A számítástechnikai bűnözés komoly fenyegetést jelent minden iparágban és méretben működő vállalatra - ez széles körben ismert. A repertoár a kémkedéstől a szabotázson át a zsarolásig terjed. A veszély azonban nem csak az internetről származik. Saját alkalmazottai is komoly kockázati tényezőt jelenthetnek. Különösen akkor, ha az Ön vállalata nem hozott megfelelő intézkedéseket - tekintse meg az ISO 27001 szabvány A.7. mellékletét.

Loading...

Egy jól felépített információbiztonsági irányítási rendszer (ISMS) a ISO 27001 SZABVÁNYNAK MEGFELELŐ szabványnak megfelelő szabvány biztosítja az alapot a holisztikus információbiztonsági stratégia hatékony végrehajtásához. A szisztematikus megközelítés segít megvédeni a bizalmas vállalati adatokat az elvesztéstől és a visszaéléstől, valamint megbízhatóan azonosítani a vállalatot fenyegető potenciális kockázatokat, elemezni azokat, és megfelelő intézkedésekkel ellenőrizhetővé tenni. Ez sokkal többet foglal magában, mint az informatikai biztonság szempontjait. A gyakorlat számára különösen értékes a szabvány A. mellékletében szereplő intézkedések végrehajtása.

ISO/IEC 27001:2013: Informatika - Biztonsági technikák - Információbiztonsági irányítási rendszerek - Követelmények.

Az ISO 27001 szabvány A. melléklete: Gyakorlati jelentőségű

Az ISO-szabvány 2013-as változatának A. melléklete az irányítási rendszerre vonatkozó követelményeket tartalmazó részen (4-10. fejezet) kívül az ISO-szabvány 2013-as változatának A. melléklete 35 intézkedéscél (ellenőrzés) kiterjedt listáját tartalmazza 114 konkrét intézkedéssel a biztonsági szempontok széles körére vonatkozóan, 14 fejezeten keresztül.

Megjegyzés: Az A. mellékletben "intézkedésként" említett kijelentések valójában egyedi célok (ellenőrzések). Azt írják le, hogyan kell kinéznie a megfelelő (egyedi) intézkedések szabványnak megfelelő eredményének.

A vállalatoknak ezeket az ellenőrzéseket kell alapul venniük az információbiztonsági politikájuk egyéni, mélyrehatóbb strukturálásához. A személyzet témakörét illetően különösen érdekes az A.7. függelék "Személyzetbiztonság" című intézkedési célkitűzése.

"Az intézkedések nem az alkalmazottakkal szembeni bizalmatlanságra, hanem a világosan strukturált személyzeti folyamatokra támaszkodnak."

A személyzeti folyamatok a foglalkoztatás minden fázisában biztosítják, hogy az információbiztonsággal kapcsolatos felelősségek és feladatok kiosztásra kerüljenek, és hogy a megfelelés ellenőrzése megtörténjen. Az információbiztonsági politika - szándékos és nem szándékos - megsértése így nem lehetetlen, de sokkal nehezebbé válik. És ha a legrosszabb bekövetkezik, egy hatékony ISMS megfelelő mechanizmusokat biztosít a szervezet számára a jogsértés kezelésére.

Loading...

Valuable knowledge: The DQS Audit Guide

Az ISO 27001 - A melléklet című auditálási útmutatót vezető szakértők készítették gyakorlati megvalósítási segédletként, és kiválóan alkalmas a szabvány kiválasztott követelményeinek jobb megértéséhez. Az útmutató az ISO 27001:2013-ra vonatkozik, és hamarosan frissül a 2022. október 25-én megjelent, átdolgozott ISO 27001-re.

Az információbiztonság nem bizalmatlanság

Semmiképpen sem bizalmatlanságról van szó, ha egy vállalat megfelelő irányelveket ad ki annak érdekében, hogy a belülről történő illetéktelen hozzáférést megnehezítse, vagy még jobb esetben teljesen megakadályozza. Hiszen egy dolog egyértelmű: ha egy alkalmazott felmondása küszöbön áll vagy már bejelentették, elégedetlensége célzott adatlopáshoz vezethet. Ez különösen akkor fordul elő, ha a felmondott alkalmazott úgy véli, hogy a projektadatokhoz tulajdonjoggal rendelkezik. Ezzel szemben előfordulhat, hogy egy adott állásra való jelentkezés már bűncselekmény elkövetésének szándékával történik.

