ISO 27001 / TISAX /
DORA / MNB ajánlás
Információbiztonsági és kiberbiztonsági tanácsadás és felkészítés tanúsításra
Támogatunk a bevezetéstől a tanúsításig! ezért 100% a tanúsítvány! lépésről lépésre!
ISO 27001 / TISAX / DORA / MNB ajánlás szerinti információbiztonsági és kiberbiztonsági rendszer kialakítás, tanácsadás és felkészítés tanúsításra
Milyen szabvány az ISO/IEC 27001:2013?
Az információbiztonság irányítási rendszerek bemutatása és szükségszerűsége
Manapság szinte naponta halljuk a mondást, hogy „az adat az új olaj„, legyen az egy szakmai konferencia vagy egy baráti beszélgetés, de vajon elgondolkozunk-e ilyenkor, hogy a mi vállalatunk számára mi számít értékes adatnak vagy egyáltalán mi az az információs vagyon amit meg kell védenünk? Napjainkban már nincs olyan vállalat, akinek ne lenne olyan adata és információja, amit ne szeretne megvédeni az illetéktelen személyektől, vállalatoktól vagy akár a konkurenciájától.
A teljes mértékben IT rendszerekre támaszkodó üzleti folyamatok, a globális hálózatok és az együttműködési rendszerek elterjedése kapcsán azonban jelentősen emelkedik a helytelenül vagy hibásan bevezetett IT rendszerek száma, ezáltal pedig exponenciálisan növekednek a veszélyeztetett informatika-alkalmazások és az üzletmenetfolytonosság. Azt a vállalatot aki nem vesz ezekről tudomást, azonban ugyanúgy fenyegeti a kiberbűnözés, a vírusprogramok, a trójai falovak vagy spam levelekről szóló hírek, melyek élesen rávilágítanak a növekvő kockázatokra.
Egy megfelelően előkészített, bevezetett és működtetett információbiztonság irányítási rendszer abban nyújt hatalmas segítséget, hogy a teljes vállalati működést és annak minden üzleti folyamatának a védelmi szintjét tudja emelni a kialakított biztonsági kontrollok által.
Ahhoz azonban, hogy a kor elvárásainak megfelelő védelmet tudjunk biztosítani információink számára elengedhetetlen egy tervezett és működtetett irányítási rendszer, mely számba veszi a kockázatokat, a kritikus üzleti folyamatokat, a bevezetendő kontroll intézkedéseket, a rendszeres belső ellenőrzéseket, stb. mely intézkedések által a biztonság tudatosság is jelentősen növelhető nem csak a szervezeten belül hanem a vállalat vevői felé is.
Az információ védelem és az informatikai biztonság növelése komplex feladat, hiszen több informatikai terület (hálózati szakemberek, fejlesztők, rendszerüzemeltetők stb.) és egyéb más terület (jog, adatvédelem, üzleti szereplők stb.) együttműködésére van szükség a megfelelő szintű biztonsági rendszer bevezetése érdekében.
Annak érdekében, hogy az egyes területeket összehangoljuk továbbá a világ bármelyik helyén megjelenő vevő – szállító párosok egységes követelmény rendszert tudjanak használni, ezért létrehozták az ISO 27001 / TISAX szabványokat, melyeket a megfelelő bevezetésük után tanúsítani is lehet.
Miért fontos az információbiztonság? A vállalatom is veszélyben van?
Információbiztonság fogalma és elvei
Mielőtt a kérdésre válaszolunk nézzük meg mi is az az információbiztonság. Annyira nem elvont fogalom mint elsőre gondolnánk…
Védelem vs biztonság:
A legfontosabb definíciók, amelyet manapság használnia kell minden felhasználó vagy vállalat számára egyértelműen a védelem és a biztonság fogalma.
A védelem olyan kontroll tevékenység, illetve kontroll tevékenységek sorozata, amely arra irányul, hogy megteremtse, szinten tartsa, fejlessze azt az állapotot, amit biztonságnak nevezünk. Tehát a védelem tevékenység, amíg a biztonság állapot!
A biztonság nem teremthető meg pusztán termékek és/vagy szolgáltatások megvásárlásával, hanem minden esetben a szervezet életébe beépülő folyamatnak kell lennie. Ne felejtsük el ma már a kiber bűnözés nagyobb üzlet, mint az egyéb hagyományos illegális tevékenységek és a bűnözők és az általuk működtetett IT robotok nem válogatnak, MINDEN vállalat VESZÉLYBEN VAN!
