• Save
07 MSZ ISO/IEC 27001_2006
Upcoming SlideShare
Loading in...5
×
 

07 MSZ ISO/IEC 27001_2006

on

  • 6,926 views

 

Statistics

Views

Total Views
6,926
Views on SlideShare
3,980
Embed Views
2,946

Actions

Likes
0
Downloads
0
Comments
0

4 Embeds 2,946

http://infobiz.hu 2651
http://www.infobiz.hu 277
http://www.slideshare.net 12
http://webcache.googleusercontent.com 6

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    07 MSZ ISO/IEC 27001_2006 07 MSZ ISO/IEC 27001_2006 Presentation Transcript

    • Az MSZ ISO/IEC 27001:2006 szabvány AZ MSZ ISO/IEC 27001:2006 (EN ISO/IEC 27001:2005) szabvány struktúrájának és követelmény-rendszerének rövid, áttekintő bemutatása
    • Az MSZ ISO/IEC 27001:2006 felépítése
      • Alkalmazási terület
      • Rendelkező hivatkozások
      • Szakkifejezések és meghatározásuk
      • Az információvédelem irányítási rendszere
      • A vezetőség felelőssége
      • Belső ISMS-auditok
      • Az ISMS vezetőségi átvizsgálása
      • Az ISMS fejlesztése
      • A melléklet (előírás): Szabályozási célok és intézkedések
      • B melléklet (tájékoztatás): Az OECD-irányelvek és e nemzetközi szabvány
      • C melléklet (tájékoztatás): Kapcsolat az ISO 9001:2000, az ISO 14001:2004 és e nemzetközi szabvány között
    • Az ISMS és a MIR összehasonlítása 8.2.2. Belső audit 6. Belső ISMS-auditok 8.5. Folyamatos fejlesztés 8. Az ISMS fejlesztése 7., 8.2.3, 8.2.4, 8.3 – Főfolyamat szabályozása, mérése és hibás termék javítása A melléklet: Szabályozási célok és intézkedések 5.6 Vezetőségi átvizsgálás 5.6.1…5.6.3. Általános követelmények, bemenetek és kimenetek 7. Az ISMS vezetőségi átvizsgálása 7.1…7.3. Általános követelmények, bemenetek és kimenetek 5. A vezetőség felelőssége 5.1. A vezetőség elkötelezettsége 5.2. Vevőközpontúság 5.3. Minőségpolitika 5.4. Tervezés 5.5. Felelősség, hatáskör és kommunikáció 6. Erőforrás gazdálkodás (6.1…6.4) 5. A vezetőség felelősségi köre 5.1. A vezetőség elkötelezettsége 5.2. Erőforrás-gazdálkodás 4. A MIR követelményei 4.1. Általános követelmények 4.2. A dokumentálás követelményei 4. Az ISMS követelményei 4.1. Általános követelmények 4.2. Az ISMS kialakítása és irányítása 4.3. A dokumentálás követelményei EN ISO 9001:2000 ISO/IEC 27001:2005
      • 4. Az információvédelem irányítási rendszere
      • 4.1. Általános követelmények
      • Legyen bevezetett, dokumentált, fenntartott és fejlesztett ISMS , amely a PDCA elven működik.
      • 4.2. Az ISMS kialakítása és fenntartása
      • ISMS kialakításához szükséges meghatározni illetve elkészíteni:
      • ISMS alkalmazási területét;
      • ISMS szabályzatot,
      • Kockázatfelmérés módszerét;
      • Kockázatok azonosítását, értékelését, javításuk lehetőségeket;
      • Szabályozási célokat, és a konkrét intézkedéseket;
      • A vezetőség által jóváhagyott maradványkockázatokat;
      • Alkalmazhatósági nyilatkozatot;
      • Vezetőségi jóváhagyást mindezekre (ISMS életbe léptetését).
      A szabvány követelményei
      • 4.2. Az ISMS kialakítása és fenntartása (folytatás)
      • ISMS bevezetéséhez és működtetéséhez szükséges meghatározni, illetve bevezetni:
      • Kockázatjavítási (kockázatkezelési) terv;
      • Kockázatjavítási intézkedések;
      • Képzési és tudatosítási program;
      • Gazdálkodás az ISMS erőforrásokkal;
      • Működtetés, és ellenőrzési eljárások.
      • ISMS figyelemmel követése és átvizsgálása:
      • Megfigyelési eljárások a hibák észlelésére, kezelésére;
