Az ISO 27001 akkor kezd el igazán működni, amikor nem csak „szabályok” születnek, hanem a mindennapi helyzetekre is van egy egyszerű, követhető forgatókönyved. A következő három terület tipikusan gyorsan rendet tesz ott, ahol a legtöbb félreértés, kapkodás és kár keletkezhet.
1) Incidenskezelés: ne akkor találjuk ki, amikor már baj van
Az ISO 27001 szerint érdemes előre felkészülni az incidensekre (szerepek, feladatok, bejelentés és reagálás rendje), mert éles helyzetben nincs idő kitalálni, ki mit csinál.
Praktikus tippek, amik már akár holnaptól működnek:
- Legyen egy fix bejelentési csatorna (pl. egy e-mail cím egy ticketing rendszerbe), ne Teams/telefon hívás/SMS amiket könnyen elkeverünk idővel.
- Legyen legalább 1 kijelölt felelős (név, elérhetőség, mikor elérhető) megjelölve.
- Legyen 3 egyszerű kategória (pl. „alacsony / közepes / kritikus”), és mindegyikhez szabjátok meg az elvárt kulcs információkat és reakcióidőt.
Életszerű példa:
Pénteken 16:40-kor jön egy gyanús e-mail az egyik beszállítótól, hogy megváltozott a bankszámlaszámuk, pont egy utalás előtt. A kolléga nem körbeküldi a cégben, hanem jelenti a kijelölt csatornán; a felelős elindítja a tervezett lépéseket, a pénzügy felfüggeszti a folyamatot, és a beszállítót egy előre rögzített, független elérhetőségen visszahívják, hogy megerősítsék az email és a változás valós.
2) Naplózás: amikor a „mi történt?” kérdésre 10 perc alatt van válasz
A naplózás (logging) ISO 27001 alatt nem arról szól, hogy mindent gyűjtesz, hanem arról, hogy legyenek olyan logjaid, amikből vissza tudod fejteni az eseményeket, és ezeket kontrolláltan kezeled.
Praktikus tippek (minimum, ami már sokat ér):
- Kezdd azzal, amik a legnagyobb kockázatot jelentik: bejelentkezések (sikeres/sikertelen), admin műveletek, jogosultság-változások, fontos beállítás-változások.
- Döntsd el előre, meddig őrzöd meg (pl. 90 nap / 12 hónap), és kinek van jogosultsága olvasni.
- Legyen nyoma az ellenőrzésnek: havi 1 rövid log review és egy ticket/jegyzet, hogy mikor és mit ellenőriztetek.
Életszerű példa:
„Eltűnt egy mappa” a közös tárhelyről. Log nélkül ez találgatás és idegeskedés; loggal gyorsan kiderül, hogy törölték vagy elmozgatták, kinek a felhasználójával történt a változás és mikor. Így a helyreállítás célzottan és gyorsan történik.
3) Partnerek és szolgáltatók hozzáférési jogosultsága
A beszállítókkal (külsős IT, fejlesztő, felhőszolgáltató) kapcsolatos biztonság ISO 27001-ben külön fókusz: legyenek elvárások, kontrollált hozzáférések, és legyen jól definiált on- és off-boarding.
Praktikus tippek, amik KKV-nál elvárható, mégis fontos kereteket szabnak:
- Ne legyen közös admin felhasználó: minden külsősnek egyedi fiók, névhez kötve, MFA (több faktoros autentikáció)-val.
- Legyen jóváhagyási folyamat: ki engedélyezheti a külsős jogkört és mennyi időre.
- Legyen beszállítói be- és kilépési checklist (VPN, domain user, FTP user, jelszavak, dokumentáció/átadás, hozzáférések visszavonása), és legyen nyoma, hogy a folyamat megtörtént és mi került átadásra/elvételre.
Életszerű példa:
Szerződéskezelő platformot váltotok, és egyszer csak kiderül, hogy „valaki még mindig be tud lépni” a régi rendszerbe. Checklist nélkül ez egy hibalehetőségekkel teli kapkodás. Viszont ha van erre folyamatod, akkor ez egy kontrollált lezárás: minden hozzáférést visszavontok és később is bizonyítható, hogy megtörtént.
Ha szeretnéd ezt a folyamatot magabiztosan, a céged méretéhez és működéséhez igazítva felépíteni, a Manawize ebben is tud segíteni: abban, hogy a folyamataid átalakítása ne „papíron” történjen, hanem valóban működő, stabil rendszerré álljon össze – úgy, hogy közben a legköltséghatékonyabb és legoptimálisabb döntéseket tudd meghozni.
Ha tetszett a cikk, vagy hasznosnak találtad az információkat, kövess minket a blogon és a social media felületeinken is, hogy ne maradj le a következő részekről.
