Információbiztonsági belső auditor

Átírás

1 jegyzet (V.02. / ) Készítette: Dr. Horváth Zsolt László

2 Tartalomjegyzék Tartalomjegyzék Bevezetés A tárgy keretei Miről lesz szó ebben a tárgyban? Áttekintés az auditokról Az auditok rendszerezése Auditálásra vonatkozó szabvány-követelmények MSZ EN ISO 19011:2012 szabvány MSZ EN ISO/IEC :2016 szabvány Tanúsító auditok Az irányítási rendszerek tanúsítása Tanúsítási folyamata szakaszai Vevői / beszállítói audit Tanúsító / vevői / belső auditok összehasonlítása Auditok együtt A kombinált audit Az integrált audit Közös vagy joint auditok Csoportos audit Ellenőrző kérdések MSZ EN ISO 19011:2012 szabvány követelményei Általános bemutatás Fogalmak magyarázata Az audit alapelvei Az auditprogram végrehajtásának irányítása Egy audit végrehajtása Az auditorok felkészültsége és értékelése Ellenőrző kérdések A belső auditálás folyamata A belső audit célja és csoportosítása Szereplők - szerepek A belső auditálás folyamata (életciklusa) Megbízás a belső auditra A belső audit megtervezése A belső audit végrehajtása Helyesbítő intézkedések A belső audit lezárása A belső audit auditori tevékenységei a gyakorlatban Auditterv elkészítése Dokumentáció értékelése Felkészülés a helyszíni szemlére Nyitó értekezlet a helyszíni szemlén Felülvizsgálatok lefolytatása a helyszíni szemlén Záró értekezlet lefolytatása a helyszíni szemlén A belső audit dokumentumai Az éves auditprogram...33 Dr. Horváth Zsolt László 2

3 3.5.2 Az auditori megbízás Az auditterv Az audit kérdéslista Az audit kézi feljegyzései Az auditjelentés Az eltéréslap Az intézkedési terv A céges összefoglaló auditjelentés Ellenőrző kérdések Az MSZ ISO/IEC 27001:2014 szabvány áttekintése A szabvány struktúrája Új, egységes szabványstruktúra a menedzsmentrendszerekre Az MSZ ISO/IEC 27001:2014 felépítése A szabvány követelményei fejezet: A szervezet és környezete fejezet: Vezetés fejezet: Tervezés fejezet: Támogatás fejezet: Működés fejezet: Teljesítményértékelés fejezet: Fejlesztés Az A melléklet: Információbiztonsági célok és intézkedések Az információvédelmi eljárások szakmai területei Ellenőrző kérdések Az információbiztonsági követelmények auditálása Az IBIR menedzsmentrendszer auditálása Az információbiztonság nem-informatikai intézkedéseinek auditálása Terület- és objektumvédelem auditálása Hagyományos (papír alapú) adatvédelem auditálása Személyvédelem auditálása Az információbiztonság informatikai intézkedéseinek auditálása Az IT üzemeltetés fizikai biztonsági auditálása Az IT üzemeltetés logikai biztonsági auditálása További informatikai biztonsági területek auditálása Ellenőrző kérdések Az auditori viselkedés és kommunikáció alapjai Az auditori viselkedés Kérdezéstechnika Tranzakció-analízis Ellenőrző kérdések Melléklet. Az MSZ ISO/IEC 27001:2015 szabvány A mellékletének szabályozási céljai és intézkedései...68 Dr. Horváth Zsolt László 3

4 0 Bevezetés 0.1 A tárgy keretei - Szabadon választható, évközi jegyes tárgy, elméleti előadások, előfeltétel: Információbiztonsági Irányítási Rendszer alapjai c. tárgy - Előadásokon elméleti anyag és gyakorlat elsősorban a vállalatoknál az információbiztonság és az ISO/IEC szabvány követelményei, értelmezése és auditálása témában, példákkal és szituációkkal - A félévben: 12 előadás - Megszerezhető (opcionális): MSZT oklevél. - Vizsga írásbeli dolgozat a szorgalmi időszakban (egyszer ismételhető) o 6 db kifejtős kérdés (kérdésenként 5 5 pont, max. 30 pont) o 60 %-tól megfelelt (2: 60%, 3: 70 %, 4: 80 %, 5: 90 %) - Vizsgán való részvétel feltétele: előadások során 3 tesztdolgozaton (10 10 kérdés) való megfelelés, külön-külön min. 60 %-os eredmény (ebből 2 pótolható) - Előadások törzsanyaga elérhető jegyzetben! Előadásokon további példák, magyarázatok. - Jegyzet: ftp site-on. - Előadó érhetőségei: o Név: Dr. Horváth Zsolt László, ÓE KVK MAI o [email protected] o Tel: o Munkahely: KVK Tavaszmező u. C épület, 410-es szoba 0.2 Miről lesz szó ebben a tárgyban? A tantárgy célja: Az irányítási rendszerek ISO szabvány szerinti auditálási követelményeinek megismerése és elsajátítása, valamint annak alkalmazása az ISO/IEC szerinti információbiztonsági irányítási rendszer auditjaira. A hallgató a tantárgy befejeztével képes legyen önállóan ISO/IEC szerinti IBIR belső auditjának illetve beszállítói auditjának megtervezésére és lefolytatására. A tananyag és tematika mintegy folytatásként ráépül az Információbiztonsági Irányítási Rendszer alapjai c. szabadon választható tárgy anyagára, és így azzal együtt megfelel a Magyar Szabványügyi Testület Oktatási Központja általi Információbiztonsági belső auditori képzésnek. A sikeres vizsgát tett hallgatók igény szerint, az MSZT általi külön vizsgadíj ellenében, - ottani szóbeli gyakorlati vizsgát tehetnek, és megszerezhetik az MSZT i képzettséget igazoló oklevelét. Az előadások a következő témaköröket tárgyalják: az auditálás fogalma, célja; az auditok csoportosítás, fajtái, jellemzésük; a belső auditálás folyamatának követelményei az ISO követelményei alapján; a belső auditálás folyamata, lebonyolítása, dokumentumai; az ISO/IEC szabvány struktúrája, követelményei; az egyes információbiztonsági követelmények és auditálási szempontjaik az auditori viselkedés és kommunikáció technikái; példák és (szituációs) gyakorlatok Dr. Horváth Zsolt László 4

5 1 Áttekintés az auditokról 1.1 Az auditok rendszerezése Az audit meghatározása: Az audit módszeres és független, dokumentált vizsgálat annak megállapítására, hogy az audit tárgyával kapcsolatos tevékenységek és az ezekkel összefüggő eredmények megfelelnek-e az előírásoknak, teljesülnek-e az összes auditkritériumok. Ezek az auditok ilyenformán mind ún. megfelelési auditok, mert az audit tárgyának a meghatározott auditkritérium(ok)hoz való megfelelését vizsgálják. Auditok Rendszerauditok Termékauditok Folyamatauditok Belső audit (1. Fél általi) Vevői audit (2. fél általi) Tanúsító audit (3. fél általi) Az auditok tárgya szerint megkülönböztetünk: - rendszerauditokat az audit tárgya valamilyen irányítási rendszer (menedzsmentrendszer, pl. minőségirányítási rendszer, környezetközpontú irányítási rendszer, információbiztonsági irányítási rendszer, stb.), ahol az audit az adott irányítási rendszer meghatározott követelményhez (pl. az irányítási rendszer nemzetközi rendszerszabványa) való megfelelését vizsgálja; - folyamatauditokat az audit tárgya az auditált szervezet egy (vagy több) kiválasztott folyamata, ahol az audit annak a folyamatnak az elvárásokhoz illetve meghatározott követelményekhez viszonyított megfelelését vizsgálja; - termékauditokat az audit tárgya valamilyen kiválasztott termék, ahol az audit annak a terméknek adott követelményhez viszonyított megfelelését vizsgálja; A továbbiakban csak a rendszerauditokkal foglalkozunk. Az auditok végrehajtója szerint megkülönböztetünk: - első fél által végrehajtott auditokat: ez az ún. belső audit (a szervezet saját belső felülvizsgálata) - második fél által végrehajtott auditokat: ez az ún. vevői audit vagy beszállítói audit (a szervezet vevője végzi) Dr. Horváth Zsolt László 5

6 - harmadik fél által végrehajtott auditokat: független külső felülvizsgálat (ilyen az ún. tanúsító audit) 1.2 Auditálásra vonatkozó szabvány-követelmények MSZ EN ISO 19011:2012 szabvány Címe: Útmutató irányítási rendszerek auditálásához Útmutatás - irányítási rendszerek auditálása esetén - belső és külső auditokhoz egyaránt használható - irányítási rendszert üzemeltető vállalatok, tanúsító testületek, illetve akkreditáló testületek számára - követelményeket határoz meg a következőkkel kapcsolatban: o az audit alapelvei o az auditprogram tervezése, végrehajtása és irányítása o az auditok lefolytatása o az auditorok képzettsége és felkészülése MSZ EN ISO/IEC :2016 szabvány Címe: Megfelelőség-értékelés. Irányítási rendszerek auditját és tanúsítását végző testületekre vonatkozó követelmények. 1. rész: Követelmények szabvány Az irányítási rendszereket tanúsító szervezetek további követelményeit tartalmazza az akkreditáció alapja. Elveket és követelményeket fogalmaz meg - tanúsító testületek számára. - tanúsítási auditok végrehajtásához - irányítási rendszerek auditálása esetén o minőségirányítási rendszer auditjához (ISO/IEC TS ) o környezetközpontú irányítási rendszer auditjához (ISO/IEC TS ) o egyéb, más irányítási rendszer auditjához (kiegészítések lehetségesek) - az adott irányítási rendszer auditjának és tanúsításának felkészült, következetes és pártatlan végzésére. 1.3 Tanúsító auditok Az irányítási rendszerek tanúsítása Az irányítási rendszerek tanúsítását független tanúsító szervezetek végzik. Ez a tanúsítás a tanúsított szervezetek számára az irányítási rendszereik működésének felülvizsgálatát, és a vonatkozó nemzetközi irányítási rendszerszabványnak való megfelelést igazolják. A tanúsító testületeknek a tevékenységeiket saját dokumentáltan szabályozott eljárásrendjük szigorú betartásával kell végezniük. Ennek a megfelelését a tanúsító szervezetek akkreditációja biztosítja. A rendszertanúsító szervezetek működésének követelményeit nemzetközi szabványok írják elő, amelyek a következők: - MSZ EN ISO/IEC : MSZ EN ISO 19011:2012 Dr. Horváth Zsolt László 6

7 A tanúsító szervezetek működését felülvizsgáló, ún. akkreditáló szervek felülvizsgálatának az alapját az ezen szabványok követelményei képezik. A rendszertanúsítások alapelvei: A folyamatot a tanúsító szervezet maga határozza meg és szabályozza, megfelelve az akkreditációs követelményeknek. Az egyes tanúsító szervezeteknél ezek az eljárásrendek hasonló elveken épülnek fel, azonban részleteiben, alkalmazott sablonokban eltérhetnek egymástól. Egy tanúsítási ciklus mindig 3 éves időtartamra szól, ennek megfelelően a kiállított tanúsítványok 3 évig érvényesek. A három éves tanúsítási ciklus érvényességének az alapja a ciklus elején egy teljes körű felülvizsgálat (először tanúsítási audit, majd 3 évente megújító vagy okirat-megújító auditok), közben évente egy kisebb fenntartó vizsgálat, felügyeleti audit. Ennek megfelelően a tanúsítási életciklus auditjainak elnevezése: 0. évben (induláskor): tanúsító audit 1. év után: 1. felügyeleti audit 2. év után: 2. felügyeleti audit 3. év után (a 3 éves ciklus újraindul): (okirat) megújító audit 4. év után: 1. felügyeleti audit 5. év után: 2. felügyeleti audit 6. év után (a 3 éves ciklus újraindul): (okirat) megújító audit 7. év után: 1. felügyeleti audit stb A tanúsítás szakmai lebonyolítása a következő részekből áll: - auditprogram tervezése (teljes 3 éves tanúsítási ciklusra vonatkozó auditok kereteinek megtervezése általában az auditvezető végzi) - auditok tervezése, végrehajtása és dokumentálása (a konkrét auditok életciklusának végrehajtása a kijelölt auditcsoport végzi az auditvezető / vezető auditor irányításával és vezetésével) - tanúsított szervezet megfelelésének értékelése (az auditok, mint felülvizsgálatok eredményei alapján, annak az auditkritériumokkal vonatkozó irányítási rendszerszabvány követelményeivel való összevetéssel a szervezetek követelményeknek való megfelelésének értékelése a tanúsító testület személyzete végzi, függetlenség az auditon részt vevő auditcsoporttól) - döntés a tanúsítványról (megfelelés esetén döntés a tanúsítvány odaítéléséről, fenntartásáról vagy meghosszabbításáról, nem-megfelelés esetén a tanúsítvány felfüggesztéséről vagy visszavonásáról; változások esetén lehetséges a tanúsítvány érvényességének bővítése vagy szűkítése a tanúsító testület személyzete végzi, függetlenség az auditon részt vevő auditcsoporttól) Dr. Horváth Zsolt László 7

8 Az egyes auditok tartalma - tanúsítási audit Ez a tanúsító általi első audit az adott ügyfélnél az adott irányítási rendszer felülvizsgálatára vonatkozóan. A tanúsítási audit jellemzően 2 szakaszból áll: 1. szakasz célja megállapítani, hogy az adott irányítási rendszer keretei rendben vannak-e, és a lényegről szólnak-e! Fő feladatok: dokumentáció elolvasása, nyitott kérdéseinek tisztázása! Alapvetően szükséges a helyszínen végezni, különösen nagy szervezetnél, sok részre bontott szervezetnél, sok telephelynél, kritikus területeken (pl. mezőgazdaság, élelmiszer, atomenergia, radiológia, stb ), vagy egyéb jelentős kockázatok esetén. Utána dokumentációértékeléssel összevont jelentés MINDIG KELL! 2. szakasz célja a folyamatok működése megfelelőségének bizonyítása. Ez a szakasz lényegében a működést ellenőrző, részletes helyszíni felülvizsgálat, audit. Utána részletes auditjelentés MINDIG KELL! - (okirat) megújító audit Ez a tanúsító általi, második vagy további 3-éves auditciklus esetén az auditciklusra vonatkozó első audit az adott ügyfélnél az adott irányítási rendszer felülvizsgálatára vonatkozóan. Ennek célja az audit során a következő 3 évre a tanúsítvány odaítéléséhez szükséges működési felülvizsgálat és megfelelés igazolása. Az okirat-megújító audit mindig teljes körű, és mindig csak egy (helyszíni) szakaszból áll. Első lépése az adott irányítási rendszerre vonatkozó szabályozó dokumentáció áttekintése és értékelése, majd az audit helyszíni szemléjének a megtervezése, lefolytatása és dokumentálása. - felügyeleti audit A tanúsítvány érvényességi ideje alatt kisebb, éves felülvizsgálat. Főbb jellemzői: Nem szükséges írott dokumentáció-értékelés (feltéve, ha lényegi változtatás nem történt a dokumentációban). Mindig csak egy (helyszíni) szakaszból áll. Nem szükséges az összes szabványelem felülvizsgálata. Elsősorban az adott irányítási rendszer működésén és a változások felülvizsgálatán van a hangsúly. Kisebb ráfordítás, mint a tanúsító vagy okirat-megújító auditnál Tanúsítási folyamata szakaszai A tanúsítás folyamatának 3 éves ciklusa mindig a következő szakaszokból tevődik össze: 1. szerződés-kötési szakasz - Ajánlatkérési megkeresés az ügyfél részéről - Kérdőív kiküldése ügyfélnek igények, feltételek, tanúsítandó rendszer sarokpontjainak felmérésére - Döntés (javaslat) 1. szakasz helyszíni szükségességéről - Kitöltött kérdőív alapján tanúsítási ajánlatadás / szerződéskötés folyamata (inc. tanúsítás időigénye meghatározása!) Dr. Horváth Zsolt László 8

9 2. Auditor kijelölése, megbízása - Adott irányítási rendszer dokumentációjának bekérése, előzetes egyeztetés a körülbelüli tanúsítási időpont igényről. - Auditorok kijelölése (pártatlanság, ügyfelek elfogadják-e?) - Auditorok megbízása (megbízás, dokumentáció átadása) 3. Tanúsító audit 1. szakasza Dokumentáció (és helyszíni) felülvizsgálati szakasz - 3-éves auditprogram megtervezése - Dokumentáció átvizsgálása és (csak első tanúsítás esetén) felkészülés az 1. szakasz helyszíni felülvizsgálatra (tanúsító általi és egyéni csekklista, kérdéslista, ) - (csak első tanúsítás esetén) 1. szakaszra helyszíni felülvizsgálatra időpontegyeztetés és auditterv készítése, elküldése - (csak első tanúsítás esetén)1. szakasz helyszíni felülvizsgálat lefolytatása (Folyamatot a tanúsító szervezet szabályozza) - Időpont egyeztetés a 2. szakaszra (vagy okirat-megújító auditra) 4. Felkészülés a 2. szakaszra (vagy okirat-megújító auditra) helyszíni szemlére - 1. szakaszról dokumentációértékeléssel összevont jelentés (vagy okirat-megújítás esetén csak a dokumentációértékelés) készítése, elküldése - 2. szakaszra (vagy okirat-megújító auditra) auditterv elkészítése és elküldése - Auditra való személyes előkészületek (tanúsító általi és egyéni csekklista, kérdéslista, ) 5. Tanúsító audit 2. szakasza (vagy okirat-megújító audit) - Helyszíni szemle (felülvizsgálat) lefolytatása. (Folyamatot a tanúsító szervezet szabályozza.) 6. Utóaudit (opcionális) - Utóaudit lefolytatása a helyszínen! (Folyamatot a tanúsító testület szabályozza.) 7. Audit dokumentálása szakasz - Audit jelentés és egyéb audittal kapcsolatos dokumentáció elkészítése és leadása a tanúsító testületnek 8. Értékelési szakasz - Értékelés: tanúsító testület felülvizsgálja a folyamatot és az eredményeit (Összehasonlítja az auditálás eredményeit a követelményekkel, dönt a megfelelésről.) - Tanúsítvány odaítélése, elkészítése, kiküldése - Regisztráció, A tanúsítási ciklus közben évente felügyeleti audit lefolytatása - Auditorok megbízása - Dokumentáció változások és egyéb adatváltozások bekérése - Auditra időpont-egyeztetés - Felügyeleti auditra auditterv elkészítése, elküldése, egyeztetése - Felkészülés a felügyeleti auditra - Felügyeleti audit lefolytatása Dr. Horváth Zsolt László 9