      • ISMS eredményességének rendszeres mérése;
      • ISMS belső auditálása;
      • Intézkedések hatékonyságának mérése;
      • Fennmaradó és még elfogadható kockázatok rendszeres felülvizsgálata.
      A szabvány követelményei
      • 4.2. Az ISMS kialakítása és fenntartása (folytatás)
      • ISMS karbantartása és fejlesztése :
      • ISMS folyamatos fejlesztése;
      • Helyesbítő és megelőző tevékenységek életbe léptetése;
      • A kitűzött célok elérésének biztosítása;
      • Eredmények és tevékenységek egyeztetése az érdekelt felekkel;
      A szabvány követelményei
      • 4.3. A dokumentálás követelményei
      • Az ISMS dokumentációja tartalmazza:
      • Információ-biztonsági szabályzatot és a szabályozási célokat;
      • Az ISMS alkalmazási területét;
      • Az ISMS-t támogató eljárásokat és intézkedéseket;
      • Kockázatfelmérés módszertanának leírását;
      • Kockázatfelmérési jelentést;
      • Kockázatjavítási tervet;
      • Bevezetett eljárások leírását;
      • A szabvány által megkövetelt feljegyzéseket;
      • Alkalmazhatósági nyilatkozatot.
      • Dokumentumok és feljegyzések kezelésére dokumentált eljárást kell bevezetni.
      A szabvány követelményei
      • 5. A vezetőség felelőssége
      • 5.1. A vezetőség elkötelezettsége
      • A vezetőség feladata és felelőssége a következők kialakítása:
      • Információvédelmi szabályzat kialakítása
      • Információvédelmi célok és tervek meghatározása
      • Információvédelemért viselt feladat- és felelősségi körök
      • Fontosság és elkötelezettség kommunikációja a dolgozók felé
      • Erőforrás biztosítása az ISMS működtetéséhez, fejlesztéséhez
      • Elfogadható kockázati szint meghatározása
      • ISMS belső auditok elvégzésének biztosítása, és vezetőségi átvizsgálása
      • 5.2 Erőforrás-gazdálkodás
      • Szükséges erőforrások, és megfelelő képzettség biztosítása
      A szabvány követelményei
      • 6. Belső ISMS-auditok
      • Tervezett időszakonként le kell folytatni az ISMS belső felülvizsgálatát (belső auditját), amely igazolja:
      • A megfelelést a szabványkövetelményeknek és jogszabályoknak;
      • A megfelelést az információvédelmi követelményeknek;
      • ISMS eredményes bevezetését, karbantartását
      • és elvárásoknak megfelelő működését.
      • Belső auditról (inc. audit tervezése, lefolytatásának módszere, auditorok megfelelése, eltérések kijavítása) dokumentált eljárást kell kialakítani.
      A szabvány követelményei
      • 7. Az ISMS vezetőségi átvizsgálása
      • 7.1. Általános követelmények
      • A vezetőségnek tervezett időszakonként át kell vizsgálnia az ISMS-ét , hogy biztosíthassa annak folyamatos alkalmasságát, megfelelőségét és eredményességét. Az eredményeket dokumentálni kell.
      • 7.2. Az átvizsgálás bemenete
      • Az ISMS felülvizsgálatainak és átvizsgálásainak eredményei
      • Érdekelt felek visszajelzései
      • Lehetséges, felhasználható technikák, termékek vagy eljárások
      • Megelőző és helyesbítő tevékenységek helyzete
      • Gyengepontok, fenyegetettségek
      • Hatékonyság mérések eredményei
      • Korábbi vezetőségi átvizsgálások eredményei
      • Változások, amelyek hatással lehetnek az ISMS-re
      • Fejlesztési javaslatok
      A szabvány követelményei
      • 7.3. Az átvizsgálás kimenete
      • … tartalmazzon döntéseket, intézkedéseket a következőkkel kapcsolatban:
      • Az ISMS eredményességének javítása;
      • A kockázatkezelési terv frissítése;
