Az ISO 27000 szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

Slides:



Advertisements
Hasonló előadás
Magyarországi cloud computing megoldások, belépési területek a hazai kis- és közepes méretű vállalatok számára Riba István.
Advertisements

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
MINŐSÉGMENEDZSMENT 5. előadás PTE PMMK MÉRNÖKI MENEDZSMENT TANSZÉK 2011.
Optimális szervezet Kiegyensúlyozott stratégiai mutatószám rendszerrel
A szolgáltatások minőségének biztosítása és értékelése
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
A projektmenedzsment funkciói és területei
MinőségIrányítási Rendszer (MIR) elektronikus dokumentációjához
Minőségirányítás a felsőoktatásban
A KÖZPONT MINŐSÉGBIZTOSÍTÁSA. Szabvány Ismétlődő műszaki, gazdasági és más feladatok optimális megoldásának MINTÁJA.
Szoftverminőség biztosítása A minőségirányítási kézikönyv
Az MSZ EN ISO 9001:2009 szabvány változásai
Környezetközpontú irányítása rendszerek MSZ14001.
Folyamatos Fejlesztés Cél: Önálló fejlesztési képesség kialakítása intézményi és egyéni szinten.
7. hét: Az EN ISO 14001:2005 KIR szabvány
9. hét: A munkahelyi egészségvédelem és
3. hét: az ISO 9001:2008-es szabványnak megfelelő
Az EEM helye a menedzsmentben
MINŐSÉGIRÁNYÍTÁSI RENDSZEREK (ISO, TQM, HACCP)
A MÁV-TRAKCIÓ Zrt. minőségirányítási rendszere
IRÁNYÍTÁSI RENDSZEREK TANÚSÍTÁSÁNAK TAPASZTALATAI
Készítette: Szirmai István
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Integrált Irányítási Rendszer
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Környezeti elemek védelme II. Talajvédelem KÖRNYEZETGAZDÁLKODÁSI MÉRNÖKI MSc TERMÉSZETVÉDELMI MÉRNÖKI MSc Gazdálkodási modul Gazdaságtudományi ismeretek.
Az ISO 9001:2008 MinőségIrányítási Rendszer (MIR) dokumentumai A dokumentáció lehet bármilyen alakú vagy típusú adathordozón.
ISO 9000:2000 A minőségügy rendszerének új
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Virul az ISO szabványcsalád
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.
Magyar információbiztonsági szabványok – 4. rész: Jogos és nem jogos hozzáférések Móricz Pál – vezető tanácsadó Szenzor Gazdaságmérnöki Kft.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
„Információvédelem menedzselése” LXI. Szakmai Fórum Budapest, május 21. ISO 27001:2013 versus 2006, mi változott, változhat az auditok gyakorlatában.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
Az ISO szabványcsalád elemei: Útmutató a kiberbiztonsághoz ISO/IEC 27032:2012 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
PTE PMMIK ÉPÍTÉSKIVITELEZÉSI ÉS MÉRNÖKI MENEDZSMENT TANSZÉK MINŐSÉGMENEDZSMENT 5. ELŐADÁS.
INFORMATIKA- SZOLGÁLTATÁS és INFORMÁCIÓ- BIZTONSÁG Krauth Péter
BERENCSI Vezetési Tanácsadó és Szolgáltató Iroda – avagy, a Rendszer- és Terméktanúsítás kapcsolata BERENCSI BENCE ügyvezető, tanácsadó TERMÉK-
1 Szervezet és minőség 2. előadás 1. 2 Az előadás tartalmi elemei Alapfogalmak A minőségfejlesztés jogszabályi háttere Minőségfejlesztési megközelítések.
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
A MINŐSÉGIRÁNYÍTÁSI RENDSZERT TÁMOGATÓ SZOFTVEREK FELADATAI Adatbázisok Word dokumentumok PDF dokumentumok HTML dokumentumok Szövegszerkesztés Szövegszerkesztés.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
1 SZAKKÉPZÉSI ÖNÉRTÉKELÉSI MODELL (SZÖM) 1 2 A SZAKKÉPZÉSI ÖNÉRTÉKELÉSI MODELL Komplex eszköz a teljes körű intézményi önértékeléshez, és ez által az.
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Business Continuity Menedzsment – kockázatalapú vezetés
Az ISO 9001 jelenlegi helyzete
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Szenzor Gazdaságmérnöki Kft.
Magyar információbiztonsági szabványok V.
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
3. hét: az ISO 9001:2008-es szabványnak megfelelő
SZAKKÉPZÉSI ÖNÉRTÉKELÉSI MODELL ÖNÉRTÉKELÉSI SZINTEK
SZAKKÉPZÉSI MINŐSÉGBIZTOSÍTÁSI KERETRENDSZER (SZMBK) 11. előadás
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
Králik Tibor igazgató, minőségfejlesztési szakértő
Szakképzési Önértékelési Modell II. Fejlesztési szint ADOTTSÁGOK 4. 3
Az SZMBK Intézményi Modell
Előadás másolata:

Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.

