Tanú­sítás

ISO/IEC 27001 – Információbiztonsági Irányítási Rendszer (IBIR) tanúsítása

Szabályozott információbiztonság

Minden szervezet legalapvetőbb üzleti folyamatai az adatokra és az információra épülnek. Olyan kulcsfontosságú adatokról beszélhetünk, mint az ügyfelek és partnerek bizalmas adatai, a különféle termékekkel, szolgáltatásokkal, megrendelésekkel és belső folyamatokkal, valamint számos egyéb, a cég know-how-jával összefüggő információk.

Üzleti kockázatot jelent, ha bármilyen zavar keletkezik ezeknek az információknak a minőségével, mennyiségével, pontosságával vagy elérhetőségével kapcsolatban. A különböző fenyegetettségek származhatnak kívülről és a szervezeten belülről is, lehetnek véletlenszerűek vagy szándékosak.

A védelmi rendszer hiányosságai révén az információ sérülhet, nyilvánosságra kerülhet, illetéktelenek férhetnek hozzá, vagy akár meg is semmisülhet.

Mindezek alapján az adatok sértetlenségének, bizalmasságának és rendelkezésre állásának biztosítása, a sérü­lések és az adatvesztés elkerülése kritikus fontosságú feladat.

Szabályozott Információbiztonsági Irányítási Rendszer (IBIR) tanúsítása

Megoldást mind az adott szervezet, mind pedig partnereik szempontjából az információbiztonsággal kapcsolatos kockázatok és folyamatok hatékony menedzsmentje jelent.

A cégek üzleti szempontból kritikus információi, informatikai rendszerei, valamint folyamatai biztonságának elősegítésére szolgál az ISO 27001 szabvány szerinti Információbiztonsági Irányítási Rendszer kiépítése és működtetése.

Az ISO 27001 szabvány szerinti Információbiztonsági Irányítási Rendszer célja

A rendszer kiépítése egy információs vagyonleltár elkészítése révén egy kockázatelemzésen alapuló értékeléssel kezdődik, mely értékelést az adott szervezet összes rendszerére vonatkozóan három szempont alapján kell elvégezni (CIA besorolás):

  • Bizalmasság (Confidentiality): az elektronikus információs rendszerben tárolt adatokhoz és információkhoz való hozzáférés jogosultsági körének és a jogosultság szintjeinek szabályozása.
  • Sértetlenség (Integrity): az adat tartalmának és tulajdon­ságainak az elvárttal való egyezése, ideértve, hogy az infor­má­ció hiteles (az elvárt forrásból származik), letagadhatatlan (a származás el­­len­őrizhető), és az elektronikus információs rend­szer­elemek rendeltetésüknek megfelelően használhatók.
  • Rendelkezésre állás (Availability): Annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek.

Az ISO 27001 szabvány naprakész irányítási eszközt kínál az adatok és információk, mint értékek védelmére, az azzal összefüggő folyamatok menedzsmentjére, a veszélyek azonosítására, a külső-belső kihívások kezelésére és a folyamatos továbbfejlődésre.

Ahogy egy tűzvédelmi rendszer csökkenti a tűz miatti kockázatokat – részben a megelőzés, részben az eszkalálódás megakadályozása révén –, úgy csökkenti az Információbiztonsági Irányítási Rendszer az információ sérülése miatti kockázatokat. Bár ez befektetést, munkát, odafigyelést, fizikai rendszerek kiépítését igényelheti, a befektetés mértéke – egy jól megtervezett rendszer esetén – a kockázatokkal arányos lesz, de jóval alacsonyabb az esetlegesen bekövetkező kár mértékénél.

A szabvány alapelve a folyamatos fejlődés, akárcsak a minőségirányítási (ISO 9001, ISO/TS 16949), munkabiztonsági (OHSAS 18001) és környezetirányítási (ISO 14001 és EMAS) szabványok esetén, így szemléletmódja szorosan kapcsolódik azokhoz.

Az ISO 27001 szabványról általában

Az ISO 27001 szabványt a Nemzetközi Szabványosítási Szervezet (International Organization for Standardization – ISO) bocsátotta ki. A szabvány kibocsátását követő években a tanúsított cégek száma a világon már meghaladta a több tízezret és azóta is folyamatosan növekszik.

A szabvány az alábbi területekre terjed ki:

  • biztonsági szabályzat;
  • biztonsági szervezet;
  • javak és eszközök ellenőrzése és osztályozása;
  • személyi biztonság;
  • fizikai és környezeti biztonság;
  • kommunikáció és műveleti menedzsment;
  • hozzáférési jogosultság ellenőrzése;
  • rendszerfejlesztés és karbantartás;
  • az üzletmenet-folytonosság menedzsmentje;
  • megfelelőség.

