A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165.

Slides:



Advertisements
Hasonló előadás
Laboratóriumi munka szerepe a minőségbiztosításban
Advertisements

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága
Humán rendszerek, közszféra
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása
A MIBÉTS szerinti értékelőlaborok
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
A munkavállalók munkavédelmi érdekképviseleti lehetőségei
DOKUMENTUMKEZELÉS.
Ipari középvállalat projektvezetőjének tapasztalatai az integrált vállalatirányítási szoftver bevezetési szakaszában Projektmenedzsment Fórum A kis-
A MINŐSÉGIRÁNYÍTÁSI RENDSZER
Projektek monitorozása. Elvek és módszerek
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Munkahelyi egészség és biztonság
Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS :1999-től ISO/IEC 27001:2005-ig) Potóczky András.
Vállalkozások a minőségszabályozás útján – az önkéntes minőségtanúsítás hazai és nemzetközi versenyelőnyei TÜV Rheinland - nemzetközi tanúsítás.
Kulturális Projekt Ciklus Menedzsment A kultúra gazdaságtana
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
A közszolgáltatásokra kifejlesztett általános együttműködési modell GYÁL VÁROS ÖNKORMÁNYZATÁNÁL Gyál, szeptember 30.
Az önkormányzati cégek és önkormányzat közötti szerződéses kapcsolatok vizsgálata és az önkormányzati feladatellátást szabályozó külső szerződések rendszere.
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Környezeti elemek védelme II. Talajvédelem KÖRNYEZETGAZDÁLKODÁSI MÉRNÖKI MSc TERMÉSZETVÉDELMI MÉRNÖKI MSc Gazdálkodási modul Gazdaságtudományi ismeretek.
Mit láthatunk a honlapon? Az előző ISO 9001 szabvány szerint kiadott tanúsítványok (várhatóan) az új ISO 9001 szabvány kiadását követő 24 hónapig.
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Stipkovits István ISZ auditor SGS Hungária Kft.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
avagy a zártság dilemmái
„Információvédelem menedzselése V. Szakmai Fórum Budapest, március 19. Aktualitások az információvédelemben.
Aktualitások az információvédelem területén Gasparetz András Hétpecsét Információbiztonsági Egyesület, elnök MagiCom Kft. ügyvezető igazgató, címzetes.
„Információvédelem menedzselése” XIX. Szakmai Fórum Budapest, január 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
„Információvédelem menedzselése” XVI. Szakmai Fórum Budapest, május 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét Információbiztonsági.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
Pályázat audit. Válság Válság Bevétel kiesés Dráguló hitelek Beruházás finanszírozási nehézségek Aktualitás.
„Információvédelem menedzselése” XI. Szakmai Fórum Budapest, május 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató
JAVASLAT A SZEGEDI TUDOMÁNYEGYETEM INTEGRÁLT MINŐSÉGFEJLESZTÉSI RENDSZER KIALAKÍTÁSÁRA Készítette: Dr. Csóka Ildikó – SZTE minőségügyi vezető Szöllősy.
Az üzleti DM és az információbiztonság A BS7799 bevezetési tapasztalatai a Drescher Magyarországi Kft.-nél Puskás Zsolt Péter informatikai igazgató Drescher.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
FÜGGETLENSÉG Készítette: Szabó Gabriella. Nemzetközi szabályozás A Könyvvizsgálók Nemzetközi Szövetsége (IFAC) által kiadott Könyvvizsgálói Etikai Kódex.
Központi koordináció feladatai a as programozási időszakban.
Minőségirányítás és Akkreditáció Bőhm Zoltán Budapest,
A könyvvizsgálók tevékenységének értékelése az MNB ellenőrzések során, együttműködés a könyvvizsgálókkal Vámosi Anikó főosztályvezető Módszertani igazgatóság.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
ISO/IEC Software Asset Management szabvány
BS es Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatai Potóczky András Pénzjegynyomda Rt., számítástechnikai.
Információvédelem Menedzselése XX. Szakmai Fórum
A MINISZTERELNÖKSÉG ELLENŐRZÉSI TAPASZTALATAI MÁTÉ GERGŐ (KFF)
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése VIII. Szakmai Fórum
Szenzor Gazdaságmérnöki Kft.
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
Őszintén a dokumentumkezelésről
TŰZÁLLÓ KÁBELRENDSZEREK TANÚSÍTÁSA
Megfelelőség értékelés a jogi szabályozása, terméktanúsítás kijelölés alapján HTE Informatikai terméktanúsítási szakosztály - DMS Labor április 25.
Előadás másolata:

A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/ t 30/ SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

ban alapították - székhely Genfben alkalmazott, 1000 iroda, 365 laboratórium - több mint 140 országban függetlenség, feddhetetlenség, szakértelem vezető pozíció a rendszertanúsítások területén (11%) SGS Hungária Kft ben alapították piac vezető ELLENŐRZÉS, VIZSGÁLAT, TANÚSÍTÁS

3 Az SGS Hungária Kft. BS szabvány szerint tanúsított partnerei Pénzügyi Szervezetek Állami Felügyelete Magyar Vállalkozásfejlesztési Kht. Állami Közúti Műszaki és Információs Kht. Földmérési és Távérzékelési Intézet Agrár-Vállalkozási Hitelgarancia Alapítvány Noreg Információvédelmi Kft. Cardinal Számítástechnikai Kft. M.C. Direct Kft. Andex Nyomda Kft.

