View
275
Download
7
Embed Size (px)
Citation preview
www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét 2014
Átállás az ISO/IEC 27001 új
verziójára2014. november 4.
Móricz Pál – ügyvezető igazgató
Szenzor Gazdaságmérnöki Kft.www.szenzor-gm.hu
2www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Előadás tartalma
változások célja
megváltozott fogalmak, „filozófia”
mit jelentenek a változások
menedzsment követelmények
kontroll célok és kontrollok
átállás
Új verzió hatályos: 2013.10.01.
Korábbi verzió szerinti tanúsítás
érvényét veszti: 2015.09.30
3www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Változás oka/célja
szabványok kötelező felülvizsgálata
ISO/IEC Directives, Part 1. Annex SL
+ ISO 31000:2009 Risk management
igény fejlesztésre
(már 2005-ben megkezdődött!)
technológia fejlődés
alkalmazási/tanúsítási tapasztalatok
+ rugalmasság növelése
alkalmazási terület tömörebb,
de lényege nem változott!
4www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Szabvány struktúrája
4. Context
5. Leadership
6. Planning
8. Operate
7
.
S
u
p
p
o
r
t
9. Performance
evaluation
10. Improvement
5www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
4. Környezet (Context)
4. A szervezet környezete
4.1 A szervezet és környezete megértése
4.2 Érdekelt felek igényei, elvárásai
megértése
4.3 ISMS alkalmazási terület meghatározása
alkalmazási területben határok, alkalmazhatóság,
kapcsolatok/függőségek
4.4 ISMS
6www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
5. Vezetés (Leadership)
5. Vezetés
5.1 Vezetés és elkötelezettség
felső vezetés, stratégia összhang, ISMS
eredmények elérése, irányítás, támogatás
5.2 Politika
+ elérhető érdekelt felek számára
5.3 Szervezeti szerepek, felelősségek és
hatáskörök
IBIR szabványnak megfelelés, vezetésnek jelentés
7www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
6. Tervezés
6. Tervezés6.1 Akciók a kockázatokra és lehetőségekre
6.1.1 Általános követelmények
akciók, megtervezésük
6.1.2 IS kockázatfelmérés
azonosítás, elemzés, értékelés
(vagyonleltár, fenyegetés, sebezhetőség
nem szerepel)
6.1.3 IS kockázatkezelés
kontrollok kockázatokra,
A melléklet ellenőrzés (nem kiválasztás)
kockázatgazda jóváhagyás
6.2 Információbiztonsági célok és elérésük
megtervezése
8www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
7. Támogatás (Support)
7. Támogatás7.1 Erőforrások7.2 Felkészültség (competence)7.3 Tudatosság (+ nemmegf következményei)7.4 Kommunikáció
külső, belső, mit, mikor, mivel, ki és hogyan
7.5 Dokumentált információ7.5.1 Általános követelmények
nincs felsorolás, kötelező dokumentált eljárás
7.5.2 Létrehozás és aktualizálás
azonosítás, forma, átvizsgálás,
alkalmasság, megfelelőség jóváhagyás
7.5.3 Dokumentált információ kezelése
elérhetőség, védelem, kezelési kontrollok
külső dokumentált információ
9www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
8. Működtetés
8. Működtetés
8.1 Működés tervezés és felügyelet
terv, bevezetés, felügyelet
(IBIR folyamatok, kockázatok, célok)
dokumentált információ bizalomhoz
változás felügyelet (nem tervezett is)
outsource meghatározás és felügyelet
8.2 IS kockázatfelmérés
8.3 IS kockázatkezelés
10www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
9. Teljesítmény értékelés
9. Teljesítmény értékelés
9.1 Figyelemmel kísérés, mérés, elemzés és
értékelés
IBIR teljesítménye és eredményessége
(eredményesség mutató mérés helyett)
mit, módszer, mikor
9.2 Belső audit
objektív, pártatlan (nincs kizárva saját munka)
9.3 Vezetőségi átvizsgálás
(tömörebb fogalmazás)
11www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
10. Fejlesztés
10. Fejlesztés
10.1 Nemmegfelelőség és
helyesbítő tevékenység
válasz (következményekre is), intézkedések
okok megszűntetésére (újra/másutt előfordulás,
hasonló nemmegf.), bevezetés,
eredményesség átvizsgálás, IBIR átvezetés
10.2 Folyamatos fejlesztés
megfelelőség, alkalmasság, eredményesség
nincs több előírás
12www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Kontroll változások (A melléklet)
3 új fejezet (11 14), kicsit sorrend is változott
Kriptográfia (kivéve fejlesztés fejezetből, kulcs
menedzsment kontroll leírása részletesebb)
Kommunikáció biztonság
(különválasztva működtetés fejezetből)
Szállító kapcsolatok (több területről összegyűjtve)
Kontroll célok (39 35)
több megszűnt, összevonva
néhány új, pl:
Redundanciák,
Teszt adatok,
Működő szoftverek felügyelete
13www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Fő változások kontrollokban
Kontrollok(133 114)
redundanciák csökkentek (pl. felelősségek, tesztelések)
általában egyszerűbb fogalmazás
áthelyeződtek kontrollok (pl. vagyontárgy, hozzáférés
kilépéskor áttétele vagyon illetve hozzáférés kezelésbe)
sok megszűnt, összevonva• nem kontroll (pl. elkötelezettség),
• kockázatkezeléssel lefedett (külső felek, vevők,
rendszerdokumentáció kockázata, audit eszköz védelem)
• kontrollok összevonás (pl. esemény naplózás, folytonosság,
elkülönítés a hálózatban, útvonal, stb.)
