SLOVENSKÁ TECHNICKÁ UNIVERZITA V BRATISLAVE MATERIÁLOVOTECHNOLOGICKÁ FAKULTA V TRNAVE

1. SLOVENSKÁ TECHNICKÁ UNIVERZITA V BRATISLAVE MATERIÁLOVOTECHNOLOGICKÁ FAKULTA V TRNAVE NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, a.s. A JEHO INTEGRÁCIA DO IMS V KONTEXTE S UDRŽATEĽNOU STRATÉGIOU SZP DIPLOMOVÁ PRÁCA Bc. Juraj ZÁTURECKÝ Vedúci práce: prof. Ing. Peter Sakál, CSc. Konzultanti: Mgr. Igor Výboch (ŽOS Zvolen, a.s.), Ing. Gabriela Hrdinová TRNAVA 2013

2. Táto práca bola podporovaná Agentúrou na podporu výskumu a vývoja na základe zmluvy č. LPP-0384-09„ Koncept HCS modelu 3E vs koncept Corporate Social Responsibility (CSR)“. This work was supported by the Slovak Research and Development Agency under the contract No. LPP-0384-09: ,,Koncept HCS modelu 3E vs. koncept Corporate Social Responsibility (CSR)’’ 2

3. OBSAH 1 TUR vs SZP vs IMS 2 Analýza súčasného stavu strategického riadenia v ŽOS Zvolen a.s. zo zameraním na IMS v kontexte so udržateľným SZP 3 Návrh implementácie systému manažérstva informačnej bezpečnosti (ISO 27003) v ŽOS Zvolen, a.s. a jeho integrácia do IMS v kontexte zo udržateľnou stratégiou SZP. 4 Zhodnotenie návrhu 3

4. Cieľ práce: Návrh implementácie systému manažérstva informačnej bezpečnosti (ISO 27003) v ŽOS Zvolen, a.s. a jeho integrácia do IMS v kontexte s udržateľnou stratégiou. 4

5. 1 TUR vs SZP vs IMS 5

6. 1 TUR vs SZP vs IMS • TUR – Trvalo udržateľný rozvoj Trvalo udržateľným rozvojom (TUR) sa rozumie: • cielený, dlhodobý, komplexný a synergický proces, ovplyvňujúci podmienky na všetkých úrovniach, • Funkčný model, ktorý uspokojuje biologické, materiálne, duchovné a sociálne potreby a záujmy ľudí, • výrazne obmedzujezásahy ohrozujúce, poškodujúce alebo ničiace podmienky a formy života, nezaťažujúce krajinu nad únosnú mieru. 6

7. 1 TUR vs SZP vs IMS Spoločenská zodpovednosť podnikov (CSR) „Spoločenská zodpovednosť podnikov je koncept, podľa ktorého spoločnosti začleňujú sociálne otázky a otázky tykajúce sa životného prostredia do podnikateľských činností a do vzťahov so zainteresovanými stranami na báze dobrovoľnosti." (Oznámenie Európskej komisie - COM 2002)

8. 1 TUR vs SZP vs IMS IMS - Integrovaný Manažérsky Systém IMS predstavuje univerzálny a efektívny manažérsky nástroj na realizáciu vytýčených cieľov výrobných ako aj nevýrobných organizácií v oblasti kvality poskytovaných produktov, riadenia environmentu, bezpečnosti práce a riadenia bezpečnosti informačných aktív . 8

9. 1 TUR vs SZP vs IMS IMS - Integrovaný Manažérsky Systém IMS tvoria najmä nasledovné systémy riadenia: • QMS –Quality Management System (Systém manažérstva kvality), • EMS – Environmental Management System (Environmentálny manažérsky systém), • HSMS – Health Safety Management System (Systém manažérstva bezpečnosti a ochrany zdravia pri práci), • ISMS – Information Security Management System (Systém manažérstva informačnej bezpečnosti). 9

