ISO 27001:2022 — Információbiztonsági Irányítási Rendszer

Információbiztonság —
ISO 27001 szabvány alapján

Az információ minden vállalat életében kulcsszerepet játszik, védelme kiemelt fontossággal bír. Az ISO 27001 segítséget nyújt az eligazodni az információbiztonság témájában, követelményei alapján jól működő IBIR építhető ki.

Egyeztetés indítása Miért érdemes? →

3 Pillér: bizalmasság,
sértetlenség, rendelkezésre állás

2022 Jelenlegi verzió —
ISO 27001:2022

NIS2 Megfelelés egyik
alappillére

IBIR Kialakítása

Kockázatfelmérés · Kezelési terv · Kontrollok

Biztonsági Szabályzatok

Információbiztonsági Kézikönyv · Eljárások

Belső Audit & Fejlesztés

Hatékonyság · Jogszabályi megfelelés

Tanúsítás & Fenntartás

Audit felkészítés · Surveillance auditok

Mi az ISO 27001?

Információbiztonság —
rendszerszinten kezelve

Az informatikai rendszerek elterjedése óta az információbiztonság egyre fontosabb terület. Az ISO 27001 szabvány segít eligazodni az információbiztonság témájában, követelményei alapján jól működő IBIR (információbiztonsági irányítási rendszer) építhető ki, amellyel a manapság egyik legkeresettebb megszerezhető tanúsítvány szerezhető meg.

A fenyegetésekkel szembeni védekezés érdekében az ISO 27001 többek között szabályozza az információ kezelésére és felhasználására vonatkozó folyamatokat. Hogy az információbiztonságról beszélhessünk, biztosítani kell annak bizalmasságát, sértetlenségét és rendelkezésre állását — ez a három pillér minden szervezet és vállalat esetében fontos.

Az ISO 27001 szabvány köti össze egymással az információbiztonsági politika és célok meghatározását, a szabályzatok és az IBIR dokumentum elkészítését, az Információbiztonsági Kézikönyv összeállítását, a katasztrófa terve, az IT Akcióterv részleteit, valamint a kockázati mátrixot.

Kinek szól

IT-intenzív szervezetek

Telekommunikáció, pénzügy, logisztika, IT, vagyonvédelmi és egészségügyi szolgáltatók — ahol az adatkezelés és a rendszerbiztonság kritikus.

NIS2 hatálya alá eső szervezetek

Az ISO 27001 a NIS2 direktíva megfeleléséhez szükséges technikai és szervezeti intézkedések egyik legjobb keretrendszere.

Szállítói megfelelést igazolók

Nagyvállalati ügyfelek és közbeszerzési eljárások egyre gyakrabban várják el az ISO 27001 tanúsítványt — versenyelőny az értékesítésben.

Az információbiztonság alapjai

A három pillér

Az ISO 27001 az információbiztonság három alapvető pillérét védi — ezek együttesen alkotják a megbízható IBIR alapját.

Bizalmasság

Az információ csak az arra jogosult személyek számára hozzáférhető. Jogosulatlan hozzáférés megakadályozása technikai és szervezeti kontrollokkal.

Sértetlenség

Az információ pontossága és teljessége megőrzött — jogosulatlan módosítás, törlés vagy megsemmisítés kizárva. Az adatok megbízhatóságának garantálása.

Rendelkezésre állás

Az információ és az azt kezelő rendszerek szükség esetén mindig elérhetők az arra jogosult felhasználók számára — az üzleti folyamatok zavartalanul működnek.

Miért érdemes?

Az ISO 27001 előnyei

Szinte kivétel nélkül kötelező protokoll

Szinte kivétel nélkül minden cég felsőbb szinten valamiyen protokollt az információk kezelésére. Ezek felülvizsgálata és fejlesztése mindig időszerű — az ISO 27001 ennek ideális kerete.

Csökkentett kiberbiztonsági kockázat

Az IBIR kialakításával csökkenthető a vállalat által kezelt információval való visszaélések kockázata — az IBIR lehetővé teszi az információbiztonsági veszélyhelyzetek elhárítását.

NIS2 megfelelés alaptámasza

Az ISO 27001 az NIS2 direktíva számos technikai és szervezeti követelményét lefedi — párhuzamos bevezetéssel idő és erőforrás takarítható meg.

Ügyféli és piaci bizalom

Az ISO 27001 tanúsítvány egyre inkább elvárás a nagyvállalati és közbeszerzési szállítói láncolatban — versenyelőny és bizalmi tőke az üzleti kapcsolatokban.

Dokumentált, átlátható működés

Az IBIR támaszt adhat az egyes szabályozási célokhoz — az információbiztonsági folyamatok átláthatóvá és auditálhatóvá válnak a szervezeten belül.