Fontos alapvetés:
Ha az összes, fenyegetésnek kitett rendszerelemet a kockázattal arányosan kiépített védelemmel látjuk el, akkor az informatikai biztonságot olyan szintre emeltük, amelynél az adott valószínűségű támadások mellett a káresemények bekövetkezésének valószínűsége lényegesen alacsonyabb, azaz a kockázat elviselhető mértékű, de soha nem nulla.
Milyen előnyökkel jár, ha felkészülünk az ISO 27001 / TISAX / MNB ajánlás szerint?
Biztonság növelése a vállalati folyamatok során
A legjelentősebb tény, hogy a rendszer kialakításával az információbiztonság hatalmas fejlődésen megy keresztül érintve a teljes informatikai rendszert és a vállalat által üzemeltetett üzleti folyamatokat.
Magasabb vevői bizalom és biztonság érzet
Az információk védelme első sorban a vállalatok felelőssége!
A vállalat biztonsági szintjének növeléséhez minden érintett szakmai területnek proaktív módon hozzá kell járulnia és fejleszteni kell azt, ehhez nyújt segítséget egy ISO 27001 vagy egy TISAX szabvány alapján kialakított és megfelelően bevezetett információbiztonság irányítási rendszer.
Biztonság tudatosság növelése a munkatársakban és akár a beszállítókban is
A rendszer bevezetésével hozzájárulunk mind a vezetői mind pedig a munkatársi elkötelezettség és biztonság tudatosság növeléséhez a teljes szervezeten belül.
Az üzleti folyamatokon keresztül pedig a bizalmasság, sértetlenség, hitelesség és rendelkezésre állás biztosításához. Másod sorban pedig a folyamatos ellenőrzés és felügyelet által a megfelelés kultúráját építjük be a szervezetbe, így magasabb szintű szervezeti kultúrába helyezheti az antikorrupciós irányítási rendszer.
Compliance – Jogi megfelelőség
A legtöbb jogrend bünteti a kiber bűnözésben való részvételt, a természetes személyek mellett pedig egyre gyakoribb a szervezetek felelősségre vonása is. Az információbiztonsági politika és az azt támogató irányítási rendszerek (ISO 27001 vagy TISAX) segítik a szervezetet abban, hogy elkerülje, vagy legalább a lehető legkisebbre csökkentse a biztonsági hiányossága miatt okozott költségeket, kockázatokat és károkat. Más szóval segítse megerősíteni az üzleti tevékenység iránti bizalmat és növelje a szervezet jó hírnevét.
A szabvány egyaránt alkalmazható kis, közepes és nagy méretű szervezetekre, akár a közszférában, akár a magánszférában vagy a nonprofit ágazatban végzik tevékenységüket.
Egy ISO 27001 / TISAX szerinti tanúsítvány hatalmas versenyelőny!
Az ISO 27001 / TISAX szerinti tanúsítások jelenleg még ritkábbak és kevésbé elterjedtek a teljes globális piacon a többi irányítási rendszer (ISO 9001, ISO 27001, ISO 14001 stb.) tanúsításhoz képest, ezért az a vállalat aki úgy dönt, hogy megszerzi a tanúsítványt hatalmas verseny előnyre tesz szert a konkurenciájával szemben.
Az informatikai térnyerésével egyre nagyobb igényként jelentkezik az egyes vállaltoknál a vevők részéről, hogy rendelkezzenek ilyen tanúsítással, hiszen a vevőnek ugyanolyan érdeke, hogy ne csak ő maga gondoskodjon az információk védelméről hanem a beszállítói / alvállalkozói is.
Növelje vállalata bizalmát vevőiben ISO 27001/TISAX tanúsítvánnyal!
Bizonyítsa elkötelezettségét!
Egyre több vevő ma már elvárja a saját beszállítóitól is azt, hogy tegyen meg minden lehetséges lépést annak érdekében, hogy megelőzze az információk illetéktelenekhez kerülését, ezzel csökkentve a vevő kockázatát is.
Azáltal, hogy egy vállalat bevezeti és tanúsíttatja az ISO 27001 vagy a TISAX szerint kiépített információbiztonsági irányítási rendszerét, egyben jelentősen fokozza is a bizalmat a vállalata irányába.
Milyen szabványoknak / ajánlásoknak kell megfelelnem?
