Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. Az ISO 27000 szabványcsalád elemei: Információbiztonsági kockázatmenedzsment ISO 27005 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft. www.szenzor-gm.hu www.szenzor-gm.hu
Szabványcsalád 27001 Követelmények 27000 Áttekintés és szótár Útmutatók 27002 Code practice 27003 Bevezetés Bizt. területek, ágazatok 27004 Mérés 27005 Kockázat mgmt 27035 Incidens mgmt 27031 Folytonosság 27033-x Hálózat bizt 27034-x Alkalmazás bizt. 27011 for telecom 27799 ISM eü-ben Auditorok, auditálás 27006 Követelmények ISMS tanúsítóknak 27007 ISMS auditálás útmutató 27008 IS kontroll audit útmutató
A szabvány címe ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management Információtechnológia – Biztonságtechnikák – Információbiztonsági kockázatmenedzsment
27005 tartalomjegyzék 5 Háttér 6 IS kockázatmenedzsment áttekintése 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Szabvány struktúrája 5 Háttér 6 IS kockázatmenedzsment áttekintése 7-12. IS kockázatmenedzsment folyamatok Mellékletek: útmutatók, példák
IS kockázatmenedzsment folyamatok 11. Kockázat kommunikációja és konzultációja 12. Kockázat figyelemmel kísérés és átvizsgálás 7. Környezet kialakítás 8. Kockázatfelmérés Kockázat azonosítás Kockázat elemzés Kockázat értékelés Döntési pont 1 Felmérés kielégítő? N I 9. Kockázatkezelés Döntési pont 2 Kezelés kielégítő? N I 10. Kockázat elfogadás az első vagy soronkövetkező iteráció vége
7. Környezet kialakítás input, akció, bevezetési útmutató, output alap kritériumok kockázatmenedzsment megközelítés, kockázat értékelési kritérium, hatás kritérium, kockázat elfogadási kritérium alkalmazási terület, határok IS kockázatmenedzsment szervezet A. mell.: Alkalmazási terület és határok meghatározása szervezet tanulmányozása szervezetre vonatkozó kényszerek listája jogi és szabályozási hivatkozások alkalmazási területre vonatkozó kényszerek
8. IS kockázatfelmérés IS kockázatfelmérés általános leírása kockázat azonosítás vagyonelemek, fenyegetések, létező kontrollok, sérülékenységek, következmények azonosítása kockázat elemzés módszertanok, következmények, incidens valószínűség felmérés, kockázati szint megállapítás kockázat értékelés kockázati szint és értékelési kritériumok összevetése
Kockázatkezelési lehetőségek 9 IS kockázatkezelés felmérés eredménye felmérés kielégítő Kockázatkezelés Kockázatkezelési lehetőségek K. módosítás K. fenntartás K. elkerülés K. megosztás maradvány-kockázat kezelés kielégítő
További mellékletek B. vagyonelemek azonosítása és értékelése és hatás felmérés vagyonelem példák (elsődleges, támogató vagyonelemek azonosítás) vagyonelem értékelés (kritérium, közös alap kialakítás, skála, függőségek) hatás (közvetlen, közvetett) felmérés C. tipikus fenyegetések példák (külön blokkban kiemelve az emberi fenyegetések) D. sérülékenységek, sérülékenység felmérés módszerei E. IS kockázatfelmérési megközelítések magas szintű, részletes, illetve 3 számítási példa F. kockázat módosítás kényszerei G. meghatározások és összehasonlításuk
„Változással a sikerért” Elérhetőség Móricz Pál Mobil: 20-931-0584 p.moricz@szenzor-gm.hu Szenzor Gazdaságmérnöki Kft. 1087 Budapest, Könyves Kálmán körút 76. Telefon: (+36)-1-331-5523 Fax: (+36)-1-311-9636 E-mail: szenzor@szenzor-gm.hu Honlap: www.szenzor-gm.hu „Változással a sikerért”