MSZ ISO/IEC 27001:2014 (ISO/IEC 27001:2013)
InformációBiztonság Irányítási Rendszer (IBIR)

A cég információinak biztonsága mindig fontos kérdés, hagyományosan lépéseket tesznek a

  • kiszivárgás,
  • csalás,
  • lopás vagy
  • bármely más, az információval történő visszaélés megelőzése érdekében.

Manapság, amikor a számítógép egyre komolyabb szerepet játszik életünkben,

  • az információs biztonságtechnika új értelmet nyer.

A mindennapi üzleti életben sok ember dolgozik a saját feladatán,

  • tárol adatokat,
  • őriz feljegyzéseket,
  • tart fenn adatbázisokat,
  • tölt le információt az Internetről és
  • végez bizalmas munkát.

Kéz a kézben a mai technológiával,

  • növekszik a biztonsági kockázat a mindennapi munkában, és ezek
  • nem mindig a legszembetűnőbb fenyegetések.

Természetesen fennáll az esélye, hogy

  • magát a munkát lopják el, de
  • elveszhetnek az adatok, ha a
  • hardware-t ellopják, ha
  • feltörik a számítógépes rendszert,
  • vírus fertőzheti meg, valamint a
  • rendszerhibák és leállások, áramszünetek,
  • az adathordozók meghibásodása és természetesen a
  • tűz mind-mind információvesztéshez vezethet.

Az Információbiztonság irányítási rendszer célja, hogy

  • biztosítsa az üzleti folytonosságot, hogy
  • csökkentse biztonsági incidensekből származó anyagi kárt
  • azok hatásának megelőzésével vagy
  • minimalizálásával.

ISO/IEC 27001:2013 a szervezetek minden típusára vonatkozik pl.:

  • kereskedelmi vállalatokra,
  • kormányzati hivatalokra,
  • nem profitérdekelt szervezetekre.

ISO/IEC 27001:2013 követelményeket határoz meg

  • dokumentált IBIR kialakítására,
  • bevezetésére,
  • működtetésére,
  • figyelemmel kísérésére,
  • átvizsgálására,
  • fenntartására és
  • fejlesztésére szoros összefüggésben a szervezet általános működési kockázataival.

Követelményeket határoz meg

  • olyan biztonsági intézkedések megvalósítására, amelyeket
  • az egyes szervezetek, vagy
  • azok részeinek igényeire szabtak.

Az IBIR rendeltetése, hogy

  • biztosítsa a megfelelő és arányos biztonsági intézkedések kiválasztását, amelyek
  • védik az információs vagyontárgyakat és
  • bizalmat keltenek az érdekelt felekben.

Főbb témakörök, amelyek az ISO/IEC 27001:2013 rendszer részét képezik

I., A SZERVEZET ÉS KÖRNYEZETE

  • A szervezetnek és környezetének megértése
  • Az érdekelt felek igényeinek és elvárásainak megértése
  • Az információbiztonság-irányítási rendszer alkalmazási területének meghatározása
  • Információbiztonság-irányítási rendszer

II., VEZETÉS

  • Vezetői képesség és elkötelezettség
  • Irányelv
  • Szervezeti szerepek, felelősségek és hatáskörök

III., TERVEZÉS

  • A kockázatokkal és lehetőségekkel kapcsolatos tevékenységek
  • Információbiztonsági célok és az elérésük megtervezése

IV., TÁMOGATÁS

  • Erőforrások
  • Felkészültség
  • Tudatosság
  • Kommunikáció
  • Dokumentált információ

V., MŰKÖDÉS

  • Működéstervezés és -felügyelet
  • Az információbiztonsági kockázatok felmérése
  • Az információbiztonsági kockázatok kezelése

VI., TELJESÍTMÉNYÉRTÉKELÉS

  • Megfigyelés, mérés, elemzés és értékelés
  • Belső audit
  • Vezetőségi átvizsgálás

VII., FEJLESZTÉS

  • Nemmegfelelőség és helyesbítő tevékenységek
  • Folyamatos fejlesztés

Az ISO/IEC 27001:2013  –  A.) mellékletének főbb követelményei

A./1. Információbiztonsági irányelvek

  •  Az információbiztonság vezetői irányítása

A./2.Az információbiztonság szervezete

  • Belső szervezet
  • Mobil eszközök és távmunka

A./3. Az emberi erőforrások biztonsága

  • A munkaviszony kezdete előtt
  • A munkaviszony fennállása során
  • A munkaviszony megszűnése és megváltozása

A./4.Vagyonelemek kezelése

  • A vagyonelemekért viselt felelősség
  • Információosztályozás
  • Adathordozók kezelése

A./5. Hozzáférés-felügyelet

  • A hozzáférés-felügyelettel kapcsolatos üzleti követelmények
  • A felhasználói hozzáférések kezelése
  • Felhasználói felelősségek
  • Rendszer- és alkalmazás-hozzáférés felügyelete

