Az információbiztonság irányítási rendszerének (ISMS) MSZ ISO/IEC 27001:2014 szerinti tanúsítása

Ajánlatkérő lap

ISMS tanúsítás lépései 

Az információk biztonsága sok szervezet érzékeny pontja. Egy kis hézag az információbiztonsági rendszerben gyakran nyílt támadási felületet jelent a potenciális támadások számára és ez a szervezetet velejéig megrendítheti. A világ sűrű behálózottsága, az elektronikus kereskedelem, az ipari kémkedés, a globális vírustámadások, vagy éppen a nemzetközi katasztrófák, drámaian egyértelművé tették a magas színvonalú információbiztonsági irányítási rendszerek szükségességét.

Az információ – egyik meghatározása szerint – értelemmel bíró adat és ennek megfelelően igen sokféle formában, különböző adathordozókon létezhet. Lehet például papírra nyomtatva vagy leírva, elektronikusan tárolva, postán vagy elektronikus eszközökkel továbbítva, filmen bemutatva, vagy beszélgetés során hangban megjelenítve. Bármilyen formában is jelenjen meg, tárolják vagy továbbítják az információt, mindenképpen ajánlatos, hogy megfelelően védve legyen.

Az információ olyan vagyon, amelynek értéke van, és ezt az értéket – más fontos üzleti javakhoz hasonlóan – a szervezetnek alkalmas módon védenie kell. Az információbiztonság az információt sokféle fenyegetés ellen védi annak érdekében, hogy biztos legyen az üzletmenet folyamatossága, minimális legyen az üzleti kár, valamint maximális legyen az üzlet lehetősége és a beruházások megtérülése.

Az információ biztonságát az jellemzi, hogy megőrzi az információ

a) bizalmasságát: megvédi az információt úgy, hogy csak az férhessen hozzá, aki erre jogosult;
b) sértetlenségét: megvédi az információ és a feldolgozás módszerének pontosságát és teljességét;
c) rendelkezésre állását: gondoskodik arról, hogy amikor a jogosult használónak szüksége van rá, valóban hozzá tudjon férni a kívánt információhoz és rendelkezésre álljanak az ezzel kapcsolatos eszközök.

Az információ biztonságához kapcsolódó témaköröket, védelmi intézkedéseket és módszereket különböző szempontok szerint, sokféleképpen lehet csoportosítani. Ezek egyik csoportosítási módja:

  • Adatvédelem: az információs rendszerek adatainak elvesztése vagy sérülése elleni védelmet és az adatok folyamatos rendelkezésre állását biztosító szabályzatok, folyamatok és megoldások. (Itt elsősorban az információs rendszerek megbízható üzembiztonságának fenntartására kell gondolni.)
  • Adatbiztonság: az információs rendszerek szándékos rongálásával, vagy az információkhoz illetéktelenek általi hozzáférésével szembeni biztonságot szolgáló folyamatok, szabályok és intézkedések együttese.

A biztonság általánosan akkor kielégítő mértékű, ha a védelemre akkora összeget és oly módon fordítunk, hogy a felléphető káresemények kockázati értéke (kárérték × bekövetkezési valószínűség) az elviselhető szint alá süllyedjen. Hangsúlyozni kell azonban, hogy a védelemre fordított költségeknek nem csak az összege, hanem a ráfordítás módja is lényeges, azaz a védelmet teljes körűen és zártan kell kialakítani. A ráfordítás mértékét az elviselhető kockázat mértéke szabja meg, amelyet a kárérték és a bekövetkezési valószínűség osztályai alapján felállított kockázati mátrixban kijelölt elviselhetőségi határ alapján lehet megállapítani. Ezt a határt minden szervezet információbiztonsági vizsgálatakor egyedileg kell meghatározni.

Az információbiztonság-irányítási rendszer kockázatkezelési folyamat segítségével őrzi meg az információk bizalmasságát, sértetlenségét és rendelkezésre állását, és az érdekelt felekben bizalmat kelt a tekintetben, hogy a kockázatokkal kielégítő módon foglalkoznak.

Az információbiztonság-irányítási rendszer kialakítása egy szervezet számára stratégiai döntés.

Alkalmazási terület: szándék szerint minden szervezetre alkalmazható, tekintet nélkül azok típusára, méretére vagy jellegére.