A szabvány szerint tanúsított működéssel lehetőség nyílik arra, hogy a hazai vállalatok felkészülhessenek az informatikai rendszerek terjedésével felmerülő kihívásokra, az elektronikus adattárolással járó veszélyekre.

Egy tanúsított, ISO 27001 szerint működtetett rendszer által kínált előnyök:

A tanúsítás visszajelzést ad, hogy az információbiztonság ügyében tett intézkedéseink összessége megfe-lel-e az ISO 27001 szabvány követelményeinek. Az ISO 27001 bevezetése és tanúsíttatása amellett, hogy a vállalati kultúrát is megváltoztathatja:

  • csökkenti a visszaélések, valamint a cég és dolgozói, továbbá partnerei által kezelt és tárolt bizalmas adatok elvesztésének és felfedésének kockázatát;
  • biztonságosabbá teszi a partnerkapcsolatokat, megteremti a bizalmat az ügyfelek részéről;
  • külső partnerek és informatikai szolgáltatók igénybe vétele esetén keretet ad a cég külső és belső információ- és adatbiztonsági stratégiájának;
  • tervezetten biztosítja az ügymenet folytonosságát „informatikai vészhelyzet” esetére is;
  • menedzsment eszköz volta miatt a felső- és közép­vezetés kézben tudja tartani az összehangolt adatvédelmi folyamatokat anélkül, hogy a speciális területeken (pl. vagyonvédelem, informatikai hálózatok stb.) mélyebb szakmai ismeretekkel rendelkezne.

A szabvány szerinti auditálás magában foglalja az informatikai biztonság minden elemének alapos átvizsgálását, az információs folyamatok elemzésétől kezdve az adatvesztésen át a jogosulatlan hozzáférésen és vírustámadásokon keresztül az elektronikus kereskedelemig, az illetéktelen behatolásig és a katasztrófa-elhárításig.

A rendszer bevezetése hosszabb távon jelentősen csökkentheti a költségeket, hiszen kevesebb lehet a kiesés, összehangoltabbá válnak az információs folyamatok és az informatikai védekezés.

Élvezze Ön is ezeket az előnyöket, bízza magát az Apave szakértelmére!

Folyamatosan díjmentes konzultációs lehetőséget biztosítunk, mely során biztonságirányítási és munkavédelmi szakembereink megosztják tapasztalataikat, és megválaszolják a rendszerrel és annak bevezetésével kapcsolatos kérdéseket.

Az Apave információbiztonsághoz kapcsolódó szolgáltatásai

Szolgáltatás Tartalom és előny
Besorolás Kezdeti kockázati osztályokba sorolás külső, független tanúsító szervezet által.
Kockázatelemzés és értékelés Szektoradaptált kockázatértékelési tevékenység.
Felügyeleti tevékenység Felügyeleti tevékenység a folyamatos kontroll, javítás és fejlesztés érdekében.
ISMS tréning Tréningek szektorspecifikus elvárások alapján.
Célzott információbiztonsági képzés Szervezeten belüli tudásbázis kialakítás, szabványismertetés, belső auditorok képzése.
ISMS kritériumrendszer tájékoztató Minimális ISMS kritériumrendszer vizsgálat az adott szervezet igényei szerint.
ISO 27001 előaudit A szervezet tanúsítás-szempontú előzetes értékelése, az erősségek és tennivalók számbavétele.
ISO 27001 tanúsítás Független tanúsító testületként átfogó információbiztonsági ISO 27001-es rendszertanúsítás.

Informatikai rendszerek biztonsága – ISO/IEC 20000

Az információ- és adatbiztonság mellett valamennyi vállalat számára fontos az informatikai rendszereik biztonsága is. Az ISO/IEC 20000 szabvány az informatikai rendszerek kapacitására, irányítási szintek kialakítására, pénzügyi tervezésre, szoftverek kezelésére, tehát az informatikai rendszerek felügyeleti folyamataira koncentrál. A szabvány szerinti rendszerkiépítés és igazolás megszerzése az egyes rendszerelemek osztályokba sorolásával (az un. „helpdesk” megközelítéssel), strukturált és hatékony módszert biztosít a biztonságos informatikai rendszerek kiépítésére és azok működőképességének biztosítására.

Tanúsítvány

Az Apave a szlovák akkreditáló testület, a SNAS által akkreditált szervezet. Ez biztosítja a tanúsított szervezet számára, hogy az Apave által kibocsátott ISO 27001 tanúsítványát mind hazai (állami tenderek, pályázatok esetében), mind nemzetközi szinten általánosan elfogadják.

Miért Az Apave?