10 - Felügyeleti audit dokumentálása (auditjelentés és a kapcsolódó dokumentációk) elkészítése, leadása a tanúsító testületnél - Felügyeleti audit eredményei alapján megfelelés értékelése - Döntés a tanúsítvány érvényességéről, ill. annak fenntartásáról 1.4 Vevői / beszállítói audit Vevői audit meghatározása: Vevői vagy beszállítói audit alatt azt az auditot értjük, amikor a megrendelő szervezet felülvizsgálja a saját (vagy leendő) beszállítója működését, folyamatait azért, hogy megállapítsa, azok alkalmasak-e az ő megrendelői igényeinek a kielégítésére. másképp: A beszállítói audit egy eszköz a beszállító irányítási rendszere eredményességének felügyeletéhez és igazolásához. Vevői audit célja - Új szállító esetén o A megfelelő szállító kiválasztása. o A kiválasztott / kiválasztandó szállítók képességének megismerése és fejlesztése. - Meglévő szállító esetén o Az együttműködés folyamatának javítása, és a szállító működésének fejlesztése. o A hibák, hiányok okainak feltárása és kijavítása / kijavíttatása (pl: romló minőségi szint esetén; magasabb vevői elvárás teljesítésének elérése érdekében). Vevői audit csoportosítása Az audit célja / sűrűsége szempontjából: - Egyszeri esemény o pl. beszállító kiválasztásakor o pl. új követelmény (termék, körülmény, feltétel színre lépésekor) o pl. hiba, probléma esetén - Többszöri (folyamatos) esemény o Folyamatos beszállítói ellenőrzés vagy együttműködés keretén belül o Két beszállítói audit között eltelt idő (pl. lehet 1 év, vagy kevesebb) Audit tárgya szempontjából: - Rendszeraudit (egész irányítási rendszerre vagy csak egy részére) - Folyamataudit (egy bizonyos folyamatra vagy folyamatcsoportra) - Termékaudit (bizonyos termékekre vagy azok bizonyos jellemzőire; itt kapcsolódhat az eljáráshoz a folyamataudit is) Vevői audit életciklusa 1. Az audit egyeztetése contracting Dr. Horváth Zsolt László 10

11 2. Az audit előkészítése, tervezése 3. Az audit lefolytatása 4. Utóélet az eredmények felügyelete 1.5 Tanúsító / vevői / belső auditok összehasonlítása Szempont Tanúsító audit Vevői audit Belső audit Kategória 3. Személy általi audit 2. Személy általi audit 1. Személy általi audit Megbízó Auditált szervezet vezetője * Auditált szervezet ügyfele Auditált szervezet vezetője * Auditor Külső, harmadik fél (a tanúsító) alkalmazottja vagy alvállalkozója Auditált szervezet ügyfelének alkalmazottja, vagy általa megbízott alvállalkozó Auditált szervezet saját alkalmazottja, vagy általa megbízott alvállalkozó Audit célja Kifelé a megfelelőség igazolása Beszállító kiválasztása Beszállító alkalmasságának igazolása Beszállító fejlesztése Befelé fejlesztési lehetőségek feltárása, Követelménynek való megfelelés Eredmény (output) 3 évig tanúsítvány + tanúsítási jelhasználat Beszállítói nyilvántartásba vétel, megfelelő beszállítói státusz Befelé egy részletes auditjelentés Input a fejlesztési tervekhez, javító / helyesbítő / megelőző intézkedésekhez Tanúsítási (megbízási) ciklus Audit-kritériumok Audit lefolytatására kötelező előírások ajánlott előírások Auditálás lépései, dokumentumai 3 éves tanúsítási ciklusra szól Adott ISO irányítási rendszerszabvány ISO szabvány ISO/IEC szabvány IAF MD1, MD5 ajánlások Más irányítási rendszerre vonatkozó kiegészítések Tanúsító szervezet (vagy anyavállalata) belső értelmezései, irányelvei Kötött, a kötelező szabványok és a tanúsító szabályozott eljárásai és sablonjai alapján Egyénileg meghatározott, a megbízó határozza meg Adott ISO irányítási rendszerszabvány és/vagy más vevő általi követelmények és/vagy más belső követelmények, elvárások Általában: 1 éves ciklus teljes körű felülvizsgálatra szól Soron kívüli auditokra esemény-generáltan ad- hoc --- Adott ISO irányítási rendszerszabvány 9.2 fejezete ISO szabvány csak ajánlás, nem kötelező Vállalat / Megrendelő saját belső auditálási eljárásrendje, módszere A szervezet sokféle eljárásrendet (audit, önértékelés, egyéni módszerek, ) választhat magának. A saját eljárása határozza meg az auditálás módszerét, a dokumentálás formáját és kötöttségét! Audit alapvető menete, lépések Auditprogram tervezése Auditok tervezése, végrehajtása, értékelése Auditáltnak eltérések javítása Dr. Horváth Zsolt László 11

12 Szempont Tanúsító audit Vevői audit Belső audit Auditált szervezet hozzáállása Kifelé megfelelést bizonyítani! szépnek látszani Fő cél a vevőnek való megfelelés! Mindent meg kell tenni ezért! Befelé az igazmondás, valóság kiderítése! Cél a problémák feltárása és kijavítása! tükörbe nézés Mottó Hazudni nem szabad, de amit az auditor nem kérdez, arra nem kell válaszolni! Fő cél a vevőnek való megfelelés! Nem az a belső audit eredményes, ami nem tárt fel hibát, hanem ami után nem maradt hiba! 1.6 Auditok együtt Egy tanúsító több irányítási rendszer - Külön tanúsítási eljárások auditok egymástól függetlenül, más-más időpontban lefolytatva - Külön tanúsítási eljárások, de auditok egyidőben, összevontan lefolytatva kombinált audit - Közös (összevont) tanúsítási eljárás, auditok együtt egy eljárásban lefolytatva, átfedések kihasználásával optimalizálva integrált audit Több tanúsító egy (vagy több) irányítási rendszer - Ugyanarra az irányítási rendszerre egyszerre több tanúsító általi tanúsítási eljárás külön-külön - Ugyanarra az irányítási rendszerre egyszerre több tanúsító általi tanúsítási eljárás együtt, egy közös audit eljárásban joint audit (közös audit) - Több irányítási rendszer esetén a fentivel kombinálható (tetszőlegesen) Egy tanúsító több tanúsított cég együtt csoportos audit A kombinált audit A kombinált audit olyan audit, ahol az auditprogram egynél több irányítási rendszerszabvány szerinti auditeljárás lefolytatását és értékelését tartalmazza külön-külön, de egy-időben. Pl.: MIR+KIR, MIR + IBIR, MIR + KIR + MEBIR, stb. A kombinált audit lefolytatásakor - az auditok helyszíni felülvizsgálata egy-időben, párhuzamosan történik; - mindegyik auditot külön-külön kijelölt auditor(ok) végzi(k) egy-időben, külön-külön eljárásrend (vizsgálat, dokumentáció, ráfordítás, ) szerint; - közös a nyitó- és záró értekezlet, de ott külön-külön mindegyik irányítási rendszerre az azt tanúsító auditor(ok) mindazt elvégzik, ami a saját rendszerük tanúsításához feladat, - a szükséges auditidő ráfordításnál mindegyik audit ráfordítási idejét külön-külön kell kalkulálni, és az együttes auditidő (munkaidő) ráfordítás ezek összessége. Dr. Horváth Zsolt László 12

13 1.6.2 Az integrált audit Az integrált audit egy olyan kombinált audit, ahol egy szervezet irányítási rendszerének érettsége és az audit csoport felkészültsége lehetővé teszi az audit idő csökkentését a lehetőségek következtében, hogy az audit még hatékonyabban folytatódjék le. Az integrált audit lefolytatása - egy, közös integrált audit-eljárás alapján történik, egy audit-team végzi; - mindegyik folyamat auditálására csak egyszer kerül sor, de az egyszerre figyelembe veszi mindegyik vonatkozó szabvány követelményeit; - közös audit-dokumentáció, ami megfelel mindegyik szabvány elvárásainak; - a szükséges auditidő csökkenthető a szinergiák kihasználásával. További előnyök: Idő és ráfordítás megtakarítása, átfedések csökkentése, jobb átláthatóság Mitől függ az, hogy az audit integrált lehessen? - egy szervezet irányítási rendszerének érettségétől, azaz az irányítási rendszerek integráltságának fokától; - az audit csoport felkészültségétől; Követelmények az auditcsoporttal szemben: - Auditvezető: o Auditvezetői kinevezés mindegyik érintett irányítási rendszerből o Szakmai kompetencia a tanúsítások érvényességi területén (érvényes EA Scope-ok), de legalább a fő üzleti / érvényességi területeken o Tapasztalat integrált audit lefolytatásában, irányításában - Auditorok akik a tervezéskor egy folyamat során egyszerre több szabvány követelményeit vizsgálják: o Auditori kinevezés a vizsgált szabványokra, érvényesen a vizsgált területre (EA scope) Integrált auditnál figyelembe venni - Audit tervezése: o auditorok szakmai ismereteinek, képzettségeinek és képességeinek ismerete, o a feladatok megosztásakor auditor specialitások figyelembevétele, - Az auditálás folyamata: o felelősségek tisztázása, megosztása, o feljegyzések készítésének összhangja, o irányítási rendszerek szakma-specifikus követelményeinek igazolása, o záró-értekezleten az audit értékelésének munkamegosztása. - Az audit dokumentálása: o munkamegosztás a jelentés készítésben, o a határidők tartása Integrált audit végrehajtásának feltétele még az ügyfél oldalon egy integrált irányítási rendszer megléte és működése. Dr. Horváth Zsolt László 13

14 Mit is jelent az integrált irányítási rendszer? Az integrált irányítási rendszer egy olyan rendszer, amely politikát és célokat határoz meg, és ezeket a célokat több irányítási terület integrált működtetésével éri el ahelyett, hogy több rendszert működtetne párhuzamosan. Integrált rendszer (érettségének) kritériumai: - integrált politika, - integrált szervezet (felelősségek meghatározása, elosztása, működtetése), - integrált menedzsment-elemek (közös belső audit, vezetőségi átvizsgálás, kontrolling, ) - integrált folyamat-szabályozás és dokumentáció (közös kézikönyv, folyamatszabályozások egyszerre tartalmazzák mindegyik vonatkozó szabvány követelményeit) Az integrált irányítási rendszer előnyei - közös menedzsment elemek közös használata, - nincsenek párhuzamos és fölösleges tevékenységek, - felelősségek áttekinthetőbbek, egyértelműek, - ráfordítások, erőforrások felhasználásának csökkentése, optimalizálása, - dokumentációs rendszer mennyiségének csökkentése, - könnyebb illesztés a vállalati stratégiához és célokhoz, - vállalat hatékonyságának növelése, Integrált rendszer integrált auditok problémái A számos előnyük mellett nehezen terjednek el, mert nehéz a feltételek teljesítése: - Az auditálandó szervezet részéről: o nehezebb, mert több szakmai felkészülést és képzettséget igényel; o belső érdekellentétek lehetnek (kiskirályságok megszüntetése, folyamatok átláthatóbbá tétele, ); o nehéz megfelelő kompetenciájú tanácsadót választani; o nehéz megfelelő kompetenciájú tanúsítót választani; - A tanúsító szervezet részéről: o több szervezést igényel; o nehezebb a különböző (3-éves) tanúsítási ciklusok egyeztetése; o az audit-idő csökkentés és ár-kedvezmények miatt bevétel csökkenés; o nagyon kevés a megfelelő kompetenciájú auditor Közös vagy joint auditok Egy auditálási folyamatban egyszerre két (vagy több) tanúsító vesz részt. Mikor van erre igény? - Ha az ügyfélkör vagy anyavállalat (pl. multi esetében) ugyanannak az irányítási rendszernek több tanúsító általi tanúsítását kívánja egyszerre megszerezni; - Ha az elvárt tanúsító az adott országban önállóan nincs jelen, és csak mással közösen tud tanúsítani; - Ha integrált irányítási rendszer esetén az elvárt tanúsító nem tudja mindegyik irányítási rendszert tanúsítani. (joint kombinált audit); Dr. Horváth Zsolt László 14

15 Közös audit lefolytatása: - Közös az auditprogram, tervezés, eljárás; - Munka-, feladat- és felelősség- megosztás; - Kompetenciák tisztázása; - Dokumentálás tisztázása (közös vagy külön-külön) Csoportos audit Egy tanúsító több tanúsított cég együtt csoportos audit - Jellemző igény: holding, közös tulajdonoshoz tartozó (közös irányítású) cégcsoport, multi több leányvállalata egyidejű auditálásakor - Közös menedzsment elemek, közös vezetés és MIR vezetés, audit lefolytatása is együtt - Egy tanúsítási eljárás / egy tanúsítási, regisztrációs számon fut - Egy közös tanúsítvány (cégcsoport felsorolásával) + al-tanúsítványok cégenként - Eljárás hasonlít a több-telephelyes audithoz - Tanúsítási auditnál minden tanúsított cég; felügyeleti auditkor (központ kivételével) egyes cégek kimaradhatnak - Külön szabályok tervezéskor az audit-ráfordításokra, telephelyek kiválasztására, 1.7 Ellenőrző kérdések - Hogyan csoportosíthatjuk az auditokat az audit tárgya illetve a végrehajtója szerint? Jellemezze röviden az egyes csoportokat! - Mutassa be, hogy a tanúsítás során milyen auditokat hajt végre a tanúsító szervezet, és jellemezze röviden ezeket az auditokat! - Mutassa meg, hogy milyen lépésekből (szakaszokból) áll a tanúsítás folyamata! - Mi a tartalma a tanúsítási audit első és második szakaszának? - Hogyan csoportosítja a vevői auditokat? - Hasonlítsa össze a tanúsító, a vevői és a belső auditokat az auditok célja, megbízója, végrehajtója, jellemző ciklusideje szempontjából! - Hasonlítsa össze a tanúsító, a vevői és a belső auditokat az auditok végrehajtási követelményei, alapvető lépései és elvárt eredményei szempontjából! - Milyen audittípusokat ismer egy vagy több tanúsító egy vagy több irányítási rendszer auditjai esetére, és mutassa meg, hogy mit jelentenek ezek az audit típusok! - Hasonlítsa össze a kombinált auditot és az integrált auditot. - Mit jelent az integrált irányítási rendszer? Mik a főbb jellemzői, és a főbb előnyei? Dr. Horváth Zsolt László 15

16 2 MSZ EN ISO 19011:2012 szabvány követelményei 2.1 Általános bemutatás Címe: Útmutató irányítási rendszerek auditálásához Útmutatás: - Irányítási rendszerek auditálása esetén - Belső és külső auditokhoz egyaránt használható - Irányítási rendszert üzemeltető vállalatok, tanúsító testületek, illetve akkreditáló testületek számára - Követelmények a következőkkel kapcsolatban: o az audit alapelvei o az auditprogram tervezése, végrehajtása és irányítása o az auditok lefolytatása o az auditorok képzettsége és felkészülése Az MSZ EN ISO 19011:2012 szabvány struktúrája Előszó Bevezetés 1. Alkalmazási terület 2. Rendelkező hivatkozások 3. Szakkifejezések és meghatározások 4. Az auditálás alapelvei 5. Az auditprogram irányítása 6. Egy audit végrehajtása 7. Az auditorok felkészültsége és értékelése Mellékletek 2.2 Fogalmak magyarázata - audit: Módszeres, független és dokumentált folyamat auditbizonyíték megszerzésére és objektív értékelésére annak meghatározása céljából, hogy az auditkritériumok milyen mértékben teljesülnek. MEGJEGYZÉS: A belső auditokat, amelyeket néha első fél által végzett auditoknak neveznek, maga a szervezet végzi, vagy az ő megbízásából végzik, vezetőségi átvizsgáláshoz és más belső célokra (pl. az irányítási rendszer eredményességének bizonyítására vagy információk megszerzésére az irányítási rendszer fejlesztéséhez). A belső auditok alapul szolgálhatnak ahhoz, hogy egy szervezet saját megfelelőségi nyilatkozatot tegyen. Sok esetben, különösen kis szervezetek esetében, a függetlenség bizonyítható az auditált tevékenységért viselt felelősségtől való függetlenséggel vagy elfogulatlansággal és az összeférhetetlenség elkerülésével. MEGJEGYZÉS: A külső auditok magukban foglalják a második és harmadik fél által végzett auditokat. Második fél által végzett auditokat olyan felek hajtanak végre, amelyek érdekeltek a szervezetben, mint pl. annak vevői vagy az általuk megbízott más személyek. Harmadik fél által végzett auditokat független auditáló szervezetek hajtanak végre, mint pl. szabályozó hatóságok vagy azok, amelyek tanúsítványt adnak ki. - auditkritériumok: Hivatkozási alapként használt irányvonalak (politikák), eljárások vagy követelmények, amelyekkel az auditbizonyítékot összehasonlítják. Dr. Horváth Zsolt László 16

17 MEGJEGYZÉS: Ha a kritériumok jogszabályi követelmények (beleértve az egyéb szabályozói követelményeket), gyakran használják a megfelel ( compliant ) vagy nem felel meg ( non-compliant ) kifejezéseket egy audit-megállapításban. - auditbizonyíték: Az auditkritériumokra vonatkozó, ellenőrizhető feljegyzések, ténymegállapítások vagy egyéb információk. - az audit megállapításai: Az összegyűjtött auditbizonyítékok és az auditkritériumok összehasonlító kiértékelésének eredménye. MEGJEGYZÉS: Az audit megállapításai jelzik a megfelelőséget vagy nem megfelelőséget (eltérést). MEGJEGYZÉS: Az audit megállapításai elvezethetnek a fejlesztési lehetőségek azonosításához vagy a jó gyakorlatok rögzítéséhez. MEGJEGYZÉS: Ha az auditkritériumokat jogszabályi vagy egyéb követelmények közül választják ki, az audit megállapítása: megfelelő (compliance) vagy nem megfelelő (non-compliance). - az audit következtetése: Az auditnak az audit céljai és az audit valamennyi megállapítása figyelembevételével megállapított végeredménye. - auditprogram: Megegyezés egy meghatározott időtartamra tervezett, meghatározott célra irányuló egy vagy több audit együttesére. - auditterv: Audittal kapcsolatos tevékenységek és intézkedések leírása. - az audit ügyfele: Az auditot kérő / az auditmegbízást adó személy vagy szervezet. MEGJEGYZÉS: Belső felülvizsgálat esetén az audit ügyfele lehet az auditálás alatti szervezet vagy az auditprogramot irányító személy is. Külső auditra vonatkozó kérés érkezhet olyan helyekről, mint pl. szabályozó hatóságok, szerződéses partnerek vagy lehetséges ügyfelek. - auditálás alatti szervezet: Az a szervezet, amelyet auditálnak. - auditor: Az a személy, aki auditot végez. - auditcsoport: Egy vagy több auditor, aki auditot végez, ha szükséges, szakterületi szakértők támogatásával. MEGJEGYZÉS: Az auditcsoport egyik auditora az auditcsoport kinevezett vezetője. MEGJEGYZÉS: Az auditcsoportban lehetnek auditorjelöltek (betanuló auditorok) is. 2.3 Az audit alapelvei - Tisztességes magatartás a szakmai hozzáértés alapja (gondos és felelősségteljes munkavégzés, felkészültség, jogszabályoknak megfelelés, becsületesség, pártatlanság, elfogulatlanság) - Tárgyilagos beszámolás a valóságnak megfelelő és pontos jelentés kötelezettsége (a valóságnak megfelelő és pontos jelentési kötelezettsége) - Kellő szakmai gondosság szorgalom és ítélőképesség alkalmazása az audit során (az auditor megfelelő felkészültsége, igyekezet és ítélőképesség alkalmazása az auditban) - Bizalmasság az információk bizalmassága (az érzékeny és bizalmas információk megfelelő kezelése) Dr. Horváth Zsolt László 17