      • Információvédelmi eljárások módosítása;
      • Az intézkedések hatékonyság-mérésének fejlesztése;
      • Szerződéses kötelezettségek felülvizsgálata;
      • Erőforrás-szükségletek.
      A szabvány követelményei
      • 8. Az ISMS fejlesztése
      • 8.1. Folyamatos fejlesztés
      • A vállalat folyamatosan javítsa az ISMS eredményességét …
      • az információbiztonsági politika,
      • a védelmi célok,
      • a felülvizsgálati eredmények,
      • a megfigyelt események elemzése,
      • a helyesbítő és megelőző tevékenységek,
      • a vezetőségi átvizsgálások használatán keresztül.
      • 8.2. Helyesbítő tevékenység
      • Dokumentált eljárást kell bevezetni intézkedések bevezetésére annak érdekében, hogy megelőzze bekövetkezett hibák, eltérések ismételt előfordulását .
      • 8.3. Megelőző tevékenység
      • Dokumentált eljárást kell bevezetni intézkedések bevezetésére annak érdekében, hogy megelőzze lehetséges hibák, eltérések ismételt előfordulását .
      A szabvány követelményei
      • A5. Biztonsági szabályzat
      • A6. Az információ-biztonság szervezete
      • A7. Vagyontárgyak kezelése
      • A8. Az emberi erőforrások biztonsága
      • A9. Fizikai védelem és a környezet védelme
      • A10. A kommunikáció és az üzemeltetés irányítása
      • A11. Hozzáférés-ellenőrzés
      • A12. Információs rendszerek beszerzése, fejlesztése és fenntartása
      • A13. Információbiztonsági incidensek kezelése
      • A14. Működés folytonosságának irányítása
      • A15. Követelményeknek való megfelelés
      • Összhangban az ISO/IEC 17799:2005 szabályozási célokkal.
      Technikai, információvédelmi követelmények
      • A5. Biztonsági szabályzat
      • A5.1. Információ-biztonsági szabályzat
      • Szabályozási cél: Vezetői iránymutatás és támogatás nyújtása az információvédelemhez
      • A6. Az információ-biztonság szervezete
      • A6.1. Belső szervezet
      • Szabályozási cél: Az információ-biztonság irányítása a szervezeten belül
      • A6.2. Külső ügyfelek
      • Szabályozási cél: A szervezet információ-feldolgozó eszközei biztonságának fenntartása harmadik (külső) fél általi hozzáférés esetén.
      • A7. Vagyontárgyak kezelése
      • A7.1. Felelősség a vagyontárgyakért
      • Szabályozási cél: Megfelelő védelem elérése és fenntartása a szervezet vagyontárgyaira.
      • A7.2. Információk osztályozása
      • Szabályozási cél: Az információk megfelelő szintű védelmének biztosítása.
      Technikai, információvédelmi követelmények
      • A8. Az emberi erőforrások biztonsága
      • A8.1. Az alkalmazást megelőzően
      • Szabályozási cél: Az alkalmazottak legyenek tisztában felelősségükkel, legyenek alkalmasak feladataik elvégzésére, hogy emberi hiba, lopás, csalás vagy eszközökkel való visszaélés kockázatai csökkenthetők legyenek
      • A8.2. Az alkalmazás időtartama alatt
      • Szabályozási cél: Annak biztosítása, hogy a felhasználók tudatában legyenek az információvédelmi fenyegetettségeknek és szempontoknak, továbbá, hogy legyenek felkészülve a szervezet védelmi politikájának támogatására a mindennapi munkájuk során
      • A8.3. Az alkalmazás megszűnése, illetve megváltozása
      • Szabályozási cél: Annak biztosítása, hogy az alkalmazottak, illetve szerződő és harmadik felek szabályos módon történő megválása a szervezettől.
      Technikai, információvédelmi követelmények
      • A9. Fizikai védelem és a környezet védelme
      • A9.1. Területek védelme, biztosítása