10. 1 TUR vs SZP vs IMS IMS - Integrovaný Manažérsky Systém QMS –Quality Management System (Systém manažérstva kvality) • Cieľom je optimalizácia pracovných postupov alebo výrobných procesovso zohľadnením materiálových a časových zdrojov, očakávanej konečnej kvality produktu a predpokladaného ďalšieho rastu a vývoja organizácie. 10

11. 1 TUR vs SZP vs IMS IMS - Integrovaný Manažérsky Systém EMS – Environmental Management System (Environmentálny manažérsky systém) • Systém environmentálneho manažérstva môžeme v celku považovať za systém riadenia organizácie, ktorý je účelovo zameraný na tvorbu a ochranu životného prostredia. Jeho účinnosť sa hodnotí posudzovaním zhody s akceptovaným predpisom. 11

12. 1 TUR vs SZP vs IMS IMS - Integrovaný Manažérsky Systém HSMS – Health Safety Management System (Systém riadenia bezpečnosti a ochrany zdravia pri práci) • Bezpečnosť a ochranu zdravia pri práci má dôležitý humánny aspekt, ktorý prezentuje kultúrnu a spoločenskú úroveň organizácie. Zvyšovanie BOZP má tiež dôležitý hospodársky význam pretože vytváraním priaznivých pracovných podmienok a pracovných vzťahov prináša optimalizáciu pracovného procesu, s pozitívnym ekonomickým efektom. 12

13. 1 TUR vs SZP vs IMS IMS - Integrovaný Manažérsky Systém ISMS – Information Security Management System (Systém manažmentu informačnej bezpečnosti) • Systém manažmentu (riadenia) informačnej bezpečnosti je časť celkového systému riadenia, založená na prístupe k riziku podniku, ktorej úlohou je zaviesť, implementovať, prevádzkovať, monitorovať, revidovať, udržiavať a zlepšovať informačnú bezpečnosť. 13

14. 2 ANALÝZA STRATEGICKÉHO RIADENIA V ŽOS ZVOLEN, a.s. SO ZAMERANÍM NA IMS V KONTEXTE SO UDRŽATEĽNOU STRATÉGIOU SZP 14

15. 2 ANALÝZA STRATEGICKÉHO RIADENIA V ŽOS ZVOLEN, a.s. SO ZAMERANÍM NA IMS V KONTEXTE SO UDRŽATEĽNOU STRATÉGIOU SZP ŽOS ZVOLEN, a.s. 15

16. 2 ANALÝZA STRATEGICKÉHO RIADENIA V ŽOS ZVOLEN, a.s. SO ZAMERANÍM NA IMS V KONTEXTE SO UDRŽATEĽNOU STRATÉGIOU SZP ŽOS ZVOLEN, a.s. Vízia ŽOS Zvolen, a.s. Vytvoriť pod značkou ŽOS Zvolen uznávanú, životaschopnú a výkonnú spoločnosť s kvalifikovanými zamestnancami, progresívnym opravárenským, montážnym a výrobným potenciálom a špecializovanou strojárskou technológiou. Spoločnosť schopnú komplexne plniť požiadavky zákazníkov v predmete svojich činností. 16

17. 2 ANALÝZA STRATEGICKÉHO RIADENIA V ŽOS ZVOLEN, a.s. SO ZAMERANÍM NA IMS V KONTEXTE SO UDRŽATEĽNOU STRATÉGIOU SZP ŽOS ZVOLEN, a.s. Poslanie ŽOS Zvolen, a.s. Zmyslom a cieľom nášho podnikania je využívanie svojich vedomostí a skúseností pri zabezpečení komplexnej údržby, modernizácie a výroby koľajových vozidiel v rámci európskeho regiónu a výroba komponentov strojárskeho charakteru. 17

18. 2 ANALÝZA STRATEGICKÉHO RIADENIA V ŽOS ZVOLEN, a.s. SO ZAMERANÍM NA IMS V KONTEXTE SO UDRŽATEĽNOU STRATÉGIOU SZP ŽOS ZVOLEN, a.s. Analýza QMS v ŽOS Zvolen, a.s. • V ŽOS Zvolen, a.s. je zavedený systém manažérstva kvality už od roku 1997, kedy bol certifikovaný podľa noriem ISO 9002:94. Od tej doby sa systém neustále rozvíja a v súčasnosti je systém manažérstva kvality nedeliteľnou súčasťou manažérskej práce . 18