18 - Függetlenség az audit pártatlanságának és az auditkövetkeztetések objektivitásának az alapja (auditorok függetlensége az auditált tevékenységtől és cégtől, auditkövetkeztetések objektivitása) - Bizonyítékokon alapuló megközelítés ez az ésszerű módja annak, hogy módszeres auditfolyamatban megbízható és reprodukálható auditkövetkeztetésekre jussanak (igazolható audit-bizonyítékok, mintavételes vizsgálat helyes alkalmazása) 2.4 Az auditprogram végrehajtásának irányítása Az auditprogram egy meghatározott időtartamra tervezett, meghatározott célra irányuló egy vagy több audit együtteséről szóló megegyezés. Példa: - Belső auditálás esetén tartalmazhatja a szervezet teljes irányítási rendszerét lefedő, éves összes belső auditot. - Beszállítói auditálás esetén lehet az egy időszakra és az adott termékre vagy termékcsoportra vonatkozott auditok összessége. - Tanúsító auditálás esetén lehet az egy (3-éves) auditciklusra tervezett összes audit. Az auditprogramot irányító személy (másképp: auditprogram végrehajtásáért felelős személy) az a személy, aki a teljes auditprogram tervezéséért, lebonyolításáért, felügyeletéért és fejlesztéséért felelős az auditot végrehajtó szervezeten belül. Az auditprogram életciklusa: Az auditprogram tartalmazza azokat az információkat és erőforrásokat, amelyek az auditok eredményes és hatékony megszervezéséhez és végrehajtásához szükségesek a megadott időkereten belül. Az auditprogram tartalmazhatja még - az auditprogram és az egyes auditok céljait; - az auditok terjedelmét / számát / típusát / időtartamát / helyszínét / ütemezését; - az auditprogram eljárásait; - az audit kritériumait; Dr. Horváth Zsolt László 18

19 - az auditmódszereket; - az auditcsoportok kiválasztását; - a szükséges erőforrásokat, beleértve az utazást és a szállást; - a bizalmasság, információbiztonság, egészség és biztonság és hasonló témák kezelésének folyamatait. Az auditprogram céljai legyenek összhangban és támogassák az irányítási rendszer politikáját és céljait. Szempontok az auditprogram céljainak meghatározásához: - a vezetőség előnyben részesített szempontjai; - kereskedelmi és más üzleti szándékok; - folyamatok, termékek, projektek jellemzői és ezek bármely változása; - irányítási rendszerek követelményei; - jogszabályi, szerződéses és más követelmények, amelyek iránt a szervezet elkötelezett; - szállítóértékelésre vonatkozó igény; - érdekelt felek, beleértve a vevőket, igényei és elvárásai; - az auditálás alatti szervezet teljesítményszintje, ahogy az a hibák, zavaró események vagy vevői panaszok előfordulásában tükröződik; - az auditálás alatti szervezet kockázatai; - a megelőző auditok eredményei; - az auditált irányítási rendszer fejlettségi szintje. Az auditprogram céljai lehetnek példák - hozzájárulás az irányítási rendszer és annak működése fejlesztéséhez; - külső követelmények teljesítése, pl. egy irányítási rendszer-szabvány szerinti tanúsítás; - szerződéses követelményeknek való megfelelés igazolása; - bizonyosság megszerzése és fenntartása egy szállító képességében; - az irányítási rendszer eredményességének meghatározása; - az irányítási rendszer céljainak az irányítási rendszer politikájával és az általános szervezeti célokkal való összhangjának és összehangolásának értékelése; Szempontok az auditprogram kidolgozásakor: - az auditprogramot irányító személy szerepe és felelősségei (auditprogram irányításához szükséges ismeretek, kompetencia, felkészültség ) - az auditprogram terjedelmének megállapítása (Az auditálás alatti szervezet méretétől és jellegétől, valamint az auditálandó irányítási rendszer jellegétől, működésétől, bonyolultságától, fejlettségi szintjétől, valamint az irányítási rendszer jelentős témáitól függ.) - az auditprogram kockázatainak azonosítása és értékelése (Sok olyan, az auditálási program kidolgozásával, megvalósításával, figyelemmel kísérésével, átvizsgálásával és fejlesztésével kapcsolatos kockázat van, amely hatással lehet a program céljainak teljesítésére. A programot irányító személy vegye figyelembe ezeket a kockázatokat a program kidolgozása során.) - az auditprogram végrehajtásához tartozó eljárások kidolgozása (Ezek az eljárások foglalkoznak az auditprogram végrehajtása feltételeinek biztosításával, valamint az auditprogram végrehajtását szabályozzák kellő eljárásokkal, sablonokkal és kontrolokkal ) Dr. Horváth Zsolt László 19

20 - az auditprogram erőforrásainak azonosítása ( mindenféle szüksége erőforrás figyelembe vétele: humán, pénzbeli, idő, utazási feltételek, infrastruktúra és eszközök ) Szempontok az auditprogram végrehajtásakor: - az egyedi auditok céljainak, területének és kritériumainak meghatározása (Az auditcélok határozzák meg azt, amit az egyes auditokkal el kell érni, és tartalmazhatják pl. annak meghatározását, hogy az auditálandó irányítási rendszer vagy annak részei milyen mértékben felelnek meg az auditálási kritériumoknak, illetve az adott irányítási rendszer lehetséges fejlesztési területeinek meghatározását.) - az auditmódszerek kiválasztása (az auditprogramot irányító személy határozza meg, testre szabottan ) - az auditcsoport tagjainak kiválasztása (az auditprogramot irányító személy határozza meg, testre szabottan, figyelembe véve a rendelkezésre álló kereteket, auditcélokat, auditorok függetlenségét és kompetenciáját, stb.) - az egyedi auditért viselt felelősség kijelölése az auditcsoport vezetőjének; - az auditprogram végeredményének kezelése (Ezek a feladatok: auditjelentés átvizsgálása, jóváhagyása, helyesbítő és megelőző intézkedések eredményességének vizsgálata, auditjelentések elosztása, ) - az auditprogram feljegyzéseinek kezelése és megőrzése (Feladat annak biztosítása, hogy az audit során a szükséges feljegyzéseket létrehozzák, kezeljék, megőrizzék az auditprogram megvalósításának igazolására, valamint a benne lévő információk bizalmasságát megőrizzék. Ezek a feljegyzések az auditprogrammal, az egyes auditokkal, valamint az auditokban résztvevő személyekkel kapcsolatos feljegyzések.) Az auditprogram figyelemmel kísérése, átvizsgálása és fejlesztése: Az auditprogramot az auditprogramot irányító személy feladata az auditprogram megvalósításának figyelemmel kísérése, az egyes lépések szükség szerinti koordinálása, illetve szükség szerint az auditprogram módosítása. Az auditprogram végrehajtását és eredményeit az auditprogramot irányító személy felülvizsgálja és értékeli, és javaslatokat tesz annak fejlesztésére. Dr. Horváth Zsolt László 20

21 2.5 Egy audit végrehajtása Áttekintés egy audit életciklusában a jellemző audit-tevékenységekről: Az egyes lépések fő tartalmi elemei / tevékenységei: Az audit elindítása - Kezdeti kapcsolatfelvétel az auditálás alatti szervezettel - Az audit teljesíthetőségének meghatározása Az audittevékenységek előkészítése - Dokumentumátvizsgálás elvégzése az auditra való felkészülés során - Az auditterv elkészítése - A munka kiadása az auditcsoportnak - Munkadokumentumok készítése Az audittevékenységek végrehajtása - A nyitóértekezlet lefolytatása - Dokumentumátvizsgálás elvégzése az audit végrehajtása során - Kapcsolattartás az audit során - A kísérők és megfigyelők szerepeinek és felelősségeinek kijelölése - Információk gyűjtése és igazolása - Az audit megállapításainak megfogalmazása - Az auditkövetkeztetések elkészítése - A záró értekezlet lefolytatása Az auditjelentés elkészítése és elosztása - Az auditjelentés elkészítése - Az auditjelentés elosztása Audit befejezése Auditot követő tevékenységek Dr. Horváth Zsolt László 21

22 2.6 Az auditorok felkészültsége és értékelése A szervezetnek eljárást kell kidolgoznia az auditorok értékelésére, amelyek tartalmazzák - az auditorok szükséges és elvárt kompetenciáját, tudását, - az értékelési kritériumokat, - az auditorok értékelésének módját és végrehajtási eljárásait, - az auditorok fejlesztésére vonatkozó (képzési) eljárásokat. Auditori felkészültséggel kapcsolatos követelmények területei: - Személyes viselkedésmód - Ismeretek és készségek - Végzettség, munkatapasztalat - Auditori képzettség, auditori gyakorlatok Személyes viselkedésmód - etikus: tisztességes, szavahihető, őszinte, becsületes és titoktartó; - nyitott gondolkodású: hajlandó más elgondolások vagy vélemények megfontolására; - diplomatikus: tapintatos az emberekkel való kapcsolatában; - jó megfigyelő: aktív észlelője a fizikai környezetnek és tevékenységeknek; - érzékelő: ösztönös felismerője a helyzeteknek, aki ki is ismeri magát ezekben; - rugalmas: gyorsan alkalmazkodó a különböző helyzetekhez; - kitartó: szívós, aki összpontosít a célok elérésére; - határozott: képes kellő időben következtetéseket levonni logikai megfontolás és elemzés alapján; - magabiztos: képes független tevékenységre és működésre, miközben eredményesen együttműködik másokkal; - állhatatos: felelős és etikus cselekvés akkor is, ha ez nem feltétlenül népszerű; - nyitott a fejlődésre: tudnak és hajlandók tanulni a helyzetekből; - kulturálisan érzékeny: tiszteletben tartja az auditált szervezet kultúráját; - együttműködő: másokkal (az auditcsoport tagjaival, a szervezet munkatársaival). Ismeretek és készségek a következő területeken szükségesek: - Az audit alapelvei, eljárásai, módszerei - Az irányítási rendszerdokumentumok, és a bennük hivatkozott dokumentumok megértésének és értékelésének képessége - Szervezeti környezet, jogszabályi és egyéb követelmény háttér - Szakterületi, ágazati ismeretek és készségek Példa a szabványból: A7. Szemléltető példa az auditorok szakterületre jellemző ismereteire és készségeire az információbiztonság irányításában A szakterülettel és a szakterületre jellemző módszerek, technikák, folyamatok és gyakorlat alkalmazásával kapcsolatos ismeretek és készségek legyenek elegendőek ahhoz, hogy az auditor képes legyen megvizsgálni az irányítási rendszert és megfelelő audit-megállapításokat és -következtetéseket megfogalmazni. Ilyen példák a következők: - az útmutatók az olyan szabványokból, mint például: ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC és ISO/IEC 27005; - a vevők és az érdekelt felek követelményeinek azonosítása és értékelése; Dr. Horváth Zsolt László 22

23 - az információbiztonsággal foglalkozó törvények és szabályozások (pl. szellemi tulajdon; szervezeti feljegyzések tartalma, megóvása és megőrzése; adatvédelem és az adatok titkossága; a titkosítási intézkedések szabályozása; antiterrorizmus; elektronikus kereskedelem; elektronikus és digitális aláírás; munkahely-felügyelet; munkahelyi ergonómia; telekommunikációs elfogás és adatok, pl. elektronikus levél ellenőrzése, számítógépes visszaélés, elektronikus bizonyítékgyűjtés, behatolásvizsgálat stb.); - az információbiztonság irányításának alapjául szolgáló folyamatok, tudomány és technológia; - kockázatfelmérés (azonosítás, elemzés és értékelés) és trendek a technológiában, fenyegetésekben és sebezhetőségekben; - információbiztonsági kockázatkezelés; - az információbiztonsági intézkedésekkel (elektronikus és fizikai) kapcsolatos módszerek és gyakorlat; - az információk sértetlenségével és érzékenységével kapcsolatos módszerek és gyakorlat; - az információbiztonsági irányítási rendszer és a kapcsolódó intézkedések eredményességének mérésével és értékelésével kapcsolatos módszerek és gyakorlat; - a működés mérésével, figyelemmel kísérésével és feljegyzésével (beleértve a vizsgálatokat, auditokat, átvizsgálásokat) kapcsolatos módszerek és gyakorlat. MEGJEGYZÉS: További információk találhatók az ISO/IEC JTC 1/SC 27 által az információbiztonság irányításához kidolgozott vonatkozó szabványokban. 2.7 Ellenőrző kérdések - Mik tartoznak az audit alapelvei közé, és mi a céljuk azoknak az alapelveknek? - Mutassa be, mi az auditprogram és az auditterv közötti különbség! - Mutassa be az auditprogram végrehajtásának életciklusát, jellemezze röviden az egyes szakaszok feladatait! - Mutasson példákat az auditprogram lehetséges céljaira! (legalább 5 példát soroljon fel!) - Mutassa be az auditprogram irányításáért felelős személy feladatait az auditprogram kidolgozásának szakaszában! - Mutassa be az auditprogram irányításáért felelős személy feladatait az auditprogram végrehajtásának szakaszában! - Mutassa be az egyes auditok végrehajtásának életciklusát, és az egyes szakaszokban a fontosabb tevékenységeket! - Melyek az auditori viselkedés elvárt tulajdonságai, jegyei? (Mutasson be legalább 5 példát!) - Milyen területeken kell megfelelő ismeretekkel és képességekkel rendelkeznie az auditornak? - Milyen jellemző szakmai ismeretekkel kell az információbiztonsági irányítási rendszerek auditorainak rendelkezniük? Dr. Horváth Zsolt László 23

24 3 A belső auditálás folyamata 3.1 A belső audit célja és csoportosítása A belső auditálás célja annak vizsgálata, hogy a működtetett irányítási rendszer - megfelel-e a tervezett intézkedéseknek, - megfelel-e a szabvány követelményeinek, - megfelel-e a (vonatkozó) jogszabályi követelményeknek, - megfelel-e a vele szembeni vállalati követelményeknek, - bevezetése és működése eredményes-e? A belső auditok csoportosítása A belső audit végrehajtója szerint - Vállalat belső munkatársa(i) Célszerűen (lehetőség szerint) legalább két belső auditor legyen, de jobb a több; Előnyös közepes és nagy vállalatoknál; - Külső megbízott(ak) Előnyös a nagyon kis, ún. mikro-vállalatoknál; Szerződéses megbízásos alapon; Általában a felkészítő / tanácsadó munkatársai, de lehetnek mások is; FIGYELEM! A pártatlanság miatt a belső auditot ellátó cégnek / embernek függetlennek kell lennie a minket tanúsító szervezettől! A belső audit indíttatása szerint - Vállalati tervezett ciklikus belső audit Előre (hosszú távon) tervezett, és az (éves) terv szerint végrehajtott; Teljes körű; - Soron kívüli belső audit Általában alaposabb indok (nagyobb eltérések, határidő csúszások, vevői panaszok, minőségproblémák, stb.) alapján rendelik el; Általában nem teljes körűek, pl. csak egyes projekt(ek)re, folyamat(ok)ra, szervezeti egység(ek)re vagy szabványelem(ek)re vonatkoznak; Indításkor azonnal egyszerre végrehajtják; A belső audit szervezése szerint - Szabványelemek szerint - Folyamatok szerint (Vigyázat ez nem azonos a dokumentált eljárási utasítások végrehajtásának ellenőrzésével!) - Szervezeti struktúra szerint FONTOS: A belső auditnak teljes körűnek kell lennie! A belső audit lefolytatási módszere szerint... nagyon sokféle, akár egyedi módszer is megengedett! Alapvető, hogy feleljen meg - a szabvány által megkövetelt feltételeknek, - a vállalat viszonyainak és a vele szemben támasztott elvárt célkitűzéseinek, - a saját kidolgozott és dokumentált eljárásainak, - és a tervezése, végrehajtása és eredményei utólagosan igazolhatók legyenek. Dr. Horváth Zsolt László 24

25 Ez maga a belső audit eljárás, amit minden vállalatnak dokumentáltan el kell készítenie magának! (pl. belső audit eljárási utasítás formában) A belső audit végrehajtása, azaz a konkrét kivitelezés módja azonban lehet nagyon sokféle is, NINCS egyetlen definiált, kötelező eljárási mód! Az eljárás kialakításánál teljesülni kell a szabvány elvárásainak, a folyamat logikája által megkövetelt alapelveknek, de mindig az eljárást mindig igazítani kell a konkrét vállalati és környezeti adottságokhoz (vállalat mérete, tevékenységi köre és jellege, telephelyi adottságok, rendelkezésre álló erőforrások, kulturális környezet, stb ). 3.2 Szereplők - szerepek Felső vezető (pl. ügyvezető igazgató, vezérigazgató,...) - elrendeli a vállalati szintű belső audit lefolytatását; - jóváhagyja az éves auditprogramot; - megbízza az auditorokat (delegálható a minőségirányítási vezetőnek); - megkapja az éves auditjelentést, döntést hoz vállalati szintű intézkedésekről; Adott irányítási rendszer vezetője - megtervezi a vállalati éves auditprogramot, - koordinálja a lefolytatást; - nyomon követi az helyesbítő intézkedések végrehajtását; - összefoglalja és kiértékeli a végrehajtott éves auditprogram eredményeit; Belső vezető auditor - megtervezi az egyes konkrét auditokat; - egyeztet az auditálandó terület vezetőjével; - végrehajtja, kiértékeli és dokumentálja a lefolytatott auditokat; Belső auditor - auditorként részt vesz az audit lefolytatásában; Személyi feltételek (IBIR) belső auditori / vezető auditori kinevezéshez: Auditált vezető o MSZ ISO/IEC szabvány alapos ismerete o Minőségirányítási / információbiztonsági / informatikai ismeretek o Auditált terület szakmai ismerete o Belső auditori képzettség o Személyi alkalmasság auditori feladatok ellátására, - biztosítja az audit lefolytatásának feltételeit; - Interview-alanyként részt vesz az audit lefolytatásában; - az audit eredményei alapján intézkedési tervet dolgoz ki és hajt végre; Auditált munkatárs - Interview-alanyként részt vesz az audit lefolytatásában. 3.3 A belső auditálás folyamata (életciklusa) A belső audit éves ciklusának lépései: 1. (Megbízás a belső auditra) Dr. Horváth Zsolt László 25

26 2. A belső audit megtervezése o Auditprogram elkészítése, jóváhagyása, auditorok megbízása 3. A belső audit végrehajtása o Auditok megtervezése, végrehajtása és dokumentálása o Auditok koordinálása, szervezése, nyomon követése 4. Helyesbítő intézkedések o Eltérésekre intézkedési terv készítése és végrehajtása o Intézkedések végrehajtásának nyomon követése, eltérések lezárása 5. A belső audit lezárása o Auditok eredményeinek összefoglalása, kiértékelése, prezentálása o Céges szintű helyesbítő intézkedések bevezetése Megbízás a belső auditra Valódi belső auditorok munkája esetén: - Előfeltétel: dokumentáltan kidolgozott auditálási módszertan, eljárás. - A vállalat első számú vezetője megbízást ad az adott irányítási rendszer vezetőjének az éves belső audit lefolytatására. - Ez a megbízás sokszor magától értetődő, az adott IR alapvető része, és így elmarad. Külső szakértő belső auditori megbízásakor: - A vállalat első vezetője megbízást ad a külső szakértőnek az éves belső audit lefolytatására. - Ez a megbízás szerződéses megbízást jelent egyben. - A megbízás tartalmazza (többek közt), hogy milyen eljárás alapján történjen az audit folyamata A belső audit megtervezése - Éves auditprogram elkészítése (adott irányítási rendszer vezetője / a külső megbízott szakértő) - Éves auditprogram beterjesztése az első számú vezetőhöz (adott irányítási rendszer vezetője / a külső megbízott szakértő) - Éves auditprogram jóváhagyása (vállalat első számú vezetője) - Auditorok megbízása (vállalat első számú vezetője, de ezt delegálhatja az adott irányítási rendszer vezetőjének is); Külső belső audit esetén az auditálást a külső szakértő auditor vagy annak egy munkatársa végzi, az auditori megbízást az auditálásra vonatkozó megbízási szerződés magában foglalja A belső audit végrehajtása - Az egyes területi auditok részleteinek (időpont, auditba bevont témakörök, munkatársak) egyeztetése az auditálandó egység vezetőjével (vezető auditor) - Az egyes területi auditok megtervezése (vezető auditor) - Az egyes területi auditok végrehajtása (dokumentáció ellenőrzése és a helyszíni szemle lefolytatása, eredmények megbeszélése) (vezető auditor, auditor) - Az egyes területi auditok dokumentálása (kitöltött audit feljegyzések, eltérések, audit jelentés) (vezető auditor) Dr. Horváth Zsolt László 26

