Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165.

KiadtaÉva Illésné Megváltozta több, mint 8 éve

Hasonló előadás

Az előadások a következő témára: "A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165."— Előadás másolata:

1 A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165 t 30/522-8310 tamas.novak@sgs.com istvan.stipkovits@sgs.com SGS Hungária Kft., 1124 Budapest, Sirály u. 4.

2 2 1878-ban alapították - székhely Genfben 39 000 alkalmazott, 1000 iroda, 365 laboratórium - több mint 140 országban függetlenség, feddhetetlenség, szakértelem vezető pozíció a rendszertanúsítások területén (11%) SGS Hungária Kft. - 1991-ben alapították piac vezető ELLENŐRZÉS, VIZSGÁLAT, TANÚSÍTÁS

3 3 Az SGS Hungária Kft. BS 7799-2 szabvány szerint tanúsított partnerei Pénzügyi Szervezetek Állami Felügyelete Magyar Vállalkozásfejlesztési Kht. Állami Közúti Műszaki és Információs Kht. Földmérési és Távérzékelési Intézet Agrár-Vállalkozási Hitelgarancia Alapítvány Noreg Információvédelmi Kft. Cardinal Számítástechnikai Kft. M.C. Direct Kft. Andex Nyomda Kft.

4 4 Miről lesz szó? A BS 7799-2 és az ISO 17799 szabványok célja Pályázati lehetőség A BS 7799-2 tanúsítás tipikus okai A tanúsítási folyamat szereplői A BS 7799-2 szerinti tanúsítás folyamata Sikertényezők és buktatók - auditori szemmel Audit tapasztalatok

5 5 A BS 7799-2 és az ISO 17799 szabványok célja Mindkettő az Információbiztonsági Irányítási Rendszerre vonatkozik: Management szabványok, analógok az ISO 9001:2000-el.

6 6 Pályázati lehetőség KIS- ÉS KÖZÉPVÁLLALKOZÁSOK RÉSZÉRE KORSZERŰ MENEDZSMENT RENDSZEREK ÉS TECHNIKÁK TÁMOGATÁSA (GVOP-2005-2.1.2) Gazdasági és Közlekedési Minisztérium Irányítási rendszer bevezetése és tanúsíttatása Végleges juttatás, 50% Pályázat benyújtásának határideje: 2005.03.01 - 09.30

7 7 A BS 7799-2 tanúsítás tipikus okai Növelni a kezelt adatok vagy a rendelkezésre állás biztonságát Marketing eszköz (nemzetközileg elismert) Állami támogatás Tanulni lehet belőle Megkülönböztet a versenytársaktól

8 8 A tanúsítási folyamat szereplői Nemzeti Akkreditációs Testületek NATSASUKAS TÜV R.DNVSGS Tanúsító Testületek Cég1Cég2 Cég3 Tanúsítandó szervezetek ISO 9001BS 7799-2 ISO 9001BS 7799-2ISO 14001

9 9 A tanúsítás folyamata Analóg az ISO 9001-es tanúsítási folyamattal: Megfelelőség kialakítása Tanúsító audit (akkreditált)  Kapcsolatfelvétel - a rendszer hatókörének, kiterjedésének egyeztetése - külön titokvédelmi megállapodások rögzítése  1. fázis – Dokumentációvizsgálat  Előaudit (opcionális)  2. fázis - Tanúsító audit Felülvizsgálatok  6 vagy 12 havonta  Megújítás 3 évente

10 10 A tanúsítás folyamata - tanúsító audit Célja: Az információbiztonsági rendszer gyakorlati működésének vizsgálata, minősítés Megfelel-e a rendszer: - a BS 7799-2 szabványnak - a rendszerdokumentációnak - a törvényi és szerződéses előírásoknak A rendszerműködés bizonyítékainak keresése - hatásos - a politikában szereplő célokat támogatja Eredménye: Tanúsítási döntés Tanúsítvány

11 11 A tanúsítás folyamata - felülvizsgálatok Félévente vagy évente Hároméves ciklus - Megújítás Mintavételes vizsgálat Kiemelt témák: - a kockázatelemzés felülvizsgálata - az Alkalmazhatósági Nyilatkozat felülvizsgálata - az információbiztonsági rendszer fejlesztése - a biztonsági események feldolgozása, értékelése - hasonló esetek megismétlődésének megelőzése

12 12 A rendszerbevezetés néhány sikertényezője Az információbiztonsági politika és az üzleti/szervezeti célok összhangja Egyértelmű vezetői elkötelezettség és támogatás A biztonsági követelmények alapos megértése Megfelelő szintű, alapos kockázat-elemzés és kezelés Az információbiztonsággal kapcsolatos tudatosság elmélyítése minden vezetőnél és dolgozónál (kultúra) Megfelelő felügyeleti és eseménykezelési rendszerek