      • Szabályozási cél: A szervezet telephelyeinek és az információinak védelme a jogosulatlan fizikai hozzáféréstől, a károsodástól és a zavarkeltéstől
      • A9.2. Berendezések védelme
      • Szabályozási cél: A vagyontárgyak elvesztésének, károsodásának vagy elromlásának, valamint a szervezeti működés fennakadásának megelőzése
      Technikai, információvédelmi követelmények
    • Technikai, információvédelmi követelmények
      • A10. A kommunikáció és az üzemeltetés irányítása
      • A10.1. Üzemeltetési eljárások és felelősségi körök
      • Szabályozási cél: Az információ-feldolgozó eszközök előírásszerű és biztonságos üzemeltetésének biztosítása
      • A10.2. Harmadik felek szolgáltatásnyújtásának irányítása
      • Szabályozási cél: A biztonság fenntartása a harmadik felekkel kötött szolgáltatásnyújtáskor
      • A10.3. Rendszertervezés és elfogadás
      • Szabályozási cél: A rendszerhibák kockázatának minimalizálása
      • A10.4. Védelem a rosszindulatú és a mobil kódok ellen
      • Szabályozási cél: A szoftver és az információ sértetlenségének megóvása
      • A10.5. Biztonsági mentés
      • Szabályozási cél: Az információk és az információ-feldolgozó berendezések sértetlenségének és rendelkezésre állásának védelme
      • A10.6. Hálózatbiztonság kezelése
      • Szabályozási cél: A hálózatokban levő információk megóvásának és a támogató infrastruktúra védelmének biztosítása
      • A10.7. Adathordozók kezelése
      • Szabályozási cél: Vagyontárgyak illetéktelen kiadásának, módosításának, eltávolításának vagy tönkretételének megelőzése
      • A10.8. Információcsere
      • Szabályozási cél: A szervezeten belül és kívül kicserélt információk és szoftverek biztonságának fenntartása
      • A10.9. Elektronikus kereskedelmi szolgáltatások
      • Szabályozási cél: Az elektronikus kereskedelmi szolgáltatások és azok biztonságos használatának biztosítása
      • A10.10. Figyelemmel követés (monitoring)
      • Szabályozási cél: A jogosulatlan információ-feldolgozó tevékenységek észlelése
      Technikai, információvédelmi követelmények
      • A11. Hozzáférés-ellenőrzés
      • A11.1. A hozzáférés-ellenőrzéshez fűződő működési követelmény
      • Szabályozási cél: Az információkhoz való hozzáférés ellenőrzése
      • A11.2. Felhasználói hozzáférések irányítása
      • Szabályozási cél: Az információs rendszerekhez való jogosult hozzáférések biztosítása, illetve a jogosulatlan hozzáférés megakadályozása
      • A11.3. Felhasználói felelősségek
      • Szabályozási cél: A jogosulatlan felhasználói hozzáférés megelőzése
      Technikai, információvédelmi követelmények
      • A11.4. Hálózati szintű hozzáférés-ellenőrzés
      • Szabályozási cél: A hálózati szolgáltatásokhoz jogosulatlan hozzáférések megakadályozása
      • A11.5. Operációs rendszer szintű hozzáférés-ellenőrzés
      • Szabályozási cél: Az operációs rendszerekhez a jogosulatlan hozzáférés megelőzése
      • A11.6. Alkalmazás és információ szintű hozzáférés-ellenőrzés
      • Szabályozási cél: Az alkalmazási rendszerekben tárolt információhoz való jogosulatlan hozzáférés megelőzése
      • A11.7. Mobil számítógép használata és távmunka
      • Szabályozási cél: Az információvédelem biztosítása mobil számítógép és távmunkában használt eszközök esetén.
      Technikai, információvédelmi követelmények
      • A12. Információs rendszerek beszerzése, fejlesztése és fenntartása
      • A12.1. Információs rendszerek biztonsági követelményei
