ISO
Az információ és az adat létfontosságú a vállalatok működésében, mert minden szervezet legalapvetőbb üzleti folyamatai épülnek ezekre. Olyan kulcsfontosságú adatokról van szó, mint pl. a partnerek és ügyfelek bizalmas adatai vagy a cég know-how-jával összefüggő információk.
Kiemelt kockázatot jelent, ha bármilyen zavar keletkezik ezeknek az információknak a minőségével vagy elérhetőségével kapcsolatban, mert a védelmi rendszer felmerülő hiányosságai által az információ sérülhet, nyilvánosságra kerülhet, illetéktelenek férhetnek hozzá vagy akár meg is semmisülhet.
Az ISO/IEC 27001-es minősítés megszerzése segít az értékes információ kezelésében és védelmében. Az ISO/IEC 27001 az egyetlen ellenőrizhető nemzetközi szabvány, amely meghatározza az Információbiztonsági Irányítási Rendszer követelményeit. A szabvány célja, hogy biztosítsa a megfelelő és arányos biztonsági ellenőrzések kiválasztását.
A szabvány az alábbi területekre terjed ki:
- biztonsági szabályzat
- biztonsági szervezet
- javak és eszközök ellenőrzése és osztályozása
- személyi biztonság
- fizikai és környezeti biztonság
- kommunikáció és műveleti menedzsment
- hozzáférési jogosultság ellenőrzése
- rendszerfejlesztés és karbantartás
- az üzletmenet-folytonosság menedzsmentje
- megfelelőség
Kiknek ajánljuk:
Az ISO/IEC 27001 szabvány vállalatmérettől függetlenül alkalmas bármely szektor szereplője számára.
A rendszer bevezetésének előnyei:
- információk és adatok tudatos menedzselése
- hatékonyságnövelés
- egyértelmű elvárás megfogalmazása az alkalmazottak, alvállalkozók, beszállítók, együttműködő felek felé, tisztázott felelősségekkel
- a munkatársak információbiztonsági tudatosságának növekedése a képzések és a szabályozások, valamint azok alkalmazása által
- üzletfolytonosság biztosítása
- a visszaélések, valamint a kezelt és tárolt bizalmas adatok elvesztésének és felfedésének kockázatának csökkentése
Mit nyújtunk?
Szakértőink támogatásával tudunk gyakorlati segítséget nyújtani az Információbiztonsági Irányítási Rendszer bevezetéséhez és működtetéséhez, így a tanúsításra való felkészülés alkalmassá teszi az adott vállalatot, hogy képes legyen hatékonyan megvédeni adatait, információit.
Lépések
I. fázis – Rendszer kialakítás és bevezetés
Aktuális helyzetfelmérés, rendszer kialakítás, fejlesztendő területek meghatározása
Részletesen megismerjük a vállalat felépítését, működési hierarchiáját és paramétereit, profilját, valamint az egyes területeknél alkalmazott jelenlegi gyakorlatokat.
Kockázatelemzés
Megvizsgáljuk, hogy az adott cég mindennapi működésében milyen biztonsági kockázatok rejlenek. Ilyen pl. a személyi szerepkörökkel összefüggő kockázatok vizsgálata. Történt-e pl. valamilyen incidens a hozzáférési jogosultság kapcsán. Ha igen, esetleg több is, akkor meg kell vizsgálni, hogy miért történt. Talán azért, mert nem tartják be vagy nem értik a szabályozásokat, esetleg műszaki hiba történt?
A kockázatelemzésen alapuló értékelés három szempont alapján történik (CIA besorolás):
Confidence (Bizalmasság): az elektronikus információs rendszerben tárolt adatokhoz és információkhoz való hozzáférés jogosultsági körének és a jogosultság szintjeinek szabályozása.
Integrity (Sértetlenség): az adat tartalmának és tulajdonságainak az elvárttal való egyezése, ideértve, hogy az információ hiteles (az elvárt forrásból származik), letagadhatatlan (a származás ellenőrizhető), és az elektronikus információs rendszerelemek rendeltetésüknek megfelelően használhatók.
Availability (Rendelkezésre állás): Annak biztosítása, hogy az elektronikus információs rendszerek az arra jogosult személy számára elérhetőek és az abban kezelt adatok felhasználhatóak legyenek.
Oktatás
Egy új rendszer bevezetése során elkerülhetetlen az átfogóbb oktatási és képzési szolgáltatások elvégzése. Vállaljuk ügyfelünk szakembereinek oktatását is, akik információvédelemmel, illetve ezek kiépítésével és tesztelésével foglalkoznak.
Kockázatmenedzsment alapján elkészített ISO/IEC 27001 szabványhoz tartozó dokumentumok elkészítése
Írott dokumentáció alapú szabályozások elkészítése. Mivel a vállalat folyamatosan változik, ezért a szabályozásokat is mindig a vállalat aktuális állapotához kell igazítani.
II. fázis – Tanúsítás
A bevezetéssel párhuzamosan segítséget nyújtunk a megfelelő tanúsító iroda kiválasztásában. A tanúsító audit előtt egy független auditor (aki nem vett részt a vállalat ISO 27001 szabvány szerinti rendszer kiépítésében) belső auditot tart. A belső audit alapján közösen fejlesztjük tovább az ISO 27001 irányítási rendszert.
A tanúsító audit során pedig a felkészítésben részt vevő tanácsadó segíti a megfelelést és a sikeres tanúsítást.
III. fázis – Utógondozás
A bevezetést követően kezdődik meg az Információbiztonsági Irányítási Rendszer folyamatos fenntartása és fejlesztése, amiben tanácsadóink természetesen az utógondozási folyamatot is aktívan támogatják.
Az incidensek figyelése és az auditok elvégzése alapján kerül folyamatosan fejlesztésre a kockázat menedzsment és ezáltal az információbiztonsági rendszer.
Amennyiben érdeklik a részletek, lépjen kapcsolatba velünk az info@szirtes.com e-mail címen.