Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

Hasonló előadás


Az előadások a következő témára: "Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4."— Előadás másolata:

1 Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

2 2 Miről lesz szó? Audit statisztika Előaudit SoA a területmeghatározásban BS 7799-2 – ISO 27001

3 3 Audit tapasztalatok kiértékelése 10 magyar audit jelentéseinek értékelése Nemmegfelelőségek (hibák, eltérések) kigyűjtése Audit fázisok  1. fázis – Dokumentációvizsgálat  Előaudit (opcionális)  2. fázis - Helyszíni audit

4 4 Nemmegfelelőségek - Dokumentáció vizsgálat Szabványtörzs Mintanagyság: 10

5 5 Nemmegfelelőségek - Dokumentáció vizsgálat " A" melléklet Mintanagyság: 10

6 6 Dokumentáció vizsgálat - példák ISMS kialakítás – 57%!  4.2.1.a: „Határozza meg az ISMS alkalmazási területét…”  4.2.1.d.1: „Azonosítsa az ISMS területén belüli vagyontárgyakat és ezeknek a tulajdonosait.„  4.2.1.g: „Megfelelő … óvintézkedéseket kell kiválasztani ezen szabvány “A” mellékletéből és a döntéseket a kockázatfelmérési és a kockázatkezelési folyamat következtetései alapján meg kell indokolni.„ A.8 Kommunikáció és működés – 24%  Nem csak elektronikus adathordozók vannak…

7 7 Dokumentáció vizsgálat - példák A.5 Vagyontárgyak osztályozása – 17%  Vagyonleltár (pl. laptopok, külsősök eszközei)  Szolgáltatások, személyek,… A.11 Üzletmenet folytonosság – 13%  Kritikus eszközökre terjedjen ki Belső audit – 11%  Integrált rendszerek  Auditorok felkészültsége Dokumentumok kezelése – 11%  Ugyanaz többször szabályozva  Azonosítás

8 8 Nemmegfelelőségek - Helyszíni audit Szabványtörzs Mintanagyság: 10

9 9 Nemmegfelelőségek - Helyszíni audit " A" melléklet Mintanagyság: 10

10 10 Helyszíni audit - példák ISMS kialakítás – 33%  Vagyonleltár (pl. laptopok, külsősök eszközei)  Szolgáltatások, személyek Vezetőségi átvizsgálás – 25%  Nincsenek határozatok, felelősök, határidők A.12 Megfelelés – 22%  Tipikus probléma a szoftver jogtisztaság

11 11 Következtetések Viszonylag sok nemmegfelelőség  Többségében tanúsító auditok a mintában  Fiatal szabvány  Kiterjedt követelményrendszer A rendszerépítés lépései gyakran elnagyoltak  Vagyonleltár  Kockázatelemzés Előaudit javasolt

12 12 Előaudit A tanúsítási folyamattól független Auditori konzultáció Lehetőség a rendszer tanúsítás előtti korrekciójára Tapasztalatot, önbizalmat ad Tipikusan 1 nap

13 13 Előaudit folyamata Terv Nyitóértekezlet Szabványkövetelmények teljesülésének ellenőrzése  Rendszerépítés dokumentumainak áttekintése  Személyes interjúk  Eszközök, folyamatok megfigyelése  Feljegyzések vizsgálata Záróértekezlet  Értékelés, észrevételek szóban  Írott jelentés nem készül

14 14 Alkalmazhatósági Nyilatkozat UKAS ajánlásra a SoA azonosítása a tanúsítási terület meghatározásában szerepel  Pl. „…ügyfél, szervezeti és személyes információ védelme az Alkalmazhatósági Nyilatkozat 1.0 verziójának megfelelően.” Célszerű önálló dokumentumként kiadni

15 15 BS 7799-2–ISO 27001 áttanúsítás – jelenleg Követelmények változásának mértéke kicsi, de a megfelelést biztosítani kell A UKAS - DTI (Department of Trade and Industry) megállapodás  Az ISO 27001-re nem terjed ki  Akkreditált tanúsítás nem lehetséges  UKAS kezdeményezte a kiterjesztést BS 7799-2:2005 akkreditált tanúsítványok már most kiadhatók (ez megfelel az ISO 27001-nek) Nem akkreditált ISO 27001 tanúsítvány kiadható (upgrade lehetőség)

16 16 BS 7799-2–ISO 27001 áttanúsítás – mi várható? UKAS Transition Statement (még novemberben?)  Az áttanúsítás eljárása  Tanúsító testületek eszerint kell eljárjanak Tanúsított szervezeteknek várható áttérési időszak: 18 hónap (2002)  6 hónap a felkészülés  12 hónap az áttanúsítás  Ezután csak ISO 27001 lesz tanúsítható Felülvizsgálat (vagy előre hozott megújító audit) során

17 17 Köszönöm a figyelmüket! Stipkovits István információbiztonsági auditor 30/522-8310 istvan.stipkovits@sgs.com


Letölteni ppt "Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4."

Hasonló előadás


Google Hirdetések