Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS :1999-től ISO/IEC 27001:2005-ig) Potóczky András Pénzjegynyomda Zrt., számítástechnikai o.v.
Mi lehet a cél? a szervezet kulcsfolyamatainak zavartalan, minimális kockázatú működése átlátható üzleti és információs folyamatok rendszerben működő információ bázis az információ rendelkezésre állásának, sértetlenségének, bizalmasságának biztosítása fizikai biztonság, humán erőforrás biztonsága termék, szolgáltatás biztonsága tulajdonos és külső partnerek követelményeinek való megfelelés
Mit tegyünk ehhez? a szervezet legfelső vezetőinek személyes elkötelezettsége személyi és anyagi feltételek megteremtése üzleti folyamatok felmérése meglévő szabályzások, dokumentációk megismerése kockázatelemzés kockázatok elviselhető szintre történő csökkentése szabvány szerinti, auditálható rendszer kialakítása, működtetése és annak igazolása
Miért a BS t választottuk? rendszerszintű szemlélet bevezethetőségi nyilatkozat nem csak az informatikára korlátozódik nem ajánlás, szabvány, amely szerint auditálni lehet a világ 74 országában 5206 szervezet ezt már felismerte legkisebb a néhány fős kft, legnagyobb a The Word Bank Group, szerintem… külsős partnerek felé történő egyértelmű, gyors dokumentálás
Mit engedett meg a BS ? bármely eddig megszokott eszköz, munkamódszer, bevált gyakorlat továbbra is alkalmazható a szabvány előírásainál lehet többet megszervezni és működtetni meglévő módszerek beintegrálása a BS szerint kialakított Információ biztonsági irányítási rendszerbe nem engedi meg a szabvány leszűkítését csak az informatikára!
Mit követelnek meg az auditorok? a teljes információ biztonsági rendszerre történő kiterjedést, amelynek csak egy része az informatika a felső vezető elkötelezettséget független, kellő hatalommal bíró irányítást a szabvány minden pontjának való megfelelést, illetve kizárást kellőképpen felkészített munkatársakat több hónapos dokumentált működési gyakorlatot belső auditorok dokumentált munkáját stb…
Mi a plusz az ISO/IEC 27001:2005 előírásaiban? Külső munkavégzők felügyeletének szigorítása A hatékonyság mérésére mutatószámok bevezetése Naplóesemények figyelésének szigorítása, dokumentálása, archiválása Az eddigi ésszerű plusszok megjelenése a szabályzásban.
Mi jelenthet problémát? a munkatársak és az új belépők tudatlansága a felső vezetők hatalommal való visszaélése a munkatársak fásultsága, a fegyelem lazulása az új folyamatok, illetve a meglévők változásának figyelmen kívül hagyása a fejlődés elmaradása a kockázatok alábecsülése
Hogyan fejlődjünk tovább? kísérjük figyelemmel a szabvány változásait integráljuk egybe a minőségirányítást, a környezetvédelmi irányítást és az információ biztonsági irányítási rendszert, az egyéb tanúsításokat és a munkavédelmet is alakítsunk ki közös eljárásokat, munkautasításokat, véletlenül se szervezzük keresztbe a többi rendszert alakítsunk ki a rendszereket közös szemléletben irányító Integrált Vállalat Irányítási Tanácsot az auditorokat és a munkatársakat rendszeresen képezzük tovább, külön figyelmet fordítva a vezetőkre
Mit tett ebből a Pénzjegynyomda Zrt? nyarán megalakította az Integrált Vállalat Irányítási Tanácsot, amely azóta is folyamatosan működik nyarán újra auditáltatta BS :1999 szerinti Információ biztonsági irányítási rendszerét és megkapta a BS :2002 szerinti tanúsítását nyarára átállította rendszerét az ISO/IEC 27001:2005-ös szabvány előírásainak megfelelően és ezt a tanúsítást is megszerezte.
Mik egy működő Információ Biztonsági Irányítási Rendszerben a fellazulás jelei? Az elkényelmesedés A pozíció harcok A felelősségre vonás hiánya A mindentudás hiú ábrándja A szabályzás és a mindennapos gyakorlat egymástól történő eltávolodása
Hová vezet, ha ezt időben nem korrigáljuk? A belső auditok nem megfelelőségei A külső auditok nem megfelelőségei A tanúsítás megvonása Külső auditor és az őt ellenőrző auditok összefüggése A minősítés elvesztésének hatásai
Meddig lehet a rendszert szigorítani és lehet-e túlszabályozni? Mit ír elő a szabvány? Mit vár az auditor? Miért nem vesszük lazábbra? Növekednek-e napi feladataink? Mit tesz Általános János, ha összecsapnak a feje felett a hullámok? A szabályzás és a napi gyakorlat egymásra gyakorolt hatásai.
Kérdések és válaszok mobil: Köszönöm megtisztelő figyelmüket!