Napjainkban egyre több és egyre szerteágazóbb szabványok és ajánlások jelennek meg, melyeknek meg kell felelniük az egyes vállalatoknak. Igen, de melyek ezek?
Tekintsük át a fontosabbakat (Figyelem ez nem egy teljeskörűségre törekvő lista!)
- MSZ ISO/IEC 27001:2014 – Informatika. Biztonságtechnika. Információbiztonság-irányítási rendszerek. Követelmények – Information technology. Security techniques. Information security management systems. Requirements
- MSZ EN ISO/IEC 27002:2017 – Informatika. Biztonságtechnika. Gyakorlati útmutató az információbiztonsági kontrollokhoz/intézkedésekhez (ISO/IEC 27002:2013, tartalmazza a 2014. évi 1. és a 2015. évi 2. helyesbítést) – Information technology. Security techniques. Code of practice for information security controls (ISO/IEC 27002:2013 including Cor 1:2014 and Cor 2:2015)
- ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection — Information security controls
- MSZ EN ISO/IEC 27007:2022 – Információbiztonság, kiberbiztonság és a magánélet védelme. Irányelvek az információbiztonság-irányítási rendszerek auditálásához (ISO/IEC 27007:2020) – Information security, cybersecurity and privacy protection. Guidelines for information security management systems auditing (ISO/IEC 27007:2020)
- ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines
- ISO/IEC 27017:2015 – Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services
- ISO/IEC 27005:2018 – Information technology — Security techniques — Information security risk management
- 8/2020. MNB ajánlás az informatikai rendszer védelméről
- 4/2019. MNB ajánlás a közösségi és publikus felhőszolgáltatások igénybevételéről
- 11/2020. MNB ajánlás a pénzügyi szervezetek működésének fizikai biztonsági és humánkockázatkezelési feltételeiről
- 12/2020. MNB ajánlás a távmunka és távoli hozzáférés informatikai biztonsági követelményeiről
- 7/2020. MNB ajánlás a külső szolgáltatók igénybevételéről
- 12/2022. MNB ajánlás a belső védelmi vonalak kialakításáról és működtetéséről, a pénzügyi szervezetek irányítási és kontroll funkcióiról
- NIST SP 800-53 Rev. 4 – Security and Privacy Controls for Federal Information Systems and Organizations
- ISO 15408-1:2009 – Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model.
Hogyan történik a rendszer kialakítása? Mi mindenben segítünk!
Így néz ki egy IdeSol projekt:
Projekt indítás
Vezetői elvárások
Helyzetfelmérés
Folyamatok kialakítása
Bevezetés
Tanúsítás
Projekt START – A projekt kereteinek és körülményeinek megismerése:
A projekt sikeres befejezéséhez szükséges működési keretek meghatározása:
- a projekt céljainak meghatározása és kommunikációja a szervezeten belül,
- a projekt indulásának és határidejének meghatározása,
- a projekt főbb mérföldköveinek kijelölése,
- a célok teljesülését biztosító eredmény termékek meghatározása,
- az IdeSol résztvevő szakértőinek kijelölése és bemutatása a vevő részére,
- a megbízó részéről az üzleti folyamatokat jól ismerő munkatársak kijelölése és bemutatása az IdeSol projekt tagok részére,
- megállapodás a projekt kommunikációs módszereiről.
Menedzsment elvárások megismerése a projekttel kapcsolatosan:
A projekt feladat szakszerű megoldásához – a vállalat irányításával és működésével kapcsolatos vezetői szintű információk rendelkezésre állása érdekében – első lépésként a vállalati stratégia, valamint a menedzsment elvárások megismerése szükséges.
A stratégiai szintű információk rendelkezésre állása majd az előzetes vezetői körben végzett helyzetfelmérés eredményei alapján állítható össze az az elvárt folyamatmodell (fő- és támogató folyamatok, folyamatszakaszok köre, kapcsolódásaik) mely a jövőben várható folyamatokkal együtt képes működni a kitűzött célok elérése érdekében.
Előkészítés, helyzetfelmérés és a követelmények / elvárások összevetése a jelenlegi helyzettel:
A projekt harmadik lépéseként részletes helyzetfelmérés során kerül sor az érintett folyamatok átvilágítására, továbbá a már meglévő szabályozások és dokumentációk felülvizsgálatára és előzetes szakértői értékelésére.