27 - Auditok szervezése, nyomon követése és koordinálása (minőségirányítási vezető / külső megbízott szakértő) - Auditok eredményeinek begyűjtése, figyelése (adott irányítási rendszer vezetője / külső megbízott szakértő) Helyesbítő intézkedések - Eltérésekre kötelezően (és a fejlesztési lehetőségekre javasoltan) intézkedési terv készítése, elküldése az adott irányítási rendszer vezetőjének, és az intézkedések végrehajtása (auditált egység vezetője) Az intézkedések terjedjenek ki a probléma megoldására (helyesbítések) és a probléma okának feltárására és annak megszüntetésére (helyesbítő intézkedések) is. - Intézkedések végrehajtásának nyomon követése, eltérések lezárása (adott irányítási rendszer vezetője) - (Bevezetett intézkedések hatékonyságának ellenőrzésére sokszor a következő évi belső auditon kerül sor.) A belső audit lezárása - Auditok eredményeinek összefoglalása, kiértékelése egy céges szintű auditjelentésben (adott irányítási rendszer vezetője / külső megbízott szakértő) - Eredmények prezentálása a vezetőségi értekezleten (adott irányítási rendszer vezetője) - Céges szintű helyesbítő intézkedések elhatározása és kihirdetése (vállalat első számú vezetője) - Céges szintű helyesbítő intézkedések bevezetése (érintett vezetők, munkatársak) - Bevezetett intézkedések bevezetésének és hatékonyságának ellenőrzése (adott irányítási rendszer vezetője) 3.4 A belső audit auditori tevékenységei a gyakorlatban A (egyes) belső auditok végrehajtásának auditori tevékenységei - Az egyes auditok megtervezése (vezető auditor) - Az egyes auditok végrehajtása (vezető auditor, auditor) o dokumentáció értékelése o felkészülés a helyszíni szemlére o nyitó értekezlet a helyszíni szemlén o felülvizsgálatok lefolytatása a helyszíni szemlén o záró értekezlet a helyszíni szemlén - Az egyes auditok dokumentálása (kitöltött audit feljegyzések, eltérések, audit jelentés) (vezető auditor, auditorok) Auditterv elkészítése Formai követelmény: a saját vállalati eljárás sablonja alapján! Tartalmi követelmény szempontok: - Teljesség (minden érintett szabványpont / folyamat / helyszín, ) - Időpontok, időintervallumok, elvárások auditpartnerek rendelkezésre állására Dr. Horváth Zsolt László 27

28 - Kitől milyen témát fogunk kérdezni - A meghatározott időkeretben - Több auditor munkamegosztás, mindegyik auditornak végig követhető legyen az ideje - Auditori szakmai kompetenciák szükség esetén szakértő részvétele Auditterv készítésekor annak tartalmát előzetesen egyeztetni kell az auditált szervezeti egység vezetőjével, és az érintett auditorokkal. Auditteam (auditcsoport) lehetséges összetétele: - auditvezető (vagy vezető auditor) irányítja az audit lefolytatását, részt is vesz benne - auditor auditorként a rábízott audittevékenységeket elvégzi - szakterületi szakértő az auditon speciális szakterülethez értő személy, szakmai tudásával segíti az auditor munkáját - gyakornok (auditor jelölt) betanuló auditor, auditálási gyakorlat megszerzése - megfigyelő az audit lefolytatását, eredményeit megfigyelő személy, nem folyik bele az audit menetébe (pl. felső vezető, vagy az auditorok munkájának értékelője, ) Az auditteamet (auditcsoportot) kísérheti még néhány kísérő, akik p. az auditált szervezeti egységhez tartoznak és segítenek az audit sima lefolytatásában, de nem tagjai az auditteamnek: - kísérő az auditált részleg egy kijelölt munkatársa, segíti az auditorok munkáját (pl. adott irányítási rendszerért felelős; főképp külső auditoknál jellemző) Dokumentáció értékelése Vizsgált dokumentumok IBIR-ben jellemzően a következők: - Információ-védelmi / információ-biztonsági politika / szabályzat(ok) / kézikönyv - Biztonsági szabályzatok - Alkalmazhatósági nyilatkozat - (Információs) vagyontárgyak felvétele - (Információs) vagyontárgyakra vizsgált kockázatok, azok értékelése - Kockázatok értékelése alapján definiált intézkedések / tervek / eljárások - BCP DRP megléte (milyen témákra hoztak terveket, azok realitása, ) - Az irányítási rendszer eljárásai, és az információbiztonsági eljárások - Belső auditjelentés és vezetőségi átvizsgálás jelentése Dokumentáció értékelés általános szempontjai: Az információk az átadott dokumentumokban: - teljesek-e (minden elvárt tartalom megtalálható a dokumentumban); - helyesek-e (a tartalom megfelel más megbízható forrásoknak, mint például szabványok és szabályozások); - következetesek-e (a dokumentum következetes saját magán belül és a vonatkozó dokumentumokkal); - aktuálisak-e (a tartalom naprakész); Az átvizsgálás alatti dokumentumok lefedik-e az audit területét és elegendő információt nyújtanak-e az auditcélok támogatásához. Az információs és kommunikációs technológiák használata, az audit módszerektől függően, elősegítik-e az audit eredményes végrehajtását: különös gondot kell fordítani az Dr. Horváth Zsolt László 28

29 információbiztonságra az adatvédelemre alkalmazható szabályozások miatt (különösen azon információk esetében, amelyek kívül esnek az audit területén, de a dokumentumokban ezek is megtalálhatók). A dokumentáció értékelés szempontjai, a menedzsment és irányítási rendszer elemek értékelésén túlmenően: Dokumentáció értékelés szempontjai teljes vállalati szinten: - Megfelel-e a szervezet céljainak az információbiztonsági szabályozás / politika / dokumentáció? - Teljes, releváns és aktuális-e az információs vagyontárgyak felmérése és osztályozása? - Megvannak-e az információbiztonsághoz tartozó kockázatok becslései, kiértékelései és minősítése? - Megfelelő-e a kockázatok kezelése, aktuális-e a kockázatkezelési terv? - Megfelelő-e a szervezet Alkalmazhatósági nyilatkozata"? - Megfelelnek-e a meghatározott és szabályozott információ-biztonsági intézkedések és eljárások a politikának / kockázatoknak / alkalmazhatósági nyilatkozatnak? - Van-e üzletmenet-folytonossági terv illetve katasztrófa-elhárítási terv, és mennyire releváns? Dokumentáció értékelés szempontjai szervezeti egység szinten - Teljes, releváns és aktuális-e az információs vagyontárgyak felmérése és osztályozása? - Megfelelő-e a kockázatok kezelése, aktuális-e a kockázatkezelési terv? - Megfelelőek-e a meghatározott és szabályozott információ-biztonsági intézkedések és eljárások? - Megfelelnek-e az adott szervezeti egység folyamatszabályozásai o Az adatkezelési alapelveknek? o Az információs vagyonleltár változáskezelési alapelveinek o A kockázatok alapján meghatározott információbiztonsági követelményeknek? - Van-e üzletmenet-folytonossági terv illetve katasztrófa-elhárítási terv, és mennyire releváns amennyiben a szervezeti egység üzemeltet IT / információs rendszert? Felkészülés a helyszíni szemlére Tevékenységek: - sablonok, űrlapok, formanyomtatványok előkészítése - előzetes információk összeszedése (adott irányítási rendszer dokumentáció, elkészített dokumentációk értékelései, ) - audit jegyzőkönyv-sablonnal csekklistával (céges kérdéslista adott és / vagy saját egyéni kérdéslista!) - saját nyitott kérdések átgondolása, összegyűjtése Nyitó értekezlet a helyszíni szemlén Formája, módja, keretei erősem függnek a cég kultúrájától, méretétől. Tevékenységek: - Bemutatkozás (ha nem belső ember az auditor) - Az audit céljának, lefolytatásának bemutatása (képbe helyezés) Dr. Horváth Zsolt László 29

30 - Egyeztetések (időpont korrekciók, kísérők, ) - Részvétel igazolása (jelenléti ív) Szempont még a lefolytatás során: - Feszültség oldása, nyitott légkör megteremtése - Nyitott (szervezési) kérdések tisztázása Felülvizsgálatok lefolytatása a helyszíni szemlén Az auditorok feladatai a helyszíni vizsgálatkor: - Tevékenységek és intézkedések felülvizsgálata kérdések és megfigyelés útján; - Információ gyűjtése auditbizonyítékok gyűjtése; - Audit-megállapítások tétele, az auditkritériumok teljesülésére vonatkozólag: o Az erősségek meghatározása o Fejlesztési lehetőségek (javítási potenciálok) feltárása o Eltérések megállapítása, súlyozása; - Az eredmények dokumentálása (bizonylatok) Felülvizsgálatok lefolytatásának szempontjai, módszerei: - Cél: Bizonyítékok gyűjtése a megfelelés igazolására, és nem eltérések keresésére - Nincs bűnbak-keresés - Információgyűjtés Tényfeltárás - Mintavételes módszerrel - Helyszín(ek) bejárása (belső, külső, ) - Technika: megfigyelés, kérdezéstechnika, objektív bizonyítékok megtekintése - Feljegyzések készítése mindig szükséges (csak kézi feljegyzés, de az tartalmazzon minden objektív bizonyítékot) - Észrevételeket, megjegyzéseket, problémákat JELEZNI KELL, és (lehetőleg a helyszínen az érintettekkel is) tisztázni! PÉLDÁK: Dolgozóktól, operátoroktól elvárható ismeretek az IB-auditon (példák) - biztonsági előírások általános ismerete; - felelősség definiáltsága (és ismerete); - hozzáférési szabályok a gyakorlatban; - jelszó szabályok (képzés, váltás stb.); - tiszta asztal, tiszta képernyő politika; - tudatosító intézkedések ismerete; - biztonsági incidensek jelentésének gyakorlata; - az adott munkakörben védendő információk (kiemelt); A helyszíni auditon vizsgált feljegyzések példák - IBIR hatékonyságára vonatkozó mérések, feljegyzések, - IBIR képzések tematikája és feljegyzései, jelenléti ívek, - Titoktartási nyilatkozatok, munkaköri leírások (biztonsági kitételei), - Alvállalkozói, szolgáltatói szerződések biztonsági kitételei, részei, - Információs rendszerek működtetésével kapcsolatos feljegyzései, - Jelenléti ívek vezetése, Dr. Horváth Zsolt László 30

31 - Épületbe való beléptetés szabályozása, esetleges naplók, feljegyzések, - (Esetleges) megfigyelő kamerázási rendszer állományai és jogosultságai, illetve a kapcsolódó tájékoztatási kötelezettség (mts. / ügyfél) szabályozása és igazolásai, - Szerverterem belépési napló, (ill. egyéb kiemelt biztonsági zónák beléptetési feljegyzései, kamerák nyomon követései), - Karbantartási naplók, - Irattári szabályzat és rend, - Irattár használatának jegyzőkönyvei, feljegyzései, - Iratok (bizalmas) kezelésének szabályozása, bizalmas iratok megkülönböztetése és életútjának nyomon követési feljegyzései, - IT üzemeltetési szabályzatok és naplók, - IT üzemeltetési (SLA) követelmények, - IT rendszer (hálózat) topológia és dokumentáció, - Külső, távoli hozzáférések szabályozása (authentikáció, jogok, belépés, loggolás, ), nyomon követése, feljegyzései, - Log-állomány (rendszer, alkalmazások, külső kapcsolatok, biztonsági eszközök, ) elemzések feljegyzései, - Mentési dokumentumok (koncepció, szabályzat, terv, naplók, feljegyzések, mentések helyszínei, visszaállítási tervek és naplók), - Hardver és szoftver nyilvántartás, (kinél mi van / felelősségek, kivitt eszközök, ) - Vállalati eszközök magán célú használatának engedélyezésének és gyakorlatának feljegyzései, - HelpDesk feljegyzések, állományok, - (IT-)Monitoring rendszer állományai, - Incidensnapló, incidensek kivizsgálásának feljegyzései, - BCP/DRP tesztelési és oktatási feljegyzések, - Stb Különleges követelmények IT rendszerek auditálásakor - Információs rendszerek felülvizsgálatai a folyamatos működést ne zavarják! o Minden hozzáférés naplózása; o Ellenőrzések csak olvasási jogú hozzáféréssel; o Visszaállítási próbák, tesztek éles, működő rendszertől elkülönítve; - Információs rendszerek audit-eszközeinek (pl. szoftver, tesztállomány) védelme (az azzal való visszaéléstől, rongálástól) - Audit-feljegyzéseken érzékeny információk kerülése Az eltérés (nem-megfelelőség) felvétele - Mi minősül eltérésnek? o Valamely szabványkövetelmény nem teljesül o Saját szabályozás és a gyakorlat nem fedi egymást - Eltérés súlyozása (súlyos enyhe?) - Eltérések rögzítése egyenként külön-külön eltéréslapokon (vagy rekordban) - Eltéréslap tartalmazza: o Audit azonosítóit o Az eltérés leírását, (Kapcsolódó szabványpont megadását, aláírásokat) o A javító intézkedés megadását (+felelős, határidő) o Ellenőrzés módját (dokumentum beküldése utóaudit) Dr. Horváth Zsolt László 31

32 o Az auditor visszaigazolását a teljesítésről, hatékonyságról Záró értekezlet lefolytatása a helyszíni szemlén Tevékenységek: - Üdvözlet, megköszönni az együttműködést - Részletes eredmények ismertetése (és megbeszélése) o Erősségek, eredmények o Javítási lehetőségek (FONTOS mert ez hozzáadott érték.) o Eltérések - Részvételi igazolás (jelenléti ív) Résztvevők: - Auditcsoport, - Tanúsított egység vezetői, - Irányítási rendszerért felelős, - (Opcionális: auditban érintettek a tanúsított egységben, ) 3.5 A belső audit dokumentumai A belső auditok lefolytatását a szervezetnek a saját dokumentált belső auditálási eljárásrendje (szabályozása) alapján kell végrehajtani. Az auditok életciklusának végrehajtását, lépéseit és eredményeit igazoló feljegyzéseknek egységes és áttekinthető formátumban kell készülniük, aemlyekhez az eljárásrendben meg kell határozni a megfelelő sablonokat, űrlapokat. A belső auditálás során használt feljegyzések: - Éves auditprogram (éves auditálási időterv) - Auditori megbízás - Egyes auditok audittervei - Egyes auditokra vonatkozó kérdéslisták - Egyes auditok (kézzel írt) feljegyzései - Egyes auditokról szóló auditjelentések - Eltéréslapok - Intézkedési tervek - Auditok, azok eredményeinek, a hozott intézkedéseknek áttekintése és összegzése - Céges, összefoglaló auditjelentés Ezek közül azok, amelyeknek minden esetben meg kell lenniük, és pl. a tanúsító audit kötelezően ellenőrzi, a következők: - Éves auditprogram (éves auditálási időterv) - Egyes auditok audittervei - Egyes auditokról szóló auditjelentések - Eltéréslapok - Céges, összefoglaló auditjelentés Dr. Horváth Zsolt László 32

33 3.5.1 Az éves auditprogram Az éves auditprogram tartalmazza az egyes betervezett auditok felsorolását, minden egyes auditra megadva - az audit azonosítóját; - az auditálandó szervezeti egység / folyamat / szabványelem / megnevezését; - az auditált vezetőket; - az audit tervezett idejét (általában naptári hét vagy hónap pontossággal); - Az auditor(ok) nevét; Az auditprogram tervezésénél fontos szempont, hogy az a vállalat teljes (az adott IR-be bevont) szervezetére és folyamataira, illetve a szabvány minden elemére nézve teljes körű legyen! Az auditori megbízás Az auditori megbízás tartalmazza az egyes auditorok számára az audit(ok) végrehajtására szóló megbízást, mint feladatkiadást, benne: - a megbízott auditor neve (céges azonosítója); - a végrehajtandó audit(ok) azonosítója, időpontja, kulcsadatai; - dátum, megbízó neve és aláírása Ez lehet automatikusan (beleértett) része is az auditprogramnak Az auditterv Formai követelmény: a saját válallati eljárás sablonja alapján! Tartalmi követelmény szempontok: - teljesség (minden érintett szabványpont / folyamat / helyszín, ) - időpontok, időintervallumok, elvárások auditpartnerek rendelkezésre állására - kitől milyen témát fogunk kérdezni - a meghatározott időkeretben - több auditor munkamegosztás, mindegyik auditornak végig követhető legyen az ideje, feladata - auditori szakmai kompetenciák szakértő részvétele Auditterv elküldése előre az auditálandó szervezeti egységnek, egyeztetés fontossága! Az audit kérdéslista Az audit kérdéslista az egyes auditokra való felkészülés fontos eszköze. Tartalmazza az elkövetkező auditon a felülvizsgálandó területek / témák / nyitott kérdések / megkérdezendők felsorolását. Sokszor csekklistaként (ellenőrző listaként) működik. A gyakorlatban kétféle van (vagy ezek kombinációja): - vállalati központi kérdéslista - egyéni készítésű kérdéslista Az audit kézi feljegyzései Az egyes auditokon az auditor kézi jegyzetei, - a vizsgálatok, interview-k tárgyáról, személyeiről, Dr. Horváth Zsolt László 33

34 - auditbizonyítékokról, - audit észrevételeiről, - audit megállapításokról, - stb Lehet szabad feljegyzés formájában is, de használhatóak hozzá vállalati sablonok is (pl. audit kérdéslistán) Odafigyelni: a papírokon a feljegyzések adatainak bizalmasságára! Az auditjelentés Az auditjelentések tartalmazzák az adott audit - azonosítóját, adminisztratív adatait; - az auditkritériumokat (hivatkozási szabványt vagy követelményeket); - lefolytatásának körülményeit, menetét; - a vizsgált területek, dokumentumok és bizonylatok felsorolását; - a megelőző belső audit óta megfigyelt változásokat; - az auditon talált pozitív megállapításokat (erősségeket); - az auditon talált fejlesztési lehetőségeket (javítási potenciálokat); - az auditon fellelt eltéréseket; Az egyes auditok auditjelentései mindig csak arra az egy konkrét auditra vonatkoznak. A céges összefoglaló auditjelentés tartalmazza továbbá a céges tendenciákat, ismétlődő hibákat, és azok következtetéseit is. Példa: Auditjelentés sablon minta Az adott auditjelentés fejlécében / láblécében: - Audit azonosítója - Auditált szabvány (vagy követelmény) megadása - Audit időpontja (év. hónap. nap, mettől-meddig) - Auditálandó szervezeti egység neve, vezetője - Végrehajtó auditorok Majd az auditjelentés tartalmában a következő fejezetek: - Az audit érvényességi területe - Az auditon az interview partnerek - A megtekintett auditdokumentumok - Általános észrevételek, megállapítások - Erősségek - Eltérések (nem megfelelések) - Fejlesztési lehetőségek Az eltéréslap Az eltéréslap tartalmazza az auditon felvett eltérést: - Az audit azonosítóját, adminisztratív adatait; - Az auditkritériumokat (hivatkozási szabványt vagy követelményeket); - Az eltérés megfogalmazását (lehetőleg vonatkozó szabványelem és súlyosság megadásával.); Dr. Horváth Zsolt László 34

