Az információ jelen társadalmunk egyik legfontosabb értéke. Az információbiztonság kritikus fontosságú napjainkban. E rendszerek biztosítják az érzékeny információk titkosságát, integritását és elérhetőségét, elősegítve a biztonságos digitális környezetet.
Az üzleti életben a megfelelő információ a megfelelő pillanatban fennmaradást és a fejlődést jelenti, és van amikor egy nagyon fontos adat, információ elvesztése egy szervezet bukását hozhatja. Ilyen eset például, amikor információk, amelyeket csak belső használatra szántak, nyilvánosságra kerülnek. Az információk minőségében, mennyiségében, elosztásában vagy helytállóságában bekövetkező katasztrófa bármelyik vállalatot csődközeli helyzetbe sodorhatja. Ezért nagyon fontos felügyelni az információbiztonsági kockázatokat és lehetőség szerint megelőzni az információvesztést.
Mi az az ISO/IEC 27001 Információbiztonság Irányítási Rendszer (IBIR)?
Szintem minden vállalkozás IT rendszerekre támaszkodik kisebb-nagyobb mértékben üzletvitele során. Ez a függőség kiberbiztonsági fenyegetések formájában egy új kockázatot jelent. Az egyre kifinomultabb támadások érkezhetnek a konkurenciától, vagy akár (nagyvállalatok esetén) hírszerző ügynökségektől is. Az ilyen támadások, – ha sikeresek – kockázatot jelentenek a szervezet pénzügyeire, jó hírnevére is. Az illegálisan megszerzett bizalmas adatok könnyedén az információs feketepiacra kerülhetnek.
Az ISO szervezet 2005-ben a 27000-es szabványcsoportot jelölte ki az információbiztonsági irányítási rendszerekkel kapcsolatos szabványok egységes jelölésének, és akkor indította útjára először a tanúsítás alapját képező ISO 27001 szabványt. (Ez a szabvány a megelőző, már nemzetközileg is elismert BS 7799 szabvány továbbfejlesztésével, javításával és az ISO szabványokba való beemelésével jött létre.) Az ISO 27001 szabvány történetéről ITT olvashat.
Az Információbiztonság Irányítási Rendszer (IBIR) egy szabályzati- és eljárásgyűjtemény, amely kiválóan integrálható az ISO 9001 minőségirányítási, ISO 14001 környezetirányítási, valamint az ISO 45001 (MEBIR) szabvány szerinti rendszerekkel. Az ISO 27000-es család és a Common Criteria alapján készül a közigazgatás számára a Magyar Informatikai Biztonsági Ajánlás.
Miért jó a cégének, ha megszerzi ISO 27001 tanúsítványát?
- a nemzetközileg elismert ISO 27001 szerinti tanúsítás növeli vállalata tekintélyét
- új üzleti lehetőségeket nyithat a biztonságra figyelő vevők vagy ügyfelek megnyerésével
- javíthatja az alkalmazottak morálját és a bizalmasság felismerését a munkahelyen
- lehetővé teszi az információbiztonság betartatását, így csökkenti a csalás, valamint az adatok elvesztésének kockázatát
Javasoljuk ezért, hogy bizonyítsa az információbiztonság iránti elkötelezettségét tanúsítással és követelje meg ugyanezt a beszállítóitól is: ne felejtse el, hogy hanyag információkezelés esetén az Ön üzleti partnereitől is kiszivároghatnak az Ön üzletmenetére kiható információk.
Hogyan történik az ISO 27001 rendszer bevezetése?
Az ISO 27001 ISMS bevezetését 12 lépésre bonthatjuk.
1.) Vezetőség elkötelezettsége
Fontos, hogy a szervezet felső vezetése támogassa a folyamatot, mert az erőforrások és a szükséges prioritás biztosítása az ő jóváhagyásuktól függ.
2.) Projektterv kidolgozása
A bevezetési folyamat részletes megtervezése, beleértve az ütemezést, a költségvetést és a felelős személyeket. Ez lehetővé teszi az előrehaladás nyomon követését és a határidők betartását.
3.) Jelenlegi helyzet értékelése (gap analysis)
Az ISO 27001 követelményei alapján felmérni a jelenlegi rendszert, és meghatározni, hol van szükség változtatásokra vagy fejlesztésekre.
4.) Kockázatkezelési rendszer kialakítása
Fel kell mérni az információbiztonsági kockázatokat, és meg kell határozni azokat a kockázatkezelési intézkedéseket, amelyek révén minimalizálhatóak a fenyegetések.
5.) Információbiztonsági politika kialakítása
Ki kell dolgozni egy átfogó információbiztonsági politikát, amely meghatározza a szervezet információbiztonsági céljait és kötelezettségvállalásait.
6.) Kockázatkezelési eljárások bevezetése
A kockázatértékelés alapján konkrét eljárásokat és ellenőrzéseket kell megvalósítani, hogy az információbiztonsági fenyegetéseket kezelni tudjuk.
