Mi lehet a cél? - PowerPoint PPT Presentation

slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Mi lehet a cél? PowerPoint Presentation
Download Presentation
Mi lehet a cél?

play fullscreen
1 / 16
Mi lehet a cél?
104 Views
Download Presentation
alec
Download Presentation

Mi lehet a cél?

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Információ Biztonsági Irányítási Rendszer bevezetési és üzemeltetési tapasztalatok(A megtett út: BS 7799-2:1999-től ISO/IEC 27001:2005-ig)Potóczky AndrásPénzjegynyomda Zrt., számítástechnikai o.v.

  2. Mi lehet a cél? • a szervezet kulcsfolyamatainak zavartalan, minimális kockázatú működése • átlátható üzleti és információs folyamatok • rendszerben működő információ bázis • az információ rendelkezésre állásának, sértetlenségének, bizalmasságának biztosítása • fizikai biztonság, humán erőforrás biztonsága • termék, szolgáltatás biztonsága • tulajdonos és külső partnerek követelményeinek való megfelelés

  3. Mit tegyünk ehhez? • a szervezet legfelső vezetőinek személyes elkötelezettsége • személyi és anyagi feltételek megteremtése • üzleti folyamatok felmérése • meglévő szabályzások, dokumentációk megismerése • kockázatelemzés • kockázatok elviselhető szintre történő csökkentése • szabvány szerinti, auditálható rendszer kialakítása, működtetése és annak igazolása

  4. www.iso27001certificates.com

  5. Miért a BS 7799-2-t választottuk? • rendszerszintű szemlélet • bevezethetőségi nyilatkozat • nem csak az informatikára korlátozódik • nem ajánlás, szabvány, amely szerint auditálni lehet • a világ 74 országában 5206 szervezet ezt már felismerte • legkisebb a néhány fős kft, legnagyobb a The Word Bank Group, szerintem… • külsős partnerek felé történő egyértelmű, gyors dokumentálás

  6. Mit engedett meg a BS 7799-2? • bármely eddig megszokott eszköz, munkamódszer, bevált gyakorlat továbbra is alkalmazható • a szabvány előírásainál lehet többet megszervezni és működtetni • meglévő módszerek beintegrálása a BS 7799-2 szerint kialakított Információ biztonsági irányítási rendszerbe • nem engedi meg a szabvány leszűkítését csak az informatikára!

  7. Mit követelnek meg az auditorok? • a teljes információ biztonsági rendszerre történő kiterjedést, amelynek csak egy része az informatika • a felső vezető elkötelezettséget • független, kellő hatalommal bíró irányítást • a szabvány minden pontjának való megfelelést, illetve kizárást • kellőképpen felkészített munkatársakat • több hónapos dokumentált működési gyakorlatot • belső auditorok dokumentált munkáját • stb…

  8. Mi a plusz az ISO/IEC 27001:2005 előírásaiban? • Külső munkavégzők felügyeletének szigorítása • A hatékonyság mérésére mutatószámok bevezetése • Naplóesemények figyelésének szigorítása, dokumentálása, archiválása • Az eddigi ésszerű plusszok megjelenése a szabályzásban.

  9. Mi jelenthet problémát? • a munkatársak és az új belépők tudatlansága • a felső vezetők hatalommal való visszaélése • a munkatársak fásultsága, a fegyelem lazulása • az új folyamatok, illetve a meglévők változásának figyelmen kívül hagyása • a fejlődés elmaradása • a kockázatok alábecsülése

  10. Hogyan fejlődjünk tovább? • kísérjük figyelemmel a szabvány változásait • integráljuk egybe a minőségirányítást, a környezetvédelmi irányítást és az információ biztonsági irányítási rendszert, az egyéb tanúsításokat és a munkavédelmet is • alakítsunk ki közös eljárásokat, munkautasításokat, véletlenül se szervezzük keresztbe a többi rendszert • alakítsunk ki a rendszereket közös szemléletben irányító Integrált Vállalat Irányítási Tanácsot • az auditorokat és a munkatársakat rendszeresen képezzük tovább, külön figyelmet fordítva a vezetőkre

  11. Mit tett ebből a Pénzjegynyomda Zrt? • 2003. nyarán megalakította az Integrált Vállalat Irányítási Tanácsot, amely azóta is folyamatosan működik • 2004. nyarán újra auditáltatta BS 7799-2:1999 szerinti Információ biztonsági irányítási rendszerét és megkapta a BS 7799-2:2002 szerinti tanúsítását • 2006. nyarára átállította rendszerét az ISO/IEC 27001:2005-ös szabvány előírásainak megfelelően és ezt a tanúsítást is megszerezte.

  12. Mik egy működő Információ Biztonsági Irányítási Rendszerben a fellazulás jelei? • Az elkényelmesedés • A pozíció harcok • A felelősségre vonás hiánya • A mindentudás hiú ábrándja • A szabályzás és a mindennapos gyakorlat egymástól történő eltávolodása

  13. Hová vezet, ha ezt időben nem korrigáljuk? • A belső auditok nem megfelelőségei • A külső auditok nem megfelelőségei • A tanúsítás megvonása • Külső auditor és az őt ellenőrző auditok összefüggése • A minősítés elvesztésének hatásai

  14. Meddig lehet a rendszert szigorítani és lehet-e túlszabályozni? • Mit ír elő a szabvány? Mit vár az auditor? • Miért nem vesszük lazábbra? • Növekednek-e napi feladataink? • Mit tesz Általános János, ha összecsapnak a feje felett a hullámok? • A szabályzás és a napi gyakorlat egymásra gyakorolt hatásai.

  15. Kérdések és válaszok • mobil: 06-30-311-8818 • e-mail: potoczky.andras@pjrt.hu • Köszönöm megtisztelő figyelmüket!