35 - Az elhatározott javító / helyesbítő intézkedéseket (+ felelős és határidő); - Az intézkedések bevezetésének és hatékonyságának igazolását; - Ellenőrzés módját (dokumentum beküldése utóaudit) - Az auditor visszaigazolását a teljesítésről, hatékonyságról FIGYELEM! Az eltérések kijavításának jobb nyomon követhetősége érdekében (papíralapú dokumentáció esetén) célszerű minden egyes eltérést külön eltéréslapra felvenni Az intézkedési terv Az intézkedési terveket az auditált szervezeti egységek készítenek, a náluk végrehajtott auditok eredményei következtében, a feltárt hibák (nem-megfelelőségek) kijavítására illetve fejlesztési lehetőségek megvalósítására. Az intézkedési tervek tartalmazzák az egyes intézkedéseket, és intézkedésenként: - Az intézkedés azonosítóját; - Az intézkedés leírását; - Annak beazonosítását, hogy milyen eltérés, nem-megfelelőség, fejlesztési javaslat vagy egyéb iniciálta ezt az intézkedést; - Az intézkedés felelősét (esetleg együttműködők nevét); - Az intézkedés végrehajtásának határidejét; - (Információt arról, hogy az intézkedés végrehajtásának nyomon követése, ellenőrzése milyen módon történik;) - valamint az intézkedési terv kiadási (érvénybe lépési) idejét, és elrendelőjét A céges összefoglaló auditjelentés A teljes auditprogram végrehajtása után az egyes auditok eredményeinek összefoglaló és statisztikai kiértékelése. Az auditprogram végrehajtásáért felelős / az irányítási rendszerért felelős személy készíti és a vezetőségi átvizsgáláson mutatja be a vezetőségnek. Tartalmazza: - Az auditprogram lefolytatásának (áttekintő) bemutatását, - Az eredményekről áttekintést (általános és kiugró eredmények, tendenciák), ezekből következtetéseket, - A szervezeti szintű intézkedési tervek státuszát, - Javaslatot céges szintű intézkedések bevezetésére 3.6 Ellenőrző kérdések - Mutassa be, hogyan csoportosíthatók a belső auditok végrehajtójuk, indíttatásuk illetve szervezésük szerint! - Mutassa be a belső auditok szereplőit és feladataikat! - Mutassa be a teljes belső auditálási életciklus folyamatát! Jellemezze az egyes lépések fő tevékenységeit! - Mutassa be egy konkrét végrehajtandó audit lefolytatásának folyamatát és feladatait! - Mutassa be a belső auditban az auditprogram irányításáért felelős személy feladatait az auditprogram végrehajtásának teljes életciklusában! - Mutassa be a vezető auditor (auditvezető) feladatait egy audit végrehajtásának ciklusában! Dr. Horváth Zsolt László 35

36 - Egy lefolytatandó audit esetén kik, azaz milyen szerepkörű személyek vehetnek részt az audtteamben? - Az audit során a dokumentáció értékeléskor milyen dokumentációkat kell értékelni, és mik az értékelés szempontjai? - Készítsen egysaját kérdéslistát egy nagyvállalat X osztályának információbiztonsági auditja helyszíni szemléjére! (Választható osztályok X lehetnek: személyzeti osztály, beszerzési osztály, könyvelési osztály, értékesítési osztály, rendészet (hozzá tartozik a beléptetés is).) - Mik a helyszíni szemle nyitó és záró értekezleteinek lépései és feladatai? - Mik az audit helyszíni szemléje lefolytatásának lépései, tevékenységei? - Milyen ismeretek várhatóak el egy információbiztonsági auditon a dolgozóktól? - Az információbiztonsági audit helyszíni szemléjén milyen feljegyzéseket kell / lehet vizsgálni? Mondjon legalább 10 példát ilyen feljegyzésekre! - Mi minősül egy auditon eltérésnek? Mutassa meg, hogy egy eltérés felvételekor milyen információkat kell az eltéréslapon minimum rögzíteni! - Mutassa meg, hogy a belső auditnak jellemzően milyen feljegyzései lehetnek! - Mutassa meg, hogy mit (milyen tartalmi elemeket) kell tartalmaznia az éves auditprogramnak? - Mutassa meg, hogy mit (milyen tartalmi elemeket) kell tartalmaznia az audittervnek? - Mutassa meg, hogy mit (milyen tartalmi elemeket) kell tartalmaznia az (egy auditról készített) auditjelentésnek? Dr. Horváth Zsolt László 36

37 4 Az MSZ ISO/IEC 27001:2014 szabvány áttekintése 4.1 A szabvány struktúrája Új, egységes szabványstruktúra a menedzsmentrendszerekre A Nemzetközi Szabványosítási Szervezet (ISO) 2012-ben kiadott egy új, egységes követelmény-struktúrát minden újonnan megjelenő / megújuló ISO rendszerszabványra. Ez a koncepció (struktúra) az ún. HLS (high level structure), amit minden új vagy újonnan kiadásra kerülő ISO menedzsmentrendszer szabványnak be kell tartania. Alapvető követelményei: - Egységes tartalomjegyzék és követelmény minden egyes ISO irányítási rendszerszabványban. - Mindegyik szabvány menedzsment elemei ebben a HLS-ben, a saját szabványra értelmezve jelennek meg. - Mindegyik szabvány egyedi, speciális területének követelményei vagy a szabványtörzsben (kiegészítésként, ha beilleszthető oda), vagy önálló mellékletként beillesztve kerül beépítésre. Az IBIR és a MIR tervezet szabvány-verziók összehasonlítása (megfelelve a HLS-nek): Az MSZ ISO/IEC 27001:2014 felépítése 1. Alkalmazási terület 2. Rendelkező hivatkozások 3. Szakkifejezések és meghatározások 4. A szervezet és környezete 5. Vezetés 6. Tervezés Dr. Horváth Zsolt László 37

38 7. Támogatás 8. Működés 9. Teljesítményértékelés 10. Fejlesztés A melléklet (előírás): Hivatkozásul szolgáló intézkedési célok és intézkedések 4.2 A szabvány követelményei fejezet: A szervezet és környezete 4.1. A szervezetnek és környezetének megértése - Mi minden befolyásolja az IBIR működését? Külső és belső tényezők 4.2. Az érdekelt felek igényeinek és elvárásainak megértése - Mely érdekelt felek relevánsak az IBIR szempontjából? - Milyen elvárásaik vannak, amiket figyelembe kell venni? (külső és belső, jogszabályi, ágazati, anyavállalati, vevői, belső stb. igények összegyűjtése) Összegyűjteni minden szempontot, elvárást, amit az MIR-nek / IBIR-nek teljesítenie kell 4.3. Az IBIR alkalmazási területének meghatározása - IBIR határainak, alkalmazhatóságának meghatározása, figyelemmel: o Milyen külső és belső tényezőkre kell figyelemmel lennie? o Milyen megfelelési követelményeknek kell eleget tennie? o A szervezet, ill. más szervezetek közötti tevékenységek kapcsolatai? - Az alkalmazási terület dokumentált információ kell legyen! 4.4. IBIR - Legyen IBIR bevezetett, PDCA szerinti. - Folyamatok előírása, igazolása dokumentált információ a szükséges mértékben fejezet: Vezetés 5.1. Vezetői képesség és elkötelezettség - Felső vezetés képessége, elkötelezettsége és ennek kinyilvánítása: o Elszámoltathatóság vállalása az IBIR eredményeiért o IB- politika és célok, összhangban a stratégiai célokkal; o IBIR követelményeinek beépülése a szervezet folyamataiba; o IBIR működéséhez szükséges erőforrások elérhetősége; o IBIR követelményeinek való megfelelés fontosságának kinyilvánítása; o IBIR elvárt eredmények elérésének biztosítása; o IBIR eredményessége elérésében személyzet támogatása; o Folyamatos fejlesztés elősegítése; o Vezetők támogatása. A felső vezetés látja el az IBIR felső szintű irányítását és ő felel a működésért és az eredményességért. Nincs szükség formális IBIR vezetőre. (De nem is tiltott! A hatékony működés elősegítése érdekében ajánlott, hogy legyen.) Dr. Horváth Zsolt László 38

39 5.2. Politika - Felső vezetés kialakítja az információbiztonsági politikát, amely: o Megfelel a szervezet céljainak; o Tartalmazza az információbiztonsági célokat, vagy keretet ad azok kitűzéséhez; o Tartalmazza az elkötelezettséget az IBIR-rel követelmények kielégítésére; o Tartalmazza az elkötelezettséget folyamatos fejlesztésre; - Dokumentált információ - Közzétett és elérhető: a szervezetben és az érdekelt felek számára 5.3. Szervezeti szerepek, felelősségek és hatáskörök - Felső vezetés kijelöli a felelősségeket és hatásköröket ahhoz, hogy: o az IBIR megfeleljen a szabványkövetelményeknek, o az IBIR teljesítményéről szóló riporting rendszer működéséhez a felső vezetésnek. A feladatok felelősségek hatáskörök kijelölése a működéshez és jelentéshez, a felső vezetés jelöli ki. Nem kötelező a formális IBIR vezető! fejezet: Tervezés 6.1. A kockázatokkal és lehetőségekkel kapcsolatos tevékenységek - Kockázatok és lehetőségek meghatározása o Az IBIR eredményessége teljesítésére; Nem kívánt hatások megelőzésére vagy csökkentésére; Folyamatos fejlesztésre. o Tevékenységek bevezetése az IBIR-be, és eredményességük értékelése. - Információbiztonsági kockázat felmérési folyamat: o Kockázat elfogadási kritériumok, és kritériumok az IB kockázati felmérésre; o Megismételhető, következetes, érvényes és összemérhető eredmények; o IB kockázatok azonosítása az információk CIA-kritériumának elvesztésére o IB kockázat felelőse azonosítva o IB kockázatok elemzése (valószínűség, hatás >> kockázati szint) o Értékeli és összehasonlítja az IB kockázatokat o Dokumentált információ az IB kockázat felmérési folyamatról - Információbiztonsági kockázat kezelési folyamat: o A megfelelő információbiztonsági kockázatkezelési lehetőségek kiválasztása o Az ehhez szükséges intézkedések meghatározása o Az intézkedési lista összehasonlítása az A melléklet -tel igazolás, hogy nem lett-e szükséges intézkedés elhagyva A melléklet egy ellenőrző lista a fő mérvadó szempont: a kockázatkezelés eredménye - Alkalmazhatósági nyilatkozat készítése (az intézkedésekről, az A melléklet kizárásairól és az indoklásokról) - Információbiztonsági kockázatkezelési terv készítése Dr. Horváth Zsolt László 39

40 - Kockázatfelelősök jóváhagyása a kockázatkezelési tervhez, maradványkockázat elfogadása Elsősorban mérvadó a kockázatkezelésből kijött intézkedési lista! A melléklet csak kontroll IB-célok és az elérésük megtervezése - Információbiztonsági célok kitűzése az érintett funkciókra és szintekre - Dokumentált információ célokról - Elérésükhöz intézkedési terv: mit kell csinálni / szükséges erőforrás / felelős / határidő / értékelés módja - IB- célok: o Összhang az információbiztonsági politikával o Mérhetőség, megvalósíthatóság o Összhang az információbiztonsági követelményekkel és a kockázatkezelés eredményeivel o Közzététel o Naprakészség, alkalmazhatóság fejezet: Támogatás 7.1. Erőforrások - IBIR kialakításához, bevezetéséhez, fenntartásához és fejlesztéséhez szükséges erőforrások meghatározása és biztosítása! 7.2. Felkészültség (kompetencia) - IBIR teljesítményére hatással lévő személyek szükséges felkészültségét meg kell határozni, biztosítani (képzés, ha kell), intézkedés (ha kell, és hatékonyság értékelése), és a felkészültség igazolásáról dokumentált információ Tudatosság - A munkát végző állomány tudatossága: információbiztonsági politika és célok, hozzájárulás az IBIR eredményéhez, IBIR nem-megfelelőségeinek következményei 7.4. Kommunikáció - Külső és belső, IBIR-rel kapcsolatos kommunikációs igények és folyamatok meghatározása 7.5. Dokumentált információ - Dokumentált információ: IBIR fenntartása (= szabályozó dokumentumok) és megőrzése (= igazoló dokumentumok) - IBIR dokumentáció része, amiket a szabvány és a szervezet előír - Folyamat dokumentált információ létrehozására és naprakészen tartására: o Azonosítás és leírás (pl. cím, dátum, szerző, hivatkozási szám) o Formátum és adathordozó o Alkalmasság és megfelelőség átvizsgálása, jóváhagyása - Dokumentált információk felügyelet alatt tartása: o Használathoz elérhetőség, megfelelőség, amikor szükséges; o Megfelelő védelem bizalmasság és sértetlenség Dr. Horváth Zsolt László 40

41 - Dokumentált információ kezelése életciklusának szabályozása a következőkre: o Elosztás, hozzáférhetőség, előkereshetőség, használat o Tárolás, megőrzés, olvashatóság o Változásfelügyelet o Megtartás és selejtezés - Külső dokumentumok azonosítása, felügyelet alatt tartása Mely szabványpontoknál kötelező IBIR esetén? - Dokumentált információ fenntartása rendelkezésre állása (előíró dokumentumok): o 4.3. IBIR alkalmazási területe o 5.2. Információbiztonsági politika o 6.1. Információbiztonsági kockázatok felmérésével és kezelésével kapcsolatos tevékenységek o 6.2. Információbiztonsági célok o 8.1. Folyamatok működéstámogatása a szükséges mértékig - Dokumentált információ fenntartása bizonyítékként (igazoló dokumentumok!): o 7.2. A humán erőforrás felkészültsége igazolására o 8.1. Folyamatok végrehajtásának igazolására o 8.3. Az információbiztonsági kockázatkezelés eredményeiről o 9.1. A figyelemmel megfigyelési és mérési eljárások eredményeiről o 9.2. A belső audit auditprogram megvalósításáról és az auditeredményekről o 9.3. A vezetőségi átvizsgálások eredményeiről o A nem-megfelelőségek jellegéről, a megtett intézkedésekről, azok eredményeiről fejezet: Működés 8.1. Működéstervezés és -felügyelet - Folyamatok működése (PDCA) ahhoz, hogy: o IBIR követelmények teljesüljenek; o Kockázatkezelés intézkedésekhez; o Információbiztonsági célok megvalósításához; - Folyamatok végrehajtásának bizonyítéka dokumentált információ - Változások felügyelet alatt tartása - Kiszervezett folyamatok felügyelete 8.2. Az információbiztonsági kockázatok felmérése - Rendszeresen és eseményvezérelten aktualizálás dokumentált információ 8.3. Az információbiztonsági kockázatok kezelése - Információbiztonsági kockázatkezelési terv bevezetése - Információbiztonsági kockázatkezelési terv eredményeiről dokumentált információk Dr. Horváth Zsolt László 41

42 fejezet: Teljesítményértékelés 9.1. Megfigyelés, mérés, elemzés és értékelés - Az IBIR teljesítményét, eredményességét értékelni kell! - Értékelésnél meghatározni az értékelés o Tárgyát (mely folyamatokat / intézkedéseket kell értékelni); o Módszerét; o Időpontját (vagy ciklusidejét) és végrehajtóját; o Elemzése és értékelése idejét és végrehajtóját. - Az értékelés eredményeiről dokumentált információ Belső audit - Belső audit célja: megfelelés a szabvány és a saját követelményeknek, és eredményes működés igazolása - Belső audit feltételei: o Tervezett időszakonként o Auditprogram készítése o Auditkritériumok és alkalmazási terület meghatározása minden auditra o Auditorok kiválasztása objektivitás és pártatlanság o Auditok eredményeinek jelentése az illetékes vezetésnek o Szükséges helyesbítések végrehajtása indokolatlan késedelem nélkül o Auditprogram és az auditeredmények dokumentált információ 9.3. Vezetőségi átvizsgálás - Vezetőségi átvizsgálás o Tervezett időszakonként o Célja: IBIR működése folyamatosan megfelelő, alkalmas és eredményes o Kimenetei tartalmazzanak döntéseket, intézkedéseket o Eredményeiről dokumentált információ - Vezetőségi átvizsgálás területei: o Korábbi vezetőségi átvizsgálás intézkedéseinek állapota o IBIR szempontjából lényeges külső és belső tényezők változása o IBIR teljesítményéről visszajelzések (inc. nem-megfelelőségek, helyesbítő tevékenységek, auditeredmények, információbiztonsági célok teljesítése,, folyamat-mutatók) o Érdekelt felek visszajelzései (inc. vevői visszajelzések, elégedettség) o Kockázatfelmérés eredményei, kockázatkezelési terv o Folyamatos fejlesztési lehetőségek fejezet: Fejlesztés Nemmegfelelőség és helyesbítő tevékenységek - Nem-megfelelőség esetén o Válasz a nem-megfelelőségre (intézkedés a javításra, következményekkel foglalkozás); o Értékelés az okok meghatározására megszüntetésére (nemmegfelelőség átvizsgálása, okok meghatározása, létezhetnek-e még hasonló nem-megfelelések); Dr. Horváth Zsolt László 42

43 o Szükséges intézkedések bevezetése; o Intézkedés eredményességének vizsgálata o IBIR-ben változások végrehajtása, ha szükséges o Dokumentált információ a nem-megfelelőség jellegéről, az intézkedésről és az eredményéről Folyamatos fejlesztés - IBIR folyamatos fejlesztése Az A melléklet: Információbiztonsági célok és intézkedések Az MSZ ISO/IEC 27001:2014 A mellékletének területei A5. Információbiztonsági szabályok A6. Az információbiztonság szervezete A7. Az emberi erőforrások biztonsága A8. Vagyonelemek kezelése A9. Hozzáférés-felügyelet A10. Titkosítás A11. Fizikai és környezeti biztonság A12. Az üzemelés biztonsága A13. A kommunikáció biztonsága A14. Rendszerek beszerzése, fejlesztése és karbantartása A15. Szállítói kapcsolatok A16. Az információbiztonsági incidensek kezelése A17. A működésfolytonosság biztosításának információbiztonsági vonatkozásai A18. Megfelelés Összhangban az ISO/IEC 27002:2013 szabvány ajánlásaival. 4.3 Az információvédelmi eljárások szakmai területei Az információvédelem gyakorlati megvalósítása a következő szakmai területek eljárásait, módszereit, technikáit alkalmazza: - objektum- és területvédelem, - személyvédelem (rendszerben a személy védelme, vagy a rendszer védelme személyektől), - hagyományos adatok (pl. papíralapú), módszerek, eszközök védelme, - informatikai védelem, (fizikai, logikai és szervezési) - elemi károk, természeti / társadalmi katasztrófahelyzetek elleni védelem (az információbiztonság szemszögéből). Dr. Horváth Zsolt László 43

44 Az MSZ ISO/IEC 27001:2014 szabványban az információvédelem megvalósításának gyakorlati területei: Menedzsment követelmények: Objektum- és területvédelem: Dr. Horváth Zsolt László 44

