BS 7799-2-es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai o.v.
Mi lehet a cél? a szervezet kulcsfolyamatainak zavartalan, minimális kockázatú működése átlátható üzleti és információs folyamatok rendszerben működő információ bázis az információ rendelkezésre állásának, sértetlenségének, bizalmasságának biztosítása fizikai biztonság, humán erőforrás biztonsága termék, szolgáltatás biztonsága külső partnerek követelményeinek való megfelelés
Mit tegyünk ehhez? a szervezet legfelső vezetőinek személyes elkötelezettsége személyi és anyagi feltételek megteremtése üzleti folyamatok felmérése meglévő szabályzások, dokumentációk megismerése kockázatelemzés kockázatok elviselhető szintre történő csökkentése szabvány szerint auditálható rendszer kialakítása, működtetése és annak igazolása
WWW.XISEC.COM
Miért a BS 7799-2? rendszerszintű szemlélet bevezethetőségi nyilatkozat nem csak az informatikára korlátozódik nem ajánlás, szabvány, amely szerint auditálni lehet a világ 43 országában 1021 szervezet ezt már felismerte legkisebb a néhány fős kft, legnagyobb a Federal Reserve Bank of New York, szerintem… külsős parnerek felé történő egyértelmű, gyors dokumentálás
Mit enged meg a BS 7799-2? bármely eddig megszokott eszköz, munkamódszer, bevált gyakorlat továbbra is alkalmazható a szabvány előírásainál lehet többet megszervezni és működtetni meglévő módszerek beintegrálása a BS 7799-2 szerint kialakított Információ biztonsági irányítási rendszerbe nem engedi meg a szabvány leszűkítését csak az informatikára!
Mit követelnek meg az auditorok? a teljes információ biztonsági rendszerre történő kiterjedést, amelynek csak egy része az informatika a felső vezető elkötelezettséget független, kellő hatalommal bíró irányítást a szabvány minden pontjának való megfelelést, illetve kizárást kellőképpen felkészített munkatársakat több hónapos dokumentált működési gyakorlatot belső auditorok dokumentált munkáját stb…
Mi jelenthet problémát? a munkatársak és az új belépők tudatlansága a felső vezetők hatalommal való visszaélése a munkatársak fásultsága, a fegyelem lazulása az új folyamatok, illetve a meglévők változásának figyelmen kívül hagyása a fejlődés elmaradása a kockázatok alábecsülése
Hogyan fejlődjünk tovább? kísérjük figyelemmel a szabvány változásait integráljuk egybe a minőségirányítást, a környezetvédelmi irányítást és az információ biztonsági irányítási rendszert és a munkavédelmet is alakítsunk ki közös eljárásokat, munkautasításokat, véletlenül se szervezzük keresztbe a többi rendszert alakítsunk ki a rendszereket közös szemléletben irányító Integrált vállalat irányítási tanácsot az auditorokat és a munkatársakat rendszeresen képezzük tovább, külön figyelmet fordítva a vezetőkre
Mit tett ebből a Pénzjegynyomda Rt? 2003. nyarán megalakította az Integrált vállalat irányítási tanácsot, amely azóta is folyamatosan működik 2004. nyarán újra auditáltatta BS 7799-2:1999 szerinti Információ biztonsági irányítási rendszerét és megkapta a BS 7799-2:2002 szerinti tanúsítását a napi gyakorlatból adódó ismeretek és a rendszeres belső auditori vizsgálatok jelentései alapján rendszeresen fejleszti komplex rendszerét, sikeresen alkalmazva a PDCA módszerét.
Mit tegyünk, ha az elhangzottakról többet is szeretnénk megtudni? keressük Potóczky Andrást a következő elérhetőségek segítségével: mobil: 06-30-311-8818 e-mail: potoczky.andras@pjrt.hu Köszönöm megtisztelő figyelmüket!