Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS 7799-2:1999-től ISO/IEC 27001:2005-ig) Potóczky András.

Slides:



Advertisements
Hasonló előadás
MINŐSÉGMENEDZSMENT 11. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK
Advertisements

Laboratóriumi munka szerepe a minőségbiztosításban
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága
Humán rendszerek, közszféra
AZ INFORMATIKAI BIZTONSÁG
A MIBÉTS szerinti értékelőlaborok
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
KIEMELT INFRASTUKTÚRA- NAGYBIZTONSÁGÚ ÜZEM- VÉDELME.
A munkavállalók munkavédelmi érdekképviseleti lehetőségei
DOKUMENTUMKEZELÉS.
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
MinőségIrányítási Rendszer (MIR) elektronikus dokumentációjához
Minőségirányítás a felsőoktatásban
Előadó: Bellovicz Gyula igazságügyi szakértő
Előnyök és alkalmazási területek
A KÖZPONT MINŐSÉGBIZTOSÍTÁSA. Szabvány Ismétlődő műszaki, gazdasági és más feladatok optimális megoldásának MINTÁJA.
Microsoft Üzleti Megoldások Konferencia IT biztonság menedzsment a gyakorlatban (döntéshozóknak) Kovács Balázs META Group Stratis.
A nem OEP finanszírozott bevételek szervezési rendje és megfelelősége a törvényi előírásoknak Béres György gazdasági igazgató Vezérigazgató Találkozót.
MASTERPLAST GROUP Nemzetközi terjeszkedés lehetőségei és veszélyei.
Szoftverminőség biztosítása A minőségirányítási kézikönyv
Szoftverminőség biztosítása
képzés Közszolgálati információbiztonsági felelős Muha Lajos PhD, CISM tanszékvezető főiskolai tanár ZMNE BJKMK IHI Informatikai Tanszék.
ISO : 2011 – energiairányítási rendszer (EIR)
Ipari középvállalat projektvezetőjének tapasztalatai az integrált vállalatirányítási szoftver bevezetési szakaszában Projektmenedzsment Fórum A kis-
A MINŐSÉGIRÁNYÍTÁSI RENDSZER
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
7. hét: Az EN ISO 14001:2005 KIR szabvány
9. hét: A munkahelyi egészségvédelem és
3. hét: az ISO 9001:2008-es szabványnak megfelelő
Állami és önkormányzati vállalatok átláthatósága - a FŐTÁV Zrt. esetében Budapest, április 28.
A MÁV-TRAKCIÓ Zrt. minőségirányítási rendszere
XI. abas vevőfórum, Balatonlelle június 6. – 8. Üdvözlöm Önöket ! Welcome in Hungary !
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
III. SPSS Adatelemzési Konferencia Az adatbányászati piac trendjei Hogyan használjuk ki lehetőségeinket? Szirmai Ákos Partner, szakmai igazgató április.
Vállalkozások a minőségszabályozás útján – az önkéntes minőségtanúsítás hazai és nemzetközi versenyelőnyei TÜV Rheinland - nemzetközi tanúsítás.
1 Hogyan tovább minőségügy? XIV. Magyar Minőség Hét november 07.
MUNKAVÉDELEM 2006/2007. tanév II. félév MEBIR. Munkahelyi egészségvédelem és biztonság MEB Feltételek, és tényezők, amelyek hatással vannak a munkavállalók,
Az ISO 9001 szabvány szerepe a felszámolói tevékenységben.
Microsoft Üzleti Megoldások Konferencia Az informatikai biztonság alapfogalmai Kürti Tamás KÜRT Computer Rendszerház Rt.
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Integrált Irányítási Rendszer
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
„Információvédelem menedzselése” XIX. Szakmai Fórum Budapest, január 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
PTE PMMIK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 5. ELŐADÁS.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
BERENCSI Vezetési Tanácsadó és Szolgáltató Iroda – avagy, a Rendszer- és Terméktanúsítás kapcsolata BERENCSI BENCE ügyvezető, tanácsadó TERMÉK-
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
A MINŐSÉGIRÁNYÍTÁSI RENDSZERT TÁMOGATÓ SZOFTVEREK FELADATAI Adatbázisok Word dokumentumok PDF dokumentumok HTML dokumentumok Szövegszerkesztés Szövegszerkesztés.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Akkreditált IT terméktanúsítás - a NAT szerepe a tanúsításban
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Az ISO 9001 jelenlegi helyzete
Szenzor Gazdaságmérnöki Kft.
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
3. hét: az ISO 9001:2008-es szabványnak megfelelő
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
A Reklámajándék.hu Kft. az IGC Global Promotions hazai képviselője
Egészségügyi ellátás tárgyi és humán erőforrás feltételeinek szabályozása.
Előadás másolata:

Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS :1999-től ISO/IEC 27001:2005-ig) Potóczky András Pénzjegynyomda Zrt., számítástechnikai o.v.