Más forgatókönyvek súlyosan hanyag magatartásra vagy egyszerűen csak gondatlanságra utalnak, amelyek hasonlóan súlyos következményekkel járhatnak. Előfordul például, hogy egész informatikai részlegek nem tartják be a saját szabályaikat - túl nehézkes, túl időigényes. Az irodában a jelszavak gondatlan kezelése vagy a nem védett okostelefonok. De az USB-stickek gondatlan csatlakoztatása, a képernyőn nyitott dokumentumok, titkos dokumentumok üres irodákban - a lehetséges mulasztások listája hosszú.

Az ISO 27001 szabvány A.7. melléklete - A személyzet biztonsága

Azok a vállalatok, amelyek az ISO 27001 szabványnak megfelelő információbiztonsági irányítási rendszert (ISMS) vezettek be, itt jobb helyzetben vannak. Ismerik a követelményeket és a nemzetközileg elismert szabvány gyakorlatilag releváns A.7. mellékletét. Az ISO 27001 ugyanis itt sokat tud nyújtani: Bár a referenciaintézkedések közvetlenül a szabvány követelményeire hivatkoznak, mindig a közvetlen vállalati gyakorlatra irányulnak.

A hatékony ISMS-szel rendelkező vállalatok ismerik az A.7. mellékletben meghatározott célokat, amelyeket a szabványnak való teljes megfelelés érdekében - a foglalkoztatás minden fázisában - a személyzet biztonsága érdekében kell megvalósítani.

Mit mond az ISO 27001 szabvány A.7. melléklete?

A foglalkoztatás előtti intézkedések

A szervezetnek az alkalmazás előtt - az A.7.1. melléklet szerint - meg kell győződnie arról, hogy az új munkavállaló megérti a jövőbeli feladatait, és alkalmas a szerepére. A követelményeket tartalmazó részben (7.2. fejezet) a szabvány a "kompetenciáról" beszél.

Célorientált referenciamérésként a munkára jelentkezők először az etikai alapelveknek és az alkalmazandó jogszabályoknak megfelelő biztonsági ellenőrzést kapnak. Ennek az ellenőrzésnek megfelelőnek kell lennie az üzleti követelményekhez, a megszerezni kívánt információk minősítéséhez és a lehetséges kockázatokhoz képest (A.7.1.1.). Ahhoz, hogy ezt el lehessen érni, többek között a következőknek kell fennállniuk, biztosítva vagy ellenőrizve lenniük:

  • Az információszerzésre vonatkozó eljárás (hogyan és milyen feltételek mellett)
  • a betartandó jogi és etikai kritériumok listája
  • A biztonsági ellenőrzésnek megfelelőnek, a kockázatokhoz és a vállalat igényeihez kapcsolódónak kell lennie.
  • Az önéletrajz, a pénzügyi kimutatások és egyéb dokumentumok hitelessége és hitelessége.
  • A pályázó megbízhatósága és alkalmassága a tervezett pozícióra vonatkozóan

Szerződéses megállapodások

A következő lépés a foglalkoztatási és szerződési feltételekről szól. Tehát az ISO/IEC 27001 A. mellékletében ez a referenciaintézkedés a szerződéses megállapodásból áll, amely arról szól, hogy a munkavállalók milyen felelősséggel tartoznak a vállalat felé és fordítva (A.7.1.2). Ennek a követelménynek a sikeres megvalósításához többek között ezeknek a pontoknak a teljesítése is hozzátartozik:

  • Titoktartási megállapodás aláírása a bizalmas információkhoz hozzáféréssel rendelkező munkavállaló (vállalkozó) által.
  • A munkavállaló (vállalkozó) szerződéses kötelezettsége például a szerzői jogi vagy adatvédelmi kérdések betartására.
  • szerződéses rendelkezés az alkalmazottak (vállalkozók) felelősségéről a külső információk kezelése során

A munkaviszony fennállása alatt - A felső vezetés felelőssége.

Az alkalmazottaknak tisztában kell lenniük az információbiztonsági felelősségükkel. Ez a célja az A.7.2. pontnak, és ami még fontosabb, az alkalmazottaknak eleget kell tenniük ezeknek a felelősségeknek.

Az első intézkedés (A.7.2.1) a vezetés azon kötelezettségére irányul, hogy ösztönözze alkalmazottait az információbiztonságnak a megállapított irányelvekkel és eljárásokkal összhangban történő végrehajtására. Ennek érdekében legalább a következő pontokat kell szabályozni:

  • Milyen módon ösztönzi a felső vezetés az alkalmazottakat a végrehajtásra? Hol vannak kockázatok?
  • Hogyan biztosítja, hogy az alkalmazottak tisztában legyenek az információbiztonság kezelésére vonatkozó bevezetett irányelvekkel?
  • Hogyan ellenőrzi, hogy az alkalmazottak betartják-e az információbiztonság kezelésére vonatkozó iránymutatásokat?
  • Hogyan motiválja az alkalmazottakat az irányelvek és eljárások végrehajtására és biztonságos alkalmazására?

