MSZ ISO/IEC 27001:2014 (ISO/IEC 27001:2013)
InformációBiztonság Irányítási Rendszer (IBIR)

A cég információinak biztonsága mindig fontos kérdés, hagyományosan lépéseket tesznek a

• kiszivárgás,
• csalás,
• lopás vagy
• bármely más, az információval történő visszaélés megelőzése érdekében.

Manapság, amikor a számítógép egyre komolyabb szerepet játszik életünkben,

• az információs biztonságtechnika új értelmet nyer.

A mindennapi üzleti életben sok ember dolgozik a saját feladatán,

• tárol adatokat,
• őriz feljegyzéseket,
• tart fenn adatbázisokat,
• tölt le információt az Internetről és
• végez bizalmas munkát.

Kéz a kézben a mai technológiával,

• növekszik a biztonsági kockázat a mindennapi munkában, és ezek
• nem mindig a legszembetűnőbb fenyegetések.

Természetesen fennáll az esélye, hogy

• magát a munkát lopják el, de
• elveszhetnek az adatok, ha a
• hardware-t ellopják, ha
• feltörik a számítógépes rendszert,
• vírus fertőzheti meg, valamint a
• rendszerhibák és leállások, áramszünetek,
• az adathordozók meghibásodása és természetesen a
• tűz mind-mind információvesztéshez vezethet.

Az Információbiztonság irányítási rendszer célja, hogy

• biztosítsa az üzleti folytonosságot, hogy
• csökkentse biztonsági incidensekből származó anyagi kárt
• azok hatásának megelőzésével vagy
• minimalizálásával.

ISO/IEC 27001:2013 a szervezetek minden típusára vonatkozik pl.:

• kereskedelmi vállalatokra,
• kormányzati hivatalokra,
• nem profitérdekelt szervezetekre.

ISO/IEC 27001:2013 követelményeket határoz meg

• dokumentált IBIR kialakítására,
• bevezetésére,
• működtetésére,
• figyelemmel kísérésére,
• átvizsgálására,
• fenntartására és
• fejlesztésére szoros összefüggésben a szervezet általános működési kockázataival.

Követelményeket határoz meg

• olyan biztonsági intézkedések megvalósítására, amelyeket
• az egyes szervezetek, vagy
• azok részeinek igényeire szabtak.

Az IBIR rendeltetése, hogy

• biztosítsa a megfelelő és arányos biztonsági intézkedések kiválasztását, amelyek
• védik az információs vagyontárgyakat és
• bizalmat keltenek az érdekelt felekben.

Főbb témakörök, amelyek az ISO/IEC 27001:2013 rendszer részét képezik

I., A SZERVEZET ÉS KÖRNYEZETE

• A szervezetnek és környezetének megértése
• Az érdekelt felek igényeinek és elvárásainak megértése
• Az információbiztonság-irányítási rendszer alkalmazási területének meghatározása
• Információbiztonság-irányítási rendszer

II., VEZETÉS

• Vezetői képesség és elkötelezettség
• Irányelv
• Szervezeti szerepek, felelősségek és hatáskörök

III., TERVEZÉS

• A kockázatokkal és lehetőségekkel kapcsolatos tevékenységek
• Információbiztonsági célok és az elérésük megtervezése

IV., TÁMOGATÁS

• Erőforrások
• Felkészültség
• Tudatosság
• Kommunikáció
• Dokumentált információ

V., MŰKÖDÉS

• Működéstervezés és -felügyelet
• Az információbiztonsági kockázatok felmérése
• Az információbiztonsági kockázatok kezelése

VI., TELJESÍTMÉNYÉRTÉKELÉS

• Megfigyelés, mérés, elemzés és értékelés
• Belső audit
• Vezetőségi átvizsgálás