Mi lehet a cél? a szervezet kulcsfolyamatainak zavartalan, minimális kockázatú működése átlátható üzleti és információs folyamatok rendszerben működő információ bázis az információ rendelkezésre állásának, sértetlenségének, bizalmasságának biztosítása fizikai biztonság, humán erőforrás biztonsága termék, szolgáltatás biztonsága tulajdonos és külső partnerek követelményeinek való megfelelés

Mit tegyünk ehhez? a szervezet legfelső vezetőinek személyes elkötelezettsége személyi és anyagi feltételek megteremtése üzleti folyamatok felmérése meglévő szabályzások, dokumentációk megismerése kockázatelemzés kockázatok elviselhető szintre történő csökkentése szabvány szerinti, auditálható rendszer kialakítása, működtetése és annak igazolása

Miért a BS t választottuk? rendszerszintű szemlélet bevezethetőségi nyilatkozat nem csak az informatikára korlátozódik nem ajánlás, szabvány, amely szerint auditálni lehet a világ 74 országában 5206 szervezet ezt már felismerte legkisebb a néhány fős kft, legnagyobb a The Word Bank Group, szerintem… külsős partnerek felé történő egyértelmű, gyors dokumentálás

Mit engedett meg a BS ? bármely eddig megszokott eszköz, munkamódszer, bevált gyakorlat továbbra is alkalmazható a szabvány előírásainál lehet többet megszervezni és működtetni meglévő módszerek beintegrálása a BS szerint kialakított Információ biztonsági irányítási rendszerbe nem engedi meg a szabvány leszűkítését csak az informatikára!

Mit követelnek meg az auditorok? a teljes információ biztonsági rendszerre történő kiterjedést, amelynek csak egy része az informatika a felső vezető elkötelezettséget független, kellő hatalommal bíró irányítást a szabvány minden pontjának való megfelelést, illetve kizárást kellőképpen felkészített munkatársakat több hónapos dokumentált működési gyakorlatot belső auditorok dokumentált munkáját stb…

Mi a plusz az ISO/IEC 27001:2005 előírásaiban? Külső munkavégzők felügyeletének szigorítása A hatékonyság mérésére mutatószámok bevezetése Naplóesemények figyelésének szigorítása, dokumentálása, archiválása Az eddigi ésszerű plusszok megjelenése a szabályzásban.

Mi jelenthet problémát? a munkatársak és az új belépők tudatlansága a felső vezetők hatalommal való visszaélése a munkatársak fásultsága, a fegyelem lazulása az új folyamatok, illetve a meglévők változásának figyelmen kívül hagyása a fejlődés elmaradása a kockázatok alábecsülése

Hogyan fejlődjünk tovább? kísérjük figyelemmel a szabvány változásait integráljuk egybe a minőségirányítást, a környezetvédelmi irányítást és az információ biztonsági irányítási rendszert, az egyéb tanúsításokat és a munkavédelmet is alakítsunk ki közös eljárásokat, munkautasításokat, véletlenül se szervezzük keresztbe a többi rendszert alakítsunk ki a rendszereket közös szemléletben irányító Integrált Vállalat Irányítási Tanácsot az auditorokat és a munkatársakat rendszeresen képezzük tovább, külön figyelmet fordítva a vezetőkre

Mit tett ebből a Pénzjegynyomda Zrt? nyarán megalakította az Integrált Vállalat Irányítási Tanácsot, amely azóta is folyamatosan működik nyarán újra auditáltatta BS :1999 szerinti Információ biztonsági irányítási rendszerét és megkapta a BS :2002 szerinti tanúsítását nyarára átállította rendszerét az ISO/IEC 27001:2005-ös szabvány előírásainak megfelelően és ezt a tanúsítást is megszerezte.

Mik egy működő Információ Biztonsági Irányítási Rendszerben a fellazulás jelei? Az elkényelmesedés A pozíció harcok A felelősségre vonás hiánya A mindentudás hiú ábrándja A szabályzás és a mindennapos gyakorlat egymástól történő eltávolodása

Hová vezet, ha ezt időben nem korrigáljuk? A belső auditok nem megfelelőségei A külső auditok nem megfelelőségei A tanúsítás megvonása Külső auditor és az őt ellenőrző auditok összefüggése A minősítés elvesztésének hatásai

Meddig lehet a rendszert szigorítani és lehet-e túlszabályozni? Mit ír elő a szabvány? Mit vár az auditor? Miért nem vesszük lazábbra? Növekednek-e napi feladataink? Mit tesz Általános János, ha összecsapnak a feje felett a hullámok? A szabályzás és a napi gyakorlat egymásra gyakorolt hatásai.

Kérdések és válaszok mobil: Köszönöm megtisztelő figyelmüket!