"Hittel tedd meg az első lépést! Nem kell hozzá látnod az egész lépcsőt, csak az első lépcsőfokot." - Távol-keleti bölcsesség

Az információ érték! Ez a kijelentés a mai üzleti világunkban még hangsúlyosabb értelmezést kap, hiszen a vállalatok információ vagyonának meghatározó része már csak digitális formában kerül rögzítésre, tárolásra, továbbításra, azaz a teljes vállalat működése már az IT-re alapozott. Nem mindegy tehát, hogyan kerül kialakításra, hogyan működtetik a szervezet informatikáját, és az hogyan támogatja és biztosítja az információvédelmet.

A nemzetközi szabványon nyugvó ISMS/IBIR szabályozási, ellenőrzési, dokumentálási funkcióirévén megteremti a szervezet információvédelmét zárt, teljes körű, folyamatos és a kockázatokkal arányos módon.

  • teljes körű – mert a védelmi intézkedések az információfeldolgozó rendszerek összes elemére kiterjednek
  • zárt rendszerű – mert a kockázatelemzésen alapulva figyelembe veszi az összes lehetséges fenyegetést
  • folyamatos – mert időben változó körülmények és viszonyok ellenére is megszakítás nélkül tölti be feladatát
  • kockázatokkal arányos – költségarányos a potenciális kárértékkel

Az Információbiztonság Irányítási Rendszer (IBIR) nem csak egy "újabb ISO Kézikönyv", hanem egy korszerű szabályzati- és eljárásgyűjtemény, amely:

  • szabványos – mert az MSZ ISO/IEC 2700 szabvány alapján készült
  • moduláris – mert hierarchikus szerkezete választható, az adott szervezetre szabott elemekből építkezik
  • kompatibilis – mert szervesen illeszkedik az ISO 9001 minőségirányítási rendszerhez, tanúsíttatható
  • a Plan, Do, Check, Act (PDCA) folyamatmodell segítségével kiterjed a kockázat értékelési és kezelési folyamatra

Bevezetésével nem csak az általános információvédelem területén lép előre a társaság, de törvényi, jogszabályi feltételeknek is eleget tesz, valamint ügyfelei, munkavállalói, partnerei felé is bemutatja az információ biztonsága iránti elkötelezettségét.

Működtetése elősegíti a jól felépített üzleti környezet kialakítását, ahol a kockázat ellenőrzött, az információbiztonság jól meghatározott, felelősségekhez kötött, és követi a „bevált gyakorlatot”.

ISO27001 folyamatok

A bevezetés lépései

A bevezetés során átfogó kockázatelemzéssel felmérjük a Társaság információs vagyonát fenyegető tényezőket, így gondoskodva a kockázatokkal arányos, költséghatékony védelem megtervezéséről. Kiválasztjuk a védelem ellátásához szükséges biztonsági szabályzókat, kijelöljük a felelősségi köröket (felelősőket), illetve kialakítjuk a védelem ellátásához szükséges eljárásokat, így valósítva meg mind az elméleti, mind a gyakorlati információvédelmet. Majd mindezek írásba foglalása után – oktatás keretében – bemutatjuk a rendszer működését, működtetését, felkészítjük a szervezetet a tanúsításra.

iso 27001 bevezetes

Bevezetése – szervezet méretétől és a védelmet igénylő információhalmazok sokaságától függően – 2-8 hónapot vesz igénybe. Az irányítási rendszer tanúsíttatása esetén - kis- és középvállalatok – európai uniós társfinanszírozású pályázatot vehetnek igénybe.

 

Működtetés, felügyelet

A rendszer bevezetése után követjük annak működését. Tanácsadási szolgáltatásunk keretében segítséget nyújtunk a rendszer vezetéselméleti irányításában csak úgy, mint információtechnológiai, információbiztonsági kérdésekben. Így rendelkezésre állunk – CISA minősítésű - biztonsági vezető kiszervezésével, tanácsadói tevékenységgel a rendszeres vezetői átvizsgáláshoz, infrastruktúra sérülékenységi követésében, igény szerint technológiai biztonsági felülvizsgálattal. Amennyiben az ISO 27001 bevezetése felkeltette érdeklődését, bővebb információval tanácsadóink szolgálnak.