A./6. Titkosítás

  •  Titkosítási intézkedések

A./7. Fizikai és környezeti biztonság

  • Biztonsági területek
  • Berendezés

A./8. Az üzemelés biztonsága

  • Üzemeltetési eljárások és felelősségek
  • Védelem a rosszindulatú szoftverek ellen
  • Mentés
  • Naplózás és megfigyelés
  • Az üzemelő szoftverek felügyelete
  • A műszaki sebezhetőségek felügyelete
  • Az információs rendszerek auditálásával kapcsolatos megfontolások

A./9. A kommunikáció biztonsága

  •  A hálózatbiztonság biztosítása
  • Információátvitel

A./10. Rendszerek beszerzése, fejlesztése és karbantartása

  • Az információs rendszerek biztonsági követelményei
  • Biztonság a fejlesztési és támogatási folyamatokban
  • Tesztadatok

A./11. Szállítói kapcsolatok

  • Információbiztonság a szállítói kapcsolatokban
  • A szállítói szolgáltatásnyújtás irányítása

A./12. Az információbiztonsági incidensek kezelése

  • Az információbiztonsági incidensek és javítások kezelése

A./13. A működésfolytonosság biztosításának információbiztonsági vonatkozásai

  • Az információbiztonság folytonossága
  • Tartalékok

A./14.Megfelelés

  • Megfelelés a jogi és szerződéses követelményeknek
  • Információbiztonsági vizsgálatok

Az ISO/IEC 27001:2013 rendszer főbb előnyei

  1. ) Az ISO/IEC 27001 szerinti tanúsítás növeli vállalata tekintélyét.
  2. ) Világosan megmutatja információinak hitelességét és az információbiztonság fenntartása iránti tényleges elkötelezettségét.
  3. ) Az IBIR létrehozása és tanúsíttatása a vállalati kultúrát is megváltoztathatja: új üzleti lehetőségeket nyithat a biztonságra figyelő vevők vagy ügyfelek megnyerésével, valamint javíthatja az alkalmazottak morálját és a bizalmasság felismerését a munkahelyen.
  4. ) Lehetővé teszi az információbiztonság betartatását, így csökkenti a csalás, valamint az adatok elvesztésének és felfedésének kockázatát.

Ha még nem kezdtétek el

  • az ISO/IEC 27001:2013 rendszer kiépítését vagy
  • fontolgatjátok megvalósítását, vagy
  • az eddigi kísérlet nem vezetett eredményre,
  • esetleg meglévő rendszereteket szeretnétek fejleszteni, vagy
  • bővebb ismeretanyagra van szükségetek,

akkor kattints ide és jelezd bátran, ha konzultálni, megoldást szeretnél találni a fenti témában kérdéseidre.

Az ISO/IEC 27001:2013 rendszert szeretnéd megvalósítani, működtetni, vagy fejleszteni, de
nincs kellő ismereted?

Jogosultságot szeretnél szerezni az ISO/IEC 27001:2013 belső auditok elvégzésére?

Ha bármelyik is felmerül, kattints ide, és választhatsz az ISO/IEC 27001:2013 kapcsolatos képzési programunkból is.

Képzéseink

Ajándékok letöltése, újdonságok, szakmai témák automatikus értesítőjére feliratkozás >>

Jooble – Mérnöki álláslehetőségek

Rólunk mondták

"Balázs Árpád nagyon felkészülten, következetesen oktató. Remekül világított rá az oktatott szabvány lényeges pontjaira, tételeire."

Csorba Máté
www.tshungary.hu

"Melegen tudom mindenkinek ajánlani, mert rugalmas, átfogó és mindenre választ ad, amire kíváncsi vagy."

Kissné Farkas Márta
Haslinger Kft.

"Figyelemmel kísérhető, gyakorlatias képzés, rutinos előadó."

Fülöp Gyula
www.chemark.hu

"Hatékony és összefogott képzésen vehettem részt, amiből "sütött" a szakmai hozzáértés. Sok szerencsét kívánok, csak így tovább."

Méhes Ernő
munkabiztonsági tanácsadó

"A képzés megfelelően összeállított programja, felkészült előadója és a jó gyakorlati példák által válaszokat kaptam az ISO/TS-sel kapcsolatos "Hogyan"-okra és Miért"-ekre"

Holló Gergely

"Sok hasznos, gyakorlatban alkalmazható infót kaptam."

Perdi Szilvia
www.innocomp.hu

"Remek lehetőség a tapasztalatcserére is."

Schell Tamás
Kőolajvezetéképítő Zrt.

"Bátran ajánlom azoknak. akik rendszerismeretüket komplex módon kívánják fejleszteni és ez irányú ismereteiket mélyíteni kívánják."

Fekete Attila
Minőségház Bt.

"Nem igazi képzés, annál sokkal több, jó hangulatú tapasztalatcsere, ami messze nem a száraz tények felsorolásáról szól, aktuálissá téve személyre szóló példákkal."

Kiszela István
Sárvári Gyógyfürdő Kft.

"A téma egy olyan bemutatásában volt részem, amit nem gondoltam volna, hogy ilyen érdekesen és emberközpontúan is meg lehet közelíteni, kiegészítve számos példával és magyarázó értékelésekkel."

Ujvári Gergely
www.norgen.hu

Ajándékok letöltése, újdonságok, szakmai témák automatikus értesítőjére feliratkozás >>