dhe procedurat e implementmit
Ndergjegjesimi i stafit/trajnimi
Do:
Implementimi i politikes
Check:
Monitorimi, matja, & auditimi dhe procesi
Act:
Permiresimi i procesit
Fusha e ISMS
Business security policy and plans
Current business operations requirements
Future business plans and requirements
Legislative requirements
Obligations and responsibilities with regard to security
contained in SLAs
The business and IT risks and their management
Nje liste e thjeshte e politikave
Overall ISMS policy
Access control policy
Email policy
Internet policy
Anti-virus policy
Information classification policy
Use of IT assets policy
Asset disposal policy