45 Személyvédelem: Hagyományos (papír alapú) adatvédelem: Dr. Horváth Zsolt László 45

46 Informatikai védelem: Elemi károk, természeti / társadalmi katasztrófahelyzetek elleni védelem: 4.4 Ellenőrző kérdések - Mutassa be az MSZ ISO/IEC szabvány törzsének fő fejezeteit (első szintű tartalomjegyzék mélységig), és jellemezze röviden ezen fejezetek célját (azaz hogy miről szól az adott fejezet)! - Mutassa be az MSZ ISO/IEC szabványban az IBIR koncepció és érvényességi terület kialakításával szembeni elvárásokat! Dr. Horváth Zsolt László 46

47 - Mutassa be az MSZ ISO/IEC szabványban a Vezetőséggel szembeni elvárásokat! - Mutassa be az MSZ ISO/IEC szabványban az információbiztonsági kockázatokkal kapcsolatos elvárásokat! - Mi az Alkalmazhatósági nyilatkozat, és mi határozza meg a tartalmát? - Az MSZ ISO/IEC szabvány szerint mely szabványtörzsben megfogalmazott követelményekről, tevékenységekről kötelező dokumentált információt készíteni? - Mutassa be az MSZ ISO/IEC szabvány alapján, hogy a vezetőségi átvizsgálás milyen területekkel kell foglalkozzon? - Mutassa be az információbiztonság védelmének 5 területét, és jellemezze egy-egy mondatban azok célját! Dr. Horváth Zsolt László 47

48 5 Az információbiztonsági követelmények auditálása 5.1 Az IBIR menedzsmentrendszer auditálása Mit auditálunk? Az audit tárgyának fő jellemzése. Az IBIR lényegi részei - Információs vagyon fenyegetettségeinek átfogó kockázatelemzése - Védelmi intézkedések, eljárások megteremtése különböző területeken a különböző fenyegetettségekre - Menedzsment rendszer menedzsment elemek kiépítése, működtetése (hasonló, mint a minőségirányítási rendszer, környezetvédelmi irányítási rendszer, stb.) Az IBIR alkalmazási területe (szkóp) - az, amire az információbiztonságot alkalmazzák; - megmondja, hogy o minek a védelméről (biztonságáról) szól a szervezetnél az információvédelem; o milyen keretek (üzleti tevékenységek, szervezeti keretek minden vs. részleges) mellett; - dokumentált információként kell rendelkezésre állnia; - ez a tanúsítványon is megjelenő megfogalmazás; Az információ-biztonsági politika - Mit is akarunk ezzel? Keretet ad a védelmi célok kitűzéséhez, kijelöli az általános irányt és meghatározza a tevékenységek alapelveit az információbiztonsággal kapcsolatban. (Mit védünk és mitől? És miért? Mi ne következzen be, mit nem akarunk megengedni? ) - Minek is kell megfelelni? Figyelembe veszi a működési, jogi, illetve szabályozási követelményeket, valamint a szerződéses biztonsági kötelezettségeket. - Illeszkedés a vállalati stratégiába. Igazodik a szervezet stratégiai szintű kockázatkezelési környezetébe, amelyben az IBIR létrehozása és fenntartása történni fog. - Milyen szempontok alapján működjön az IBIR? Meghatározza azokat az alapelveket (szempontokat, értékrendet), amelyek alapján működtetjük az információvédelmet és az IBIR-t. Továbbá keretet ad az IBIR kialakításához, fenntartásához és folyamatos továbbfejlesztéséhez. (Szempontok lehetnek a kockázatmenedzselés folyamatához, egyes területekhez ) - A Vezetés elkötelezett döntése ez! Jóváhagyásra kerül a vezetés által. Alkalmazhatósági Nyilatkozat - az ISO/IEC szabvány szerinti IBIR kötelező dokumentuma; - az audit (a megfelelés ellenőrzésének) referencia-dokumentuma; - alapja: a kockázatkezelési terv és a szabvány A melléklete ÉS a már működő és a kockázatok kezelése alapján meghatározott védelmi intézkedések; - A szervezetnél az információvédelmi irányítási rendszerre vonatkozó és az alkalmazható szabályozási célokat és szabályozásokat leíró dokumentum, amely a kockázat értékelési és kockázat kezelési folyamatok eredményein és következtetésein alapul. Dr. Horváth Zsolt László 48

49 Az IBIR működtetésének a részei - IBIR menedzsment folyamatok működtetése o Az iratok, dokumentumok és feljegyzések kezelésének folyamata o Belső képzések folyamata o Belső audit folyamata o Vezetőségi átvizsgálás folyamata o Folyamatos fejlesztés, megelőzés és helyesbítés folyamata - IBIR saját (biztonságot irányító) folyamatainak működtetése o Információbiztonsági vagyonleltár és kockázati profil karbantartása o Információbiztonsági monitoring o Információbiztonsági incidenskezelés o IT BCP/DRP tervek készítése, karbantartása és működtetése - Információbiztonsági (nem folyamat-alapú) szabályrendszer - Információbiztonsági szempontok érvényesítése a szervezet működési folyamataiban o A folyamatok adatkezelésének megfelelése o Változások követése a vagyonleltárban és a kockázati profilban o Egyes szakterületek speciális információbiztonsági szempontjai Az információbiztonság folyamat-szabályozásának főbb területei - IBIR menedzselés folyamatainak szabályozása o Dokumentumok és feljegyzések kezelés o IB stratégia / politika / célok tervezése és követése o IB képzés és tudatosítás o Belső audit o Vezetőségi átvizsgálás o Folyamatos fejlesztés o - IB saját folyamatainak szabályozása o IB vagyonleltár felvétel, kockázat értékelés és kockázat kezelés o Incidenskezelés o IB monitoring - Egyéb jellemzően saját IT szempontokkal kiegészítendő működési folyamatok o Humán erőforrás menedzsment (felvétel, munkaügy, humán biztonság, ) o Beszerzés (pályáztatás, szerződéskötés és együttműködés alvállalkozókkal, kiszervezett szolgáltatások igénybe vétele) o IT tervezés és üzemeltetés o Iktatás és iratkezelés o Kommunikáció o - Bármely folyamatnál az adatkezelési és a változáskezelési szempontok figyelembe vétele - A felhasználói információbiztonság szabályok o Információbiztonság részletes szabályai munkavégzés során irodai iratkezelés és a fax használata / (asztali és mobil) számítógépek használata / adathordozók használata / az informatikai hálózat használata / Dr. Horváth Zsolt László 49

50 hálózati alkalmazások használata / jelszóhasználat / elektronikus levelezés / internethasználat / o Biztonsági problémák kezelése eljárás incidensek esetén / vírusvédelem o Külső partnerekkel való együttműködés o Információbiztonsági szabályok a munkavégzésen kívül Mit auditálunk? A felülvizsgálatok szempontjai. Mit auditálunk (IB menedzselése szempontjából) szabványkapcsolatok - Alkalmazási terület IB politika / IB célok IBIR-rel szembeni elvárások összhangja 4.1, 4.2, 4.3, 5.2, Vagyonleltár és kockázatok felmérése és kezelése (módszertan és gyakorlat) 6.1, 8.2, 8.3, A8.1 - Alkalmazhatósági nyilatkozat megfelelése, és összhang az IB politikával és kockázatkezelésekkel IBIR működési struktúrája beágyazva a szabályozási struktúrában (hol látható, hogyan szabályozott, hogyan kommunikált, ) A5, 5.1, 7.1, 7.2, 7.4, IBIR működési szervezet felelősségek, riporting és meeting rendszer (életszerűség, működési gyakoriság, tartalom, ) 5.1, 5.3, A5 - IB tudatosság kialakítása (és képzések), szabályozása és gyakorlata IB incidenskezelés, IT-DRP és IB-fenntartás szabályozása A16, A17 - IB mérőszámok alkalmazása, IB fejlesztési tervek, IB részvétele a vállalatvezetésben, a vezetőségi átvizsgálásban 9.1, 9.2, 10.2 Mit auditálunk teljes cég információbiztonsági auditja esetén (IB menedzselése szempontjából)? - Alkalmazási terület IB politika / IB célok IBIR-rel szembeni elvárások összhangja - Vagyonleltár és kockázatok felmérése és kezelése (módszertan és gyakorlat megfelelése) - Alkalmazhatósági nyilatkozat megfelelése, és összhang az IB politikával és kockázatkezelésekkel - IBIR működési struktúrája beágyazva a szabályozási struktúrában (hol látható, hogyan szabályozott, hogyan kommunikált, ) - IBIR működési szervezet felelősségek, riporting és meeting rendszer (életszerűség, működési gyakoriság, tartalom, ) - IB tudatosság kialakítása (és képzések), szabályozása és gyakorlata - IB incidenskezelés, működésfolytonosság teljessége, IT-DRP és IB-fenntartás szabályozása - IB mérőszámok alkalmazása, IB fejlesztési tervek, IB részvétele a vállalatvezetésben, a vezetőségi átvizsgálásban Mit auditálunk az egyes szervezeti egységeknél (IB menedzselése szempontjából)? - IB politika / IB célok mi releváns az adott szervezeti egységre > ismert? betartott? mit tesznek érte? Hogyan képezték le napi feladatokra? - Vagyonleltár és kockázatok felmérése és kezelése (jellemző folyama-tok és kockázatok figyelembe vételének, kezelésének megfelelése, gyakorlata) - Alkalmazhatósági nyilatkozat az adott szervezetre megfelel-e a gyakorlatnak Dr. Horváth Zsolt László 50

51 - IBIR működési struktúrája beágyazva a szabályozási struktúrában (adott szervezet folyamataiban az IB szempontok hol találhatóak szabályozásban és gyakorlati működésben) - IBIR működésért felelősségek, riporting és meeting rendszer gyakorlata, ami lokálisan értelmezhető - IB tudatosság megléte, fejlesztése a munkatársaknál - IB incidenskezelés, IT-DRP és IB-fenntartás szabályozás gyakorlata, ami lokálisan értelmezhető - IB mérőszámok alkalmazása, IB fejlesztési tervek gyakorlata, ami lokálisan értelmezhető 5.2 Az információbiztonság nem-informatikai intézkedéseinek auditálása Terület- és objektumvédelem auditálása Mit auditálunk? Az audit tárgyának fő jellemzése. Terület- és objektumvédelem információbiztonsági felhasználásának célja: Védelem azokra a területekre való illetéktelen bejutás és ott-tartózkodás ellen, ahol bizalmas / érzékeny adatok, azok adathordozói vagy az azokhoz való hozzáférést biztosító eszközök vannak. Védelem területeinek feladatai: - Biztonsági zónák kialakítása - Beléptetés ellenőrzése (zónahatáron beléptetési pontok használata) - Behatolás elleni eszközök (teljes zónahatár védelme) - Mozgás ellenőrző eszközök (benntartózkodás, munkavégzés kontrollja) - Megfelelő tájékoztatás az adatok felhasználásával és védelmével kapcsolatban Eszközök (az őrzés-védelmi szakma eszköztára): - Belső zónák, biztonsági területek kijelölése és az ottani biztonsági szint előírása - Élőerős őrzés-védelem (beléptetési kontroll, eszközök kontrollja) - Beléptető rendszerek, személyi azonosítás - Megfigyelő- és kamera rendszerek - Belső biztonsági szabályrendszer kidolgozása (rendészetnek, alkalmazottaknak, vendégeknek) Mit auditálunk? A felülvizsgálatok szempontjai. Mit auditálunk terület- és objektum-védelem auditja esetén? Vonatkozó szabványkövetelmények: - A11. Fizikai és környezeti biztonság o A11.1. Biztonsági területek Mit auditálunk az őrzés-védelmi (terület- és objektumvédelmi) terület auditja esetén? Az adott vállalat vagy szervezeti egysége vonatkozásában, ott a lehetséges kockázatok tükrében vizsgáljuk: - az (információbiztonsági szempontból) védendő vagyonelemeket és azok elhelyezését Dr. Horváth Zsolt László 51

52 - a kialakított biztonsági zónákat és a működési jellemzőknek megfelelő védelmi kontrollokat: ki tartózkodhat ott, ez hogyan van szabályozva, betartva és ellenőrizve - fizikai védelem számára alkalmazott szabályok és az információbiztonsági elvárások összhangját - alkalmazott beléptetési rendszereket, megfigyelő (kamera rendszereket), azok működését, kontrollját, hatékonyságát - (szükség esetén) különleges funkciójú területek fizikai védelme, beléptetés, otttartózkodás kontrollja (pl. tárgyalók, raktárak, szállítási területek, irattárak, biztonsági területek, ) - jellemző szituációk, lehetséges esetek, veszélyek figyelése Hagyományos (papír alapú) adatvédelem auditálása Mit auditálunk? Az audit tárgyának fő jellemzése. Kockázatok jogosulatlan hozzáférés esetén: - Adatszivárgás (és ezzel való visszaélés) - Adatvesztés vagy adatmódosítás - Reputáció sértés, média visszhang Lehetséges eljárások, módszerek: - Adatok, iratok besorolása érzékenységi / biztonsági kategóriákba - Adatok, iratok kezelési eljárásai - Irattárak, dokumentációtárak működésének szabályozása - Belső biztonsági szabályok - Tiszta asztal tiszta képernyő politika elve Mit auditálunk? A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények: - A8. Vagyon-elemek kezelése o A8.2. Információ-osztályozás o A8.3. Adathordozók kezelése Mit auditálunk az iratkezelési, papír alapú adatkezelési terület auditja esetén? Az adott vállalat vagy szervezeti egysége vonatkozásában, ott a lehetséges kockázatok tükrében: - a folyamatokban az (információbiztonsági szempontból) védendő adatokat és azok biztonsági osztályozását - a folyamatok adatkezelési gyakorlatát, összhangban a kezelt adatok érzékenységével / biztonsági osztályával - a papíralapú adatok előfordulását, kezelését, tárolását teljes életciklusuk alatt - a munkaszobák, irodák körülményeit az iratok biztonságos kezelése szempontjából - a dokumentumtárak / irattárak (ha vannak) működési rendjét - jellemző szituációk, lehetséges esetek, veszélyek figyelése Dr. Horváth Zsolt László 52

53 5.2.3 Személyvédelem auditálása Mit auditálunk? Az audit tárgyának fő jellemzése. A személyvédelem területének célja az információbiztonságon belül kettős: a rendszer védelme személyektől (mint fenyegetésektől), illetve a személy (mint erőforrás és adathordozó) védelme a rendszerben. Személyvédelem célja: - a humán erőforrások rendelkezésre állásának, megfelelésének biztonsága. - a humán tényezőre (személyi okokra) visszavezethető fenyegetésekkel szembeni védelem (pl. külső támadások, adatlopások, hackelés, social engineering, belső adatkiadás, pletyka, stb.) Rendszerben a személy, mint információhordozó védelme: - Kockázatok: o Csúcsvezetők, kulcsemberek személyi biztonsága o Személy távollétekor az információk, illetve bizonyos jogosultságok rendelkezésre állásának hiánya o Felejtés, tévesztés esetén az információk pontosságának (sértetlenségének) vagy rendelkezésre állásának hiánya - Helyettesítési rend, delegálás; - Fontos információk dokumentálása, központi helyen, jogosultaknak elérhető módon; Mit jelent a social engineering? Az emberek pszichológiai manipulációja és megtévesztése, amelynek során a támadó a befolyásolás, rábeszélés és a meggyőzés módszerével, kihasználva a jellegzetes emberi viselkedési formákat és reakciókat, ráveszi az áldozatot, arra hogy az együttműködjön vele. Olyan információt adjon ki, amely felhasználható a kiválasztott informatikai rendszerek - technológiai eszközök alkalmazásával vagy anélküli megtámadására és kompromittálására. A személyügyi munka (HR) főbb szempontjai: - a leendő munkatársak előzetes vizsgálata - munkaszerződésben (stb.) a titoktartási és biztonsági követelményekre való kitérés - a munkakapcsolat megszűnése alkalmából (!) foganatosítandó rendszabályok - a munkakapcsolat megszűnése utáni követelmények meghatározása Mit auditálunk? A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények: - A7. Az emberi erőforrás biztonsága o A7.1 A munka-viszony kezdete előtt o A7.2 A munka-viszony fennállása során o A7.3 A munka-viszony megszűnése és megváltozása Mit auditálunk humán biztonsági (személyvédelmi) terület auditja esetén? Az adott vállalat vagy szervezeti egysége vonatkozásában, ott a lehetséges kockázatok tükrében: - vezetők, kulcsemberek kiesésének hatásait, veszélyeit és az ezekre hozott megoldásokat Dr. Horváth Zsolt László 53

54 - adatkezelés szempontjából érzékeny munkaköröket és a kapcsolódó biztonsági intézkedéseket - felvételi folyamat (információ)biztonsági kontrolljait, ellenőrzéseit - munkahelyi adatvédelmi szabályokat, nyilatkozatokat, képzéseket ezek alkalmazási gyakorlatát - munkaköri leírások, munkaszerződések információbiztonsági kitételeit - információbiztonsági tudatosság szintjét (és képzését) munkahelyi körülmények között és munkahelyen kívül - Clear desk policy (tiszta asztal, tiszta képernyő politika) gyakorlata - munkakör változtatáskor, elbocsátáskor biztonsági eljárásrend szabályai és gyakorlata - jellemző szituációk, lehetséges esetek, veszélyek figyelése 5.3 Az információbiztonság informatikai intézkedéseinek auditálása IT üzemeltetés biztonsági követelményei alapvetően mit szabályozzanak? - Fizikai hozzáférés az IT infrastruktúrát tartalmazó helyiségekbe - Az IT infrastruktúra elemek megbízható, folyamatos üzemeltetése - Változások előtt azok megfelelő ellenőrzése, kezelése - Hiba, üzemszünet esetén minél gyorsabb visszaállítás, problémakezelés - Az adatvesztés elkerülése (mentési rend kialakítása, szabályozása) - Védelem külső támadások ellen - A teljes hálózat és hálózati forgalom kontroll alatt tartása - Jogosultságok és hozzáférések (authentikációk) szabályozása és kontrollja - Eszközökhöz felhasználói biztonsági szabályok FIGYELEM! Minden eszköznek az üzemeltetésért az tehető felelőssé, akinek azon rendszergazdai jogosultsága van! Informatikai biztonság további témakörei: - Az IT rendszerek biztonsága a rendszerek tervezésekor, beszerzésekor, bevezetésekor, üzemeltetésekor, módosításakor, - Az IT rendszerek fejlesztésének a biztonsága a szoftverfejlesztés minőségbiztosítása és security kérdései - IT rendszerek biztonsága külső partnerek, üzemeltetők esetén szerződéses követelmények - Incidenskezelés - Az információbiztonság folytonossága (vészhelyzeti tervek esetén is); kritikus rendszerek visszaállítása (IT DRP) tartalékok Az egyes területek auditálásánál mindig (közös) alapelv a következő: - az ott kezelt adatok és azok érzékenysége - a kiszolgált folyamatok igénye (C I A kritériuma!) - az ott jelenlévő információs rendszerek, informatikai infrastruktúra: eszközök, berendezések, az azt kezelő munkafolyamatok, személyek - a kockázatfelmérés alapján meghatározott kockázatok, jellemző fenyegetések és sebezhetőségek vizsgálata - a jellemző / kritikusnak ítélt paraméterek (területek) vizsgálata Dr. Horváth Zsolt László 54

