A következőkben egy sorozat formájában fogunk írni nektek az ISO 27001 fontosabb aspektusairól és arról, hogy milyen változásokat hoz egy cég életében leggyakrabban.
Ez a sorozat azoknak szól, akik cégként eljátszottak már az ISO 27001 gondolatával, és szeretnék érteni, mit jelent ez a gyakorlatban (nem csak audit-szempontból, hanem működésben is). Akkor is hasznos lesz, ha nem tervezel tanúsítást: a szemlélet és a módszertan sokszor önmagában is segít rendezettebbé tenni a biztonsági és IT-üzemeltetési döntéseket.
Mi az ISO 27001?
Az ISO/IEC 27001:2022 egy követelményrendszer, ami leírja, hogyan építs fel és működtess egy információbiztonsági irányítási rendszert (ISMS) egy szervezetben. A standard két nagy részből áll: a kötelező követelményekből, és egy kontroll készletből, amiből a szervezet kockázatok alapján választ.
Mire szolgál (céges szemmel)?
Arra ad keretet, hogy a biztonság ne szokásokból és ad-hoc döntésekből álljon, hanem következetes rendszer legyen: legyen hatókör és kockázatkezelés, legyenek célok, működtetett folyamatok és bizonyítékok arra, hogy ez tényleg él. Emiatt az ISO 27001 tipikusan nem „csak IT”, hanem vezetői döntés és szervezeti működés is.
Hogyan néz ki a folyamata?
A bevezetés gerince a standardhoz illeszkedik: kontextus és hatókör meghatározása, vezetői szerep és felelősségek tisztázása, tervezés (kockázatok és célok), támogatás (kompetencia, tudatosság, dokumentált információ), működés (a kiválasztott kontrollok alkalmazása), teljesítményértékelés (monitoring, belső audit, vezetőségi átvizsgálás), majd folyamatos fejlesztés (eltérések kezelése, helyesbítő intézkedések). A kontroll választás és annak indoklása a szabvány A mellékletének kontroll készletére támaszkodik, amit dokumentáltan kell kezelni.
Hol vásárolható meg a szabvány Magyarországon?
Magyarországon a szabványok beszerzéséhez érdemes a Magyar Szabványügyi Testületnél (MSZT) tájékozódni és az „MSZ EN ISO/IEC 27001” megnevezésre rákeresni (kiadás és nyelv szerint lehet több változat).
Fontos: a szabvány szövege szerzői jogi védelem alatt áll, ezért céges belső használatra a megfelelő licencet érdemes megvenni, és nem terjeszteni.
Milyen audit formák vannak, és ki végezheti?
- Belső audit (internal audit): a szervezet saját erőforrásból is elvégezheti; a kulcs a kompetencia és az, hogy az auditor lehetőleg független legyen az auditált tevékenységtől (ne a saját munkáját ellenőrizze). Sok cégnél ez úgy működik jól, hogy van belső „gazda”, és időnként külsős auditor segít objektíven végigmenni a rendszeren. A Manawizenál több csapattagunk is ISO 27001 belső auditor tanúsítvánnyal rendelkezik és külső partnerként tud segíteni a felkészülésben és auditálásban is.
- Tanúsító audit (certification audit): ha hivatalos ISO 27001 tanúsítvány a cél, azt független tanúsító szervezet végzi, és a végén ő állít ki tanúsítványt (a felkészítő tanácsadó nem helyettesíti ezt).
- Ügyfél/beszállítói audit: előfordul, hogy egy ügyfél vagy partner auditra kér (vagy auditáltat); ez lehet ISO-s logikájú, de nem ugyanaz, mint a tanúsítás.
A következő részben már konkrét példákon keresztül mutatjuk meg, milyen működésbeli változásokra számíthatsz általánosságban, ha az ISO 27001 bevezetését tervezed a cégednél.
Ha érdekel a téma, és szívesen olvasnál még gyakorlati, érthető anyagokat IT-üzemeltetésről és a cég működését támogató megoldásokról, kövesd a blogunkat, illetve a social media felületeinket.