VII., FEJLESZTÉS

• Nemmegfelelőség és helyesbítő tevékenységek
• Folyamatos fejlesztés

Az ISO/IEC 27001:2013  –  A.) mellékletének főbb követelményei

A./1. Információbiztonsági irányelvek

•  Az információbiztonság vezetői irányítása

A./2.Az információbiztonság szervezete

• Belső szervezet
• Mobil eszközök és távmunka

A./3. Az emberi erőforrások biztonsága

• A munkaviszony kezdete előtt
• A munkaviszony fennállása során
• A munkaviszony megszűnése és megváltozása

A./4.Vagyonelemek kezelése

• A vagyonelemekért viselt felelősség
• Információosztályozás
• Adathordozók kezelése

A./5. Hozzáférés-felügyelet

• A hozzáférés-felügyelettel kapcsolatos üzleti követelmények
• A felhasználói hozzáférések kezelése
• Felhasználói felelősségek
• Rendszer- és alkalmazás-hozzáférés felügyelete

A./6. Titkosítás

•  Titkosítási intézkedések

A./7. Fizikai és környezeti biztonság

• Biztonsági területek
• Berendezés

A./8. Az üzemelés biztonsága

• Üzemeltetési eljárások és felelősségek
• Védelem a rosszindulatú szoftverek ellen
• Mentés
• Naplózás és megfigyelés
• Az üzemelő szoftverek felügyelete
• A műszaki sebezhetőségek felügyelete
• Az információs rendszerek auditálásával kapcsolatos megfontolások

A./9. A kommunikáció biztonsága

•  A hálózatbiztonság biztosítása
• Információátvitel

A./10. Rendszerek beszerzése, fejlesztése és karbantartása

• Az információs rendszerek biztonsági követelményei
• Biztonság a fejlesztési és támogatási folyamatokban
• Tesztadatok

A./11. Szállítói kapcsolatok

• Információbiztonság a szállítói kapcsolatokban
• A szállítói szolgáltatásnyújtás irányítása

A./12. Az információbiztonsági incidensek kezelése

• Az információbiztonsági incidensek és javítások kezelése

A./13. A működésfolytonosság biztosításának információbiztonsági vonatkozásai

• Az információbiztonság folytonossága
• Tartalékok

A./14.Megfelelés

• Megfelelés a jogi és szerződéses követelményeknek
• Információbiztonsági vizsgálatok

Az ISO/IEC 27001:2013 rendszer főbb előnyei

1. ) Az ISO/IEC 27001 szerinti tanúsítás növeli vállalata tekintélyét.
2. ) Világosan megmutatja információinak hitelességét és az információbiztonság fenntartása iránti tényleges elkötelezettségét.
3. ) Az IBIR létrehozása és tanúsíttatása a vállalati kultúrát is megváltoztathatja: új üzleti lehetőségeket nyithat a biztonságra figyelő vevők vagy ügyfelek megnyerésével, valamint javíthatja az alkalmazottak morálját és a bizalmasság felismerését a munkahelyen.
4. ) Lehetővé teszi az információbiztonság betartatását, így csökkenti a csalás, valamint az adatok elvesztésének és felfedésének kockázatát.

Ha még nem kezdtétek el

• az ISO/IEC 27001:2013 rendszer kiépítését vagy
• fontolgatjátok megvalósítását, vagy
• az eddigi kísérlet nem vezetett eredményre,
• esetleg meglévő rendszereteket szeretnétek fejleszteni, vagy
• bővebb ismeretanyagra van szükségetek,

akkor kattints ide és jelezd bátran, ha konzultálni, megoldást szeretnél találni a fenti témában kérdéseidre.

Az ISO/IEC 27001:2013 rendszert szeretnéd megvalósítani, működtetni, vagy fejleszteni, de
nincs kellő ismereted?

Jogosultságot szeretnél szerezni az ISO/IEC 27001:2013 belső auditok elvégzésére?

Ha bármelyik is felmerül, kattints ide, és választhatsz az ISO/IEC 27001:2013 kapcsolatos képzési programunkból is.