A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3 A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3.rész: Az ellenőrzés Dr. Ködmön István oktatási és üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. i.kodmon@szenzor-gm.hu Tel: 06 – 20 - 398 4881
Milyen a jó irányítási rendszer? Információvédelem Menedzselése VI. Szakmai Fórum Milyen a jó irányítási rendszer? 2003. november 19. jó gyakorlaton alapul megtervezett, üzleti célokkal összehangolt bevezetett dokumentált (előírások, bizonyítékok) felügyelt „csiszolt” evolúció vagy revolúció stb. Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
A PDCA ELV 2003. november 19. Act Plan Do Check
PDCA a működés középpontjában Információvédelem Menedzselése VI. Szakmai Fórum PDCA a működés középpontjában 2003. november 19. Szervezeti hierarchia Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
ELLENŐRZÉS EGY IRÁNYÍTÁSI RENDSZERBEN 2003. november 19. Rendszer Vezetőségi átvizsgálás Belső felülvizsgálatok Folyamatok figyelemmel kísérése Termékellenőrzés Folyamat Termék Tevékenység, művelet
ÚTMUTATÓ A SZABVÁNY HASZNÁLATÁHOZ 2003. november 19. BS 7799-2:2002 „B” MELLÉKLET ÚTMUTATÓ A SZABVÁNY HASZNÁLATÁHOZ
Információvédelem Menedzselése VI. Szakmai Fórum A TERVEZÉS - ismétlés 2003. november 19. Bevezetés Cél: ISMS alkalmazási területét helyesen határozták meg minden kockázatot azonosítottak és megbecsültek kockázatok kezelésének tervét kialakították A tervezési fázis minden szakasza dokumentált legyen Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
Információvédelem Menedzselése VI. Szakmai Fórum A TERVEZÉS - ismétlés 2003. november 19. Információvédelmi politika Az ISMS alkalmazási területe Kockázatok azonosítása és becslése Kockázatkezelési terv Dr. Ködmön István - A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 1.rész: A Tervezés (Plan)
A VÉGREHAJTÁS – ismétlés 2003. november 19. Bevezetés Cél: megvalósítsa a kiválasztott óvintézkedéseket segítse azt a tevékenységet, amely szükséges az információvédelmi kockázatok kezeléséhez, összhangban azokkal a döntésekkel, amelyeket a Tervezés fázisban hoztak
A VÉGREHAJTÁS – ismétlés 2003. november 19. Erőforrások, képzés és tudatosság Kockázatkezelés
B.4. AZ ELLENŐRZÉS B.4.1. Bevezetés Cél: 2003. november 19. B.4.1. Bevezetés Cél: megbizonyosodni, hogy az óvintézkedések eredményesen és tervezett módon működnek szükséges helyesbítő intézkedéseket meg kell hozni az ISMS dokumentációjának konzisztenciáját ellenőrizni a változtatás meg nem tételének hatása azt eredményezheti, hogy a szervezetet egy el nem fogadható kockázatnak tesszük ki.
B.4. AZ ELLENŐRZÉS B.4.1. Bevezetés 2003. november 19. B.4.1. Bevezetés Ellenőrzés alatt meg lehet állapítani: a védelem aktuális állapota kielégítő-e változó technológia hatásait üzleti követelmények változása új fenyegetéseket ezáltal biztosítva a jövőbeni fejlődést Ellenőrzés eredménye adatforrás
B.4. AZ ELLENŐRZÉS B.4.2. Rutinellenőrzés 2003. november 19. B.4.2. Rutinellenőrzés Normál üzleti folyamat részének kell tekinteni A nem szándékos változtatások, változások hatásának ellenőrzése Szervezetközi kapcsolatok
B.4.3. Önbiztosító eljárások B.4. AZ ELLENŐRZÉS 2003. november 19. B.4.3. Önbiztosító eljárások Bármely hibát, hiányosságot azonnal jelez Pl. egy hálózati hibajelzés riasztja a felelős személyt ha nem oldja meg a problémát és nem hárítja el, akkor a rendszer automatikusan jelez a felsőbb vezetéshez
B.4. AZ ELLENŐRZÉS B.4.4. Tanulás másoktól 2003. november 19. B.4.4. Tanulás másoktól Más szervezetek mely területeken eredményesebbek Ez vonatkozhat műszaki szoftverekre irányítási rendszerre Lehetőségek konferenciák, szakmai egyesületek, felhasználói csoportok, publikációk
B.4. AZ ELLENŐRZÉS B.4.5. Az ISMS belső auditja 2003. november 19. B.4.5. Az ISMS belső auditja Rendszeresen át kell vizsgálni a rendszert A vezetőségnek bizonyítékot kell szolgáltatni
B.4.6. Vezetőségi átvizsgálás B.4. AZ ELLENŐRZÉS 2003. november 19. B.4.6. Vezetőségi átvizsgálás Évente legalább egyszer Fókuszban a jelenlegi védelmi állapot megfelelő-e változó technológiák változó üzleti követelmények fenyegetések gyenge pontok - a rendszer továbbfejlesztése érdekében
B.4. AZ ELLENŐRZÉS B.4.7. Trendelemzés 2003. november 19. B.4.7. Trendelemzés Azonosítja a fejlesztendő területeket A folyamatos fejlesztés ciklus része kell, hogy legyen
B.4. AZ ELLENŐRZÉS 2003. november 19. Evolúció? Revolúció?
FOLYTATÁS KÖVETKEZIK 4.rész: A beavatkozás (Act) 2004. január 21. 2003. november 19. 4.rész: A beavatkozás (Act) 2004. január 21. IX. Információvédelem menedzselése szakmai fórum