Flexus Consulting

Flexus Consulting





                                                                                           

Információbiztonság



Felkészítés ISO27001

Az információ ma a gazdaságban az egyik legalapvetőbb érték, hisz az információ a vállalatok számára egyet jelent a tudásbázissal, a versenyelőnnyel, a versenyképességgel, sok esetben a szervezet vagyona, különös tekintettel pénzügyi tevékenységű vállalatokra. Mint ahogy a vállalat minden értékének védelme nagy erőt fordítanak a szervezetek, így az információ védelme is elsődleges feladat. A rendszerszabvány bevezetésének előkészítése és bevezetése hat fő lépésből áll:

1. Előzetes helyzetfelmérés
A szabványt érintő folyamatok, tevékenységek, meglévő dokumentációk felmérése a szabvány bevezetésének tükrében.

2. Érintett folyamatok átalakítása, kialakítása az előzetes helyzetfelmérés alapján.
A helyzetfelmérés alapján a szabvány üzemeltetését érintő folyamatok, tevékenységek optimalizálásra tesszük meg javaslattételünket, melynek elfogadása esetén az optimalizált folyamatleírást elvégezzük.

3. Meglévő dokumentációkra felülvizsgálatot követő korrekciós javaslat, hiányzó
    dokumentációk elkészítése.

Az ISO 27001 rendszerszabvány bevezetéséhez, tanúsításához és a tanúsítvány üzemeltetéséhez az alábbi dokumentációkat szükséges elkészíteni:

        o Biztonságpolitika,
        o Kockázat kezelés, elemzés,
        o Alkalmazhatósági nyilatkozat,
        o Vagyonleltár (felülvizsgálat a szabvány szerint),
        o Informatikai Biztonsági Szabályzat,
        o Fizikai biztonsági terv / utasítás,
        o Katasztrófa helyreállítási terv,
        o Üzletmenet folytonossági terv,
        o ISMS kézikönyv,
        o Audit terv,
        o Humánpolitikai eljárások, szabályzatok.

4. Szervezet felkészítése a szabvány használatára és üzemeltetésére oktatással (szükség esetén helyesbítő tevékenységes elvégzése, korrekciók). A rendszer nem működik a munkatársak és a rendszerszabvány üzemeltetőjének oktatása nélkül, ezért nagy hangsúlyt kell fordítani a munkatársak oktatására.

5. Előaudit: Cégünk aktívan részt vesz az előauditon.

6. Rendszertanúsítás (3 hónap működést kell bizonyítani az előaudittól számítva!)


 

„A biztonságot fenyegető legnagyobb veszély az emberi természet”
(Kevin D. Mitnick, Hacker).
 

A munkatársak (általában) nincsenek tisztában az informatikai eszközök használata során felmerülő kockázatokkal , nem ismerik fel azokat a veszélyhelyzeteket, amelyek a vállalatnak kárt okozhatnak. Információ hiányuk sok esetben végzetes lehet (pl. vírusok terjesztése, adat vesztés stb.), ezért a felhasználók oktatása fontos szerepet játszik az információ biztonság kialakításakor. Az üzleti és technológiai folyamatok és a tudatos információbiztonságot szolgáló viselkedésmód ismerete nélkül kialakul egyfajta bizonytalanság, amely jó esetben csak a vállalat céljait akadályozza, rossz esetben ennél sokkal komolyabb károkat is okozhat. Ma már a vállalatok számára nemcsak saját érdekükben vált fontos kérdéssé az információbiztonság kérdése, hanem az ügyfeleik számára is, hiszen egyre több nagyvállalat követeli meg beszállítóitól a minőségirányítási rendszer megléte mellett az információbiztonság szabályozását, menedzselését.


Minden biztonsági rendszer annyira erős, mint annak a leggyengébb eleme. Emiatt igazán költséghatékony biztonságot is csak az egyenszilárdságú védelemmel tudunk elérni, a biztonságot is csak így tudjuk fokozni. A szabványokat - bár elvileg szektor- és méretfüggetlenek - olyan szervezeti méretek és működési modellek alapján alkották meg, hogy még egy magyar középvállalat számára sem triviális, miként alkalmazza gyakorlatban a szabványok előírásait. Az oktatás során az alábbi területeket érintjük:

        o az információbiztonságról általában, fogalmak tisztázása,
        o vonatkozó jogszabályok és belső utasítások áttekintése,
        o szervezeten belüli információk minősítése,
        o az informatikai biztonság, mint az információbiztonság része (jelszavak, szabályok, számítógépek            használata, gép lezárás, stb.),
        o különböző rendszerek sérülékenysége (bluetooth, wireless, telefonok, LAN, stb.),
        o hordozható eszközök rejtette veszélyforrások,         o vírus és azok védelme felhasználó oldaláról,
        o humán biztonság (social engineering), azaz az emberi természet rejtette veszélyek (telefon,            adathalászat, kukabúvárkodás, ajtótrükk, iwiw, belső telefonkönyvek, fülelés, fecsegés, új belépők,            stb.),
        o élő példák.

Tréningünket meghirdetett időpontokban tartjuk, illetve kihelyezett tréningeket is szervezünk Önöknél.

Információbiztonsági audit

Információ Biztonsági Audit (ISO27001 szerint)

Az audit során vizsgálat alá, később prezentálásra kerülnek az Önöknél tapasztalt, aktuális információbiztonsági eredmények. Az auditot minden esetben egy részletes intézkedési tervet készítünk a az esetlegesen felmerült hiányosságok korrigálására.

Az audit igény esetén magában foglalja a vonatkozó szabályzatok és eljárásrendek felülvizsgálatát is.

Az audit és az intézkedési terv végrehajtásának eredménye az optmális információbiztonsági szint elérése a vállalatnál.