19. 2 ANALÝZA STRATEGICKÉHO RIADENIA V ŽOS ZVOLEN, a.s. SO ZAMERANÍM NA IMS V KONTEXTE SO UDRŽATEĽNOU STRATÉGIOU SZP ŽOS ZVOLEN, a.s. Analýza EMS v ŽOS Zvolen, a.s. • Podnik ŽOS Zvolen, a.s. sa začal zaujímať o zavedenie environmentálneho manažérskeho systému ISO 14 001 : 2004 v roku 2007. A manažment podniku sa rozhodol o zavedenie environmentálneho manažérskeho systému ISO 14001. V roku 2008 bol úspešné absolvovaný certifikačný audit. 19

20. 2 ANALÝZA STRATEGICKÉHO RIADENIA V ŽOS ZVOLEN, a.s. SO ZAMERANÍM NA IMS V KONTEXTE SO UDRŽATEĽNOU STRATÉGIOU SZP ŽOS ZVOLEN, a.s. Analýza HSMS v ŽOS Zvolen, a.s. • V ŽOS Zvolen nie je certifikovaný manažérsky systém pre BOZP, ale niektoré prvky sú zahrnuté do prvých dvoch systémov - kvality a environmentu. A v praxi sa implementujú prvky systému bezpečnosti a ochrany zdravia pri práci podľa normy OHSAS 18 001, a to je pre fungovanie firmy postačujúce a pokiaľ sa plnia ustanovenia slovenskej legislatívy - zákon 124/2006 Z.z.. 20

21. 2 ANALÝZA STRATEGICKÉHO RIADENIA V ŽOS ZVOLEN, a.s. SO ZAMERANÍM NA IMS V KONTEXTE SO UDRŽATEĽNOU STRATÉGIOU SZP ŽOS ZVOLEN, a.s. Analýza ISMS v ŽOS Zvolen, a.s. • V súčasnosti v podniku ŽOS Zvolen, a.s. systém manažérstva informačnej bezpečnosti nie je zavedený, ale majú záujem o zavedenie tohto systému. • Súčasný stav informačnej bezpečnosti je na dobre úrovni, a bol posúdený v roku 2010 a ohľadom informačnej bezpečnosti sa nezmenilo. 21

22. 3 NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, A.S. A JEHO INTEGRÁCIA DO IMS V KONTEXTE ZO UDRŽATEĽNOU STRATÉGIOU SZP. 22

23. 3 NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, A.S. A JEHO INTEGRÁCIA DO IMS V KONTEXTE ZO UDRŽATEĽNOU STRATÉGIOU SZP. Pred implementáciou systému manažérstva informačnej bezpečnosti si organizácia musí ujasniť niekoľko hľadísk: - prečo chce či musí SMIB zaviesť, - akých oblastí a činností organizácie sa bude SMIB týkať, - v akom rozsahu bude zavedený – (celá firma - všetky činnosti, alebo len niektoré významné činnosti) - vedúci pracovníci si celkom určite musia premyslieť „rozdelenie právomocí“ jednotlivých zamestnancov, - akým spôsobom chce organizácia SMIB zaviesť. 23

24. 3 NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, A.S. A JEHO INTEGRÁCIA DO IMS V KONTEXTE ZO UDRŽATEĽNOU STRATÉGIOU SZP. Pre návrh implementácie systému manažérstva informačnej bezpečnosti podľa ČSN ISO/IEC 27003 v ŽOS Zvolen a.s. odporúčam využiť nasledovný postup: • získanie súhlasu vedenia organizácie so začatím projektu ISMS, • definovanie rozsahu, hraníc a politiky ISMS, • vykonanie analýzy požiadaviek bezpečnosti informácií, • vykonávanie hodnotení rizík a plánovanie zvládanie rizík, • návrh ISMS. 24

