Az ISO 27001-es tanúsításunk tapasztalatai



Hasonló dokumentumok
XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Rendszerszemlélet let az informáci. cióbiztonsági rendszer bevezetésekor. Dr. Horváth Zsolt INFOBIZ Kft.

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Bodroghelyi Csaba főigazgató-helyettes. Jóváhagyta: Sződyné Nagy Eszter, főosztályvezető. Készítésért felelős: Szabályzat kódja: NAR IRT_SZT_k04

Fókuszban az információbiztonság

Képzés leírása. Képzés megnevezése: Integrált belső auditor (MSZ EN ISO 9001, MSZ EN ISO 14001, OHSAS 18001) Jelentkezés

AZ ENERGIAIRÁNYÍTÁS RENDSZERSZEMLÉLETŰ MEGKÖZELÍTÉSÉRŐL Október 29.

Képzés leírása. Képzés megnevezése: Integrált belső auditor (MSZ EN ISO 9001, MSZ EN ISO 14001) Jelentkezés

GYAKORLATI TAPASZTALATOK AZ ISO EIR SZABVÁNY TANÚSÍTÁSOKRÓL BUZNA LEVENTE AUDITOR

Minőség és minőségirányítás. 3. ISO 9000:2015 és ISO 9001:2015

A HATÉKONY VÁLLALATI MŰKÖDÉS VEZETŐI ESZKÖZTÁRA

Gondolatok a belső auditorok felkészültségéről és értékeléséről Előadó: Turi Tibor vezetési tanácsadó, CMC az MSZT/MCS 901 szakértője

XXIII. MAGYAR MINŐSÉG HÉT

Kockázatkezelés az egészségügyben

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

ÉMI TÜV SÜD. ISO feldolgozása, elvárások. Kakas István KIR-MIR-MEBIR vezető auditor

Információbiztonság irányítása

AZ ISO 9001:2015 LEHETŐSÉGEI AZ IRÁNYÍTÁSI RENDSZEREK FEJLESZTÉSÉRE. XXII. Nemzeti Minőségügyi Konferencia Szeptember 17.

Képzés leírása. Képzés megnevezése: IRIS szabványismertető Jelentkezés

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Integrált irányítási rendszerek tanúsítási tapasztalatai

IT biztonsági törvény hatása

XXVII. Magyar Minőség Hét Konferencia

SZOMBATHELY MEGYEI JOGÚ VÁROS POLGÁRMESTERI HIVATAL

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

AZ INFORMÁCIÓMENEDZSMENT ÉS A GDPR ADATBIZTONSÁG INTEGRÁLÁSA

Az akkreditáció és a klinikai audit kapcsolata a tanúsítható minőségirányítási rendszerekkel

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

Integrált ISO 9001 ISO ISO Vezető auditor képzés

ISO 9001 kockázat értékelés és integrált irányítási rendszerek

A., ALAPELVEK VÁLTOZÁSAI

MSZ EN ISO 50001:2012 (Energiairányítási rendszer) Energiahatékonysági törvény

Energiapiacon is energiahatékonyan

Képzés leírása. Képzés megnevezése: Autóipari belső auditor (MSZ ISO/TS 16949) Mi a képzés célja és mik az előnyei?

Kockázatok az új minőségirányítási rendszerszabvány tervezetében

A 9001:2015 a kockázatközpontú megközelítést követi

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

ISO 14001:2004. Környezetközpontú irányítási rendszer (KIR) és EMAS. A Földet nem apáinktól örököltük, hanem unokáinktól kaptuk kölcsön.

Út az ITIL-e00n át az ISO/IEC ig Fujitsu Siemens Computers Kft.

77/ Követelmények és a gyakorlat. Dr. Krasznay Csaba egyetemi adjunktus NKE KTK EFI IBT

TANÚSÍTVÁNY. Közigazgatási és Igazságügyi Minisztérium e-közigazgatásért Felelős Helyettes Államtitkárság e-közigazgatási Főosztály által üzemeltetett

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

Szabályozók felülvizsgálata Ellenőrzési-mátrix

Tartalom és mutatók 1/1

ISO es szabványrendszer

Bevezetés az Informatikai biztonsághoz

Aktualitások a minőségirányításban

ISO HOGYAN ÉPÜL FEL A MIR RENDELÉSRE KÉSZÜLT ESZKÖZÖK GYÁRTÓI ESETÉN? előadó Juhász Attila SAASCO Kft.

