Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

Slides:



Advertisements
Hasonló előadás
MSZ EN ISO/IEC tükrében Nemzeti Akkreditáló Testület
Advertisements

ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
DOKUMENTUMKEZELÉS.
A MINŐSÉGIRÁNYÍTÁSI RENDSZEREK AUDITÁLÁSA
A KÖZPONT MINŐSÉGBIZTOSÍTÁSA. Szabvány Ismétlődő műszaki, gazdasági és más feladatok optimális megoldásának MINTÁJA.
Biztosítók irányítási rendszere
Holczinger Norbert aktuárius MNB - Biztosításfelügyeleti főosztály
Budapest, december 9. 1 A könyvvizsgálói közfelügyelet szerepe és a Közfelügyeleti Bizottság tevékenysége ben Fekete Imréné.
1 MER ellenőrzés ek egységes értelmezése Budapest, szeptember 5. Munkácsi Márta A Minőségellenőrzési Bizottság tagja.
ISO : 2011 – energiairányítási rendszer (EIR)
A MINŐSÉGIRÁNYÍTÁSI RENDSZER
9. hét: A munkahelyi egészségvédelem és
A MÁV-TRAKCIÓ Zrt. minőségirányítási rendszere
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Dr. Fekete István Integrált kockázatfelmérés informatikai támogatása: Szigma Integrisk Budapesti Corvinus Egyetem Balatonalmádi január
IRÁNYÍTÁSI RENDSZEREK TANÚSÍTÁSÁNAK TAPASZTALATAI
Kérelmezők AEO auditra való felkészítésének folyamata
Készítette: Szirmai István
Hazai vámhatósági tapasztalatok és legjobb gyakorlatok az AEO-kal való együtt működés terén Konopás András százados2014. június 24. NAV KAVIG Konopás András.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Az audit.
Risiko Management System bei maxon motor hungary
Az új minőségirányítási rendszer bevezetése
Környezeti elemek védelme II. Talajvédelem KÖRNYEZETGAZDÁLKODÁSI MÉRNÖKI MSc TERMÉSZETVÉDELMI MÉRNÖKI MSc Gazdálkodási modul Gazdaságtudományi ismeretek.
Mit láthatunk a honlapon? Az előző ISO 9001 szabvány szerint kiadott tanúsítványok (várhatóan) az új ISO 9001 szabvány kiadását követő 24 hónapig.
A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Stipkovits István ISZ auditor SGS Hungária Kft.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
„Információvédelem menedzselése” XIX. Szakmai Fórum Budapest, január 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
„Információvédelem menedzselése” XVI. Szakmai Fórum Budapest, május 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét Információbiztonsági.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
JAVASLAT A SZEGEDI TUDOMÁNYEGYETEM INTEGRÁLT MINŐSÉGFEJLESZTÉSI RENDSZER KIALAKÍTÁSÁRA Készítette: Dr. Csóka Ildikó – SZTE minőségügyi vezető Szöllősy.
BERENCSI Vezetési Tanácsadó és Szolgáltató Iroda – avagy, a Rendszer- és Terméktanúsítás kapcsolata BERENCSI BENCE ügyvezető, tanácsadó TERMÉK-
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher.
A MINŐSÉGIRÁNYÍTÁSI RENDSZERT TÁMOGATÓ SZOFTVEREK FELADATAI Adatbázisok Word dokumentumok PDF dokumentumok HTML dokumentumok Szövegszerkesztés Szövegszerkesztés.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Kockázatbecslés folyamata. 1./ Független könyvvizsgálói jelentés –KVOI: Független könyvvizsgálói jelentés 2./ A vezetés tisztessége –C14: Visszaélési.
Minőségirányítás és Akkreditáció Bőhm Zoltán Budapest,
Mintavétel.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése VIII. Szakmai Fórum
Szenzor Gazdaságmérnöki Kft.
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
Ide kerülhet az előadás címe
Információvédelem Menedzselése XX. Szakmai Fórum
EU-ETS hitelesítő szervezetek akkreditálása
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
SZÖM II. Fejlesztési szint folyamata 2. Az önértékelés végrehajtása 5
Megfelelőség értékelés a jogi szabályozása, terméktanúsítás kijelölés alapján HTE Informatikai terméktanúsítási szakosztály - DMS Labor április 25.
Előadás másolata:

Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

2 Miről lesz szó? Audit statisztika Előaudit SoA a területmeghatározásban BS – ISO 27001

3 Audit tapasztalatok kiértékelése 10 magyar audit jelentéseinek értékelése Nemmegfelelőségek (hibák, eltérések) kigyűjtése Audit fázisok  1. fázis – Dokumentációvizsgálat  Előaudit (opcionális)  2. fázis - Helyszíni audit

4 Nemmegfelelőségek - Dokumentáció vizsgálat Szabványtörzs Mintanagyság: 10

5 Nemmegfelelőségek - Dokumentáció vizsgálat " A" melléklet Mintanagyság: 10

6 Dokumentáció vizsgálat - példák ISMS kialakítás – 57%!  a: „Határozza meg az ISMS alkalmazási területét…”  d.1: „Azonosítsa az ISMS területén belüli vagyontárgyakat és ezeknek a tulajdonosait.„  g: „Megfelelő … óvintézkedéseket kell kiválasztani ezen szabvány “A” mellékletéből és a döntéseket a kockázatfelmérési és a kockázatkezelési folyamat következtetései alapján meg kell indokolni.„ A.8 Kommunikáció és működés – 24%  Nem csak elektronikus adathordozók vannak…

7 Dokumentáció vizsgálat - példák A.5 Vagyontárgyak osztályozása – 17%  Vagyonleltár (pl. laptopok, külsősök eszközei)  Szolgáltatások, személyek,… A.11 Üzletmenet folytonosság – 13%  Kritikus eszközökre terjedjen ki Belső audit – 11%  Integrált rendszerek  Auditorok felkészültsége Dokumentumok kezelése – 11%  Ugyanaz többször szabályozva  Azonosítás

8 Nemmegfelelőségek - Helyszíni audit Szabványtörzs Mintanagyság: 10

9 Nemmegfelelőségek - Helyszíni audit " A" melléklet Mintanagyság: 10

10 Helyszíni audit - példák ISMS kialakítás – 33%  Vagyonleltár (pl. laptopok, külsősök eszközei)  Szolgáltatások, személyek Vezetőségi átvizsgálás – 25%  Nincsenek határozatok, felelősök, határidők A.12 Megfelelés – 22%  Tipikus probléma a szoftver jogtisztaság

11 Következtetések Viszonylag sok nemmegfelelőség  Többségében tanúsító auditok a mintában  Fiatal szabvány  Kiterjedt követelményrendszer A rendszerépítés lépései gyakran elnagyoltak  Vagyonleltár  Kockázatelemzés Előaudit javasolt

12 Előaudit A tanúsítási folyamattól független Auditori konzultáció Lehetőség a rendszer tanúsítás előtti korrekciójára Tapasztalatot, önbizalmat ad Tipikusan 1 nap

13 Előaudit folyamata Terv Nyitóértekezlet Szabványkövetelmények teljesülésének ellenőrzése  Rendszerépítés dokumentumainak áttekintése  Személyes interjúk  Eszközök, folyamatok megfigyelése  Feljegyzések vizsgálata Záróértekezlet  Értékelés, észrevételek szóban  Írott jelentés nem készül

14 Alkalmazhatósági Nyilatkozat UKAS ajánlásra a SoA azonosítása a tanúsítási terület meghatározásában szerepel  Pl. „…ügyfél, szervezeti és személyes információ védelme az Alkalmazhatósági Nyilatkozat 1.0 verziójának megfelelően.” Célszerű önálló dokumentumként kiadni

15 BS –ISO áttanúsítás – jelenleg Követelmények változásának mértéke kicsi, de a megfelelést biztosítani kell A UKAS - DTI (Department of Trade and Industry) megállapodás  Az ISO re nem terjed ki  Akkreditált tanúsítás nem lehetséges  UKAS kezdeményezte a kiterjesztést BS :2005 akkreditált tanúsítványok már most kiadhatók (ez megfelel az ISO nek) Nem akkreditált ISO tanúsítvány kiadható (upgrade lehetőség)

16 BS –ISO áttanúsítás – mi várható? UKAS Transition Statement (még novemberben?)  Az áttanúsítás eljárása  Tanúsító testületek eszerint kell eljárjanak Tanúsított szervezeteknek várható áttérési időszak: 18 hónap (2002)  6 hónap a felkészülés  12 hónap az áttanúsítás  Ezután csak ISO lesz tanúsítható Felülvizsgálat (vagy előre hozott megújító audit) során

17 Köszönöm a figyelmüket! Stipkovits István információbiztonsági auditor 30/