55 Hol jelennek meg ezek a témák? - az IT üzemeltetésben o az üzemeltetési területek dokumentált szabályozásában o az üzemeltetési feljegyzésekben, naplókban o az üzemeltetés gyakorlatában - az IT felhasználóknál o a felhasználói információbiztonsági szabályokban (pl. IBSZ) o a felhasználói IT biztonsági / biztonságtudatossági képzésekben o a felhasználói IT kezelés gyakorlatában - az IT stratégiában, és az IT infrastruktúra-fejlesztésben o dokumentált igényekben, követelményekben o dokumentált tervek, tervellenőrzési és jóváhagyási jegyzőkönyvekben o az IT beszerzési dokumentációkban, alvállalkozói szerződésekben - a szoftverfejlesztésben o szoftverfejlesztési folyamat szabályozásában o a követelményekben, specifikációkban, ellenőrzési jegyzőkönyvekben o tervezett és dokumentáltan végrehajtott biztonsági tesztekben, vizsgálatokban MINDIG TESTRE SZABOTTAN AZ ADOTT VISZONYOKHOZ ÉS ELVÁRÁSOKHOZ! Az IT üzemeltetés fizikai biztonsági auditálása Mit auditálunk? Az audit tárgya: Az IT üzemeltetés fizikai biztonsága kérdéskörei - Berendezések elhelyezése és védelme - Rendszerüzem védelme o Klimatizálás légkondicionálás o Kábelezés biztonsága o Elektromágneses ki- és besugárzás védelem o Szünetmentes áramellátás o Külső tényezők elleni védelem - Karbantartás - Selejtezés és újrafelhasználás - Vagyonelemek eltávolítása - Berendezések telephelyen kívüli védelme - Őrizetlenül hagyott felhasználói berendezések Mit auditálunk? A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények és kapcsolódó szakterületek: - A11. Fizikai és környezeti biztonság o A11.2. Berendezés Berendezések elhelyezése és védelme Közműszolgáltatások Kábelbiztonság Berendezések karbantartása Vagyonelemek eltávolítása Berendezések és vagyonelemek biztonsága a telephelyen kívül Dr. Horváth Zsolt László 55

56 Berendezések biztonságos eltávolítása vagy újrafelhasználása Őrizetlenül hagyott felhasználói berendezések Tiszta asztal és tiszta képernyő szabálya Az IT üzemeltetés logikai biztonsági auditálása Mit auditálunk? Az audit tárgya: Az IT üzemeltetés logikai biztonsága kérdéskörei - IT üzemeltetés szabályozása - Üzemelő szoftverek felügyelete - Műszaki sebezhetőségek kezelése - Védelem rosszindulatú szoftverek ellen - Naplózás, monitoring - Mentések - Titkosítások alkalmazása - Jogosultságok / hozzáférési rend kialakítása, üzemeltetése és felügyelete - Hálózatbiztonság - Információ átvitele Mit auditálunk? A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények és kapcsolódó szakterületek: - A12. Az üzemelés biztonsága o A12.1. Üzemeltetési eljárások és felelősségek Dokumentált üzemeltetési eljárások Változásfelügyelet Kapacitáskezelés A fejlesztési, a tesztelési és az üzemi környezetek elkülönítése o A12.2. Védelem a rosszindulatú szoftverek ellen Intézkedések a rosszindulatú szoftverek ellen o A12.3. Mentés Információk mentése o A12.4. Naplózás és megfigyelés Eseménynaplózás Naplóinformációk védelme Adminisztrátori és operátori naplók Óraszinkronizálás o A12.5. Az üzemelő szoftverek felügyelete Szoftverek telepítése az üzemelő rendszerekre o A12.6. A műszaki sebezhetőségek felügyelete Műszaki sebezhetőségek felügyelete Korlátozások a szoftvertelepítésre o A12.7. Az információs rendszerek auditálásával kapcsolatos megfontolások Az információs rendszerek auditálásával kapcsolatos intézkedések - A13. A kommunikáció biztonsága o A13.1. A hálózatbiztonság biztosítása Dr. Horváth Zsolt László 56

57 Hálózati intézkedések A hálózati szolgáltatások biztonsága Elkülönítés a hálózatokban o A13.2. Információátvitel Szabályok és eljárások az információátvitelre Megállapodások az információátvitelre Elektronikus üzenetküldés Bizalmassági vagy titoktartási megállapodások - A9. Hozzáférés-felügyelet o A9.1. A hozzáférés-felügyelettel kapcsolatos üzleti követelmények Szabály a hozzáférés-felügyeletre Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz o A9.2. A felhasználói hozzáférések kezelése Felhasználók regisztrálása és törlése Felhasználói hozzáférés biztosítása Kiemelt hozzáférési jogok kezelése A felhasználók titkos hitelesítési információinak kezelése A felhasználói hozzáférési jogok átvizsgálása A hozzáférési jogok visszavonása vagy módosítása o A9.3. Felhasználói felelősségek Titkos hitelesítési információk használata o A9.4. Rendszer- és alkalmazás-hozzáférés felügyelete Információhoz való hozzáférés korlátozása Biztonságos bejelentkezési eljárások Jelszókezelő rendszer Kiemelt jogokkal bíró segédprogramok használata A programok forráskódjához való hozzáférés felügyelete - A6. Az információbiztonság szervezete o A6.2. Mobil eszközök és távmunka Szabály mobil eszközökre Távmunka - A8. Vagyonelemek kezelése o A8.3. Adathordozók kezelése A cserélhető adathordozók kezelése Adathordozók eltávolítása Fizikai adathordozók szállítása - A10. Titkosítás o A10.1. Titkosítási intézkedések Szabály a titkosítási intézkedésekre Kulcskezelés További informatikai biztonsági területek auditálása Mit auditálunk? Az audit tárgya: IT biztonság további témakörei - Az informatikai rendszerek biztonsága a rendszerek tervezésekor, beszerzésekor, bevezetésekor, üzemeltetésekor, módosításakor, Dr. Horváth Zsolt László 57

58 - Az informatikai rendszerek fejlesztésének a biztonsága a szoftverfejlesztés minőségbiztosítása és security kérdései - Informatikai rendszerek biztonsága külső partnerek, üzemeltetők esetén szerződéses követelmények - Incidenskezelés - Az információbiztonság folytonossága (vészhelyzeti tervek esetén is); kritikus rendszerek visszaállítása (IT DRP) tartalékok Mit auditálunk? A felülvizsgálatok szempontjai. Vonatkozó szabványkövetelmények és kapcsolódó szakterületek: Az IT rendszerek biztonsága - A14. Rendszerek beszerzése, fejlesztése és karbantartása o A14.1. Az információs rendszerek biztonsági követelményei Információbiztonsági követelmények elemzése és meghatározása Nyilvános hálózatokon nyújtott alkalmazásszolgáltatások biztonsága Az alkalmazásszolgáltatások tranzakcióinak védelme A szoftverfejlesztés security kérdései - A14. Rendszerek beszerzése, fejlesztése és karbantartása o A14.2. Biztonság a fejlesztési és támogatási folyamatokban Szabály a biztonságos fejlesztésre Rendszerek változásfelügyeleti eljárásai Az alkalmazások műszaki vizsgálata a működtető környezet változásai után Szoftvercsomagok változásainak korlátozása Biztonságos rendszerek tervezési elvei Biztonságos fejlesztési környezet Kiszervezett fejlesztés A rendszer biztonsági tesztelése A rendszer elfogadási tesztelése o A14.3. Tesztadatok Tesztadatok védelme Biztonság a szerződéses követelményekben - A15. Szállítói kapcsolatok o A15.1. Információbiztonság a szállítói kapcsolatokban Információbiztonsági szabály a szállítói kapcsolatokra A biztonság kezelése a szállítói megállapodásokban Információs és kommunikációs technológiák szállítói lánca o A15.2. A szállítói szolgáltatásnyújtás irányítása A szállítói szolgáltatások figyelemmel kísérése és átvizsgálása A szállítói szolgáltatások változásainak felügyelete Incidenskezelés - A16. Az információbiztonsági incidensek kezelése o A16.1. Az információbiztonsági incidensek és javítások kezelése Felelősségek és eljárások Információbiztonsági események jelentése Dr. Horváth Zsolt László 58

59 Információbiztonsági gyengeségek jelentése Az információbiztonsági események felmérése és döntéshozatal Válasz az információbiztonsági incidensekre Tanulás az információbiztonsági incidensekből Bizonyítékok összegyűjtése Az információbiztonság folytonossága - A17. A működésfolytonosság biztosításának információbiztonsági vonatkozásai o A17.1. Az információbiztonság folytonossága Az információbiztonság folytonosságának tervezése Az információbiztonság folytonosságának megvalósítása Az információbiztonság folytonosságának ellenőrzése, vizsgálata és értékelése o A17.2. Tartalékok Információ-feldolgozó eszközök rendelkezésre állása 5.4 Ellenőrző kérdések - Mutassa meg, hogy mit kell az IBIR érvényességi területének meghatároznia! - Mutassa meg, hogy mit kell az információbiztonsági politikának tartalmaznia! - Mutassa meg az IBIR működtetés részeit, és hogy azok hol helyezkednek el a teljes vállalat működésén belül! - Milyen területeket (témákat) kell a felhasználói információbiztonsági szabályoknak szabályozniuk? - Mutassa meg, milyen témákat auditálunk egy szervezeti egység információbiztonsági auditja esetén a menedzsment elemek auditálásakor? - Mely szabványkövetelmények tartalmazzák a terület- és objektumvédelemmel szembeni elvárásokat? Milyen elvárásoknak kell itt megfelelni? - Milyen információbiztonsági fenyegetések, kockázatok ellen kell védekezni a papíralapú iratok biztonsága terén? Mutasson be lehetséges védekezési módszereket! - Milyen információbiztonsági fenyegetések, kockázatok ellen kell védekezni a személyvédelem és humánbiztonsági területen? Mutasson be lehetséges védekezési módszereket! - Mutassa be, milyen témakörök tartoznak az IT üzemeltetés fizikai biztonsági területei közé! - Mutassa be, milyen témakörök tartoznak az IT üzemeltetés logikai biztonsági területei közé! - Mutassa meg, mely témakörök tartoznak az IT rendszerek életciklusának biztonsági kérdései közé! - Mutassa meg, mely témakörök tartoznak az a szoftverfejlesztés security (biztonsága) területébe! - Mutassa meg, mely követelményekre kell odafigyelni az alvállalkozói / beszállítói szerződések során az információbiztonság szempontjából! - Mutassa meg, mely követelményekre kell odafigyelni az információbiztonság incidenskezelés működtetésénél! Dr. Horváth Zsolt László 59

60 - Mit jelent az információbiztonság folytonossága, és milyen követelményeket kell ehhez betartani? Dr. Horváth Zsolt László 60

61 6 Az auditori viselkedés és kommunikáció alapjai Az audit helyszíni szemléjének lefolytatása során az auditor jellemzően helyszíni bejárással megfigyeli a folyamatokat, interview-t folytat az ott dolgozókkal, megtekint dokumentumokat, eszközöket szóval információt gyűjt. Ezen információgyűjtés alapján állapítja meg, hogy figyelembe véve a körülményeket, lehetőségeket, helyi viszonyokat, az ottani gyakorlat mennyire felel meg az elvárásoknak. (Ezek az elvárások lehetnek a vonatkozó szabványok általi elvárások, de lehetnek az auditálás alatti szervezet saját belső vagy egyéb külső, pl. jogszabályi vagy ügyfél általi elvárásai is.) A helyszíni megfigyelések és interview-k során nagy jelentősége van annak, hogy az auditor mennyire pontosan tudja megfigyelni az ott látottakat, illetve az interview-k, azaz a kérdések és beszélgetések során mennyire hatékonyan tud valós információt szerezni. Ez nagy mértékben függ az interview-k lefolytatásától, annak módjától, stílusától és hangulatától is. Az interview-k során mindig egy párbeszéd alakul ki az auditor és az auditált között. Ennek a párbeszédnek kell az audit célját támogatnia, azaz az auditor számára reális, valós, objektív információkkal szolgálnia. Ezért fontos, hogy az auditor hogyan tudja a beszélgetést irányítania, illetve a beszélgetés stílusát megfelelő mederbe terelnie. Ebben nagy jelentősége van a szóbeli (verbális) elemeknek, és a nem-szóbeli (non-verbális) elemeknek is. Verbális elemek közé tartoznak pl. a kommunikációs technikák, kérdezési technikák. A non-verbális elemek pedig pl. a megjelenés, a viselkedési elemek, hallgatás válfajai, a testbeszéd elemei. Ezek az elemek, technikák tanulhatók, és ezekkel tudatosan javítható az audit hatékonysága. 6.1 Az auditori viselkedés Egy audit helyszíni szemléjének lefolytatását jelentősen befolyásolja, hogy milyen viszony alakul ki az auditor és az auditált személyek között, illetve milyen lesz az auditált személyeknek az audithoz való hozzáállása (attitűdje) az audit lefolytatása során. Sokkal könnyebb egy auditot úgy lefolytatni, hogyha az auditált személyek már elve elismerik és elfogadják az auditort, mint az auditált téma szakértőjét és felülvizsgálóját, és a beszélgetések során pozitívan, támogatólag állnak hozzá az audithoz. Amennyiben ez az audit kezdetén nem lenne így, úgy cél, hogy az auditor ezt a hozzáállást meg tudja változtatni az audit sikeres kimenetele érdekében. Az adott téma illetve adott személy elfogadottságát sok elem befolyásolja, láthatatlanul is. El kell fogadnunk, hogyha pl. egy megbeszélésen megjelenik valaki, akkor már a megjelenésével öltözködésével, viselkedésével, mozgásával, testbeszédével és beszédével is azonnal egy érzetet kelt a megbeszélés többi részvevőjében. És ez az érzet nemcsak az adott személyre vetítődik ki, hanem az általa képviselt mondanivalóra, ügyre is. Sokszor, amikor egy személy egy ügyet képvisel, akkor a vele kapcsolatban lévő emberek összemossák az ügyhöz és az adott személyhez való hozzáállást. Hogyha a vállalatnál egy már elfogadott és tekintéllyel rendelkező kolléga lép fel egy irányítási rendszer auditoraként, akkor az auditáltak komolyan véve őt komolyan fogják venni az általa képviselt témákat is, jelen esetben az adott irányítási rendszerrel kapcsolatos kérdéseket. Ezzel szemben, hogyha egy tekintéllyel nem rendelkező, pl. mindig félreállított kolléga jelenne meg az auditon ugyanazokat a kérdéseket feltenni, nagy valószínűséggel a válaszadók sokkal kevésbé vennék komolyan őt, és az adott audit-interview hatékonysága is sokkal kisebb lenne. Természetesen megfelelő viselkedési, non-verbális és kommunikációs technikákkal ez érdemben javítható, és egy ilyen szituációban ezeknek a technikáknak a tudatos használata itt ezért is cél és elvárás. Az auditor láthatatlan feladatai, tevékenységei az audit során: Dr. Horváth Zsolt László 61

62 - Az auditor képviseli az audit tárgyával szembeni elvárásokat. o Technikák: viselkedés, öltözködés, beszéd, testbeszéd o Tulajdonságok, személyiségjegyek: magabiztos, tiszteletet kiváltó, szigorú, bizalmat keltő Szempontok a megfelelő öltözködés kialakításához: - tiszta, ápolt, kulturált - magabiztos megjelenést sugároz - illeszkedik a vállalati kultúrához, az auditált egység kultúrájához - Az auditor hallgat (figyel és megfigyel). o Technikák: hallgatás válfajai, értő figyelem, testbeszéd o Tulajdonságok, személyiségjegyek: barátságos, nyitott, megértő, biztató A hallgatás válfajai: - információszerző hallgatás - kritikus hallgatás - empatikus hallgatás (érzelmi konfliktus, szakmai kibeszélés) - taktikai hallgatás - szórakozási célú hallgatás - Az auditor kérdez. o Technikák: kommunikáció, tranzakció-analízis, kérdezéstechnika o Tulajdonságok, személyiségjegyek: pontos, célratörő, tárgyszerű, érthető, támogató - Az auditor felméri a cég állapotát. o Tulajdonságok, személyiségjegyek: meggyőző, egyértelmű, pártatlan,... - Az auditor jegyzőkönyvezi az eredményeket, és az eltéréseket o Tulajdonságok, személyiségjegyek: objektív, tárgyszerű, szakszerű, pártatlan, Kérdezéstechnika Az interview egy párbeszéd, amit főképp a kérdésekkel az auditor irányít. Nagyon fontos tehát a kérdések feltételének módja, majd a válaszok meghallgatásával szerez az auditor információt. A kérdések feltételével majd a válaszok meghallgatásának módjával a válaszadót lehet támogatni is, de összezavarni is. A cél az, hogy ismerjük a különböző kérdezési technikákat és azok lehetséges hatásait, majd a beszélgetés azaz az információszerzés érdekében azokat tudatosan használjuk. A kérdések típusai Nyitott kérdések erre lehetséges hosszabban (több mondatban) kifejteni a választ: - Hogyan szabályozták? - Melyik eljárás-utasítás tartalmazza? - Hol tárolják? Szűkítő de továbbra is nyitott kérdések itt is mondatban kifejtett válasz várható, de már a válasz tárgyköre lényegesen leszűkített: - Mit tesz a megkülönböztetéshez? - Mivel jelöli? Hogyan jelöli? - Milyen jelölő cédulát használ? Dr. Horváth Zsolt László 62

63 Zárt kérdések a válasz igen/nem lehet: - Van eljárási utasításuk? - Ellenőrzik a végterméket? - Végeztek belső auditot? Általában célszerű a nyitott kérdések használata, hiszen akkor tudja az auditált szabadon elmondani a véleményét, az ismereteit a kérdés vonatkozásában. Amikor a beszélgetés nem kívánt irányba megy el, vagy a válasz már terjengőssé válhat (információtartalom is csökken!), akkor általában a nyitott, de szűkítő (közbeszúrt) kérdésekkel lehet a beszélgetést a kívánt irányba terelni. A zárt kérdéseket általában célszerű kerülni, néha azonban szükséges alkalmazni. A zárt kérdések kikényszerítik a színvallást, azaz az egyértelmű igen vagy nem választ, ami például a következetes mellébeszélések észlelésekor nagyon hatásos lehet. A beszélgetés irányításakor célszerű odafigyelni arra, hogy azt a választ kapjuk, amit a beszélgető partner magától mondani szeretne, és ne azt, amit úgy gondol, hogy mi elvárunk tőle. Ezért nem célszerű a kérdéssel egyben a választ is mintegy a szájába adni. Másrészt nem várhatunk őszinte és objektív választ olyan esetekben sem, hogyha a kérdezéssel már mintegy támadunk és védekezésbe szorítjuk a beszélgető partnerünket. Ezért is célszerű a kérdés feltevésének módjára is odafigyelni. Ezért is kell odafigyelni az alábbi kérdezéstechnikai alapszabályokra. Példák kedvezőtlen kérdezésre: Sugalló kérdés: A munkájában tapasztalható teljesítményingadozás a minőségi problémákkal függ össze? Alternatív kérdés: A. vagy területeken kéne az együttműködést jobban forszírozni? Miért kérdés: Miért szakította meg a kapcsolatot? Kérdéshalmozás: Elfelejtette a megbeszélt időpontot? Nem kapta meg az üzenetemet, vagy a bátyja nem mondta meg, hogy kerestem? Vagy valami más egyéb jött közbe? Zárt kérdés: A tulajdonos nem járult hozzá a szerződéskötéshez? Kérdezéstechnikai alapszabályok: 1. Soha ne tegyél fel addig egy kérdést, amíg nem tudod pontosan, hogy mi a kérdés célja! Sok szerencsétlenül sikerült és a beszélgető partnert összezavaró megfogalmazás születik csak azért, mert a kérdező utólag mérlegelte, hogy mit szeretett volna eredetileg elérni. 2. Egyszerre csak egy kérdésről tárgyalj! Sokszor úgy tűnik, mintha a kérdező csak próbálgatná a kérdéseit. Ezáltal a kérdezett összezavarodik, és nem tudja, hogy melyikre válaszoljon az egymás után feltett kérdésekből, egyúttal könnyen kitérhet a válasz elől az, aki nem akarja az igazságot kimondani. 3. A kérdést rövidem, precízen és könnyen érthetően fogalmazd meg! Ha világos választ vársz, biztosítsd, hogy a kérdezett tudja, mit akarsz tőle. Ezt legkönnyebben úgy érheted el, ha rövid, világos mondatokat, ismert fogalmakat használsz, és lemondasz arról, hogy túl sokat akarj egyszerre megtudni. 4. Hagyj a beszélgető partnerednek elég időt a gondolkodásra! Amíg a válaszon gondolkodik, figyelmesen hallgasd. Ha túlságosan rövidre sikerült a válasza, szavak nélkül, szemkontaktussal tudod a folytatásra késztetni. Dr. Horváth Zsolt László 63

