Hatékonyabb adatvédelem az információbiztonsági intézkedések értékelésére vonatkozó frissített iránymutatásokkal

A szoftvertámadások, a szellemi tulajdon eltulajdonítása csak néhány példa az információbiztonsági kockázatok közül, amelyekkel a szervezetek szemben találhatják magukat, és amelyek következményei nem elhanyagolhatók. A legtöbb szervezet ugyan tesz intézkedéseket információik megóvására, de vajon hogyan tudjuk biztosítani, hogy azok valóban megfelelőek legyenek? A januárban korszerűsített nemzetközi iránymutatás ebben nyújt segítséget.

Bármelyik szervezet számára az egyik legértékesebb dolog az információ. Az adatok elvesztése, valamint a keletkező károk helyreállítása súlyos költségeket rejt az üzletmenet szempontjából, így a meglévő intézkedéseknek szigorúaknak kell lenniük, hogy megfelelő védelmet nyújtsanak, emellett rendszeresen figyelemmel kell kísérni a változó kockázatokat.

Az ISO és a Nemzetközi Elektrotechnikai Bizottság (IEC) kidolgozta az ISO/IEC TS 27008 Informatika. Biztonságtechnika. Irányelvek az információbiztonsági intézkedések értékeléséhez műszaki specifikációt, amely útmutatást ad a meglévő intézkedések/kontrollok értékeléséhez, hogy biztosítani tudják a szándéknak való megfelelőséget, eredményességet és hatékonyságot, valamint a cég célkitűzéseivel való összhangot.

Ezt a dokumentumot nemrég korszerűsítették, hogy összehangolják az új kiadású egyéb szabványokkal az információbiztonság-irányítás kiegészítéseként:

  • ISO/IEC 27000:2018 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Áttekintés és szakszótár;
  • ISO/IEC 27001 Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények;
  • ISO/IEC 27002 Informatika. Biztonságtechnika. Gyakorlati útmutató az információbiztonsági kontrollokhoz/intézkedésekhez.

Az ISO/IEC TS 27008 előnyös minden típusú és méretű szervezet számára, és kiegészíti az ISO/IEC 27001 által meghatározott információbiztonság-irányítási rendszert.

Prof. Edward Humphreys, a szabványt kidolgozó munkacsoport vezetője szerint: „Abban a világban, ahol a kibertámadások nem csak gyakoribbak, de egyre nehezebben észlelhetők és megakadályozhatók, a biztonsági intézkedések rendszeres értékelése és felülvizsgálása szükséges, valamint ezek alapvető elemei legyenek a szervezet üzleti folyamatainak.”
„Az ISO/IEC TS 27008 segít meggyőződni a szervezeteknek, hogy az intézkedéseik eredményesek, elegendőek és az információs kockázataik mérséklődtek.”

A műszaki specifikációt az ISO/IEC JTC 1 Informatika műszaki bizottság SC 27 Informatikai biztonságtechnikákalbizottsága dolgozta ki, melynek titkársági feladatait a DIN látja el.

Forrás: https://www.iso.org/news/ref2367.html

Az ISO által kiadott nemzetközi szabványokat nem kötelező bevezetni nemzeti szabványként, de abban az esetben, ha a gazdaság szereplői igénylik, nincs akadálya nemzeti szabványként való kiadásának. Az ISO/IEC TS 27008:2019 nemzeti szabványként való bevezetésével kapcsolatban keresse munkatársainkat a szabvtit@mszt.hu e-mail-címen.

A szabványok (MSZ EN ISO/IEC 27000:2017, MSZ ISO/IEC 27001:2014 és MSZ EN ISO/IEC 27002:2017) megvásárolhatók az MSZT Szabványboltban vagy megrendelhetők a kiado@mszt.hu e-mail-címen a Megrendelőlap kitöltésével, vagy az MSZT webáruházában.

Az ISO/IEC TS 27008:2019 megrendelhető a kiado@mszt.hu e-mail-címen a Megrendelőlap kitöltésével.

Szalay Anna
Nagy Gábor
2019. április