móricz pál: Átállas az iso/iec 27001 új verziójára
TRANSCRIPT
![Page 1: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/1.jpg)
www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét 2014
Átállás az ISO/IEC 27001 új
verziójára2014. november 4.
Móricz Pál – ügyvezető igazgató
Szenzor Gazdaságmérnöki Kft.www.szenzor-gm.hu
![Page 2: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/2.jpg)
2www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Előadás tartalma
változások célja
megváltozott fogalmak, „filozófia”
mit jelentenek a változások
menedzsment követelmények
kontroll célok és kontrollok
átállás
Új verzió hatályos: 2013.10.01.
Korábbi verzió szerinti tanúsítás
érvényét veszti: 2015.09.30
![Page 3: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/3.jpg)
3www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Változás oka/célja
szabványok kötelező felülvizsgálata
ISO/IEC Directives, Part 1. Annex SL
+ ISO 31000:2009 Risk management
igény fejlesztésre
(már 2005-ben megkezdődött!)
technológia fejlődés
alkalmazási/tanúsítási tapasztalatok
+ rugalmasság növelése
alkalmazási terület tömörebb,
de lényege nem változott!
![Page 4: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/4.jpg)
4www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Szabvány struktúrája
4. Context
5. Leadership
6. Planning
8. Operate
7
.
S
u
p
p
o
r
t
9. Performance
evaluation
10. Improvement
![Page 5: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/5.jpg)
5www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
4. Környezet (Context)
4. A szervezet környezete
4.1 A szervezet és környezete megértése
4.2 Érdekelt felek igényei, elvárásai
megértése
4.3 ISMS alkalmazási terület meghatározása
alkalmazási területben határok, alkalmazhatóság,
kapcsolatok/függőségek
4.4 ISMS
![Page 6: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/6.jpg)
6www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
5. Vezetés (Leadership)
5. Vezetés
5.1 Vezetés és elkötelezettség
felső vezetés, stratégia összhang, ISMS
eredmények elérése, irányítás, támogatás
5.2 Politika
+ elérhető érdekelt felek számára
5.3 Szervezeti szerepek, felelősségek és
hatáskörök
IBIR szabványnak megfelelés, vezetésnek jelentés
![Page 7: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/7.jpg)
7www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
6. Tervezés
6. Tervezés6.1 Akciók a kockázatokra és lehetőségekre
6.1.1 Általános követelmények
akciók, megtervezésük
6.1.2 IS kockázatfelmérés
azonosítás, elemzés, értékelés
(vagyonleltár, fenyegetés, sebezhetőség
nem szerepel)
6.1.3 IS kockázatkezelés
kontrollok kockázatokra,
A melléklet ellenőrzés (nem kiválasztás)
kockázatgazda jóváhagyás
6.2 Információbiztonsági célok és elérésük
megtervezése
![Page 8: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/8.jpg)
8www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
7. Támogatás (Support)
7. Támogatás7.1 Erőforrások7.2 Felkészültség (competence)7.3 Tudatosság (+ nemmegf következményei)7.4 Kommunikáció
külső, belső, mit, mikor, mivel, ki és hogyan
7.5 Dokumentált információ7.5.1 Általános követelmények
nincs felsorolás, kötelező dokumentált eljárás
7.5.2 Létrehozás és aktualizálás
azonosítás, forma, átvizsgálás,
alkalmasság, megfelelőség jóváhagyás
7.5.3 Dokumentált információ kezelése
elérhetőség, védelem, kezelési kontrollok
külső dokumentált információ
![Page 9: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/9.jpg)
9www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
8. Működtetés
8. Működtetés
8.1 Működés tervezés és felügyelet
terv, bevezetés, felügyelet
(IBIR folyamatok, kockázatok, célok)
dokumentált információ bizalomhoz
változás felügyelet (nem tervezett is)
outsource meghatározás és felügyelet
8.2 IS kockázatfelmérés
8.3 IS kockázatkezelés
![Page 10: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/10.jpg)
10www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
9. Teljesítmény értékelés
9. Teljesítmény értékelés
9.1 Figyelemmel kísérés, mérés, elemzés és
értékelés
IBIR teljesítménye és eredményessége
(eredményesség mutató mérés helyett)
mit, módszer, mikor
9.2 Belső audit
objektív, pártatlan (nincs kizárva saját munka)
9.3 Vezetőségi átvizsgálás
(tömörebb fogalmazás)
![Page 11: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/11.jpg)
11www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
10. Fejlesztés
10. Fejlesztés
10.1 Nemmegfelelőség és
helyesbítő tevékenység
válasz (következményekre is), intézkedések
okok megszűntetésére (újra/másutt előfordulás,
hasonló nemmegf.), bevezetés,
eredményesség átvizsgálás, IBIR átvezetés
10.2 Folyamatos fejlesztés
megfelelőség, alkalmasság, eredményesség
nincs több előírás
![Page 12: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/12.jpg)
12www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Kontroll változások (A melléklet)
3 új fejezet (11 14), kicsit sorrend is változott
Kriptográfia (kivéve fejlesztés fejezetből, kulcs
menedzsment kontroll leírása részletesebb)
Kommunikáció biztonság
(különválasztva működtetés fejezetből)
Szállító kapcsolatok (több területről összegyűjtve)
Kontroll célok (39 35)
több megszűnt, összevonva
néhány új, pl:
Redundanciák,
Teszt adatok,
Működő szoftverek felügyelete
![Page 13: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/13.jpg)
13www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Fő változások kontrollokban
Kontrollok(133 114)
redundanciák csökkentek (pl. felelősségek, tesztelések)
általában egyszerűbb fogalmazás
áthelyeződtek kontrollok (pl. vagyontárgy, hozzáférés
kilépéskor áttétele vagyon illetve hozzáférés kezelésbe)
sok megszűnt, összevonva• nem kontroll (pl. elkötelezettség),
• kockázatkezeléssel lefedett (külső felek, vevők,
rendszerdokumentáció kockázata, audit eszköz védelem)
• kontrollok összevonás (pl. esemény naplózás, folytonosság,
elkülönítés a hálózatban, útvonal, stb.)