25. 3 NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, A.S. A JEHO INTEGRÁCIA DO IMS V KONTEXTE ZO UDRŽATEĽNOU STRATÉGIOU SZP. Získanie súhlasu vedenia organizácie so začatím projektu ISMS Získať súhlas vedenia organizácie o začatí projektu ISMS. Práca vykonaná v tejto etape umožní organizácii pochopiť dôležitosť ISMS a ujasniť úlohy a zodpovednosti bezpečnosti informácií v organizácii, ktoré sú pre projekt ISMS potrebné. 25

26. 3 NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, A.S. A JEHO INTEGRÁCIA DO IMS V KONTEXTE ZO UDRŽATEĽNOU STRATÉGIOU SZP. Definovanie rozsahu, hraníc a politiky ISMS Rozsah a hranice systému manažérstva informačnej bezpečnosti by mali byť v rozsahu celej spoločnosti, všetkých útvarov a zamestnancov. Bezpečnostná politika zastrešuje všetky oblasť a útvary informačnej bezpečnosti v celej organizácii a jej vypracovanie je nevyhnutné pre realizáciu systému manažérstva informačnej bezpečnosti. 26

27. 3 NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, A.S. A JEHO INTEGRÁCIA DO IMS V KONTEXTE ZO UDRŽATEĽNOU STRATÉGIOU SZP. Vykonanie analýzy požiadaviek bezpečnosti informácií Analýza súčasnej situácie v organizácii bola vykonávaná prostredníctvom rozdielovej analýzy, ktorej cieľom bolo porovnať aktuálnu úroveň informačnej bezpečnosti v organizácii v porovnaní s odporúčaniami normy STN ISO/IEC 27002. V tejto norme ide o odporúčania v oblasti riadenia informačnej bezpečnosti. 27

28. 3 NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, A.S. A JEHO INTEGRÁCIA DO IMS V KONTEXTE ZO UDRŽATEĽNOU STRATÉGIOU SZP. Vykonávanie hodnotenia rizík a plánovanie zvládanie rizík Hodnotenie rizík by sa mali zúčastniť jedinci, ktorí veľmi dobre poznajú ciele organizácie a chápu bezpečnosť a preto boli uskutočnené rozhovory so zástupcami organizácie: 1. manažér pre systémy (RKK- riadenie kontroly a kvality), 2. vedúci útvaru IT - Informačných technológií, 3. vedúci OTRP – optimalizácie techniky riadenia procesov, 4. zodpovedná osoba za ochranu osobných údajov. Hodnotenie rizík bolo vykonané externou spoločnosťou, ktorá hodnotila celkovú informačnú bezpečnosť a navrhla odporúčania opatrení rizík. 28

29. 3 NÁVRH IMPLEMENTÁCIE SYSTÉMU MANAŽÉRSTVA INFORMAČNEJ BEZPEČNOSTI (ISO 27003) V ŽOS ZVOLEN, A.S. A JEHO INTEGRÁCIA DO IMS V KONTEXTE ZO UDRŽATEĽNOU STRATÉGIOU SZP. Návrh ISMS Vedenie organizácie súhlasilo s implementáciou ISMS, ktorý je definovaný v rozsahu ISMS a politike ISMS, ktorú bude musieť vypracovať. Na základe týchto informácií vypracovať podrobný návrh projektu ISMS a v súlade s informačných aktív, výsledkov hodnotenia bezpečnosti informácií a odporúčaní zvládania rizík a jednotlivými bezpečnostnými opatreniami. 29

30. 4 ZHODNOTENIE NÁVRHU 30

31. 4 ZHODNOTENIE NÁVRHU Tento návrh mal viesť k zavedenie systému manažérstva informačnej bezpečnosti a zvýšenie konkurencieschopnosti ŽOS Zvolen a.s. aj na medzinárodnom trhu pretože informačná bezpečnosť je vo svete bežnou súčasťou kritérií pri výbere obchodných partnerov. 31

32. Ďakujem Vám za Vašu pozornosť Bc. Juraj Záturecký xzaturecky@is.stuba.sk juro.zaturecky@gmail.com 32