Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, 2015. május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.

KiadtaVince Fábián Megváltozta több, mint 8 éve

Hasonló előadás

Az előadások a következő témára: "„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, 2015. május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC."— Előadás másolata:

1 „Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, 2015. május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC 27001:2005 kontra 2013 esetben Tarján Gábor Hétpecsét Információbiztonsági Egyesület, alelnök www.hetpecset.hu

2 Áttekintő tartalom A szokásos pár fontos mondat Rövid emlékeztető a történésekről Mit tettek a cégek Mit lát ebből a tanúsító Hogyan tovább? Kérdések-válaszok

3 A szokásos pár fontos mondat A titoktartás kötelez Sohasem a konkrét példa, hanem a szándék és a követett gyakorlat a fontos Határozottan szubjektív látásmód Kb. 10 db ISO 27001:2013 audit itthon és külföldön az elmúlt 12 hónapban + Csöbörből vödörbe illetve a rablóból lesz (?) a legjobb pandúr, azaz hogyan lettem… Nem a DEKRA (vagy más tanúsító testület) hivatalos álláspontját képviselem.

4 Rövid emlékeztető a történésekről Az átmenet szabályai

5 ISO/ IEC Direktívák, 1. rész SL jelű melléklet Az ISMS szerkezete (ISO 27001) az SL jelű melléklet alapjain nyugszik. A jövőben ez lenne minden Mgmt rendszer (QM, EM, …) struktúrája. 0Bevezetés 1Érvényességi terület 2Normatív hivatkozások 3 Fogalmak és meghatározások 4A szervezet környezete 5Vezetőség 6Tervezés 7Támogatás 8Működtetés 9Teljesítmény értékelés 10Fejlődés

6 Az ISO 27001:2013 struktúrája A szabványtest (0-10 fejezetek) és az „A” melléklet, melyben: 14 Információbiztonsági szabályozási terület (A5-A18) 35 Információbiztonsági szabályozási cél 114 Információbiztonsági intézkedés (kontroll) 14 Szabályozási terület: 1.Információbiztonsági politika 2.Az információbiztonság szervezete 3.A humánerőforrás biztonsága 4.Vagyonmenedzsment 5.Hozzáférés-szabályozás 6.Titkosítás 7.Fizikai és környezeti biztonság 8.A működés biztonsága 9.A kommunikáció biztonsága 10.Rendszerek beszerezése, fejlesztése, karbantartása 11.Szállítói kapcsolatok 12.Információbiztonság és incidens menedzsment 13.Üzletmenet-folytonosság 14.Megfelelőség Érdekelt felek információ- biztonsági követelményei és elvárásai Act ISMS-t fenntart és fejleszt Plan IBIR-t létrehoz Check ISMS-t felügyel és áttekint Do IBIR-t Bevezet és működtet Érdekelt felek információ- biztonsági követelményei és elvárásai ()

7 ISO 27001:2013 – „kontroll-leltár” ISO27001 Fejezet hivatkozásLeírásKontroll összesen Irányítási rendszer 4 A szervezet környezete 9 5 Vezetés 17 6 Tervezés 31 7 Támogatás 25 8 Működtetés 8 9 Teljesítmény értékelés 27 10 Fejlesztés 13 Az IBIR kontroll pontok összesen: 130 Megítélés szerinti elemek A5 Az információbiztonság vezetői irányítása 2 A6 Az információbiztonság szervezete 7 A7 Humán-erőforrás biztonsága 6 A8 Vagyon-menedzsment 10 A9 Hozzáférés szabályozás 13 A10 Titkosítás 2 A11 Fizikai és környezeti biztonság 15 A12 A működtetés biztonsága 15 A13 A kommunikáció biztonsága 7 A14 Rendszer beszerzés, fejlesztés és karbantartás 13 A15 Szállítói kapcsolatok 5 A16 Információbiztonsági incidensek kezelése 7 A17 A működésfolytonosság információbiztonsági aspektusai 4 A18 Megfelelőség 8 Az "A" Melléklet kontrolljai összesen: 114 ISO/IEC 27001:2013 összesen: 244 2. táblázat 'ISO/IEC 27001:2013' Kontroll összesítés

8 A tanúsítások „dinamikája” (A 2014-es statisztika 2015 szeptemberében fog napvilágot látni!)

9 Mit tettek a cégek Kivárás… (és ez nem magyar sajátosság!) A kockázatelemzések nem nagyon változtak (a kockázat tulajdonos/risk owner koncepciója általában bevezetésre került) Az Alkalmazhatósági Nyilatkozat az „A” melléklet szolgai tükre (114 kontroll), pedig… Munaktársi tudatosítás: jellemzően e-learning (jó irány!)

10 Mit lát ebből a tanúsító Az energiaminimalizálás elve (ez a megfigyelés természettudományos alapokon nyugszik…) A kockázatelemzés eredménye és a tényleges védelmi intézkedések (controls) között még mindig esetleges a kapcsolat Egyszerűsödő tanúsítási dokumentáció ( ) Hangsúlyeltolódás (menedzsment kontra dolgozói szint) a tanúsítói munkában – ráfordított idő eltolódása

11 Hogyan tovább? Mi lesz az ISO 9001:2015-ben (október?)??? –A kockázatelemzés ott is meg fog jelenni! –Milyen legyen a kockázatelemzés módszertana A dokumentáció átszabása (lásd Direktíva), egységesítése (integrált rendszerek) Válasz technológiai kihívásokra: Felhő alapú mentés illetve dokumentum elérés és kezelés A mérés erősítése (mérhető célok)

12 Kérdések? – Válaszok!

Letölteni ppt "„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, 2015. május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC."

Hasonló előadás

Tájékoztatás a szakmai programok megvalósításáról 2006. június 26. BARTÓK TAMÁSNÉ.

Tájékoztatás a szakmai programok megvalósításáról június 26. BARTÓK TAMÁSNÉ.
AZ INFORMATIKAI BIZTONSÁG

AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
AZ EURÓPAI KIVÁLÓSÁG MODELL ÉS SZEREPE AZ EU CSATLAKOZÁSBAN STRATOSZ KIADVÁNY 2003.

AZ EURÓPAI KIVÁLÓSÁG MODELL ÉS SZEREPE AZ EU CSATLAKOZÁSBAN STRATOSZ KIADVÁNY 2003.
EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.

EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK

ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban

Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország

Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
Minőségirányítás a felsőoktatásban

Minőségirányítás a felsőoktatásban
A belső kontroll rendszer hatékony működtetése

A belső kontroll rendszer hatékony működtetése
A Mezőgazdaságtudományi Kar minőségbiztosítási rendszere

A Mezőgazdaságtudományi Kar minőségbiztosítási rendszere
9. hét: A munkahelyi egészségvédelem és

9. hét: A munkahelyi egészségvédelem és
3. hét: az ISO 9001:2008-es szabványnak megfelelő

3. hét: az ISO 9001:2008-es szabványnak megfelelő
A 2011. évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, 2012. január 19. Dr. Benkő János, ÁSZ.

A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
Farkas Katalin – Vilmányi Márton június 15.

Farkas Katalin – Vilmányi Márton június 15.
1 Hogyan tovább minőségügy? XIV. Magyar Minőség Hét 2005. november 07.

1 Hogyan tovább minőségügy? XIV. Magyar Minőség Hét november 07.
Készítette: Szirmai István

Készítette: Szirmai István
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.

VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Integrált Irányítási Rendszer

Integrált Irányítási Rendszer
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.

2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.

Hasonló előadás

Google Hirdetések