„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, 2015. május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC.

Slides:



Advertisements
Hasonló előadás
Tájékoztatás a szakmai programok megvalósításáról június 26. BARTÓK TAMÁSNÉ.
Advertisements

AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
AZ EURÓPAI KIVÁLÓSÁG MODELL ÉS SZEREPE AZ EU CSATLAKOZÁSBAN STRATOSZ KIADVÁNY 2003.
EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
Dr. Kollár Gábor vezető auditor Det Norske Veritas Magyarország
Minőségirányítás a felsőoktatásban
A belső kontroll rendszer hatékony működtetése
A Mezőgazdaságtudományi Kar minőségbiztosítási rendszere
9. hét: A munkahelyi egészségvédelem és
3. hét: az ISO 9001:2008-es szabványnak megfelelő
A évi Integritás Felmérés eredményei a belső kontrollok és a korrupciós kockázatelemzés tükrében Budapest, január 19. Dr. Benkő János, ÁSZ.
Farkas Katalin – Vilmányi Márton június 15.
1 Hogyan tovább minőségügy? XIV. Magyar Minőség Hét november 07.
Készítette: Szirmai István
VÁLTOZÁSOK AZ ISO 9001 SZABVÁNYBAN 2015.
Integrált Irányítási Rendszer
2003. A környezeti helyzetfelméréstől a környezetirányítási rendszer auditálásáig Dr. Szegh Imre.
Környezeti elemek védelme II. Talajvédelem KÖRNYEZETGAZDÁLKODÁSI MÉRNÖKI MSc TERMÉSZETVÉDELMI MÉRNÖKI MSc Gazdálkodási modul Gazdaságtudományi ismeretek.
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
Biztonságos szoftverfejlesztés kipipálva!? TickIT követelmények
Stipkovits István ISZ auditor SGS Hungária Kft.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ICT készültség működésfolytonossághoz ISO/IEC 27031:2011 Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
„Információvédelem menedzselése” LX. Szakmai Fórum Budapest, március 19. Bevezető gondolatok (hírek, aktualitások…) Tarján Gábor Hétpecsét Információbiztonsági.
Jokay Folie Nr.1 CIS Hungária Kft. Az ÖQS partnere Az információ biztonsági irányítási rendszer tanúsításának folyamata és súlypontjai egy gyakorlati példán.
„Információvédelem menedzselése” XXX. Szakmai Fórum Budapest, március 19. Aktualitások az információvédelem területén + Egyesületi hírek Dr. Ködmön.
avagy a zártság dilemmái
„Információvédelem menedzselése” XXVI. Szakmai Fórum Budapest, május 16. Aktualitások az információvédelem területén Egyesületi hírek Tarján Gábor.
Aktualitások az információvédelem területén Gasparetz András Hétpecsét Információbiztonsági Egyesület, elnök MagiCom Kft. ügyvezető igazgató, címzetes.
„Információvédelem menedzselése” LXI. Szakmai Fórum Budapest, május 21. ISO 27001:2013 versus 2006, mi változott, változhat az auditok gyakorlatában.
„Információvédelem menedzselése” XIX. Szakmai Fórum Budapest, január 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét.
Folyamatközpontúság problémái egy információvédelmi irányítási rendszerben Dr. Ködmön István ügyvezető igazgató Szenzor.