  • Magyar és idegen nyelveket beszélő auditorokkal egyaránt rendelkezünk, és integráltan tudjuk auditálni az ISO 27001, ISO 50001, ISO 14001 (valamint az ISO 9001 és OHSAS 18001) irányítási rendszereket is akár több telephelyen, különböző országokban is.
  • Egy független tanúsító testület által kiadott akkreditált tanúsítvány elkötelezettséget jelez a vállalat összes érintettje (alkalmazottak, ügyfelek, meg­bízók, tulaj­donosok stb.) irányába, valamint megbízhatóan igazolja a cégen belüli szabályozott adat- és információbiztonsági intézkedések meglététét.
  • Az általunk elvégzett audit objektív visszajelzést ad a rendszer működtetéséről, így hozzájárul annak fejlesztéséhez, az eredmények értékeléséhez.

Kinek ajánljuk az ISO 27001 szabvány szerinti tanúsítványt?

Mindazoknak a szervezeteknek, amelyek működése kritikus veszteségeket szenvedhet el valamely információjuk sérülése, elveszése, vagy illetéktelen kezekbe kerülése esetén, de különösen:

  • ipari és termelő vállalatok (vegyipar, elektronika, fém és műanyag feldolgozó szegmens, autóipar, elsősorban a terméktervezés, termék know-how, folyamatok, partnerek miatt);
  • szolgáltató szektor (pl. szállítmányozó és logisztikai cégek, turisztika, szórakoztatóipar);
  • telekommunikációs és informatikai cégek (szoftverfejlesztés, informatikai és telekommunikációs megoldások);
  • pénzügyi (banki) és biztosítási szektor;
  • közszolgáltatói és energetikai szegmens (víz, gáz, elektromosság, hulladék stb.);
  • közigazgatási és hatósági szektor (ügyfelek személyi adatainak kezelése miatt);
  • vagyonvédelmi és biztonságtechnikai cégek (védelmi technológiák);
  • egészségügyi szegmens.

Sok esetben az adat-, és információbiztonság nincs összefüggésben a cég méretével, hiszen egy egyetlen számítógéppel rendelkező mikrovállalkozás életben maradásához éppen olyan fontos lehet az adatbiztonság, mint ahogy kiemelt szerepet játszik az átfogó információmenedzsment egy komplex folyamatokkal és adatbázisokkal rendelkező nagyvállalatnál.

