ISO 27001 Felkészítés

06-1-2380800

Gyorsan, hatékonyan oldjuk meg Önnek a minősítést! Most rendkívül kedvező áron, garantáltan sikeres tanúsítással!

Az ISO 27001:2005 (MSZ ISO/IEC 27001:2006) szabvány szerinti rendszerek kidolgozását és bevezetését most rendkívül kedvező áron - sikerdíjért - vállaljuk. A sikerdíj csak sikeres auditot követően esedékes. Vállaljuk továbbá meglévő ISO 27001 rendszerek teljeskörű karbantartását, éves auditokra törtlénő felkészítését. A felkészítési munka oktatási része szakképzési hozzájárulás terhére történhet, így Önnek díjmentes is lehet!

Keresse irodánkat: ITT

Csak pár kérdés és küldjük az ajánlatot!!
Kérjen ajánlatot: ITT

Referencialista: ITT

ISO 27001:2005

Helyezze biztonságba saját és ügyfelei információs értékeit!

Az információbiztonsági irányítási rendszer (IBIR) ISO 27001:2005 szabvány szerinti tanúsítása segítségével megmutathatja elkötelezettségét az információbiztonság iránt, valamint folyamatosan javíthatja cége megítélését. Az ISO 27001 szabvány két részből áll:

1. ISO 17799: Iránymutatás az IBIR megvalósításához

2. ISO 27001: Az IBIR tanúsítására szolgáló szabvány

Az első lépés az ISO 27001 (IBIR) rendszer irányelvei hatókörének meghatározása. Rendkívül fontos annak megállapítása, hogy milyen veszélyek fenyegetnek, és fontos dönteni arról, hogyan értékeljük ezeket a kockázatokat. Egy sikeres ISO 27001 (IBIR) rendszer szabványos lépéseket tartalmaz a rendszer megvalósítására, működtetésére, felülvizsgálatára, karbantartására és fejlesztésére.

Az ISO 27001:2005 tizenkét szakaszból áll:

  • Biztonsági irányelvek
  • Az információbiztonság megszervezése
  • Az eszközök kezelése
  • Az emberi erőforrások biztonsága
  • Fizikai és környezeti biztonság
  • Kommunikáció és működtetés
  • Menedzsment
  • A hozzáférés kezelése
  • Az informatikai rendszerek beszerzése, fejlesztése és karbantartása
  • Az információbiztonsági események kezelése
  • Az üzletvitel folytonosságának biztosítása
  • Megfelelőség

A kiindulási pont az ISO 27001 (IBIR) rendszer megvalósításának felbecslése. Így megállapíthatók a hiányosságok az ISO 27001 szabvány követelményeihez képest. Ezután egy első audit következik. Az audit eredményéről jelentést kap, amely leírja a tanúsítás eléréséhez szükséges legfontosabb intézkedéseket. A hiányosságok pótlása után az ISO 27001 rendszer felépítése következik. Belső auditok és rendszerfelülvizsgálat során megállapítható, hogy alkalmas-e a rendszer az ISO 27001 tanúsító audit lefolytatására. Ha már nincs szükség jelentős helyesbítő intézkedésre, elvégeztethető a tanúsítást. A tanústó évenkénti felülvizsgálatokon ellenőrzi az ISO 27001 rendszert, és háromévenként sor kerül a tanúsítás megújítására, feltéve, hogy a rendszereket karbantartja.

Az ISO 27001:2005 előnyei.

Egyre nagyobb az igény a nagyvállalatok és az állami – önkormányzati megrendelők körében szállítóik ISO 27001 tanúsítványára. Ez csak fokozódni fog, hiszen az informatika egyre nagyobb szerepet játszik a mindennapok üzleti folyamataiban. Az ISO hírneve és a nemzetközileg elismert ISO 27001:2005 szerinti tanúsítással növelheti cége megbízhatóságát, ezzel rendelésállományát is! Az ISO 27001 szerinti tanúsítás világosan megmutatja cége által kezelt információs vagyonának hitelességét és az információbiztonság fenntartása iránti tényleges elkötelezettségét. Az ISO 27001 (IBIR) rendszer létrehozása és tanúsíttatása a vállalati kultúrát is megváltoztathatja: új üzleti lehetőségeket nyithat a biztonságra figyelő vevők vagy ügyfelek megnyerésével, valamint javíthatja az alkalmazottak morálját és a bizalmasság felismerését a munkahelyen. Mi több, lehetővé teszi az információbiztonság betartatását, így csökkenti a csalás, valamint az adatok elvesztésének és felfedésének kockázatát. Az ISO 27001 (IBIR) rendszer létrehozása több okból is jótékony hatással lehet cége jövőjére.

A régi BS 7799 szerinti tanúsításokat át kell alakítani ISO 27001 szerintivé.

Az információbiztonsági rendszer követelményszabványa, amely a tanúsítás alapját képezi, az ISO/IEC 27001:2005 (illetve a magyar szabvány: MSZ ISO/IEC 27001:2006).

Mutassa be az információbiztonság iránti elkötelezettségét az ISO 27001 bevezetése által!