      • Szabályozási cél: A védelem beépítésének biztosítása az információs
      • rendszerekbe
      • A12.2. Helyes információfeldolgozás az alkalmazásokban
      • Szabályozási cél: Az információs tévedések, a felhasználói adatok elvesztésének, módosításának, vagy az azokkal való visszaélésnek a megelőzése alkalmazási rendszerekben
      • A12.3. Titkosítási intézkedések
      • Szabályozási cél: Az információs biztonságának megőrzése titkosítási intézkedésekkel
      • A12.4. Rendszerfájlok biztonsága
      • Szabályozási cél: A rendszerfájlok biztonságának garantálása
          • A12.5. Biztonság a fejlesztési és támogató folyamatokban
          • Szabályozási cél: Az alkalmazási rendszerek szoftverei és információi biztonsága
          • A12.6. Műszaki sebezhetőség kezelése
          • Szabályozási cél: A nyilvánosságra került műszaki sebezhetőségek kiaknázásából származó kockázatok csökkentése
      Technikai, információvédelmi követelmények
      • A13. Információ-biztonsági incidensek kezelése
      • A13.1. Információ-biztonsági események és gyengeségek jelentése
      • Szabályozási cél: Az információ-biztonsági események és gyengeségek kommunikálása úgy, hogy lehetővé tegye a szükséges helyesbítő intézkedések megtételét
      • A13.1. Információ-biztonsági incidensek és javító fejlesztések kezelése
      • Szabályozási cél: Annak biztosítása, hogy az információ-biztonsággal összefüggő incidenseket következetes és hatékony megközelítéssel kezeljék
      • A14. Működés folytonosságának irányítása
      • A14.1. A működés folytonossága irányításának információ-biztonsági szempontjai
      • Szabályozási cél: A működési tevékenységek fennakadásainak kivédése, és a kritikus működési folyamatok megvédése a súlyos meghibásodások és üzemzavarok hatásaitól, valamint az újraindítás biztosítása
      Technikai, információvédelmi követelmények
      • A15. Követelményeknek való megfelelés
      • A15.1. Jogi követelményeknek való megfelelés
      • Szabályozási cél: Bármilyen jogi, törvényben meghatározott, szabályozási, vagy szerződéses kötelezettség, továbbá bármely biztonsági követelmény megsértésének elkerülése
      • A15.2. Biztonsági szabályzatnak és szabványoknak való megfelelés, és műszaki megfelelőség
      • Szabályozási cél: Annak biztosítása, hogy a rendszerek megfelelnek a szervezet biztonsági szabályzatának és szabványainak
      • A15.3. Információs rendszerek auditálásának szempontjai
      • Szabályozási cél: Információs rendszerek átvizsgálási folyamata eredményességének maximalizálása és a folyamatot érő vagy az általa okozott zavarok minimalizálása
      Technikai, információvédelmi követelmények
    • Technikai követelmények - összefoglalás Meghatározhatók a biztonsági szintek, különös tekintettel a védett információ értékére. Az információ értékét meg kell határozni aszerint, hogy annak elvesztése milyen kárt jelent a szervezet számára. Az egyes vagyonelemek meghatározottak legyenek, definiált felelősökkel és működtetési folyamatokkal. A7. Vagyon osztályozása és ellenőrzése Azonosíthatók, követhetők és ellenőrizhetők a külső és belső biztonsági követelmények. A védelem szervezetének struktúráját tisztán ki kell fejteni. (Belső szervezet – felelősségek területenként; külső kapcsolatok követelményei.) A6. Védelmi szervezet Meghatározza kezdetben a hatékony információbiztonsági rendszer célját. A vállalatoktól megkövetelt egy keretrendszer elkészítése, amely meghatározza az általuk megkövetelt, kifejtendő és üzemeltetett biztonság szintet. A5. Információbiztonsági szabályzat Előny Követelmény