64 5. Kerüld a kérdezés során az olyan elő-információkat, amelyek meghamisíthatják a választ! Az elő-információkat többnyire tudat alatt tesszük azért, hogy a beszélgető partnert irányítsuk. Például: Ön biztos gyakorlott tervező?, vagy Ugye megvizsgálta azt is, hogy a készüléket már bekapcsolták? Az ilyen kérdések esetén a beszélgető partner azonnal tudni fogja, hogy melyik választ részesíted előnyben, és erre áll be. Te csak azt fogod megtudni a válaszból, amit már eddig is tudtál, amit hallani akartál. 6. Ne tégy szemrehányást a kérdés megfogalmazásán keresztül! Ezáltal csak védekező állásba kényszeríted partneredet, ami veszélyeztetné a beszélgetés sikerét. Például: De miért nem mondta ezt korábban? vagy Tulajdonképpen mit csinált ön az elmúlt időszakban. 7. Légy tekintettel beszélgető partnered önbecsülésére! Az önbecsülés az ember alapvető szükségletei közé tartozik. Mindenki a saját belső normáinak, értékrendjének megfelelően kíván gondolkodni és cselekedni. Kerüld azt, hogy a kérdéseden keresztül lekicsinyeld partneredet, képességeit kétségbe vonjad, vagy nem egyenes szándékkal gyanúsítsd meg. Ellenkező esetben lemondhatsz együttműködési készségéről. Végül érdemes megfontolni és szem előtt tartani az auditorok tízparancsolatát is: Az auditorok tízparancsolata: 1. Vedd figyelembe a célkitűzést! 2. Értékeld a vizsgálati tevékenységet! 3. Rögzítsd az átvételi kritériumokat! 4. Úgy állapítsd meg az audit terjedelmét, hogy az összhangban legyen a feladattal! 5. Tartsd magad a tényekhez! 6. Állapítsd meg az eltérések okait! 7. Összpontosíts a lényegre! 8. Viselkedj partnerként! 9. Ügyelj a helyes kommunikációra! 10. Légy naprakész! 6.3 Tranzakció-analízis Az emberi kommunikációt, párbeszédet nagyon meghatározza, hogy az egymással beszélgető felek a beszélgetés pillanatában milyen lelki-állapotban vannak. Ez kihat a beszélgetés menetére és eredményére is. Ezek az állapotok és az ezekből következő viselkedési módok jól jellemezhetőek, és ezek ismeretével és a beszélgetés irányításával ezek tudatosan irányíthatóak is. Ennek elméletét mutatja be Eric Berne: Emberi játszmák c. könyve, amelyet forrásként használtunk fel ehhez a fejezethez. Egy adott személynek egy adott párbeszédben való részvételi módját, viselkedési módját nagyban meghatározza az, hogy abban a pillanatban az a személy milyen érzelmi állapotban, milyen lelkiállapotban van. Ezt az érzelmi állapotot vagy lelki-állapotot nevezzük én-állapotnak. Az ilyen én-állapotokhoz tartozó, azokra jellemző magatartásminták (viselkedésformák) határozzák meg, hogy az adott személy egy párbeszédben milyen módon vesz részt. Ilyen én-állapotok lehetnek a következők: - Szülői: Tanulásra alapozott, nem racionális (az élet tanult koncepciója, reakciók a megtapasztalt / megtanult sablonok alapján) Dr. Horváth Zsolt László 64

65 - Felnőtt: Racionális (az élet átgondolt koncepciója, reakciók objektív meggondolás alapon) - Gyereki: Érzelmi alapú, nem racionális (az élet érzett koncepciója, reakciók érzelmi alapon) Minden személyben egyszerre megvan mindhárom én-állapot, és a különböző hatások vagy (belső) képességek hatására tud az ember átváltani egyik én-állapotból a másikba. A pillanatnyi én-állapot határozza meg az adott pillanatban az adott személy meghatározó viselkedésformáját is, azaz az adott kommunikációban milyen módon, hogyan vesz részt. Ezek a jellemző viselkedésmódok a következők lehetnek: Szülői én-állapot esetén kétféle megnyilvánulás lehetséges: - Támogató Szülői viselkedésmód: amikor mint szülő segít a másik félnek (gyereknek) mintegy előírva, hogy annak mit kell tennie. ( Tégy úgy, ahogy mondom! ) - Kritikus Szülői viselkedésmód: amikor a szülő jobban tud mindent a másik félnél (a gyereknél), és annak a hibáit rója fel számára. ( Már megint nem tetted! ) Felnőtt én-állapot esetén egyféle megnyilvánulás lehetséges: - Felnőtti viselkedésmód: adott konkrét szituációkról, dolgokról objektív ismeretek alapján, illetve azokból levont reális következtetések alapján tárgyilagosan beszél, kérdez vagy állít. ( Nézzük, milyen az időjárás most! ) Gyermeki én-állapot esetén kétféle megnyilvánulás lehetséges: - Természetes Gyermeki viselkedésmód: esetén a Gyerek az érzelmeire támaszkodva reagál, azaz lehet dacos, ellenkezhet a Szülővel, akinek csak azért is megmutatja - Alkalmazkodó Gyermeki viselkedésmód: esetén a Gyerek elfogadja a Szülőnek való alárendeltségét, és igyekszik úgy viselkedni, hogy ahogy azt a másik elvárja tőle. ( Igen, tényleg úgy jó, ahogy Te mondtad! ) Dr. Horváth Zsolt László 65

66 A tranzakciók A tranzakció meghatározása: Egységnyi tranzakciónak azt tekintjük, amikor egy személy valamilyen jelzést, ingert küld egy másik személy felé és erre a másik személy valamilyen válaszreakciót ad. Egy egységnyi tranzakció során az azt küldő személy mindig egy adott én-állapotból küldi az adott jelzést a másik fél adott én-állapotának. Utána a válaszoló személy is a választ a saját én-állapotából küldi a kérdező egy adott én-állapotának. A kommunikációnak a menetét meghatározza ezeknek az én-állapotoknak az összhangja. Hosszú kommunikáció (párbeszéd) akkor tud folytatódni, amikor a küldő a beszédpartnere amilyen én-állapotába küldi az ingert, ugyanabból az én-állapotból is kapja a választ, és amilyen saját énállapotából indította, ugyanabba is érkezik a válasz. Ennek megfelelően nézzük meg a tranzakciók alapvető típusait: A tranzakciók típusai: - Komplementer (kiegészítő jellegű) tranzakciók o Komplementer, azaz kiegészítő tranzakcióról akkor beszélünk, hogyha ugyanattól az én-állapottól kapunk választ, mint amit megcéloztunk, és ugyanannak az én-állapotnak jön a válasz, amiből mi indítottunk. Ilyen állapotban a két én-állapot közti viszonyt, kommunikációt mindkét fél elfogadja. Ekkor tud a beszélgetés, a kommunikáció folyamatosan fennmaradni. o Példák: Szülő Szülő kommunikáció: A: Ezek a mai gyerekek B: Bezzeg a mi időnkben Felnőtt Felnőtt kommunikáció: A: Hol van a kabátgombom? B: Az asztalon. Szülő Gyerek kommunikáció: A: Befűzted a cipődet? B: Igen, már megcsináltam. - Keresztező tranzakciók o Keresztezésről akkor beszélünk, amikor nem attól az én-állapottól kapunk választ, amelyet megcéloztunk. o A keresztezéskor a kommunikáció átmenetileg megszakad(hat). o A keresztezés egyben eszköz arra, hogy utána kialakíthassunk egy másik jellegű párbeszédet. - Rejtett tranzakciók o A rejtett tranzakciók sokkal összetettebbek az előbbieknél. Itt minden üzenet tartalmaz egy másik rejtett üzenetet, ami egy másik én-állapotnak szól. o A rejtett üzenetekben keresztezés is gyakran előfordul, de nem feltétlenül. o A rejtett tranzakciók megértése nem mindig triviális, könnyen félre is érthetők. Tranzakció-analízis alkalmazása: - Információszerzésre legalkalmasabb a párhuzamos kommunikáció (kiegészítő vagy komplementer tranzakciók), elsősorban az Felnőtt Felnőtt kapcsolat. Cél ennek az elérése. - A kialakult kialakított szituációt (tranzakciót) fel kell tudni ismerni ahhoz, hogy tudatosan változtatni lehessen rajta. - A keresztezés egyben eszköz arra, hogy kialakíthassunk egy másik jellegű hatékonyabb párbeszédet. Dr. Horváth Zsolt László 66

67 - Figyeljünk oda rá, és nagyon óvatosan bánjunk a rejtett tranzakciókkal! 6.4 Ellenőrző kérdések - Melyek az auditori viselkedés legfontosabb (non-verbális) jegyei, tulajdonságai? Jellemezze röviden azokat! - Mutassa be, hogy mit jelentenek, és az auditori gyakorlatban mikor használhatóak a következő kérdés típusok: nyitott kérdés, szűkítő kérdés és zárt kérdés! Mutasson egy-egy példát mindegyik kérdéstípusra is! - Auditori interview során milyen kérdezéstechnikai szabályra célszerű odafigyelni? Mutasson be ezek közül legalább ötöt! - A tranzakció analízis elméletében milyen én-állapotokat ismer, jellemezze röviden azokat, és az azokhoz kapcsolódó jellemző viselkedésformákat! - Milyen tranzakció típusokat határoz meg a tranzakció-analízis elmélete? Jellemezze röviden ezeket a tranzakció típusokat! - Az auditori gyakorlatban hogyan használhatók az egyes tranzakció típusok? Dr. Horváth Zsolt László 67

68 1. Melléklet. Az MSZ ISO/IEC 27001:2015 szabvány A mellékletének szabályozási céljai és intézkedései Lehetséges minta Alkalmazhatósági nyilatkozatra, mely tartalmazza az MSZ ISO/IEC 27001:2014 szabvány A melléklete szabályozási céljait és intézkedéseit. (Az alkalmazhatósági nyilatkozat teljességéért ez még kiegészítendő a kockázatfelmérés és kezelés során bevezetett, illetve a már a vállalatnál meglévő olyan régebbi intézkedésekkel, amelyek az A mellékletben nem szerepeltek.) No. Szabványpont (ISO/IEC 27001:2014. A melléklete) Szabályozások helye A5 Információbiztonsági szabályok A5.1 Az információbiztonság vezetői irányítása A Információbiztonsági szabályok A Az információbiztonsági szabályok átvizsgálása Szabályozások megvalósítása A6 Az információbiztonság szervezete A6.1 Belső szervezet A Információbiztonsági szerepek és felelősségek A Feladatkörök szétválasztása A Kapcsolat a hatóságokkal A Kapcsolat szakmai csoportokkal A Információbiztonság a projektvezetésben A6.2 Mobil eszközök és távmunka A Szabály mobil eszközökre A Távmunka A7 Az emberi erőforrások biztonsága A7.1 A munkaviszony kezdete előtt A Átvilágítás A A munkaviszonnyal kapcsolatos feltételek és kikötések A7.2 A munkaviszony fennállása során A Vezetői felelősségek A Az információbiztonság tudatosítása, oktatása és képzése A Fegyelmi eljárás A7.3 A munkaviszony megszűnése és megváltozása A A munkaviszony megszüntetéséhez vagy megváltoztatásához kapcsolódó felelősségek A8 Vagyonelemek kezelése A8.1 Felelősség a vagyontárgyakért A Vagyonleltár A A vagyonelemek felelősei A A vagyonelemek elfogadható használata A A vagyonelemek visszaszolgáltatása A8.2 Információosztályozás A Az információk osztályozása A Az információk megjelölése A A vagyonelemek kezelése A8.3 Adathordozók kezelése A A cserélhető adathordozók kezelése Dr. Horváth Zsolt László 68

69 No. Szabványpont (ISO/IEC 27001:2014. A melléklete) Szabályozások helye A Adathordozók eltávolítása A Fizikai adathordozók szállítása A9 Hozzáférés-felügyelet A9.1 A hozzáférés-felügyelettel kapcsolatos üzleti követelmények A Szabály a hozzáférés-felügyeletre A Hozzáférés hálózatokhoz és hálózati szolgáltatásokhoz A9.2 A felhasználói hozzáférések kezelése A Felhasználók regisztrálása és törlése A Felhasználói hozzáférés biztosítása A Kiemelt hozzáférési jogok kezelése A A felhasználók titkos hitelesítési információinak kezelése A A felhasználói hozzáférési jogok átvizsgálása A A hozzáférési jogok visszavonása vagy módosítása A9.3 Felhasználói felelősségek A Titkos hitelesítési információk használata A9.4 Rendszer- és alkalmazás-hozzáférés felügyelete A Információhoz való hozzáférés korlátozása A Biztonságos bejelentkezési eljárások A Jelszókezelő rendszer A Kiemelt jogokkal bíró segédprogramok használata A A programok forráskódjához való hozzáférés felügyelete A10 Titkosítás A10.1 Titkosítási intézkedések A Szabály a titkosítási intézkedések tételére A Kulcskezelés A11 Fizikai és környezeti biztonság A11.1 Biztonsági területek A Fizikai biztonsági határ A Fizikai beléptetési intézkedések A Irodák, helyiségek és létesítmények védelme A Külső és környezeti fenyegetésekkel szembeni védelem A Munkavégzés biztonsági területeken A Szállítási és rakodási területek A11.2 Berendezés A Berendezések elhelyezése és védelme A Közműszolgáltatások A Kábelbiztonság A Berendezések karbantartása A Vagyonelemek eltávolítása A Berendezések és vagyonelemek biztonsága a telephelyen kívül A Berendezések biztonságos eltávolítása vagy újrafelhasználása A Őrizetlenül hagyott felhasználói berendezések A Tiszta asztal és tiszta képernyő szabálya A12 Az üzemelés biztonsága A12.1 Üzemeltetési eljárások és felelősségek A Dokumentált üzemeltetési eljárások A Változásfelügyelet Szabályozások megvalósítása Dr. Horváth Zsolt László 69

70 No. Szabványpont (ISO/IEC 27001:2014. A melléklete) Szabályozások helye A Kapacitáskezelés A A fejlesztési, a tesztelési és az üzemi környezetek elkülönítése Szabályozások megvalósítása A12.2. A Védelem a rosszindulatú szoftverek ellen Intézkedések a rosszindulatú szoftverek ellen A12.3 Mentés A Információk mentése A12.4 Naplózás és megfigyelés A Eseménynaplózás A Naplóinformációk védelme A Adminisztrátori és operátori naplók A Óraszinkronizálás A12.5 Az üzemelő szoftverek felügyelete A Szoftverek telepítése az üzemelő rendszerekre A12.6 A műszaki sebezhetőségek felügyelete A Műszaki sebezhetőségek felügyelete A Korlátozások a szoftvertelepítésre A12.7 Az információs rendszerek auditálásával kapcsolatos megfontolások Az információs rendszerek auditálásával kapcsolatos A intézkedések A13 A kommunikáció biztonsága A13.1 A hálózatbiztonság biztosítása A Hálózati intézkedések A A hálózati szolgáltatások biztonsága A Elkülönítés a hálózatokban A13.2 Információátvitel A Szabályok és eljárások az információátvitelre A Megállapodások az információátvitelre A Elektronikus üzenetküldés A Bizalmassági vagy titoktartási megállapodások A14 Rendszerek beszerzése, fejlesztése és karbantartása A14.1 Az információs rendszerek biztonsági követelményei A Információbiztonsági követelmények elemzése és meghatározása A Nyilvános hálózatokon nyújtott alkalmazás-szolgáltatások biztonsága A Az alkalmazás-szolgáltatások tranzakcióinak védelme A14.2 Biztonság a fejlesztési és támogatási folyamatokban A Szabály a biztonságos fejlesztésre A Rendszerek változásfelügyeleti eljárásai A Az alkalmazások műszaki vizsgálata a működtető környezet változásai után A Szoftvercsomagok változtatásainak korlátozása A Biztonságos rendszerek tervezési elvei A Biztonságos fejlesztési környezet A Kiszervezett fejlesztés Dr. Horváth Zsolt László 70

71 No. Szabványpont (ISO/IEC 27001:2014. A melléklete) Szabályozások helye A A rendszer biztonsági tesztelése A A rendszer elfogadási tesztelése A14.3 Tesztadatok A Tesztadatok védelme A15 Szállítói kapcsolatok A15.1 Információbiztonság a szállítói kapcsolatokban A Információbiztonsági szabály a szállítói kapcsolatokra A A biztonság kezelése a szállítói megállapodásokban A Információs és kommunikációs technológiák szállítói lánca A15.2 A szállítói szolgáltatásnyújtás irányítása A A szállítói szolgáltatások figyelemmel kísérése és átvizsgálása A A szállítói szolgáltatások változásainak felügyelete A16 Az információbiztonsági incidensek kezelése A16.1 Az információbiztonsági incidensek és javítások kezelése A Felelősségek és eljárások A Információbiztonsági események jelentése A Információbiztonsági gyengeségek jelentése A Az információbiztonsági események felmérése és döntéshozatal A Válasz az információbiztonsági incidensekre A Tanulás az információbiztonsági incidensekből A Bizonyítékok összegyűjtése A17 A működésfolytonosság biztosításának információbiztonsági vonatkozásai A17.1 Az információbiztonság folytonossága A Az információbiztonság folytonosságának tervezése A Az információbiztonság folytonosságának megvalósítása A Az információbiztonság folytonosságának ellenőrzése, vizsgálata és értékelése A17.2 Tartalékok A Információ-feldolgozó eszközök rendelkezésre állása A18 Megfelelés A18.1 Megfelelés a jogi és szerződéses követelményeknek A A vonatkozó jogszabályi és szerződéses követelmények azonosítása A Szellemi tulajdonjogok A A feljegyzések védelme A A magántitok és a személyhez köthető információk védelme A A titkosítási intézkedések szabályozása A18.2 Információbiztonsági vizsgálatok A Az információbiztonság független vizsgálata A Megfelelés a biztonsági szabályoknak és szabványoknak A A műszaki megfelelés vizsgálata Szabályozások megvalósítása Dr. Horváth Zsolt László 71