Hol indokolt elsősorban bevezetni és tanúsíttatni az információvédelmi irányítási rendszert?

  • Informatikai és telekommunikációs cégek, amelyek szoftverfejlesztéssel, informatikai és telekommunikációs projektekkel foglalkoznak;
  • pénzügyi, közigazgatási, hatósági, energetikai, biztosítószervezetek, amelyek ügyfeleik személyi adatainak kezelésével foglalkoznak;
  • őrző-védő cégek, amelyek vagyonvédelemmel, biztonsági és védelmi technológiával foglalkoznak;
  • logisztikai cégek, amelyek elektronikus úton érintkeznek partnerükkel;
  • egészségügyi intézmények, amelyek betegellátással foglalkoznak;
  • szolgáltatók (pl. takarító, szállítmányozó  cégek).

Az MSZ ISO/IEC 27001:2014 sze­rint mű­köd­te­tett és tanúsított rend­szer elő­nyei:

  • új üzlet elnyerése olyan beszerzési előírások esetén, amelyek feltételül előírják a tanúsítást;
  • az ügy­fe­lek bi­zal­mának meg­te­rem­tése, illetve elnyerése azáltal, hogy személyes adataikat a kockázatok csökkentésével védik;
  • az üzletfolytonosság megteremtése azáltal, hogy a rendszer bevezetése hosszabb távon jelentősen csökkentheti a költségeket és rendelkezésre fog állni a kritikus pillanatokban is.

Egy szervezet információbiztonsági irányítási rendszerének követelményeknek való megfelelőségét az MSZ ISO/IEC 27001 szabvány szerinti tanúsíttatással érheti el.

Fő változások a szabvány korábbi kiadásához, az MSZ ISO/IEC 27001:2006 szabványhoz képest

A felülvizsgálatkor a szabvány kidolgozói nemcsak a tartalomra vonatkozó felhasználói vélemények beillesztésére törekedtek, hanem a különböző irányítási rendszerek integrációjának megkönnyítésére is. Ezért az új szabvány a felépítés egységesítése révén a több irányítási rendszert is működtető szervezetek számára jelenti a legnagyobb előnyt. Az irányítási rendszerszabványok általános HLS- (high-level structure)  szerkezetét, közös szakkifejezéseit és szövegrészeit az ISO/IEC Direktívák 1. részének SL melléklete tartalmazza (www.iso.org/directives).
Az új szabvány alapja az integrált megközelítés.

Terjedelme a régi 8 helyett 10 fejezet,  az A melléklet 15 helyett 18 fejezet terjedelmű.

A szabvány fő tartalmi változásai:

  • a szervezet környezetének megértése;
  • az érdekelt felek igényeinek és elvárásainak megértése;
  • a kockázatokkal és a lehetőségekkel kapcsolatos tevékenységek;
  • a vezetés szerepének erősödése;
  • új fejezetek (6.2. Információbiztonsági célok és az elérésük megtervezése, 7.4. Kommunikáció, 8.1. Működéstervezés és -felügyelet);
  • dokumentált információ (dokumentum és feljegyzés helyett).

Fő változások az A melléklet szerinti intézkedési célokban és intézkedésekben:

  • új fejezetek (például A10. Titkosítás, A13. A kommunikáció biztonsága, A15. Szállítói kapcsolatok);
  • az intézkedési célok száma 39-ről 35-re csökkent;
  • az intézkedések száma 133-ról 114-re csökkent.

Mit kell tennie, ha ügyfelünk szeretne lenni?

Ha érdekli ajánlatunk, elérhetőségeinken minden információt megkap tanúsítási menedzsereinktől, és ha elhatározása egyértelmű, kérjük, töltse ki ajánlatkérő lapunkat, majd juttassa el hozzánk. Örömmel üdvözöljük ügyfeleink között, és válaszul testre szabott ajánlatot küldünk.

Kapcsolattartók:

Szalai Lívia, Tanúsítási Titkárság főosztályvezetője
tel: 06 1 456-6934
e-mail: l.szalai"kukac"mszt.hu

Radosiczky Márta, tanúsítási menedzser
tel: 06 1 456-6984
e-mail: m.radosiczky"kukac"mszt.hu