Tanúsítás

  • A célok, programok kezelésére kell-e eljárást írni?
    Nem. A szabvány csak azt kéri, hogy a célokat dokumentáljuk (írjuk le), de nem kéri, hogy a folyamatot írott formában szabályozzuk! Persze ez nem zárja ki, hogy a célok, előirányzatok, programok kezelését, felügyeletét eljárásban szabályozzuk, tehát a lehetőség adott, de nem kötelező rá eljárást írni.
  • Milyen esetben vonható vissza a tanúsítvány?
    Minden kiadott tanúsítvány visszavonható. A tanúsítvány visszavonását megelőzheti a tanúsítvány felfüggesztése.A teljesség igénye nélkül felsorolunk néhány okot, ami a tanúsítvány felfüggesztését eredményezi:Ha a felügyeleti audit ezt eredményezi.Ha a súlyos nemmegfelelőségek nem kerülnek kijavításra a meghatározott időn belül.Ha a felügyeleti auditot az ügyfél nem teszi lehetővé a szerződésnek megfelelően.Ha a rövid határidejű felügyeleti auditot az ügyfél nem teszi lehetővé .Információs kötelezettség megszegése esetén – amennyiben a kommunikáció határozott befolyással van az irányítási rendszer működésére.A tanúsítvány vagy a tanúsítási jel nem megfelelő alkalmazása esetében.A tanúsító testülettel szemben fennálló kötelezettség nemteljesítése esetén.A teljesség igénye nélkül felsoroljuk a legfontosabb okokat, ami a tanúsítvány visszavonását eredményezi:Ha a felfüggesztés oka a kijelölt időn belül nem került megszüntetésre.Ha a tanúsított szervezet használta a tanúsítványt vagy utalt rá a tanúsítvány felfüggesztés időtartama alatt.A tanúsítandó cég vagyona csődeljárás alá kerül.A tanúsított szervezet kérésére.
  • Információbiztonsági Irányítási Rendszer vonatkozásában: Mennyire kell részletesnek lennie a kockázatelemzésnek? Hány kockázatot kell minimálisan azonosítani egy IBIR rendszerben?
    A szabvány nem követel meg konkrétumot a felsorolt kockázatok számosságára. Azt viszont kötelezővé teszi, hogy a kockázatelemzés kimenetének kell vezérelnie az IBIR rendszert (pl. 1.2. fejezet, Alkalmazás és még számos egyéb helyen). Ezért ha az auditor tud olyan kockázatot említeni, amit a felelősök is jogosnak éreznek, ugyanakkor hiányzik a kockázatelemzésből, akkor az eltérést eredményezhet. Ezért a kockázatelemzésnek \"kellően\" részletesnek kell lennie.
  • Mikor kell elvégezni a felügyeleti és megújító auditokat?
    A felügyeleti és a megújító auditok időpontjának a meghatározásánál a tanúsító audit időpontját kell figyelembe venni. Ez azt jelenti, hogy az az időpont az irányadó, amikor a helyszíni auditot a cégnél gyakorlatban elvégeztük és nem a tanúsítvány érvényességének az időpontja. A felügyeleti auditokat tágabb értelemben abban a hónapban kell elvégezni, amikor a tanúsító audit volt. A megújító auditokat célszerű a tanúsító audit időpontjában vagy azt egy-két héttel megelőzően elvégezni, hogy a tanúsítvány érvényességéig kiállítható legyen az új tanúsítvány.
  • Mikor csinálunk előauditot és mi ennek a célja?
    A tanúsító audit előkészítése során a tanúsítás előtt álló szervezet arról kíván meggyőződni, hogy a cég bevezette-e minőségirányítási rendszert és teljesítette-e annak alapvető követelményeit, akkor megbízhatja a tanúsító szervezetet az előaudit megtartásával.Az előaudit során az auditor összehasonlítja a MIR gyakorlati működését és a rendszer dokumentációját az ISO 9001-es szabvány követelményeivel, majd auditjelentésében részletes értékelést ad a vezetőség számára a szabványnak való megfelelés mértékéről.Az előaudit a tanúsító audithoz hasonló terjedelmű, mélységű és szigorúságú vizsgálat, azonban a szervezetre nézve semmilyen hátrányos következménnyel nem jár. Előnye, hogy feltárja azokat az eltéréseket, amelyek megléte a tanúsítás sikerét veszélyeztetheti és amelyek kijavítása a későbbi tanúsítás eredményességét nagymértékben növeli.
  • Információbiztonsági Irányítási Rendszer vonatkozásában: Mi a jó hozzáférés kezelési szabályzat ismérve?
    Bármilyen hozzáférés kezelési szabályzat elfogadható, ha a szabályzatban leírt módszerrel kapcsolatos kockázatok említve vannak a kockázatelemzésben, és azokat megfelelően kezelik. Így szélsőséges esetben akár a \"mindenki mindenhez hozzáfér\" típusú szabályzat is elfogadható lehet, bár a kockázatelemzést (és az ahhoz kapcsolódó kockázatkezelési tervet) ez (érthető módon) óriásira duzzasztja.Ugyanakkor a legjobb technikák alkalmazásakor is maradnak kockázatok -- ne felejtsük el említeni őket a kockázatelemzésben.
  • Mit kell tenni akkor, ha a céges adatokban változás van, milyen esetben lehet új tanúsítványt kiállítani és milyen esetben kell újra tanúsítani a céget?
    Ha a céges adatokban valamilyen változás van, értesíteni kell a tanúsító szervezetet, hogy a módosítást el lehessen végezni.Példák a módosításra:Vannak esetek, amikor csak egyszerűen a tanúsítvány módosítása szükséges. Ilyenek például a cég nevének és címének a változása. Általában elmondható, ha csak adminisztratív adatok változtak, és a cég adószáma nem változott, akkor általában kiállítható egy új tanúsítvány.Abban az esetben viszont, ha a cég tevékenysége megváltozik vagy kiegészül újabb tevékenységgel, és kérik erre a tevékenységre is a tanúsítvány kiállítását, akkor ez csak újabb helyszíni audit lefolytatása után lehetséges.

Kérjen ajánlatot!

Tudta?

Az Apave biz­to­sít­ja vál­la­la­ta in­for­má­ció- és adat­biz­ton­sá­gát.

Kérjen ajánlatot!

Tölt­se le aján­lat­ké­rő űr­la­pun­kat, vagy tölt­se ki a web­ol­da­lun­kon ta­lál­ha­tó aján­lat­ké­rőt!

Kapcsolattartók:

  • KUNSTÁR-BÁRD Anikó

    Termékkoordinátor

    ISO 9001, ISO 14001, ISO 50001, ISO 27001, OHSAS 18001

    mobil: +36 30 566 7381

    telefon: +36 1 321 4965

  • PAPP-SZŰCS Bernadett

    Termékkoordinátor

    ISO 9001, ISO 14001, ISO 50001, ISO 27001, OHSAS 18001

    mobil: +36 70 442 0902

    telefon: +36 1 321 4965