szóhasználat változások: • titkos hitelesítési információk (jelszó),
• alkalmazás szolgáltatás publikus hálózaton (e-kereskedelem),
alkalmazás szolgáltatás tranzakció (online tranzakciók),
14www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Kontroll változás példák
Néhány érdekesebb új/változó kontroll elem: információbiztonság a projektmenedzsmentben
alkalmazás megszűnéskor alkalmazotti felelősségek
naplókat rendszeresen felül kell vizsgálni
fejlesztési folyamatban új kontrollok:
biztonság fejlesztési eljárásban, tervezési elvekben,
környezetben, biztonsági tesztelés
szállító kapcsolatokra irányelv, ICT szállítói lánc
információbiztonsági incidensek és fejlesztések kezelése
Incidenskezelés folyamat önálló kontrollok:
incidensvizsgálat és döntés, illetve reagálás
Információbiztonság folytonossága
(működésfolytonosság helyett)
15www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Átállás
Nem kell
vezetőség képviselője kijelölést megszűntetni
kidobni kézikönyvet, IBSZ-t, dokumentált
eljárásokat (ha aktuálisak, működnek)
átszámozni dokumentumokat, fejezeteket
IBIR-t átstrukturálni az új felépítés szerint
új fogalmak, meghatározások szerinti
szóhasználatra átszerkeszteni a dokumentumokat
16www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Átállási stratégiák, döntések
ha ma az IBIR információbiztonságról, kockázatok kezeléséről, menedzselésükről szólkisebb igazítások (filozófia, fogalmak maradnak,
megfeleltetés, hiánylista + új elemek beillesztése meglevő dokumentációs rendszerbe)
esetleg keresztreferencia ha ma az IBIR szabványkövetelményekről,
(minimális szintű) teljesítésről szól
kiment alóla a struktúra, sok elvárás változott, vannak újak → nagy változás (új szemlélet szerint újraépítés, új Kézikönyv, IBSz – integrált rendszer esetén most többlet, 2015/16-ban kevesebb feladat)
döntéshez állapot értékelés, „makro szintű” hiánylista döntés integráció erősítés szükségességéről ütemterv, felelősségek
17www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Átállási feladatok 1/2
kontrollok kockázatokkal összekapcsolása
menedzsment követelmények áttekintéseúj/változó elemek átgondolása, beillesztése, köztük
környezet, érdekelt felek követelményei
vezetőség elkötelezettsége
kockázatok és lehetőségek
célok
tudatosság, kommunikáció
változáskezelés
teljesítmény értékelés
fejlesztés
Ami egyiknek könnyű, másnak nehéz és
fordítva
18www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Átállási feladatok 2/2
kontrollok áttekintése
kockázatokkal nem lefedett kontrollok
tételes követelmény lefedettség áttekintés
új/változó kontrollok rendszerbe illesztése
új Alkalmazhatósági nyilatkozat
képzés (vezetői, auditori, munkatársi)
bevezetés, működtetés, belső audit,
vezetőségi átvizsgálás…
19www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Elérhetőség
Móricz Pál Mobil: 20-931-0584
Szenzor Gazdaságmérnöki Kft.
1087 Budapest, Könyves Kálmán körút 76.
Telefon: (+36)-1-331-5523
Fax: (+36)-1-311-9636
E-mail: [email protected]
Honlap: www.szenzor-gm.hu
„Változással a sikerért”