A helyzetfelmérés során az IdeSol a Megbízó igényeit maximálisan figyelembe véve kérdőíves-, helyszíni- és dokumentum-felülvizsgálat segítségével értékeli a folyamatok / tevékenységek jelenlegi helyzetét. A helyzetfelmérés során tanácsadóink átvizsgálják a Megbízó érvényben lévő szabályzatait és bizonylatait, majd ezt követően, előzetesen egyeztetett időpontokban felkeresik a kulcsterületeken dolgozó felelős munkatársakat és az érintett alvállalkozókat, akik biztosítják a felülvizsgálók számára szükséges információkat.
A folyamatok és az irányítási rendszer elvárásoknak megfelelő kialakítása:
Politika és célok: Az irányítási politika szolgáltat alapot a szervezet irányítási céljai számára. A célok megvalósítását biztosítják az intézkedési tervek, melyek tartalmazzák az eléréshez elvégzendő feladatokat, a megvalósítás ütemtervét és forrásigényét.
Folyamatok és szabályozások: Ebben a fázisban történik az irányítási rendszer alapdokumentumainak és szabályozásainak / folyamatábráinak elkészítése. Ezek a dokumentumok a szabványok, előírások és jogszabályok továbbá a vállalatvezetés elvárásait kielégítő irányítási, működési követelményeket foglalják rendszerbe (a meghatározott rendszerintegrálási stratégia szerint).
Rendszer bevezetése, folyamatok pontosítása és finomítása:
A bevezetés az elkészült és jóváhagyott szabályozásokban leírt rendszer működési feltételeinek megteremtését, annak hatékony működtetését biztosítja a következők szerint:
- Bevezetési ütemterv pontosítása és elfogadása.
- Érintett munkatársak tájékoztatása és felkészítése (oktatása).
- Szabályozások kiadása, a próbaműködtetés elrendelése és felügyelete.
- A működés ellenőrzése, a szükséges pontosítások és finomítások meghatározása és elvégzése.
- Pontosított dokumentumok és bizonylatok kiadása, a folyamatos működtetés megkezdése.
- Belső auditok végrehajtása, a feltárt nemmegfelelősségek javításának elindítása.
- Vezetőségi átvizsgálás végrehajtása, a rövid és középtávú célok meghatározása.
Tanúsítás, majd projektzárás
A sikeres bevezetést követően kerül sor az IdeSol tanácsadójának támogatása mellett a független és akkreditált tanúsító kiválasztására, majd megbízása után a tanúsíttatás végrehajtására.
A tanúsítás során esetlegesen felmerült nemmegfelelősségeket / fejlesztési javaslatokat a tanácsadó a megbízóval közös konzultációt követően javítja.
A javítások elfogadását követően tekintjük lezártnak a projektet.
Rólunk mondták:
Kiváló az együttműködésünk évek óta, bármilyen problémával is kerestük meg őket mindig tudtak javasolni valamilyen megoldást!
A tanácsadók felkészültségében és szerte ágazó iparági ismeretükben még sosem csalódtunk, mindig szívesen dolgozunk együtt velük.
Nem csak a szerződéses teljesítésre figyeltek, hanem felhívták a figyelmünket olyan területekre is ami a projekten kívül esett.
MIÉRT VÁLASSZ MINKET?
Vevő központúság
Vevő igényeinek pontos és mélyreható megismerése, több szemszögből vizsgálva az üzleti problémákat.
Projektmenedzsment
Folyamatosan kézben tartott projekt menedzsment, rendszeres időközönkénti prezentálás a menedzsment felé az előrehaladásról.
Szakértelem
Professzionálisan képzett, felkészült és nagy tapasztalattal rendelkező tanácsadók. Multidiszciplináris tanácsadói csapat és feladat végre hajtás.
Kommunikáció
Rendszeres és döntést támogató kommunikációk csatornák a vállalat vezetősége, a projektben érintett munkatársak és a tanácsadók között.
Kockázat menedzsment
Megbízó munkatársaival közösen végrehajtott kockázatelemzés és értékelés a projekt méretétől és irányúltságától függően.
Tervezés
Határidők folyamatos nyomonkövetése és pontos tartásának figyelése. A hatékonyság növelése érdekében a célok folyamatos kiértékelése.
Éve már a vevőkért
Sikeresen lezárt projekt
%
Vevői elégedettség
Tanácsadói év tapasztalattal
AKIK MÁR ELÉGEDETT ÜGYFELEINK
TUDOM MIT AKAROK!
VEGYÉTEK FEL VELEM A KAPCSOLATOT!
MUNKATÁRSAINK