2 Szabványcsalád Áttekintés és szótár Követelmények Útmutatók Code practice Bevezetés Auditorok, auditálás Követelmények ISMS tanúsítóknak ISMS auditálás útmutató IS kontroll audit útmutató Bizt. területek, ágazatok Mérés Kockázat mgmt Incidens mgmt Folytonosság Kiberbiztonság x Hálózat bizt x Alkalmazás bizt for telecom ISM eü-ben

3 A szabvány címe ISO/IEC 27031:2011 Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity Információtechnológia – Biztonságtechnikák – Útmutató információs és kommunikációs technológia készültségre működésfolytonossághoz 36 oldal

4 Alkalmazási terület  mindazon események, incidensek (beleértve biztonsági incidenseket is) kezelése, melyek hatással lehetnek az ICT infrastruktúrára és rendszerekre  IRBC tartalmazza/kiterjed:  információbiztonsági incidensek kezelése, menedzsmentje  ICT készültség tervezése, nyújtása és gyakorlata  leírja  ICT készültség BC-hez fogalmait és alapelveit  módszer és folyamat keretet minden szempont azonosítására, specifikálására (teljesítmény kritérium, tervezés, megvalósítás)  bármilyen szervezet IRBC programjához…

tartalomjegyzék 1 Alkalmazási terület 2 Hivatkozások 3 Fogalom-meghatározások 4 Rövidítések 5 Áttekintés 6 IRBC tervezés 7 Bevezetés és működtetés 8 Figyelemmel kísérés és átvizsgálás 9 IRBC fejlesztés Mellékletek A. IRBC és mérföldkövek egy megszakadás során B. Magas rendelkezésre állású rendszerek C. Hiba forgatókönyvek felmérése D. Teljesítmény kritériumok kifejlesztése

6 IRBC helye a BCM-ben  működésfolytonosság menedzsment (BCM) keretrendszer  BCM lépések (kockázatfelmérés, BIA, stratégia, BC terv, teszt és gyakorlat, tudatosítás, program menedzsment és karbantartás  komponensei: politikák, folyamatok, emberek, infrastruktúra  BCM ICT kimenete:  ICT válaszok és helyreállítások  ICT kockázatcsökkentő kontrollok  elvárt eredmény  üzlet rugalmasság, ellenálló képesség

7 IRBC koncepció Time

Áttekintés  alapelvek IRBC minden lépésre  megelőzés, észlelés, válasz, helyreállítás, fejlesztés  készültségi tevékenységek segítenek  incidens észlelési képesség  váratlan és súlyos hibák megelőzése  képesség a működési állapot hibás leállásának elfogadható szintre csökkentésre  helyreállítási idő további rövidítése  a ténylegesen előforduló incidensek hatásának minimalizálása  IRBC kimenetek és előnyök a szervezet számára

Áttekintés (folytatás)  IRBC elemei:  ember  létesítmény  technológia (hw, hálózat, sw)  adatok  folyamatok  szállítók  IRBC felállítása: PDCA elv  vezetés felelőssége  vezetési kultúra, elkötelezettség, IRBC policy

IRBC tervezés  cél: követelmények felállítása  stratégia és IRBC terv (üzleti, jogi, szabályozási megfeleléshez, BCM céljaihoz)  teljesítmény kritériumok  erőforrások  meghatározás és gondoskodás  felelősségek (fenntartásért, közreműködésért)  IRBC személyzet kompetencia  követelmények meghatározása  tevékenységek prioritása, min folyt szint, helyreállítási idő célérték  kritikus ICT szolgáltatások megértése,  kapacitás/követelmények gap-ek azonosítása

IRBC tervezés (folytatás)  IRBC stratégia opciók meghatározása  figyelembe veendők: költségvetés, erőforrások, költség/haszon, technológia, kockázattűrés, meglevő IRBC stratégia, szabályozói elvárások  emberek (készségek és ismeretbázis), létesítmények, technológia, adatok, folyamatok, szállítók  kiválasztás, aláírás  IRBC képesség növelése (9. fejezet, B, C mellékletek)  teljesítmény kritérium azonosítás (8.4 fejezet, D melléklet)

Bevezetés és működtetés  IRBC stratégia elemek bevezetése  ember (tudatosság, készség, tudásbázis) létesítmény, technológia (tartalékok, megállapodások), adat, folyamat, szállító  incidens válasz  szituáció kontroll, incidens lefedése, kommunikáció, akció indítás  IRBC terv dokumentumok  terv dokumentumok tartalma, ICT válasz és helyreállítási terv dokumentáció  tudatosság, kompetencia és képzési program  dokumentumok kezelése  (előírások, feljegyzések)

Figyelemmel kísérés és átvizsgálás  IRBC fenntartás/karbantartás  változások kezelése  fenyegetések figyelemmel kísérése, észlelése, elemzése  teszt és gyakorlás (program, cél, szolgáltatás helyreállítás elemei, gyakorlat terv, gyakorlat irányítás, átvizsgálás-jelentés-követés)  IRBC belső audit  vezetőségi átvizsgálás  készültség teljesítmény kritérium mérés  mennyiségi és minőségi kritériumok figyelemmel kísérése, mérése (példák, módszerek)

IRBC fejlesztés  9. IRBC fejlesztés  9.1 folyamatos fejlesztés  9.2 helyesbítő tevékenység  9.3 megelőző tevékenység

15 A. melléklet IRBC és mérföldkövek egy megszakadás során

16 B. mellékletek Magas rendelkezésre állású rendszerek  Szempontok lehetnek:  99,999 %  Pl. áramellátásra UPS/generátor/kettős betáp  Raid, SAN, alkalmazásokra claster-ek  alternatív telephely  ha túl nagy erőforrás kell, szolgáltató bevonása  de lehet, hogy jól tervezett és tesztelt DR a válasz

17 C és D melléklet  C melléklet: Hiba forgatókönyvek felmérése  Módszertan lehet FMEA (Failure Mode Effect Analysis), CFIA (Component Failure Impact Analysis)  D melléklet: Teljesítmény kritériumok kifejlesztése  10 lépésből álló lépéssor

18 Elérhetőség Móricz Pál Mobil: Szenzor Gazdaságmérnöki Kft Budapest, Könyves Kálmán körút 76. Telefon: (+36) Fax: (+36) Honlap: „Változással a sikerért”