1 / 16

Mi lehet a cél?

Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS 7799-2:1999-től ISO/IEC 27001:2005-ig) Potóczky András Pénzjegynyomda Zrt., számítástechnikai o.v. Mi lehet a cél?. a szervezet kulcsfolyamatainak zavartalan, minimális kockázatú működése

alec
Download Presentation

Mi lehet a cél?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok(A megtett út: BS 7799-2:1999-től ISO/IEC 27001:2005-ig)Potóczky AndrásPénzjegynyomda Zrt., számítástechnikai o.v.

  2. Mi lehet a cél? • a szervezet kulcsfolyamatainak zavartalan, minimális kockázatú működése • átlátható üzleti és információs folyamatok • rendszerben működő információ bázis • az információ rendelkezésre állásának, sértetlenségének, bizalmasságának biztosítása • fizikai biztonság, humán erőforrás biztonsága • termék, szolgáltatás biztonsága • tulajdonos és külső partnerek követelményeinek való megfelelés

  3. Mit tegyünk ehhez? • a szervezet legfelső vezetőinek személyes elkötelezettsége • személyi és anyagi feltételek megteremtése • üzleti folyamatok felmérése • meglévő szabályzások, dokumentációk megismerése • kockázatelemzés • kockázatok elviselhető szintre történő csökkentése • szabvány szerinti, auditálható rendszer kialakítása, működtetése és annak igazolása

  4. www.iso27001certificates.com

  5. Miért a BS 7799-2-t választottuk? • rendszerszintű szemlélet • bevezethetőségi nyilatkozat • nem csak az informatikára korlátozódik • nem ajánlás, szabvány, amely szerint auditálni lehet • a világ 74 országában 5206 szervezet ezt már felismerte • legkisebb a néhány fős kft, legnagyobb a The Word Bank Group, szerintem… • külsős partnerek felé történő egyértelmű, gyors dokumentálás

  6. Mit engedett meg a BS 7799-2? • bármely eddig megszokott eszköz, munkamódszer, bevált gyakorlat továbbra is alkalmazható • a szabvány előírásainál lehet többet megszervezni és működtetni • meglévő módszerek beintegrálása a BS 7799-2 szerint kialakított Információ biztonsági irányítási rendszerbe • nem engedi meg a szabvány leszűkítését csak az informatikára!

  7. Mit követelnek meg az auditorok? • a teljes információ biztonsági rendszerre történő kiterjedést, amelynek csak egy része az informatika • a felső vezető elkötelezettséget • független, kellő hatalommal bíró irányítást • a szabvány minden pontjának való megfelelést, illetve kizárást • kellőképpen felkészített munkatársakat • több hónapos dokumentált működési gyakorlatot • belső auditorok dokumentált munkáját • stb…

  8. Mi a plusz az ISO/IEC 27001:2005 előírásaiban? • Külső munkavégzők felügyeletének szigorítása • A hatékonyság mérésére mutatószámok bevezetése • Naplóesemények figyelésének szigorítása, dokumentálása, archiválása • Az eddigi ésszerű plusszok megjelenése a szabályzásban.

  9. Mi jelenthet problémát? • a munkatársak és az új belépők tudatlansága • a felső vezetők hatalommal való visszaélése • a munkatársak fásultsága, a fegyelem lazulása • az új folyamatok, illetve a meglévők változásának figyelmen kívül hagyása • a fejlődés elmaradása • a kockázatok alábecsülése

  10. Hogyan fejlődjünk tovább? • kísérjük figyelemmel a szabvány változásait • integráljuk egybe a minőségirányítást, a környezetvédelmi irányítást és az információ biztonsági irányítási rendszert, az egyéb tanúsításokat és a munkavédelmet is • alakítsunk ki közös eljárásokat, munkautasításokat, véletlenül se szervezzük keresztbe a többi rendszert • alakítsunk ki a rendszereket közös szemléletben irányító Integrált Vállalat Irányítási Tanácsot • az auditorokat és a munkatársakat rendszeresen képezzük tovább, külön figyelmet fordítva a vezetőkre

  11. Mit tett ebből a Pénzjegynyomda Zrt? • 2003. nyarán megalakította az Integrált Vállalat Irányítási Tanácsot, amely azóta is folyamatosan működik • 2004. nyarán újra auditáltatta BS 7799-2:1999 szerinti Információ biztonsági irányítási rendszerét és megkapta a BS 7799-2:2002 szerinti tanúsítását • 2006. nyarára átállította rendszerét az ISO/IEC 27001:2005-ös szabvány előírásainak megfelelően és ezt a tanúsítást is megszerezte.

  12. Mik egy működő Információ Biztonsági Irányítási Rendszerben a fellazulás jelei? • Az elkényelmesedés • A pozíció harcok • A felelősségre vonás hiánya • A mindentudás hiú ábrándja • A szabályzás és a mindennapos gyakorlat egymástól történő eltávolodása

  13. Hová vezet, ha ezt időben nem korrigáljuk? • A belső auditok nem megfelelőségei • A külső auditok nem megfelelőségei • A tanúsítás megvonása • Külső auditor és az őt ellenőrző auditok összefüggése • A minősítés elvesztésének hatásai

  14. Meddig lehet a rendszert szigorítani és lehet-e túlszabályozni? • Mit ír elő a szabvány? Mit vár az auditor? • Miért nem vesszük lazábbra? • Növekednek-e napi feladataink? • Mit tesz Általános János, ha összecsapnak a feje felett a hullámok? • A szabályzás és a napi gyakorlat egymásra gyakorolt hatásai.

  15. Kérdések és válaszok • mobil: 06-30-311-8818 • e-mail: potoczky.andras@pjrt.hu • Köszönöm megtisztelő figyelmüket!

More Related