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum március 22. Információvédelmi kockázatfelmérés a szabványokban.
„Információvédelem menedzselése” XXXIII. Szakmai Fórum Budapest, november 19. Aktualitások az információvédelem területén + Egyesületi hírek Dr.
„Információvédelem menedzselése” XVI. Szakmai Fórum Budapest, május 18. Egyesületi hírek BS7799 tanúsítások helyzete Gasparetz András Hétpecsét Információbiztonsági.
Információbiztonság menedzselése XXXI. szakmai fórum 11 Magyar Informatikai Biztonsági Ajánlások Muha Lajos PhD, CISM főiskolai docens Gábor.
„Információvédelem menedzselése” XI. Szakmai Fórum Budapest, május 19. Aktualitások az információvédelemben Tarján Gábor ügyvezető igazgató
Az ISO szabványcsalád fejlődése Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Az ISO szabványcsalád elemei: ISO/IEC 27011:2008 Információbiztonság útmutató telekommunikációs szervezeteknek Móricz Pál – ügyvezető igazgató Szenzor.
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Tanúsítási tapasztalatok és változások Stipkovits István információbiztonsági auditor SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
A MINŐSÉGIRÁNYÍTÁSI RENDSZERT TÁMOGATÓ SZOFTVEREK FELADATAI Adatbázisok Word dokumentumok PDF dokumentumok HTML dokumentumok Szövegszerkesztés Szövegszerkesztés.
„Információvédelem menedzselése” XVII. Szakmai Fórum Budapest, szeptember 21. Móricz Pál: Változások az információvédelmi menedzsment szabványokban.
„Információvédelem menedzselése” LXX. Szakmai Fórum Budapest, március 16. Bevezető gondolatok (hírek, aktualitások…) Tarján Gábor Hétpecsét Információbiztonsági.
Minőségirányítás és Akkreditáció Bőhm Zoltán Budapest,
Az ISO/IEC szabvány követelményeihez kapcsolódó feladatok az önkormányzati, államigazgatási szerveknél Lábodi Csaba PhD jelölt Témavezető: Dr. Dimény.
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
IT szolgáltatás-irányítási rendszer tanúsítása ISO/IEC szerint
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
ISO/IEC Software Asset Management szabvány
Az ISO 9001 jelenlegi helyzete
Információvédelem Menedzselése XX. Szakmai Fórum
Típusos kockázatértékelési algoritmusok a szervezetek működési sajátosságainak figyelembe vételével Tarján Gábor.
Az informatikai biztonság irányításának követelményrendszere (IBIK)
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése VIII. Szakmai Fórum
Szenzor Gazdaságmérnöki Kft.
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése VIII. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 4
3. hét: az ISO 9001:2008-es szabványnak megfelelő
Ide kerülhet az előadás címe
Információvédelem Menedzselése XX. Szakmai Fórum
Információvédelem Menedzselése XX. Szakmai Fórum
A PDCA elv alkalmazása az információvédelmi irányítási rendszerekben 3
Az ÁFSZ minőségirányítási rendszerének kialakítása
Előadás másolata:

„Információvédelem menedzselése” LXVI. Szakmai Fórum Budapest, május 20. „Az idő lejárt” – hazai és nemzetközi átállási tapasztalatok az ISO/IEC 27001:2005 kontra 2013 esetben Tarján Gábor Hétpecsét Információbiztonsági Egyesület, alelnök

Áttekintő tartalom A szokásos pár fontos mondat Rövid emlékeztető a történésekről Mit tettek a cégek Mit lát ebből a tanúsító Hogyan tovább? Kérdések-válaszok

A szokásos pár fontos mondat A titoktartás kötelez Sohasem a konkrét példa, hanem a szándék és a követett gyakorlat a fontos Határozottan szubjektív látásmód Kb. 10 db ISO 27001:2013 audit itthon és külföldön az elmúlt 12 hónapban + Csöbörből vödörbe illetve a rablóból lesz (?) a legjobb pandúr, azaz hogyan lettem… Nem a DEKRA (vagy más tanúsító testület) hivatalos álláspontját képviselem.

Rövid emlékeztető a történésekről Az átmenet szabályai

ISO/ IEC Direktívák, 1. rész SL jelű melléklet Az ISMS szerkezete (ISO 27001) az SL jelű melléklet alapjain nyugszik. A jövőben ez lenne minden Mgmt rendszer (QM, EM, …) struktúrája. 0Bevezetés 1Érvényességi terület 2Normatív hivatkozások 3 Fogalmak és meghatározások 4A szervezet környezete 5Vezetőség 6Tervezés 7Támogatás 8Működtetés 9Teljesítmény értékelés 10Fejlődés

Az ISO 27001:2013 struktúrája A szabványtest (0-10 fejezetek) és az „A” melléklet, melyben: 14 Információbiztonsági szabályozási terület (A5-A18) 35 Információbiztonsági szabályozási cél 114 Információbiztonsági intézkedés (kontroll) 14 Szabályozási terület: 1.Információbiztonsági politika 2.Az információbiztonság szervezete 3.A humánerőforrás biztonsága 4.Vagyonmenedzsment 5.Hozzáférés-szabályozás 6.Titkosítás 7.Fizikai és környezeti biztonság 8.A működés biztonsága 9.A kommunikáció biztonsága 10.Rendszerek beszerezése, fejlesztése, karbantartása 11.Szállítói kapcsolatok 12.Információbiztonság és incidens menedzsment 13.Üzletmenet-folytonosság 14.Megfelelőség Érdekelt felek információ- biztonsági követelményei és elvárásai Act ISMS-t fenntart és fejleszt Plan IBIR-t létrehoz Check ISMS-t felügyel és áttekint Do IBIR-t Bevezet és működtet Érdekelt felek információ- biztonsági követelményei és elvárásai ()

ISO 27001:2013 – „kontroll-leltár” ISO27001 Fejezet hivatkozásLeírásKontroll összesen Irányítási rendszer 4 A szervezet környezete 9 5 Vezetés 17 6 Tervezés 31 7 Támogatás 25 8 Működtetés 8 9 Teljesítmény értékelés Fejlesztés 13 Az IBIR kontroll pontok összesen: 130 Megítélés szerinti elemek A5 Az információbiztonság vezetői irányítása 2 A6 Az információbiztonság szervezete 7 A7 Humán-erőforrás biztonsága 6 A8 Vagyon-menedzsment 10 A9 Hozzáférés szabályozás 13 A10 Titkosítás 2 A11 Fizikai és környezeti biztonság 15 A12 A működtetés biztonsága 15 A13 A kommunikáció biztonsága 7 A14 Rendszer beszerzés, fejlesztés és karbantartás 13 A15 Szállítói kapcsolatok 5 A16 Információbiztonsági incidensek kezelése 7 A17 A működésfolytonosság információbiztonsági aspektusai 4 A18 Megfelelőség 8 Az "A" Melléklet kontrolljai összesen: 114 ISO/IEC 27001:2013 összesen: táblázat 'ISO/IEC 27001:2013' Kontroll összesítés

A tanúsítások „dinamikája” (A 2014-es statisztika 2015 szeptemberében fog napvilágot látni!)

Mit tettek a cégek Kivárás… (és ez nem magyar sajátosság!) A kockázatelemzések nem nagyon változtak (a kockázat tulajdonos/risk owner koncepciója általában bevezetésre került) Az Alkalmazhatósági Nyilatkozat az „A” melléklet szolgai tükre (114 kontroll), pedig… Munaktársi tudatosítás: jellemzően e-learning (jó irány!)

Mit lát ebből a tanúsító Az energiaminimalizálás elve (ez a megfigyelés természettudományos alapokon nyugszik…) A kockázatelemzés eredménye és a tényleges védelmi intézkedések (controls) között még mindig esetleges a kapcsolat Egyszerűsödő tanúsítási dokumentáció ( ) Hangsúlyeltolódás (menedzsment kontra dolgozói szint) a tanúsítói munkában – ráfordított idő eltolódása

Hogyan tovább? Mi lesz az ISO 9001:2015-ben (október?)??? –A kockázatelemzés ott is meg fog jelenni! –Milyen legyen a kockázatelemzés módszertana A dokumentáció átszabása (lásd Direktíva), egységesítése (integrált rendszerek) Válasz technológiai kihívásokra: Felhő alapú mentés illetve dokumentum elérés és kezelés A mérés erősítése (mérhető célok)

Kérdések? – Válaszok!