Az ISO 9001:2015 szabványban szereplő új fogalmak a tanúsító szemszögéből. Szabó T. Árpád

Projektszám: HU16121/14 oldalszám: 1/7. Szabados Éva. MSZ EN ISO 9001:2009 Minőségirányítási rendszer

Nemzetközi jogszabályi háttér I.

Szabványok, ajánlások

Az ITIL egyszeruen. avagy. híd

AZ ISO ENERGIAIRÁNYÍTÁSI RENDSZER (GONDOLATOK ÉS ÜZENET) Május 14.

Minőségbiztosítás a koraszülöttmentésben. Széll András Peter Cerny Alapítványi Mentőszolgálat

Opennetworks Kereskedelmi és Szolgáltató Kft. Információ Biztonsági Politika (IBP)

Muha Lajos. Az információbiztonsági törvény értelmezése

A vezetőség felelősségi köre (ISO 9001 és pont)

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Tapasztalatok és teendők a szabvány változások kapcsán

Az ESTA szabvány és a változások.


Üzletmenet folytonosság Üzletmenet? folytonosság?

Tudatos kockázatmenedzsment vs. megfelelés

Megszületett a digitális minőségügyi szakember? XXIV. Nemzeti Minőségügyi Konferencia

Gyakorlati lépések, megoldási javaslatok. - Módszertan - Gyakorlati tapasztalatok - Felkészülési útmutató

Jogalkotási előzmények

INFORMATIKAI PROJEKTELLENŐR

Magyarországi kis és közepes IT vállalkozások költséghatékony lehetőségei ISO szabványcsaládnak megfelelő szolgáltatásirányítási rendszerek

NEMZETI ELEKTRONIKUS INFORMÁCIÓBIZTONSÁGI HATÓSÁG. A Nemzeti Elektronikus Információbiztonsági Hatóság

PROJEKTMENEDZSERI ÉS PROJEKTELLENŐRI FELADATOK

Az informatikai biztonsági kockázatok elemzése

SZEMLÉLETBELI VÁLTOZÁSOK AZ IRÁNYÍTÁSI RENDSZEREK MŰKÖDÉSÉBEN ÉS TANÚSÍTÁSÁBAN: KÉT ÉVTIZED HAZAI KRÓNIKÁJA

Energetikai auditálás és az ISO összehasonlítása. Előnyök és hátrányok

Üzletmenet folytonosság menedzsment [BCM]

evosoft Hungary Kft.

MSZ ISO 9004:2010 ISO 9004:2009

Minőségbiztosítás a laboratóriumi munkában - Akkreditáció -

Informatikai Biztonsági szabályzata

Módszerek és példák a kockázatszemléletű gyakorlatra az ISO 9001:2015 szabvány szellemében

ROP Partnerség építés a Balaton régióban

Az információbiztonság egy lehetséges taxonómiája

Új kihívások az ivóvízbiztonság-tervezésben. Szebényiné Vincze Borbála MHT Budapest,

Hírek szabványok és modellek áprilisi kiadás

A CRAMM módszer alkalmazásának kiterjesztése

Információbiztonság fejlesztése önértékeléssel

A folyamatszemlélet és PDCA elvek érvényesülése az új ISO 9001:2015 rendszerben. Bujtás Gyula. Elvárások és javaslatok a külső tanúsító szemszögéből

Informatikai biztonsági ellenőrzés

Környezetmenedzsment

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

ISO 9001 revízió Dokumentált információ

VINÇOTTE HUNGARY. ISO Üzleti kockázatok kezelése és csökkentése Péter Lajos, vezető auditor,

Az es szabvánnyal, illetve a törvényi elvárásokkal kapcsolatos felmérési, tervezési tevékenység

Változások folyamata

A kockázatkezelés az államháztartási belső kontrollrendszer vonatkozásában

HOGYAN FOGJA BEFOLYÁSOLNI A HULLADÉK SORSÁT AZ ÚJ ISO SZABVÁNY ÉLETCIKLUS SZEMLÉLETE?

Lehetséges-e rendszerszerű minőségfejlesztés a neonatológiai sürgősségi ellátásban?

A tanúsítás és auditálási gyakorlat változása nemzetközi tükörben

Átírás:

Az ISO 27001-es tanúsításunk tapasztalatai Bartek Lehel Zalaszám Informatika Kft. 2012. május 11.

Az ISO 27000-es szabványsorozat az adatbiztonság a védelmi rendszer olyan, a védekező számára kielégítő állapota, mely a kezelt adatok bizalmassága, sértetlensége, rendelkezésre állása szempontjából teljes körű (minden elemre kiterjed), zárt (minden releváns fenyegetésre kiterjed), időben folytonos, és a kockázatokkal arányos állapotának fenntartására vonatkozó legjobb gyakorlat leírása: Biztonságmenedzsment rendszer kialakítása és üzemeltetése.

