Információvédelmi irányítási rendszerek (ISMS) MSZ ISO/IEC 27001:2006

Az információk biztonsága sok vállalatnál az "érzékeny pont". Egy kis hézag az információbiztonsági rendszerben gyakran nyílt támadási felületet jelent a potenciális támadások számára - és ez a vállalatot velejéig megrendítheti. A világ sűrű behálózottsága, az elektronikus kereskedelem, az ipari kémkedés, globális vírustámadások, vagy éppen az olyan nemzetközi katasztrófák, mint a New York-i Világkereskedelmi Központ esetében drámaian egyértelművé tették a magas színvonalú információbiztonság menedzsment rendszerek szükségességét.

Az információ - definíció szerint - az "értelemmel bíró adat", és ennek megfelelően igen sokféle formában, különböző adathordozókon létezhet. Lehet pl. papírra nyomtatva vagy leírva, elektronikusan tárolva, postán vagy elektronikus eszközökkel továbbítva, filmen bemutatva vagy beszélgetés során hangban megjelenítve. Bármilyen formában is jelenjék meg, tárolják vagy továbbítják az információt, mindenképpen ajánlatos, hogy megfelelően legyen védve.

Az információ olyan vagyon, amelynek értéke van, és ezt az értéket - más fontos üzleti javakhoz hasonlóan - a szervezet alkalmas módon védi. Az információbiztonság az információt sokféle fenyegetés ellen védi annak érdekében, hogy biztos legyen az üzletmenet folyamatossága, minimális legyen az üzleti kár, valamint hogy maximális legyen az üzlet lehetősége és a beruházások megtérülése.

Az információ biztonságát az jellemzi, hogy megőrzi az információ
a) bizalmasságát: megvédi az információt, hogy csak az férhessen hozzá, aki erre jogosult;
b) sértetlenségét: megvédi az információnak és a feldolgozás módszerének a pontosságát és teljességét;
c) rendelkezésre állását: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz, és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

Az információ biztonságához kapcsolódó témaköröket, védelmi intézkedéseket és módszereket különböző szempontok szerint, sokféleképpen lehet csoportosítani. Ezek egyik csoportosítási módja:

  • Adatvédelem : Az információs rendszerek adatainak elvesztése vagy sérülése elleni védelmet, az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. (Itt elsősorban az információs rendszerek megbízható üzembiztonságának fenntartására kell gondolni.)
  • Adatbiztonság : Az információs rendszerek szándékos rongálásával, vagy az információkhoz illetéktelenek hozzáférésével szembeni biztonságot szolgáló folyamatok, szabályok és intézkedések együttesen.

A biztonság általánosan akkor kielégítő mértékű, ha a védelemre akkora összeget és olymódon fordítunk, hogy ezzel egyidejűleg a felléphető káresemények kockázati értéke (kárérték × bekövetkezési valószínűség) az elviselhető szint alá süllyed. Ki kell azonban hangsúlyozni, hogy a védelemre fordított költségeknek nemcsak az összege, hanem a ráfordítás módja is lényeges, azaz a védelmet teljes körűen és zártan kell kialakítani. A ráfordítás mértékét az elviselhető kockázat mértéke szabja meg, amelyet a kárérték és a bekövetkezési valószínűség osztályok alapján felállított kockázati mátrixban kijelölt elviselhetőségi határ alapján lehet megállapítani. Ezt a határt minden szervezet információbiztonsági vizsgálatánál egyedileg kell meghatározni.

Kiknél indokolt bevezetni és tanúsíttatni az információvédelmi irányítási rendszert:

  • Informatikai cégek, akik szoftverfejlesztéssel, informatikai projektekkel foglalkoznak.
  • Pénzügyi, közigazgatási, hatósági, biztosító szervezetek akik ügyfeleik személyi adatainak kezelésével foglalkoznak.
  • Őrző, védő cégek, akik vagyonvédelemmel, biztonsági és védelmi technológiával foglalkoznak.
  • Logisztikai cégek akik elektronikus úton érintkeznek a partnerükkel.
  • Egészségügyi intézmények, akik betegellátással foglalkoznak.
  • Stb.

 

Mit kell tennie, ha ügyfelünk szeretne lenni?

  • Ha érdekli cégünk ajánlata, a mellékelt elérhetőségeken minden információt megkap tanúsítási menedzsereinktől, illetve egyértelmű elhatározása esetén töltse le az ajánlatkérő lapunkat, majd juttassa el hozzánk. Mi örömmel üdvözöljük ügyfeleink között, és válaszul egy testre szabott ajánlatot küldünk.

A Magyar Szabványügyi Testület MSZ ISO/IEC 27001:2006 szabvány szerinti tanúsítási eljárása lépései.