Autorzy jako pierwsi podjęli się próby kompleksowego ukazania
współcześnie występujących złożoności zagadnień dotyczących bezpieczeństwa
informacji w ujęciu systemowym.
Obecnie na polskim rynku wydawniczym brak pozycji, które w sposób
całościowy opisywałyby zagadnienia związane z projektowaniem, implementacją,
utrzymaniem i rozwojem tego systemu. Podstawowym celem pracy jest przegląd stosowanych
metodyk, koncepcji w ramach systemowego zarządzania bezpieczeństwem informacji według
najbardziej powszechnego standardu ISO/IEC 27001:2005.
Spis treści:
Wstęp
Rozdział 1. Bezpieczeństwo informacji
1. Znaczenie informacji
1.1. Definicja informacji
1.2. Cykl życia informacji
2. Istota bezpieczeństwa informacji
2.1. Poufność
2.2. Integralność
2.3. Dostępność
3. Incydenty związane z bezpieczeństwem informacji
4. Elementy bezpieczeństwa informacji
4.1. Zasoby w ISMS
4.2. Zagrożenia związane z bezpieczeństwem informacji
4.3. Podatności informacji
4.4. Następstwa incydentów
4.5. Ryzyko
4.6. Zabezpieczenia w ISMS
5. Wymagania prawne dotyczące bezpieczeństwa informacji
5.1. Konstytucja Rzeczypospolitej Polskiej
5.2. Ustawa o ochronie danych osobowych
5.3. Ustawa o rachunkowości
5.4. Kodeks pracy
5.5. Ustawa o zwalczaniu nieuczciwej konkurencji
5.6. Regulacje dotyczące zarządzania ciągłością działania
6. Korzyści z ochrony informacji
Rozdział 2. Systemowe zarządzanie bezpieczeństwem informacji
1. Historia systemowego zarządzania bezpieczeństwem informacji
1.1. Polskie edycje norm dotyczących zarządzania bezpieczeństwem informacji
2. ISO 27001, COBIT, ITIL oraz ISO 20000
2.1. COBIT
2.2. ITIL
2.3. ISO 20000
2.4. ISO 31000
3. Koncepcja systemu zarządzania bezpieczeństwem informacji
4. Planowanie i polityka bezpieczeństwa informacji
5. Odpowiedzialność i uprawnienia - role w ISMS
6. Dokumentacja w systemie zarządzania bezpieczeństwem informacji
7. Audyt systemu zarządzania bezpieczeństwem informacji
7.1. Istota audytu ISMS
7.2. Cele audytu i zakresy odpowiedzialności
7.3. Etapy działań audytowych
8. Certyfikacja systemów zarządzania bezpieczeństwem informacji
9. Integracja ISMS z innymi systemami zarządzania
Rozdział 3. Interpretacja wymagań normy ISO/IEC 27001:2005
1. Ustanowienie i zarządzanie ISMS
2. Wdróżenie i stosowanie ISMS
3. Monitorowanie i przegląd ISMS
4. Utrzymanie i doskonalenie ISMS
5. Dokumentacja w systemie zarządzania bezpieczeństwem informacji . .
6. Odpowiedzialność kierownictwa w systemie zarządzania bezpieczeństwem informacji
7. Zarządzanie zasobami w ISMS
8. Wewnętrzne audyty ISMS
9. Przeglądy ISMS realizowane przez kierownictwo
10. Doskonalenie ISMS
11. Interpretacja zabezpieczeń wymaganych przez ISO/IEC 27001:2005
Rozdział 4. Proces szacowania ryzyka bezpieczeństwa informacji
1. Wdrażanie systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2005)
2. Wdrożenie i eksploatacja ISMS
3. Monitorowanie i przegląd ISMS
4. Utrzymanie i doskonalenie ISMS
4.1. Identyfikacja informacji i zagrożeń
4.2. Klasyfikacja informacji
4.3. Szacowanie ryzyka
4.4. Postępowanie z ryzykiem (plan minimalizacji ryzyka)
4.5. Plan ciągłości działania
5. Charakterystyka metod szacowania ryzyka bezpieczeństwa informacji - koncepcje i
zastosowania
5.1. Ogólna charakterystyka metod szacowania ryzyka bezpieczeństwa informacji
5.2. Wytyczne do szacowania ryzyka określone w ISO/IEC 27001:2005
5.3. Szacowanie ryzyka według ISO/IEC TR 13335-3
5.4. Metoda OCTAVE
5.5. Analiza skutków potencjalnych błędów - FMEA
5.6. Metoda CRAMM
5.7. Metoda COBRA
5.8. Metoda MARION
5.9. Metoda MEHARI
5.10. Standardy ISACA
5.11. Metody autorskie
6. Przykłady narzędzi szacowania ryzyka o charakterze otwartym
7. Przykład wykorzystania oprogramowania do zarządzania ryzykiem
Rozdział 5. Wdrożenie, utrzymanie i rozwój ISMS w organizacji - analiza
przypadku
1. Zarządzanie projektem
1.1. Opis przedsiębiorstwa, branża, zakres działania
1.2. Struktura i organizacja projektu wdrożeniowego
1.3. Szacowanie ryzyka bezpieczeństwa informacji w przedsiębiorstwie - prezentacja
metody
2. Systemowe zarządzanie bezpieczeństwem informacji na podstawie analizy ryzyka
3. Raport z szacowania ryzyka bezpieczeństwa informacji
4. Plany ciągłości działania
5. Dokumentacja systemu ISMS
Zakończenie
Załączniki
1. Lista sprawdzająca ISMS
2. Klasyfikacja informacji (na przykładzie przedsiębiorstwa z branży energetycznej)
3. Deklaracja stosowania (na przykładzie przedsiębiorstwa z branży energetycznej)
4. Polityka bezpieczeństwa informacji (przykład)
5. Dokumentacja ISMS (przykład). Księga procesu: Zarządzanie bezpieczeństwem
informacji
5.1. Procedura: Klasyfikacja informacji i szacowanie ryzyka
5.2. Procedura: Utrzymanie czystych biurek i pulpitów
5.3. Procedura: Opatrywanie informacji opisem
5.4. Procedura: Postępowanie z informacją zgodnie ze schematem klasyfikacyjnym
5.5. Procedura: Zgłaszanie przypadków naruszenia bezpieczeństwa
5.6. Procedura: Wejścia i wyjścia pracowników i osób trzecich
5.7. Procedura: Zarządzanie incydentami - organizacja systemu Incydent
5.8. Procedura: Zgłaszanie niewłaściwego funkcjonowania oprogramowania
5.9. Procedura: Zgłaszanie słabości systemu bezpieczeństwa
5.10. Procedura: Ochrona danych
Spis literatury
Spis tabel
Spis rysunków
Spis przykładów
444 strony, oprawa miękka