7.) Szükséges erőforrások biztosítása
Biztosítani kell az erőforrásokat (pl. képzés, technológia, idő), hogy a személyzet megfelelően tudja ellátni az IBIR-rel kapcsolatos feladatait.
8.) Tudatosság és képzés
Az alkalmazottakat képezni kell az információbiztonság jelentőségéről és az ISO 27001 rendszer követelményeiről, hogy megfelelően tudják kezelni az információbiztonsági kérdéseket.
9.) Rendszer működtetése
Az ISO 27001 ISMS eljárásainak és politikáinak gyakorlati bevezetése a szervezet napi működésében.
10.) Belső audit
Rendszeres belső auditok révén ellenőrizni kell, hogy az IBIR hatékonyan működik-e és megfelel-e az ISO 27001 követelményeinek.
11.) Vezetőségi átvizsgálás
A vezetőség rendszeresen felülvizsgálja az rendszert, értékeli annak hatékonyságát, és szükség esetén javító intézkedéseket határoz meg.
12. Tanúsító audit
A végső lépésként egy független tanúsító testület által végzett audit során igazolást nyer, hogy a rendszer megfelel az ISO 27001 szabványnak. Természetesen segítünk az ajánlatkérésben és a tanúsító szervezet kiválasztásában.
Az ISO 27001 tanúsítás gyakorlati kérdései
Próbáljuk csokorba szedni a legsűrűbben előforduló gyakorlati kérdéseket.
Meddig érvényes az ISO 27001 tanúsítvány?
Az ISO 27001 tanúsítvány három évre szól évenkénti felügyeleti audittal. Például: ha a tanúsító audit 2025.01.01 volt, akkor az 1. felügyeleti auditot 2026.01.01-ig kell megtartani, a 2. felügyeleti auditot pedig 2027.01.01-ig. A harmadik év után indulhat a következő három éves ciklus 2028 január 1-én egy ún. megújító audittal.
Mennyibe kerül az ISO 27001 tanúsítvány megszerzése és megtartása?
A tanúsítás teljes költsége két, nagyságrendileg hasonló összegből áll össze:
1.) A tanácsadói díj: egy kisebb 1-3 fős, egyszerű tevékenységet végző mikrovállalkozás ISO 27001 ISMS / IBIR bevezetés esetén nettó 400-500.000 Ft tanácsadói költséggel számolhat.
2.) Tanúsítási díj (a választott tanúsító iroda számára fizetendő Marton Szakértő Iroda, TÜV, DNV, SGS, stb.): a tanúsító iroda díja a felkészítéséhez hasonló összegű.
Összesen tehát az első év költsége hozzávetőleg 800-1000.000 Ft + ÁFA lesz. (Ez nem ajánlat, csak indikatív tájékoztatás.) Az évenkénti ún. felügyeleti audithoz kapcsolódó díjak ennél alacsonyabbak, a tanácsadói díj és a tanúsító iroda díja is a tanúsító audithoz kapcsolódó költségek 60-80%-a. Fenntartani olcsóbb a tanúsítványt, mint megszerezni. A fenti mikrovállalkozásra vetítve tehát a tanúsítottság megtartása évente nettó 600-800.000 Ft-ba kerül.
Mennyi ideig tart a teljes folyamat?
A felkészítés időtartama normál esetben 1-3 hónap (sürgős esetben 1 hónapra redukálható). Érdemes azonban figyelembe venni, hogy a tanúsító szervezet a tanúsítás lefolytatásához előírhat akár két vagy három hónapos igazolt szabvány szerinti működést is. Sikeres audit után (és pénzügyi rendezést követően) néhány nap alatt kézhez kaphatja a vállalkozás a tanúsítványt.
Miért épp minket bízzon meg a felkészítéssel?
1.) Cégünk 10 éves tapasztalattal rendelkezik ISO 27001 szabvány szerinti felkészítés terén. Egyéb irányítási rendszerek tanúsítására való felkészítést 2004 óta végzünk.
2.) Évente cca. 100 sikeres audit tapasztalatával a hátunk mögött nyugodt szívvel vállalunk auditgaranciát az Ön auditjára is! Mit jelent ez? Addig folytatjuk a munkát (extra ellentételezés nélkül, az eredeti árért) amíg a tanúsítványt az Ön cége meg nem szerzi.
3.) Az ISO 27001 tanúsításra való felkészülés nagyban támaszkodik az IT üzemeltető szakemberekre. 20 éves tapasztalatunk a rendszergazdai szolgáltatásban lehetővé teszi, hogy kellően mély rálátással bírjunk a felkészülés során.
Auditgarancia:
Az audit sikerességéért garanciát vállalunk. Sikertelen audit esetén minden további költséget átvállalunk. Nincsenek rejtett, utólag felmerülő díjak.