Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaÉva Illésné Megváltozta több, mint 9 éve
1
A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165 t 30/522-8310 tamas.novak@sgs.com istvan.stipkovits@sgs.com SGS Hungária Kft., 1124 Budapest, Sirály u. 4.
2
2 1878-ban alapították - székhely Genfben 39 000 alkalmazott, 1000 iroda, 365 laboratórium - több mint 140 országban függetlenség, feddhetetlenség, szakértelem vezető pozíció a rendszertanúsítások területén (11%) SGS Hungária Kft. - 1991-ben alapították piac vezető ELLENŐRZÉS, VIZSGÁLAT, TANÚSÍTÁS
3
3 Az SGS Hungária Kft. BS 7799-2 szabvány szerint tanúsított partnerei Pénzügyi Szervezetek Állami Felügyelete Magyar Vállalkozásfejlesztési Kht. Állami Közúti Műszaki és Információs Kht. Földmérési és Távérzékelési Intézet Agrár-Vállalkozási Hitelgarancia Alapítvány Noreg Információvédelmi Kft. Cardinal Számítástechnikai Kft. M.C. Direct Kft. Andex Nyomda Kft.
4
4 Miről lesz szó? A BS 7799-2 és az ISO 17799 szabványok célja Pályázati lehetőség A BS 7799-2 tanúsítás tipikus okai A tanúsítási folyamat szereplői A BS 7799-2 szerinti tanúsítás folyamata Sikertényezők és buktatók - auditori szemmel Audit tapasztalatok
5
5 A BS 7799-2 és az ISO 17799 szabványok célja Mindkettő az Információbiztonsági Irányítási Rendszerre vonatkozik: Management szabványok, analógok az ISO 9001:2000-el.
6
6 Pályázati lehetőség KIS- ÉS KÖZÉPVÁLLALKOZÁSOK RÉSZÉRE KORSZERŰ MENEDZSMENT RENDSZEREK ÉS TECHNIKÁK TÁMOGATÁSA (GVOP-2005-2.1.2) Gazdasági és Közlekedési Minisztérium Irányítási rendszer bevezetése és tanúsíttatása Végleges juttatás, 50% Pályázat benyújtásának határideje: 2005.03.01 - 09.30
7
7 A BS 7799-2 tanúsítás tipikus okai Növelni a kezelt adatok vagy a rendelkezésre állás biztonságát Marketing eszköz (nemzetközileg elismert) Állami támogatás Tanulni lehet belőle Megkülönböztet a versenytársaktól
8
8 A tanúsítási folyamat szereplői Nemzeti Akkreditációs Testületek NATSASUKAS TÜV R.DNVSGS Tanúsító Testületek Cég1Cég2 Cég3 Tanúsítandó szervezetek ISO 9001BS 7799-2 ISO 9001BS 7799-2ISO 14001
9
9 A tanúsítás folyamata Analóg az ISO 9001-es tanúsítási folyamattal: Megfelelőség kialakítása Tanúsító audit (akkreditált) Kapcsolatfelvétel - a rendszer hatókörének, kiterjedésének egyeztetése - külön titokvédelmi megállapodások rögzítése 1. fázis – Dokumentációvizsgálat Előaudit (opcionális) 2. fázis - Tanúsító audit Felülvizsgálatok 6 vagy 12 havonta Megújítás 3 évente
10
10 A tanúsítás folyamata - tanúsító audit Célja: Az információbiztonsági rendszer gyakorlati működésének vizsgálata, minősítés Megfelel-e a rendszer: - a BS 7799-2 szabványnak - a rendszerdokumentációnak - a törvényi és szerződéses előírásoknak A rendszerműködés bizonyítékainak keresése - hatásos - a politikában szereplő célokat támogatja Eredménye: Tanúsítási döntés Tanúsítvány
11
11 A tanúsítás folyamata - felülvizsgálatok Félévente vagy évente Hároméves ciklus - Megújítás Mintavételes vizsgálat Kiemelt témák: - a kockázatelemzés felülvizsgálata - az Alkalmazhatósági Nyilatkozat felülvizsgálata - az információbiztonsági rendszer fejlesztése - a biztonsági események feldolgozása, értékelése - hasonló esetek megismétlődésének megelőzése
12
12 A rendszerbevezetés néhány sikertényezője Az információbiztonsági politika és az üzleti/szervezeti célok összhangja Egyértelmű vezetői elkötelezettség és támogatás A biztonsági követelmények alapos megértése Megfelelő szintű, alapos kockázat-elemzés és kezelés Az információbiztonsággal kapcsolatos tudatosság elmélyítése minden vezetőnél és dolgozónál (kultúra) Megfelelő felügyeleti és eseménykezelési rendszerek
13
13 A rendszerbevezetés néhány buktatója A kockázatelemzés a legfontosabb és legnagyobb feladat Értelmes célokat kell kitűzni (nem kell túl ambíciózusnak lenni) Fel kell állítani az intézkedések prioritási sorrendjét Meg kell vizsgálni a tervezett intézkedések illeszkedését a vállalati kultúrához Óvintézkedések összhangja: fizikai és technikai védelem mellett adminisztratív intézkedések is Megfelelően képzett információbiztonsági felelős, akihez a munkatársak fordulhatnak
14
14 BS 7799-2 szerinti auditok tapasztalatai I. Fontos a kizárások világos indoklása az Alkalmazhatósági Nyilatkozatban, de: fölösleges szabályozásokat ne építsünk a rendszerbe. A felmért kockázatok és a hozott intézkedések összhangja: A kockázatokhoz kell megtalálni az intézkedéseket, és nem fordítva. - Főleg szemléletbeli különbség Az elektronikus információk és támogató eszközök mellett ne feledkezzünk meg az egyéb típusú információkról sem (iratok, irattár, üzenetrögzítők, videofelvételek)
15
15 BS 7799-2 szerinti auditok tapasztalatai II. Hasznos, ha a szabályzatok nem szabványpontok szerint épülnek fel, hanem fő szerepkörök, funkciók, folyamatok szerint. (pl. külön Felhasználói Információbiztonsági Szabályzat) Az üzletmenet-folytonossági terv: - több mint felelősök, elvek rögzítése: meg kell vizsgálni a rendelkezésre-nem-állás lehetséges eseteit - szükséges teendők a felkészülési és a beavatkozási időszakban - ellenőrzés, tesztelés szükséges
16
16 Integrált audit Az integrált irányítási rendszereknél mindegyik szabvány (BS 7799-2, ISO 9001) arányos figyelemben részesüljön. A párhuzamos követelményeket mindkét szabvány előírásai szerint meg kell valósítani (pl. belső audit) Sok esetben két külön audit, két külön jelentés
17
17 Köszönjük a figyelmüket! Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165 t 30/522-8310 tamas.novak@sgs.com istvan.stipkovits@sgs.com
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.