13 13 A rendszerbevezetés néhány buktatója A kockázatelemzés a legfontosabb és legnagyobb feladat Értelmes célokat kell kitűzni (nem kell túl ambíciózusnak lenni) Fel kell állítani az intézkedések prioritási sorrendjét Meg kell vizsgálni a tervezett intézkedések illeszkedését a vállalati kultúrához Óvintézkedések összhangja: fizikai és technikai védelem mellett adminisztratív intézkedések is Megfelelően képzett információbiztonsági felelős, akihez a munkatársak fordulhatnak

14 14 BS 7799-2 szerinti auditok tapasztalatai I. Fontos a kizárások világos indoklása az Alkalmazhatósági Nyilatkozatban, de: fölösleges szabályozásokat ne építsünk a rendszerbe. A felmért kockázatok és a hozott intézkedések összhangja: A kockázatokhoz kell megtalálni az intézkedéseket, és nem fordítva. - Főleg szemléletbeli különbség Az elektronikus információk és támogató eszközök mellett ne feledkezzünk meg az egyéb típusú információkról sem (iratok, irattár, üzenetrögzítők, videofelvételek)

15 15 BS 7799-2 szerinti auditok tapasztalatai II. Hasznos, ha a szabályzatok nem szabványpontok szerint épülnek fel, hanem fő szerepkörök, funkciók, folyamatok szerint. (pl. külön Felhasználói Információbiztonsági Szabályzat) Az üzletmenet-folytonossági terv: - több mint felelősök, elvek rögzítése: meg kell vizsgálni a rendelkezésre-nem-állás lehetséges eseteit - szükséges teendők a felkészülési és a beavatkozási időszakban - ellenőrzés, tesztelés szükséges

16 16 Integrált audit Az integrált irányítási rendszereknél mindegyik szabvány (BS 7799-2, ISO 9001) arányos figyelemben részesüljön. A párhuzamos követelményeket mindkét szabvány előírásai szerint meg kell valósítani (pl. belső audit) Sok esetben két külön audit, két külön jelentés

17 17 Köszönjük a figyelmüket! Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165 t 30/522-8310 tamas.novak@sgs.com istvan.stipkovits@sgs.com

Letölteni ppt "A BS 7799 tanúsítási tapasztalatai a tanúsító szemszögéből Novák Tamás Stipkovits István értékesítési vezető információbiztonsági auditor t 30/552-8165."

Hasonló előadás

Laboratóriumi munka szerepe a minőségbiztosításban

Laboratóriumi munka szerepe a minőségbiztosításban
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.

A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága

Az elektronikus közigazgatási rendszerek biztonsága
Humán rendszerek, közszféra

Humán rendszerek, közszféra
AZ INFORMATIKAI BIZTONSÁG

AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató

2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása

Az Ibtv. civil-szakmai támogatása
A MIBÉTS szerinti értékelőlaborok

A MIBÉTS szerinti értékelőlaborok
ENERGIAIRÁNYÍTÁSI SZABVÁNYOK

ENERGIAIRÁNYÍTÁSI SZABVÁNYOK
A munkavállalók munkavédelmi érdekképviseleti lehetőségei

A munkavállalók munkavédelmi érdekképviseleti lehetőségei
DOKUMENTUMKEZELÉS.

DOKUMENTUMKEZELÉS.
Ipari középvállalat projektvezetőjének tapasztalatai az integrált vállalatirányítási szoftver bevezetési szakaszában 1 13. Projektmenedzsment Fórum A kis-

Ipari középvállalat projektvezetőjének tapasztalatai az integrált vállalatirányítási szoftver bevezetési szakaszában Projektmenedzsment Fórum A kis-
A MINŐSÉGIRÁNYÍTÁSI RENDSZER

A MINŐSÉGIRÁNYÍTÁSI RENDSZER
Projektek monitorozása. Elvek és módszerek

Projektek monitorozása. Elvek és módszerek
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.

A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Munkahelyi egészség és biztonság

Munkahelyi egészség és biztonság
Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS 7799-2:1999-től ISO/IEC 27001:2005-ig) Potóczky András.

Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok (A megtett út: BS :1999-től ISO/IEC 27001:2005-ig) Potóczky András.
Vállalkozások a minőségszabályozás útján – az önkéntes minőségtanúsítás hazai és nemzetközi versenyelőnyei TÜV Rheinland - nemzetközi tanúsítás.

Vállalkozások a minőségszabályozás útján – az önkéntes minőségtanúsítás hazai és nemzetközi versenyelőnyei TÜV Rheinland - nemzetközi tanúsítás.
Kulturális Projekt Ciklus Menedzsment A kultúra gazdaságtana

Kulturális Projekt Ciklus Menedzsment A kultúra gazdaságtana
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.

©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.

Hasonló előadás

Google Hirdetések