4 Miről lesz szó? A BS és az ISO szabványok célja Pályázati lehetőség A BS tanúsítás tipikus okai A tanúsítási folyamat szereplői A BS szerinti tanúsítás folyamata Sikertényezők és buktatók - auditori szemmel Audit tapasztalatok

5 A BS és az ISO szabványok célja Mindkettő az Információbiztonsági Irányítási Rendszerre vonatkozik: Management szabványok, analógok az ISO 9001:2000-el.

6 Pályázati lehetőség KIS- ÉS KÖZÉPVÁLLALKOZÁSOK RÉSZÉRE KORSZERŰ MENEDZSMENT RENDSZEREK ÉS TECHNIKÁK TÁMOGATÁSA (GVOP ) Gazdasági és Közlekedési Minisztérium Irányítási rendszer bevezetése és tanúsíttatása Végleges juttatás, 50% Pályázat benyújtásának határideje:

7 A BS tanúsítás tipikus okai Növelni a kezelt adatok vagy a rendelkezésre állás biztonságát Marketing eszköz (nemzetközileg elismert) Állami támogatás Tanulni lehet belőle Megkülönböztet a versenytársaktól

8 A tanúsítási folyamat szereplői Nemzeti Akkreditációs Testületek NATSASUKAS TÜV R.DNVSGS Tanúsító Testületek Cég1Cég2 Cég3 Tanúsítandó szervezetek ISO 9001BS ISO 9001BS ISO 14001

9 A tanúsítás folyamata Analóg az ISO 9001-es tanúsítási folyamattal: Megfelelőség kialakítása Tanúsító audit (akkreditált)  Kapcsolatfelvétel - a rendszer hatókörének, kiterjedésének egyeztetése - külön titokvédelmi megállapodások rögzítése  1. fázis – Dokumentációvizsgálat  Előaudit (opcionális)  2. fázis - Tanúsító audit Felülvizsgálatok  6 vagy 12 havonta  Megújítás 3 évente

10 A tanúsítás folyamata - tanúsító audit Célja: Az információbiztonsági rendszer gyakorlati működésének vizsgálata, minősítés Megfelel-e a rendszer: - a BS szabványnak - a rendszerdokumentációnak - a törvényi és szerződéses előírásoknak A rendszerműködés bizonyítékainak keresése - hatásos - a politikában szereplő célokat támogatja Eredménye: Tanúsítási döntés Tanúsítvány

11 A tanúsítás folyamata - felülvizsgálatok Félévente vagy évente Hároméves ciklus - Megújítás Mintavételes vizsgálat Kiemelt témák: - a kockázatelemzés felülvizsgálata - az Alkalmazhatósági Nyilatkozat felülvizsgálata - az információbiztonsági rendszer fejlesztése - a biztonsági események feldolgozása, értékelése - hasonló esetek megismétlődésének megelőzése

12 A rendszerbevezetés néhány sikertényezője Az információbiztonsági politika és az üzleti/szervezeti célok összhangja Egyértelmű vezetői elkötelezettség és támogatás A biztonsági követelmények alapos megértése Megfelelő szintű, alapos kockázat-elemzés és kezelés Az információbiztonsággal kapcsolatos tudatosság elmélyítése minden vezetőnél és dolgozónál (kultúra) Megfelelő felügyeleti és eseménykezelési rendszerek

13 A rendszerbevezetés néhány buktatója A kockázatelemzés a legfontosabb és legnagyobb feladat Értelmes célokat kell kitűzni (nem kell túl ambíciózusnak lenni) Fel kell állítani az intézkedések prioritási sorrendjét Meg kell vizsgálni a tervezett intézkedések illeszkedését a vállalati kultúrához Óvintézkedések összhangja: fizikai és technikai védelem mellett adminisztratív intézkedések is Megfelelően képzett információbiztonsági felelős, akihez a munkatársak fordulhatnak

14 BS szerinti auditok tapasztalatai I. Fontos a kizárások világos indoklása az Alkalmazhatósági Nyilatkozatban, de: fölösleges szabályozásokat ne építsünk a rendszerbe. A felmért kockázatok és a hozott intézkedések összhangja: A kockázatokhoz kell megtalálni az intézkedéseket, és nem fordítva. - Főleg szemléletbeli különbség Az elektronikus információk és támogató eszközök mellett ne feledkezzünk meg az egyéb típusú információkról sem (iratok, irattár, üzenetrögzítők, videofelvételek)

15 BS szerinti auditok tapasztalatai II. Hasznos, ha a szabályzatok nem szabványpontok szerint épülnek fel, hanem fő szerepkörök, funkciók, folyamatok szerint. (pl. külön Felhasználói Információbiztonsági Szabályzat) Az üzletmenet-folytonossági terv: - több mint felelősök, elvek rögzítése: meg kell vizsgálni a rendelkezésre-nem-állás lehetséges eseteit - szükséges teendők a felkészülési és a beavatkozási időszakban - ellenőrzés, tesztelés szükséges

16 Integrált audit Az integrált irányítási rendszereknél mindegyik szabvány (BS , ISO 9001) arányos figyelemben részesüljön. A párhuzamos követelményeket mindkét szabvány előírásai szerint meg kell valósítani (pl. belső audit) Sok esetben két külön audit, két külön jelentés

17 Köszönjük a figyelmüket! Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/ t 30/

Visszajelzés: Adatvédelmi irányelvek Visszajelzés
Projectumról: SlidePlayer Felhasználási feltételek

© 2024 SlidePlayer.hu Inc. All rights reserved.