A tudatosság megteremtése

A 7.3. "Tudatosság" fejezetben az ISO 27001 előírja, hogy a vonatkozó tevékenységeket végző személyek tisztában legyenek a következőkkel

  • a szervezet információbiztonsági politikájáról
  • az információbiztonsági irányítási rendszer (ISMS) hatékonyságához való hozzájárulásukról
  • az információbiztonsági teljesítmény javulásából származó előnyökről
  • az ISMS követelményeinek nem teljesítésének következményeiről.

Különösen az új alkalmazottaknak van szükségük rendszeres tájékoztatásra a témában, például e-mailben vagy az intraneten keresztül, az információbiztonsági kérdésekről szóló kötelező tájékoztatáson túlmenően. Konkrét képzések (különösen a vészhelyzeti tervekről és gyakorlatokról), tematikus workshopok és tudatosságnövelő kampányok (pl. plakátokon keresztül) erősítik az információbiztonsági irányítási rendszerrel kapcsolatos tudatosságot.

Például az ISO 27001 szabvány A. mellékletének A.7.2.1. hivatkozási intézkedése szintén az információbiztonsággal kapcsolatos megfelelő tudatosság megteremtését szolgálja. A szervezeteknek képezniük és oktatniuk kell alkalmazottaikat és adott esetben vállalkozóikat a szakmailag releváns témákban. A megfelelő irányelveket és eljárásokat rendszeresen frissíteni kell. Többek között a következő szempontokat kell figyelembe venni:

  • A felső vezetés részéről az információbiztonság iránti elkötelezettséget.
  • a szakmai oktatás és képzés jellege
  • a politikák és eljárások felülvizsgálatának és frissítésének gyakorisága
  • Egyéb alkalmazott eszközök
  • Konkrét intézkedések a munkavállalók belső információbiztonsági politikák és eljárások megismertetésére.

TIPP: Biztosítsa a jól működő kommunikációt több csatornán keresztül a tudásátadáshoz. Ennek oka, hogy az ISMS és a szabvány által megkövetelt kapcsolódó szempontok tudatosítása szorosan összefügg a tudásátadással.

Megrovás folyamata

7.2.3. melléklet: Ez az intézkedés azt határozza meg, hogy a szervezet hogyan kezeli az információbiztonság megsértése esetén a megrovásokat. Ennek alapja egy korrekciós intézkedési folyamat. Ezt hivatalosan meg kell határozni, létre kell hozni és be kell jelenteni. A következőket kell biztosítani:

  • Létezniük kell olyan kritériumoknak, amelyek alapján az információbiztonsági politika megsértésének súlyosságát osztályozzák.
  • A fegyelmi eljárás nem sértheti az alkalmazandó jogszabályokat.
  • A fegyelmi eljárásnak olyan intézkedéseket kell tartalmaznia, amelyek hosszú távon motiválják a munkavállalókat viselkedésük pozitív irányú megváltoztatására.

A munkaviszony megszűnése - Felelősség

Az ISO 27001 szabvány A.7.3. melléklete célként határozza meg a szervezet érdekeinek védelmét szolgáló hatékony felmondási vagy váltási folyamatot. Ez a célkitűzés a munkaviszony megszüntetésével vagy megváltoztatásával kapcsolatos felelősségekre összpontosít. Ennek megfelelően meg kell határozni, kommunikálni és érvényesíteni kell az információbiztonsággal kapcsolatos felelősségeket és kötelezettségeket, amelyek a munkaviszony megszűnése vagy megváltozása után is fennmaradnak. Ezeket a szempontokat érdemes figyelembe venni:

  • A munkaszerződésekben való megállapodások arról, hogy a munkavállalók hogyan kezeljék a munkaviszony megszűnése után továbbra is fennálló, információbiztonsággal kapcsolatos felelősségeket és kötelezettségeket.
  • az e megállapodások betartását biztosító ellenőrzési mechanizmusok
  • a folyamatos felelősségek és kötelezettségek betartásának kikényszerítésére szolgáló eljárások.

