Az ISO es tanúsításunk tapasztalatai

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Az ISO 27001-es tanúsításunk tapasztalatai"

Ida Horváth
8 évvel ezelőtt
Látták:

1 Az ISO es tanúsításunk tapasztalatai Bartek Lehel Zalaszám Informatika Kft május 11.

2 Az ISO es szabványsorozat az adatbiztonság a védelmi rendszer olyan, a védekező számára kielégítő állapota, mely a kezelt adatok bizalmassága, sértetlensége, rendelkezésre állása szempontjából teljes körű (minden elemre kiterjed), zárt (minden releváns fenyegetésre kiterjed), időben folytonos, és a kockázatokkal arányos állapotának fenntartására vonatkozó legjobb gyakorlat leírása: Biztonságmenedzsment rendszer kialakítása és üzemeltetése.

(minden elemre kiterjed), zárt (minden releváns fenyegetésre kiterjed), időben folytonos, és a kockázatokkal

3 Releváns részei ISO ISMS rendszer kialakítása és üzemeltetése tanúsítható ISO Legjobb gyakorlat ISO Bevezetés ISO Metrikák ISO Kockázatelemzési módszertan Stb.

27002 Legjobb gyakorlat ISO 27003 Bevezetés ISO

4 132 kontrollcél A.5.1 Információbiztonsági politika A6.1. Belső szervezet A6.2. Külső ügyfelek A7. Vagyontárgyak kezelése A8. Az emberi erőforrások biztonsága A9. Fizikai védelem és a környezet védelme A10. A kommunikáció és az üzemeltetés irányítása A11. Hozzáférés-ellenőrzés A12. Információs rendszerek beszerzése, fejlesztése és fenntartása A13. Információbiztonsági incidensek kezelése A14. Működés folytonosságának irányítása A15. Követelményeknek való megfelelés

A kommunikáció és az üzemeltetés irányítása A11. Hozzáférés-ellenőrzés A12.

5 PDCA ciklus Tervezés (az ISMS kialakítása) ISMS-politika, -célok, -folyamatok és -eljárások kialakítása. Végrehajtás (az ISMS bevezetése és működtetése) Az ISMS-politika, -intézkedések, -folyamatok és -eljárások bevezetése és működtetése. Ellenőrzés (az ISMS figyelemmel kísérése és átvizsgálása) A folyamatok teljesítményének értékelése, és ahol lehetséges, mérése az ISMS-politikával, -célokkal és a gyakorlati tapasztalatokkal összevetve, továbbá az eredmények jelentése a vezetésnek átvizsgálás céljából. Beavatkozás (az ISMS fenntartása és fejlesztése) Helyesbítő és megelőző tevékenységek végrehajtása a belső ISMS-átvizsgálás (audit) és vezetőségi átvizsgálás eredményei, illetve egyéb lényeges információk alapján az ISMS folyamatos fejlesztése érdekében.

Ellenőrzés (az ISMS figyelemmel kísérése és átvizsgálása) A folyamatok teljesítményének értékelése, és ahol lehetséges, mérése az ISMS-politikával, -célokkal és a gyakorlati tapasztalatokkal

6 Kockázatelemzés Eszközök, Fenyegetések Meglevő kontrollok Sérülékenységek Károk, következmények Valószínűségek Kockázatok

7 Biztonságmenedzsment mindig, mindenhol van.

8 Biztonságmenedzsment mindig, mindenhol van. Csak legfeljebb: Nem a vezetés igényei szerint Nem a vezetés támogatásával Nem alkot rendszert Nincs felülvizsgálat és fejlesztés A teljesítményt nem ismerik el

a vezetés támogatásával Nem alkot rendszert Nincs

9 Bevezetés, első tanúsítás Felkészítő szervezet Kontrollok áttekintése (lyukak, rendszerbe szervezés, alul- és túlvédekezés), alkalmazási terület Külső szem, a szokásos megoldásokkal való összehasonlítás Vezetés szembesítése a nem tudatosan vállalt kockázatokkal Részvétel a kockázatelemzésben, a szabályozások és folyamatok leírásában Biztonsági vezető felkészítése Felkészültség ellenőrzése Legalább egy fő függetlenített hozzáértő A biztonságért felelős munkakörökben megnövekedett munkateher Esetleges beruházások

kockázatokkal Részvétel a kockázatelemzésben, a szabályozások és folyamatok leírásában Biztonsági vezető felkészítése

10 Kapcsolat a minőségirányítással Nagy könnyebbség, ha van 9001 Szabvány szinten egymáshoz illesztett rendszerek PDCA ciklus, feljegyzések és kezelésük, stb. azonosak Munkafolyamatok könnyen beilleszthetők mellé vagy bele? Belső audit együtt vagy külön?

11 Megváltozott működés Alkalmazkodás a környezet változásaihoz A belső (szervezeti és technológiai) változásokhoz A vezetés védelmi igényének, kockázatvállalási hajlandóságának változásához Belső és külső ellenőrzés Mindezek eredménye: Személyi szinten: Technologizáltabb munkavégzés A szabályok (legjobb gyakorlat) internalizálódása Cégszinten: Jogi megfelelés Megbízhatóság tényleges fejlődése

külső ellenőrzés Mindezek eredménye: Személyi szinten: Technologizáltabb munkavégzés A szabályok

12 Költségek Információbiztonsági kerekasztal-beszélgetés Költségek Összköltség Védelem költsége Kárérték Védelem erőssége

13 Összefoglalás Az informatikai rendszerek biztonsága egyre kritikusabb terület; Az ISMS biztosítja a téma professzionális megközelítését; A tanúsított rendszer megnyugtató bizonyosságot jelent, és a külső felek részére is igazolja a megbízhatóságot; Garantálja a védelem folyamatos működését, szinten tartását; Javítja a piaci pozíciót, biztosítja a követelményeknek való megfelelést.

bizonyosságot jelent, és a külső felek részére is igazolja a megbízhatóságot; Garantálja a

14 Kérdések? Elérhetőség: Köszönöm a figyelmet.

Hasonló dokumentumok

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4.

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. 2014 Átállás az ISO/IEC 27001 új verziójára 2014. november 4. Móricz Pál ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. változások célja Előadás tartalma megváltozott fogalmak, filozófia mit jelentenek