Releváns részei ISO 27001 ISMS rendszer kialakítása és üzemeltetése tanúsítható ISO 27002 Legjobb gyakorlat ISO 27003 Bevezetés ISO 27004 Metrikák ISO 27005 Kockázatelemzési módszertan Stb.

132 kontrollcél A.5.1 Információbiztonsági politika A6.1. Belső szervezet A6.2. Külső ügyfelek A7. Vagyontárgyak kezelése A8. Az emberi erőforrások biztonsága A9. Fizikai védelem és a környezet védelme A10. A kommunikáció és az üzemeltetés irányítása A11. Hozzáférés-ellenőrzés A12. Információs rendszerek beszerzése, fejlesztése és fenntartása A13. Információbiztonsági incidensek kezelése A14. Működés folytonosságának irányítása A15. Követelményeknek való megfelelés

PDCA ciklus Tervezés (az ISMS kialakítása) ISMS-politika, -célok, -folyamatok és -eljárások kialakítása. Végrehajtás (az ISMS bevezetése és működtetése) Az ISMS-politika, -intézkedések, -folyamatok és -eljárások bevezetése és működtetése. Ellenőrzés (az ISMS figyelemmel kísérése és átvizsgálása) A folyamatok teljesítményének értékelése, és ahol lehetséges, mérése az ISMS-politikával, -célokkal és a gyakorlati tapasztalatokkal összevetve, továbbá az eredmények jelentése a vezetésnek átvizsgálás céljából. Beavatkozás (az ISMS fenntartása és fejlesztése) Helyesbítő és megelőző tevékenységek végrehajtása a belső ISMS-átvizsgálás (audit) és vezetőségi átvizsgálás eredményei, illetve egyéb lényeges információk alapján az ISMS folyamatos fejlesztése érdekében.

Kockázatelemzés Eszközök, Fenyegetések Meglevő kontrollok Sérülékenységek Károk, következmények Valószínűségek Kockázatok

Biztonságmenedzsment mindig, mindenhol van.

Biztonságmenedzsment mindig, mindenhol van. Csak legfeljebb: Nem a vezetés igényei szerint Nem a vezetés támogatásával Nem alkot rendszert Nincs felülvizsgálat és fejlesztés A teljesítményt nem ismerik el

Bevezetés, első tanúsítás Felkészítő szervezet Kontrollok áttekintése (lyukak, rendszerbe szervezés, alul- és túlvédekezés), alkalmazási terület Külső szem, a szokásos megoldásokkal való összehasonlítás Vezetés szembesítése a nem tudatosan vállalt kockázatokkal Részvétel a kockázatelemzésben, a szabályozások és folyamatok leírásában Biztonsági vezető felkészítése Felkészültség ellenőrzése Legalább egy fő függetlenített hozzáértő A biztonságért felelős munkakörökben megnövekedett munkateher Esetleges beruházások

Kapcsolat a minőségirányítással Nagy könnyebbség, ha van 9001 Szabvány szinten egymáshoz illesztett rendszerek PDCA ciklus, feljegyzések és kezelésük, stb. azonosak Munkafolyamatok könnyen beilleszthetők mellé vagy bele? Belső audit együtt vagy külön?

Megváltozott működés Alkalmazkodás a környezet változásaihoz A belső (szervezeti és technológiai) változásokhoz A vezetés védelmi igényének, kockázatvállalási hajlandóságának változásához Belső és külső ellenőrzés Mindezek eredménye: Személyi szinten: Technologizáltabb munkavégzés A szabályok (legjobb gyakorlat) internalizálódása Cégszinten: Jogi megfelelés Megbízhatóság tényleges fejlődése

Költségek Információbiztonsági kerekasztal-beszélgetés Költségek Összköltség Védelem költsége Kárérték Védelem erőssége

Összefoglalás Az informatikai rendszerek biztonsága egyre kritikusabb terület; Az ISMS biztosítja a téma professzionális megközelítését; A tanúsított rendszer megnyugtató bizonyosságot jelent, és a külső felek részére is igazolja a megbízhatóságot; Garantálja a védelem folyamatos működését, szinten tartását; Javítja a piaci pozíciót, biztosítja a követelményeknek való megfelelést.

Kérdések? Elérhetőség: Bartek@zalaszam.hu Köszönöm a figyelmet.

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés