Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165.

Hasonló előadás


Az előadások a következő témára: "A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165."— Előadás másolata:

1 A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165 t 30/522-8310 tamas.novak@sgs.com istvan.stipkovits@sgs.com SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

2 2 1878-ban alapították - székhely Genfben 39 000 alkalmazott, 1000 iroda, 365 laboratórium - több mint 140 országban függetlenség, feddhetetlenség, szakértelem vezető pozíció a rendszertanúsítások területén (11%) SGS Hungária Kft. - 1991-ben alapították piac vezető ELLENŐRZÉS, VIZSGÁLAT, TANÚSÍTÁS

3 3 Az SGS Hungária Kft. BS 7799-2 szabvány szerint tanúsított partnerei Pénzügyi Szervezetek Állami Felügyelete Magyar Vállalkozásfejlesztési Kht. Állami Közúti Műszaki és Információs Kht. Földmérési és Távérzékelési Intézet Agrár-Vállalkozási Hitelgarancia Alapítvány Noreg Információvédelmi Kft. Cardinal Számítástechnikai Kft. M.C. Direct Kft. Andex Nyomda Kft.

4 4 Miről lesz szó? A BS 7799-2 és az ISO 17799 szabványok célja Pályázati lehetőség A BS 7799-2 tanúsítás tipikus okai A tanúsítási folyamat szereplői A BS 7799-2 szerinti tanúsítás folyamata Sikertényezők és buktatók - auditori szemmel Audit tapasztalatok

5 5 A BS 7799-2 és az ISO 17799 szabványok célja Mindkettő az Információbiztonsági Irányítási Rendszerre vonatkozik: Management szabványok, analógok az ISO 9001:2000-el.

6 6 Pályázati lehetőség KIS- ÉS KÖZÉPVÁLLALKOZÁSOK RÉSZÉRE KORSZERŰ MENEDZSMENT RENDSZEREK ÉS TECHNIKÁK TÁMOGATÁSA (GVOP-2005-2.1.2) Gazdasági és Közlekedési Minisztérium Irányítási rendszer bevezetése és tanúsíttatása Végleges juttatás, 50% Pályázat benyújtásának határideje: 2005.03.01 - 09.30

7 7 A BS 7799-2 tanúsítás tipikus okai Növelni a kezelt adatok vagy a rendelkezésre állás biztonságát Marketing eszköz (nemzetközileg elismert) Állami támogatás Tanulni lehet belőle Megkülönböztet a versenytársaktól

8 8 A tanúsítási folyamat szereplői Nemzeti Akkreditációs Testületek NATSASUKAS TÜV R.DNVSGS Tanúsító Testületek Cég1Cég2 Cég3 Tanúsítandó szervezetek ISO 9001BS 7799-2 ISO 9001BS 7799-2ISO 14001

9 9 A tanúsítás folyamata Analóg az ISO 9001-es tanúsítási folyamattal: Megfelelőség kialakítása Tanúsító audit (akkreditált)  Kapcsolatfelvétel - a rendszer hatókörének, kiterjedésének egyeztetése - külön titokvédelmi megállapodások rögzítése  1. fázis – Dokumentációvizsgálat  Előaudit (opcionális)  2. fázis - Tanúsító audit Felülvizsgálatok  6 vagy 12 havonta  Megújítás 3 évente

10 10 A tanúsítás folyamata - tanúsító audit Célja: Az információbiztonsági rendszer gyakorlati működésének vizsgálata, minősítés Megfelel-e a rendszer: - a BS 7799-2 szabványnak - a rendszerdokumentációnak - a törvényi és szerződéses előírásoknak A rendszerműködés bizonyítékainak keresése - hatásos - a politikában szereplő célokat támogatja Eredménye: Tanúsítási döntés Tanúsítvány

11 11 A tanúsítás folyamata - felülvizsgálatok Félévente vagy évente Hároméves ciklus - Megújítás Mintavételes vizsgálat Kiemelt témák: - a kockázatelemzés felülvizsgálata - az Alkalmazhatósági Nyilatkozat felülvizsgálata - az információbiztonsági rendszer fejlesztése - a biztonsági események feldolgozása, értékelése - hasonló esetek megismétlődésének megelőzése

12 12 A rendszerbevezetés néhány sikertényezője Az információbiztonsági politika és az üzleti/szervezeti célok összhangja Egyértelmű vezetői elkötelezettség és támogatás A biztonsági követelmények alapos megértése Megfelelő szintű, alapos kockázat-elemzés és kezelés Az információbiztonsággal kapcsolatos tudatosság elmélyítése minden vezetőnél és dolgozónál (kultúra) Megfelelő felügyeleti és eseménykezelési rendszerek

13 13 A rendszerbevezetés néhány buktatója A kockázatelemzés a legfontosabb és legnagyobb feladat Értelmes célokat kell kitűzni (nem kell túl ambíciózusnak lenni) Fel kell állítani az intézkedések prioritási sorrendjét Meg kell vizsgálni a tervezett intézkedések illeszkedését a vállalati kultúrához Óvintézkedések összhangja: fizikai és technikai védelem mellett adminisztratív intézkedések is Megfelelően képzett információbiztonsági felelős, akihez a munkatársak fordulhatnak

14 14 BS 7799-2 szerinti auditok tapasztalatai I. Fontos a kizárások világos indoklása az Alkalmazhatósági Nyilatkozatban, de: fölösleges szabályozásokat ne építsünk a rendszerbe. A felmért kockázatok és a hozott intézkedések összhangja: A kockázatokhoz kell megtalálni az intézkedéseket, és nem fordítva. - Főleg szemléletbeli különbség Az elektronikus információk és támogató eszközök mellett ne feledkezzünk meg az egyéb típusú információkról sem (iratok, irattár, üzenetrögzítők, videofelvételek)

15 15 BS 7799-2 szerinti auditok tapasztalatai II. Hasznos, ha a szabályzatok nem szabványpontok szerint épülnek fel, hanem fő szerepkörök, funkciók, folyamatok szerint. (pl. külön Felhasználói Információbiztonsági Szabályzat) Az üzletmenet-folytonossági terv: - több mint felelősök, elvek rögzítése: meg kell vizsgálni a rendelkezésre-nem-állás lehetséges eseteit - szükséges teendők a felkészülési és a beavatkozási időszakban - ellenőrzés, tesztelés szükséges

16 16 Integrált audit Az integrált irányítási rendszereknél mindegyik szabvány (BS 7799-2, ISO 9001) arányos figyelemben részesüljön. A párhuzamos követelményeket mindkét szabvány előírásai szerint meg kell valósítani (pl. belső audit) Sok esetben két külön audit, két külön jelentés

17 17 Köszönjük a figyelmüket! Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165 t 30/522-8310 tamas.novak@sgs.com istvan.stipkovits@sgs.com


Letölteni ppt "A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165."

Hasonló előadás


Google Hirdetések