    • Technikai követelmények - összefoglalás A szervezet telephelyeinek és az információinak védelme a jogosulatlan fizikai hozzáféréstől, a károsodástól és a zavarkeltéstől, valamint a berendezések, eszközök károsodásának / károsításának vagy elromlásának megelőzése. Az információ biztonságának folytonosságát – minden berendezés és környezeti tényező esetén, ami kapcsolatos az információ felhasználásával vagy tárolásával,– nyomon kell követni, és ellenőrizni kell. A9. Fizikai és környezeti biztonság Annak biztosítása, hogy a felhasználók tudatában vannak az információvédelmi fenyegetettségeknek és szempontoknak, továbbá, hogy felkészültek a szervezet védelmi politikájának támogatására a mindennapi munkájuk során, valamint betartják az alapvető titokvédelmi előírásokat alkalmazásuk alatt és után. Személyzet alkalmasságát, megbízhatóságát és a szükséges biztonsági témakörökben a megfelelő ismereteit kell biztosítani. Ehhez megfelelő felvételi eljárást, képzési eljárást és követelményrendszer távozás esetére kell előírni, szabályozni és működtetni. A8. Emberi erőforrások biztonsága Előny Követelmény
    • Technikai követelmények - összefoglalás A meglévő információk védettek egy új rendszer általi „titkos, rejtett” hozzáféréssel szemben is. Minden új rendszert ki kell tesztelni, és ellenőrizni kell, mielőtt az élő rendszerbe kerülhetnének. A12. Rendszer fejlesztése és azok karbantartása Az információkhoz való hozzáférések kontrollál-hatók, jogosulatlan hozzáférések megakadályoz-hatók. Kiemelt hangsúlyt kell fektetni a belső rendszer működésére, és az összes eszközre, aminek segítségével bárki bejuthat a rendszerbe. A11. A rendszerhez való hozzáférés ellenőrzése A működő biztonsági program az IT működtetés, az elektronikus információ védelmét szolgálja. Dokumentált eljárásnak kell bemutatnia, hogy a jelenlegi és az új információk biztonságban vannak elvesztéssel, sérüléssel vagy a bizalmasság elvesztésével szemben. A10. Számítógép és hálózat üzemeltetésének biztonsága (kommunikáció biztonsága) Előny Követelmény
    • Technikai követelmények - összefoglalás Az információbiztonsággal összefüggő incidensek hatékony kezelése, áttekintése és ismételt előfordulásuk megakadályozása. Az információbiztonsági incidenseket jelenteni, kezelni kell, a konzekvenciákat le kell vonni, az eseményeket naplózni kell, és tanulni belőlük. A13. Információbiztonsági incidensek kezelése A jogi, törvényi valamint saját szabályozáshoz viszonyított nem-megfelelőség következmé-nyeinek kockázata minimalizálható. A biztonsági szabályzatot auditálni kell annak bizonyítására, hogy eleget tesz a szabványos és törvény általi követelményeknek. A15. Megfelelőség Az összes potenciális biztonsági veszély tudatosan felügyelhető és ellenőrizhető. Informatikai katasztrófa esetén a vállalat működése fenntartható. Üzletmenet folytonossági tervet kell készíteni, és folyamatosan aktualizálni, hogy kimutathassuk a biztonsági kockázatokat a jelenlegi és javított működési környezeten belül. A14. Az üzletmenet folytonosságának tervezése Előny Követelmény
      • Az
      • MSZ ISO/IEC 27001:2006
      • és az
      • ISO/IEC 27001:2005
      • szabványok beszerezhetőek a
      • Magyar Szabványügyi Testületnél .
      • Cím: 1091. Budapest, Üllői út 25.
      • E-mail cím: www.mszt.hu
      • Köszönöm megtisztelő figyelmüket!