szóhasználat változások: • titkos hitelesítési információk (jelszó),
• alkalmazás szolgáltatás publikus hálózaton (e-kereskedelem),
alkalmazás szolgáltatás tranzakció (online tranzakciók),
![Page 14: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/14.jpg)
14www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Kontroll változás példák
Néhány érdekesebb új/változó kontroll elem: információbiztonság a projektmenedzsmentben
alkalmazás megszűnéskor alkalmazotti felelősségek
naplókat rendszeresen felül kell vizsgálni
fejlesztési folyamatban új kontrollok:
biztonság fejlesztési eljárásban, tervezési elvekben,
környezetben, biztonsági tesztelés
szállító kapcsolatokra irányelv, ICT szállítói lánc
információbiztonsági incidensek és fejlesztések kezelése
Incidenskezelés folyamat önálló kontrollok:
incidensvizsgálat és döntés, illetve reagálás
Információbiztonság folytonossága
(működésfolytonosság helyett)
![Page 15: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/15.jpg)
15www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Átállás
Nem kell
vezetőség képviselője kijelölést megszűntetni
kidobni kézikönyvet, IBSZ-t, dokumentált
eljárásokat (ha aktuálisak, működnek)
átszámozni dokumentumokat, fejezeteket
IBIR-t átstrukturálni az új felépítés szerint
új fogalmak, meghatározások szerinti
szóhasználatra átszerkeszteni a dokumentumokat
![Page 16: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/16.jpg)
16www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Átállási stratégiák, döntések
ha ma az IBIR információbiztonságról, kockázatok kezeléséről, menedzselésükről szólkisebb igazítások (filozófia, fogalmak maradnak,
megfeleltetés, hiánylista + új elemek beillesztése meglevő dokumentációs rendszerbe)
esetleg keresztreferencia ha ma az IBIR szabványkövetelményekről,
(minimális szintű) teljesítésről szól
kiment alóla a struktúra, sok elvárás változott, vannak újak → nagy változás (új szemlélet szerint újraépítés, új Kézikönyv, IBSz – integrált rendszer esetén most többlet, 2015/16-ban kevesebb feladat)
döntéshez állapot értékelés, „makro szintű” hiánylista döntés integráció erősítés szükségességéről ütemterv, felelősségek
![Page 17: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/17.jpg)
17www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Átállási feladatok 1/2
kontrollok kockázatokkal összekapcsolása
menedzsment követelmények áttekintéseúj/változó elemek átgondolása, beillesztése, köztük
környezet, érdekelt felek követelményei
vezetőség elkötelezettsége
kockázatok és lehetőségek
célok
tudatosság, kommunikáció
változáskezelés
teljesítmény értékelés
fejlesztés
Ami egyiknek könnyű, másnak nehéz és
fordítva
![Page 18: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/18.jpg)
18www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Átállási feladatok 2/2
kontrollok áttekintése
kockázatokkal nem lefedett kontrollok
tételes követelmény lefedettség áttekintés
új/változó kontrollok rendszerbe illesztése
új Alkalmazhatósági nyilatkozat
képzés (vezetői, auditori, munkatársi)
bevezetés, működtetés, belső audit,
vezetőségi átvizsgálás…
![Page 19: Móricz Pál: Átállas az ISO/IEC 27001 új verziójára](https://reader031.vdocuments.site/reader031/viewer/2022012405/55a1aa381a28ab8b418b4644/html5/thumbnails/19.jpg)
19www.szenzor-gm.hu
XXXIII. Magyar Minőség Hét
Elérhetőség
Móricz Pál Mobil: 20-931-0584
Szenzor Gazdaságmérnöki Kft.
1087 Budapest, Könyves Kálmán körút 76.
Telefon: (+36)-1-331-5523
Fax: (+36)-1-311-9636
E-mail: [email protected]
Honlap: www.szenzor-gm.hu
„Változással a sikerért”