Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165.

Hasonló előadás


Az előadások a következő témára: "A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165."— Előadás másolata:

1 A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/ t 30/ SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

2 ban alapították - székhely Genfben alkalmazott, 1000 iroda, 365 laboratórium - több mint 140 országban függetlenség, feddhetetlenség, szakértelem vezető pozíció a rendszertanúsítások területén (11%) SGS Hungária Kft ben alapították piac vezető ELLENŐRZÉS, VIZSGÁLAT, TANÚSÍTÁS

3 3 Az SGS Hungária Kft. BS szabvány szerint tanúsított partnerei Pénzügyi Szervezetek Állami Felügyelete Magyar Vállalkozásfejlesztési Kht. Állami Közúti Műszaki és Információs Kht. Földmérési és Távérzékelési Intézet Agrár-Vállalkozási Hitelgarancia Alapítvány Noreg Információvédelmi Kft. Cardinal Számítástechnikai Kft. M.C. Direct Kft. Andex Nyomda Kft.

4 4 Miről lesz szó? A BS és az ISO szabványok célja Pályázati lehetőség A BS tanúsítás tipikus okai A tanúsítási folyamat szereplői A BS szerinti tanúsítás folyamata Sikertényezők és buktatók - auditori szemmel Audit tapasztalatok

5 5 A BS és az ISO szabványok célja Mindkettő az Információbiztonsági Irányítási Rendszerre vonatkozik: Management szabványok, analógok az ISO 9001:2000-el.

6 6 Pályázati lehetőség KIS- ÉS KÖZÉPVÁLLALKOZÁSOK RÉSZÉRE KORSZERŰ MENEDZSMENT RENDSZEREK ÉS TECHNIKÁK TÁMOGATÁSA (GVOP ) Gazdasági és Közlekedési Minisztérium Irányítási rendszer bevezetése és tanúsíttatása Végleges juttatás, 50% Pályázat benyújtásának határideje:

7 7 A BS tanúsítás tipikus okai Növelni a kezelt adatok vagy a rendelkezésre állás biztonságát Marketing eszköz (nemzetközileg elismert) Állami támogatás Tanulni lehet belőle Megkülönböztet a versenytársaktól

8 8 A tanúsítási folyamat szereplői Nemzeti Akkreditációs Testületek NATSASUKAS TÜV R.DNVSGS Tanúsító Testületek Cég1Cég2 Cég3 Tanúsítandó szervezetek ISO 9001BS ISO 9001BS ISO 14001

9 9 A tanúsítás folyamata Analóg az ISO 9001-es tanúsítási folyamattal: Megfelelőség kialakítása Tanúsító audit (akkreditált)  Kapcsolatfelvétel - a rendszer hatókörének, kiterjedésének egyeztetése - külön titokvédelmi megállapodások rögzítése  1. fázis – Dokumentációvizsgálat  Előaudit (opcionális)  2. fázis - Tanúsító audit Felülvizsgálatok  6 vagy 12 havonta  Megújítás 3 évente

10 10 A tanúsítás folyamata - tanúsító audit Célja: Az információbiztonsági rendszer gyakorlati működésének vizsgálata, minősítés Megfelel-e a rendszer: - a BS szabványnak - a rendszerdokumentációnak - a törvényi és szerződéses előírásoknak A rendszerműködés bizonyítékainak keresése - hatásos - a politikában szereplő célokat támogatja Eredménye: Tanúsítási döntés Tanúsítvány

11 11 A tanúsítás folyamata - felülvizsgálatok Félévente vagy évente Hároméves ciklus - Megújítás Mintavételes vizsgálat Kiemelt témák: - a kockázatelemzés felülvizsgálata - az Alkalmazhatósági Nyilatkozat felülvizsgálata - az információbiztonsági rendszer fejlesztése - a biztonsági események feldolgozása, értékelése - hasonló esetek megismétlődésének megelőzése

12 12 A rendszerbevezetés néhány sikertényezője Az információbiztonsági politika és az üzleti/szervezeti célok összhangja Egyértelmű vezetői elkötelezettség és támogatás A biztonsági követelmények alapos megértése Megfelelő szintű, alapos kockázat-elemzés és kezelés Az információbiztonsággal kapcsolatos tudatosság elmélyítése minden vezetőnél és dolgozónál (kultúra) Megfelelő felügyeleti és eseménykezelési rendszerek

13 13 A rendszerbevezetés néhány buktatója A kockázatelemzés a legfontosabb és legnagyobb feladat Értelmes célokat kell kitűzni (nem kell túl ambíciózusnak lenni) Fel kell állítani az intézkedések prioritási sorrendjét Meg kell vizsgálni a tervezett intézkedések illeszkedését a vállalati kultúrához Óvintézkedések összhangja: fizikai és technikai védelem mellett adminisztratív intézkedések is Megfelelően képzett információbiztonsági felelős, akihez a munkatársak fordulhatnak

14 14 BS szerinti auditok tapasztalatai I. Fontos a kizárások világos indoklása az Alkalmazhatósági Nyilatkozatban, de: fölösleges szabályozásokat ne építsünk a rendszerbe. A felmért kockázatok és a hozott intézkedések összhangja: A kockázatokhoz kell megtalálni az intézkedéseket, és nem fordítva. - Főleg szemléletbeli különbség Az elektronikus információk és támogató eszközök mellett ne feledkezzünk meg az egyéb típusú információkról sem (iratok, irattár, üzenetrögzítők, videofelvételek)

15 15 BS szerinti auditok tapasztalatai II. Hasznos, ha a szabályzatok nem szabványpontok szerint épülnek fel, hanem fő szerepkörök, funkciók, folyamatok szerint. (pl. külön Felhasználói Információbiztonsági Szabályzat) Az üzletmenet-folytonossági terv: - több mint felelősök, elvek rögzítése: meg kell vizsgálni a rendelkezésre-nem-állás lehetséges eseteit - szükséges teendők a felkészülési és a beavatkozási időszakban - ellenőrzés, tesztelés szükséges

16 16 Integrált audit Az integrált irányítási rendszereknél mindegyik szabvány (BS , ISO 9001) arányos figyelemben részesüljön. A párhuzamos követelményeket mindkét szabvány előírásai szerint meg kell valósítani (pl. belső audit) Sok esetben két külön audit, két külön jelentés

17 17 Köszönjük a figyelmüket! Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/ t 30/


Letölteni ppt "A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165."

Hasonló előadás


Google Hirdetések