Kiberbiztonság a szisztematikus személyzeti biztonságon keresztül

A belülről jövő fenyegetés valós - és a legtöbb vállalat tisztában van vele. Egy biztonsági tanulmány (Balabit 2018) szerint a széles körű hozzáférési jogokkal rendelkező alkalmazottak különösen sebezhetőek a támadásokkal szemben. És mivel az alkalmazottak az összes biztonsági incidens 50 százalékában érintettek, a válaszadó informatikai szakemberek 69 százaléka a bennfentes adatok megsértését tartja a legnagyobb kockázatnak. Mégis keveset tesznek ellene. A gyakorlatban gyakran nehéz vádat emelni a házon belüli alkalmazottak ellen. Különösen a kis- és középvállalkozásokban (kkv-k), ahol az emberek ismerik egymást, gyakran bizonyos fokú bizalmat élveznek - néha kellemetlen következményekkel. A jól felépített információbiztonsági menedzsment biztosítja a védelmet igénylő információk biztonságának alapját.

Loading...

ISO 27001 - Annex A

DQS Audit Guideline

Profitáljon a kiváló ellenőrzési kérdésekből és a kiválasztott intézkedésekre vonatkozó lehetséges bizonyítékokból . Az útmutató az ISO/IEC 27001:2013 szabványon alapul.

Sokkal több, mint egy ellenőrző lista!
A valós életben dolgozó szakértőink által készített.

Következtetés: ISO 27001 a gyakorlatban - A melléklet

Az A.7. mellékletben az ISO/IEC 27001:2013 referenciaintézkedéseket tartalmaz a személyi biztonságra vonatkozóan, amelyeket a szabvány bevezetésének részeként kell végrehajtani. A vállalatoknak ezeket az ellenőrzéseket kell alapul venniük az információbiztonsági politikájuk egyéni, mélyrehatóbb kialakításához. Az intézkedések nem a munkavállalókkal szembeni bizalmatlanságra, hanem a világosan strukturált személyzeti folyamatokra támaszkodnak.

Az ISO 27002 irányelv az általános biztonsági intézkedések széles körű katalógusát határozza meg, hogy támogassa a szervezeteket az ISO 27001 A. mellékletében szereplő követelmények végrehajtásában. Az iránymutatást 2022 elején átfogóan átdolgozták és frissítették. Az új kiadás pontos kitekintést nyújt az információbiztonsági vezetőknek az ISO 27001 felülvizsgálatával várható változásokról.

Szakértelem és bizalom

A tanúsított vállalatok az irányítási rendszereket a felső vezetés eszközeként értékelik, amelyek átláthatóságot teremtenek, csökkentik a komplexitást és biztonságot nyújtanak. Az irányítási rendszerek azonban még ennél is többet tudnak: Egy semleges és független harmadik fél, például a DQS által értékelve és tanúsítva bizalmat keltenek az érdekelt felek körében a vállalat teljesítménye iránt.

Sok szervezet még mindig úgy éli meg a tanúsítást, mint a megfelelőség ellenőrzését. Ügyfeleink ezzel szemben lehetőséget látnak benne, hogy a siker szempontjából kritikus tényezőkre és az irányítási rendszerük eredményeire összpontosítsanak. Mert a mi fő kompetenciánk a tanúsítási auditok és értékelések elvégzésében rejlik. Ezáltal világszerte az egyik vezető szolgáltatóvá válunk azzal az igénnyel, hogy a megbízhatóság, a minőség és az ügyfélközpontúság terén mindenkor új mércét állítsunk fel.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certification according to ISO 27001

Mennyi munkát kell elvégeznie ahhoz, hogy az információbiztonsági irányítási rendszerét tanúsíttassa az alábbiak szerint ISO 27001? Tudja meg ingyenesen és kötelezettség nélkül.

Megjegyzés: Cikkeinket kizárólag házon belüli irányítási rendszer-szakértőink és régi auditoraink írják. Ha bármilyen kérdése van szerzőinkhez az információbiztonsággal (ISMS) kapcsolatban, kérjük, vegye fel velünk a kapcsolatot. Örömmel várjuk a beszélgetést.

Szerző
André Saeckel

Termékmenedzser a DQS-nél az információbiztonsági menedzsment területén. André Säckel az információbiztonság és az IT-biztonsági katalógus (kritikus infrastruktúrák) területének szabványügyi szakértőjeként többek között a következő szabványokért és iparág-specifikus szabványokért felelős: ISO 27001, ISIS12, ISO 20000-1, KRITIS és TISAX (információbiztonság az autóiparban). A DIN német szabványügyi intézet nemzeti delegáltjaként tagja az ISO/IEC JTC 1/SC 27/WG 1 munkacsoportnak is.

Loading...