Az információ fontos eszköz. Az üzleti életben a megállapodásoktól a projektek megvalósításáig, az alkalmazottak nyilvántartásán át számos folyamathoz szükséges. Olyan információk, amelyeket csak belső használatra szántak, könnyedén nyilvánosságra kerülhetnek. Az információk minőségében, mennyiségében, elosztásában vagy megbízhatóságában bekövetkező bármiféle törés a külső támadás veszélyét jelenti vállalata számára. Ezért kell tevékenyen irányítani az információs rendszerek és az üzletileg kritikus információk biztonságát. Nem csak az alkalmazottak és az érdekeltek, de a vevők és a partnerek védelmében is, akikkel megosztja ezeket az információkat.

Az MSZ ISO 27001:2006 szabvány követelménystruktúrája

Az ISO 27001 szabvány a főfejezeteiben az irányítási rendszer működtetésének követelményeit határozza meg. Ennek megfelelően az ISO 27001 szabvány főbb fejezetei:

  • 1. Alkalmazási terület
  • 2. Rendelkező hivatkozások
  • 3. Szakkifejezések és meghatározásuk
  • 4. Az információvédelem irányítási rendszere
  • 5. A vezetőség felelőssége
  • 6. Belső ISMS-auditok
  • 7. Az ISMS vezetőségi átvizsgálása
  • 8. Az ISMS fejlesztése
  • A melléklet (előírás): Szabályozási célok és intézkedések
  • B melléklet (tájékoztatás): Az OECD-irányelvek és e nemzetközi szabvány
  • C melléklet (tájékoztatás): Kapcsolat az ISO 9001:2000, az ISO 14001:2004 és e nemzetközi szabvány között

Ezek a követelménypontok összhangba hozhatóak a többi (tanúsítható) irányítási rendszer követelményeivel.

Az ISO 27001 szabványban - a minőségirányítási rendszer szabványához (MSZ EN ISO 9001:2009) hasonlóan - a konkrét irányítási rendszerre vonatkozó követelményeket a 4-8. fejezetek tartalmazzák. Ezek a követelmények azonban csak a menedzsmentrendszerek általános PDCA kereteit tartalmazzák, úgymint:

  • az ISO 27001 irányítási rendszer kialakításának elvárásai – a PDCA figyelembe vételével,
  • az irányítási rendszer dokumentálásának követelményei,
  • képzési követelmények
  • szükséges erőforrások biztosítása,
  • irányítási rendszer belső auditálása,
  • irányítási rendszer vezetőségi átvizsgálása,
  • irányítási rendszer folyamatos fejlesztése követelményeit.

A konkrét technikai követelményeket (szabályozási célokat) az ISO 27001 szabvány az “A mellékletében” sorolja fel, ami egyben felöleli az információbiztonság szabályozásának feladatait, területeit is:

  • A5. Biztonsági szabályzat
  • A6. Az információ-biztonság szervezete
  • A7. Vagyontárgyak kezelése
  • A8. Az emberi erőforrások biztonsága
  • A9. Fizikai védelem és a környezet védelme
  • A10. A kommunikáció és az üzemeltetés irányítása
  • A11. Hozzáférés-ellenőrzés
  • A12. Információs rendszerek beszerzése, fejlesztése és fenntartása
  • A13. Információbiztonsági incidensek kezelése
  • A14. Működés folytonosságának irányítása
  • A15. Követelményeknek való megfelelés

Ez a terminológia egyben pontosan megfelel az MSZ ISO/IEC 17799:2006 szabvány terminológiájának is (5 … 15 szabványfejezetek), amely ezen szabványkövetelmények értelmezését mutatja be gyakorlati példákkal, magyarázatokkal.

Az ISO 27000 szabványsorozat szabványai:

Az ISO szervezet 2005-ben a 27000-es szabványcsoportot jelölte ki az információbiztonsági rendszerekkel kapcsolatos szabványok egységes jelölésének, és akkor indította útjára először a tanúsítás alapját képező ISO/IEC 27001:2005 szabványt. Ez a szabvány a megelőző, már nemzetközileg is elterjedő BS 7799-2:2002 szabvány továbbfejlesztésével, javításával és ily módon az ISO szabványokba való beemelésével jött létre.

Az ISO/IEC 27000-es szabványcsoport tartalmazza az IBIR-el kapcsolatos szabványokat Ezek egy része már kiadásra került (amelyek kisebb része megjelent magyar fordításban, MSZ jelzettel is), továbbiak azonban még az előkészítési munka különböző fázisaiban tartanak.

Kiadott szabványok:

  • ISO/IEC 27000:2009. Information technology — Security techniques — Information security management systems — Overview
  • ISO/IEC 27001:2005. Information technology — Security techniques — Information security management systems – Requirements
  • ISO/IEC 27002:2005. Information technology — Security techniques — Code of practice for information security management
  • ISO/IEC 27003:2010. Information technology — Security techniques — Information security management system implementation guidance
  • ISO/IEC 27004:2009. Information technology — Security techniques — Information security management – Measurement
  • ISO/IEC 27005:2008. Information technology — Security techniques — Information security risk management
  • ISO/IEC 27006:2007. Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems

Előkészületben, illetve kidolgozás alatt lévő szabványok:

  • ISO/IEC CD 27007. Information technology — Security techniques — Guidelines for information security management systems auditing
  • ISO/IEC WD 27008. Guidance for auditors on ISMS controls