Folyamatos fejlesztési kényszer

A rendszeres belső auditok alkalmat adnak a fejlesztési lehetőségek megvizsgálására — az eredményesség növelhető a védelmi célok újrameghatározásával és felülvizsgálatával.

A szabvány struktúrája

Az ISO 27001:2022 fő fejezetei

A szabvány 10 fejezetből áll. A leglényegesebb rész az ISO 27001 szabvány "A" jelű melléklete, amely taglalja többek között a biztonsági szabályzat jellemzőit, a vagyontárgyak kezelésére, a hozzáférés-ellenőrzésre vonatkozó előírásokat, az emberi erőforrás biztonságát és a fizikai védelmet.

HLS struktúra Kockázatalapú "A" melléklet 93 kontroll

Az IBIR három alappillére

Bizalmasság

Csak az arra jogosultak férnek hozzá

Sértetlenség

Az adat pontos és teljes marad

Rendelkezésre állás

Jogosultak mindig elérhetik

Alkalmazási terület

A szabvány célja, alkalmazhatósága és a szervezet IBIR-jének hatóköre.

Normatív hivatkozások

Az ISO 27001-hez kapcsolódó hivatkozott szabványok — elsősorban az ISO 27000 terminológiai szabvány.

Fogalmak és meghatározások

Az ISO 27000 szabványban meghatározott információbiztonsági terminológia és fogalmak.

A szervezet kontextusa

Belső-külső tényezők, érdekelt felek elvárásai, az IBIR alkalmazási területe és hatóköre.

Vezetés

Felső vezető elkötelezettsége, információbiztonsági politika, szerepkörök és felelősségek kijelölése.

Tervezés

Információbiztonsági kockázatfelmérés és -kezelés, célok meghatározása, kezelési terv kidolgozása.

Támogatás

Erőforrások, kompetencia, tudatosság, kommunikáció, dokumentált információk kezelése.

Működés

Kockázatfelmérés elvégzése és dokumentálása, a kockázatkezelési terv megvalósítása, kontrollok alkalmazása.

Teljesítményértékelés

Monitoring, mérés, belső audit, a jogszabályi megfelelés értékelése, vezetői átvizsgálás.

Fejlesztés

Eltérések és helyesbítő intézkedések, folyamatos fejlesztés az IBIR hatékonyságának növelése érdekében.

"A" melléklet — 93 biztonsági kontroll

Biztonsági szabályzat, vagyontárgyak kezelése, hozzáférés-ellenőrzés, emberi erőforrás biztonság, fizikai védelem, kriptográfia, incidenskezelés, katasztrófa terv, IT Akcióterv, kockázati mátrix.

Módszertanunk

A bevezetés lépései

A rendszer kialakítása során a szabvány fejezeteinek megértésétől az implementáláson keresztül egészen a tanúsítás folyamatáig segítjük és támogatjuk az Ön szervezetét.

Kockázatfelmérés & IBIR Tervezés

Információs vagyontárgyak azonosítása, fenyegetések és sebezhetőségek értékelése, kockázati mátrix összeállítása és a kockázatkezelési terv kidolgozása.

2–4 hét

Dokumentáció & Kontrollok

Információbiztonsági Kézikönyv, szabályzatok, IT Akcióterv, katasztrófa terv elkészítése — az "A" melléklet 93 kontrollja alapján, az alkalmazhatósági nyilatkozattal.

6–14 hét

Belső Audit & Tréning

Belső auditprogram levezetése, a kockázatcsökkentési és képzési program elindítása, eltérések kezelése és a rendszer érettségének igazolása.

2–3 hét

Tanúsítói Audit & Fenntartás

Audit felkészítés, tanúsítószervvel koordináció és a rendszeres belső auditok, fejlesztési lehetőségek folyamatos vizsgálata.

Folyamatos

Referenciák

Mit mondanak ügyfeleink

Összes referencia

A komplex szabályozási környezetben is magabiztosan navigáltak — NIS2 és ISO 27001 megfelelésünket párhuzamosan oldottuk meg velük, határidőre.

Anonimizált ügyfél IT Technológia · NIS2 + ISO 27001

Az IBIR kialakítása után az ügyfeleink bizalma is nőtt — a tanúsítvány konkrét versenyelőnyt jelentett egy nagyvállalati tender eljárásban.

Anonimizált ügyfél Vagyonvédelmi szolgáltatás · ISO 27001

IT & Technológia Pénzügyi szektor Telekommunikáció Vagyonvédelem Egészségügy

Kapcsolódó szabványok

Bővítse ISO 27001 rendszerét

Az ISO 27001 más irányítási rendszerekkel — különösen az ISO 9001-gyel és a NIS2-vel — hatékonyan integrálható.

Információbiztonság — ISO 27001 szabvány alapján

Információbiztonság —rendszerszinten kezelve