Írta Ana Canteli 2023. március 20-án
Az ISO 27001 olyan szabvány, amely keretrendszert biztosít az információk, köztük a bizalmas ügyfél- és vállalati adatok hatékony kezeléséhez és védelméhez. Világszerte széles körben használják, különösen azok a szervezetek, amelyek nagy mennyiségű érzékeny információt kezelnek, vagy amelyeknek bizonyítaniuk kell, hogy megfelelnek a nemzetközileg elismert biztonsági előírásoknak. Az ISO 27001 tanúsítás segíthet a szervezeteknek az ügyfelek bizalmának, valamint a cég hírnevének növelésében, továbbá az információbiztonsági kockázatok csökkentésében.
Az ISO 27001, a sorozat vezető szabványa, meghatározza az információbiztonsági irányítási rendszerre (ISMS) vonatkozó követelményeket, és keretet biztosít a kockázatok azonosításához, értékeléséhez és kezeléséhez. Az ISO 27000 sorozat többi szabványa útmutatásokat és ajánlásokat ad az ISMS megvalósításához.
Az információbiztonsági irányítási rendszer (ISMS) olyan munkakörnyezet, amely lehetővé teszi a szervezetek számára, hogy meghatározzák és létrehozzák az információ védelmét és a biztonsággal kapcsolatos kockázatok minimalizálását szolgáló irányelveket, eljárásokat és ellenőrzéseket. Az ISMS célja az adatok rendelkezésre állásának, sértetlenségének és bizalmas jellegének biztosítása.
A hatékony ISMS gondos tervezést és folyamatos irányítást igényel. Az információbiztonsági irányítási rendszer megvalósítása magában foglalja az információbiztonsági kockázatok azonosítását és értékelését, a kockázatok mérséklésére szolgáló szabályozások meghatározását és végrehajtását, valamint a folyamatos ellenőrzést annak biztosítása érdekében, hogy a szabályok hatékonyak és megfelelőek maradjanak.
Az ISO 27000 egy olyan szabványsorozat, amelyet világszerte azzal a céllal hoztak létre, hogy segítse a szervezeteket egy hatékony információbiztonsági irányítási rendszer (ISMS) létrehozásában, bevezetésében és fenntartásában. E célból a következőket írja elő:
Információvédelem: ISO 27000 segít a szervezeteknek az információbiztonsági kockázatok azonosításában és értékelésében, valamint a kockázatok mérséklését célzó biztonsági ellenőrzések kialakításában.
Szabályozási megfelelés: Az ISO 27000 segít a vállalatoknak megfelelni az információbiztonságra vonatkozó jogi és szabályozási követelményeknek. Számos szabályozó hatóság és akkreditációs testület megköveteli a vállalatoktól az ISO 27000 szabványnak való megfelelést, hogy bizonyítsák a megbízható ISMS-t.
Hatékonyság: Javítja az információbiztonsági irányítás hatékonyságát azáltal, hogy keretet biztosít a biztonsági kockázatok szisztematikus és strukturált kezeléséhez.
Növeli az ügyfelek bizalmát: bizonyítja, hogy a vállalat komolyan veszi az információbiztonságot, és hatékony ISMS-szel rendelkezik annak védelmére.
Kockázatcsökkentés: Az ISO 27000 segít a vállalatoknak az információbiztonsági kockázatok azonosításában és mérséklésében, ami csökkentheti az információbiztonság megsértésével járó pénzügyi, jogi és hírnévbeli kockázatokat.
Az ISO 27001 szerinti ISMS létrehozásához teljesítendő követelmények a következők:
Kockázatelemzés: A vállalatot érintő információbiztonsági kockázatok azonosítása és értékelése érdekében kockázatelemzést kell végezni. A kockázatértékelésnek figyelembe kell vennie a támogatáshoz kapcsolódó információs eszközöket, fenyegetéseket és sebezhetőségeket.
Biztonsági politika: Információbiztonsági politikát kell kialakítani az ISMS céljainak és elveinek meghatározása érdekében, és a szervezet felső vezetésének ki kell mutatnia elkötelezettségét e politika iránt.
Tervezés: A szervezetnek világos célkitűzéseket és célokat kell megállapítania az ISMS-re vonatkozóan, és cselekvési tervet kell kidolgoznia ezek elérésére. A tervezés során figyelembe kell venni a biztonsági politikát és a kockázatértékelés eredményeit.
Végrehajtás: Az információbiztonsági kockázatok mérsékléséhez szükséges biztonsági ellenőrzések. Ezek fizikai, technikai és szervezeti intézkedéseket foglalhatnak magukban.
Értékelés és felülvizsgálat: A szervezetnek rendszeresen értékelnie kell az ISMS-t annak biztosítása érdekében, hogy az hatékony és megfelelő legyen. Az értékeléseknek tartalmazniuk kell a biztonsági ellenőrzések felülvizsgálatát, az ISMS teljesítményének értékelését és a szükséges fejlesztések meghatározását.
Folyamatos fejlesztés: A szervezetnek folyamatosan fejlesztenie kell az ISMS-t annak biztosítása érdekében, hogy az hatékony és megfelelő legyen. A folyamatos fejlesztés magában foglalhatja új biztonsági ellenőrzések bevezetését, a meglévők javítását, valamint az ISMS biztonsági politikájának és célkitűzéseinek felülvizsgálatát.
Ezen kockázatok a következő kategóriákba sorolhatók:
Jogosulatlan hozzáférések: a hackertámadások, a jelszólopás és a social engineering a leggyakoribb példák az ilyen típusú kockázatokat előidéző fenyegetésekre.
Adatvesztési kockázatok: ide tartozik a szervezeti információk véletlen törlése, a hardver- vagy szoftverhiba esetén, illetve a természeti katasztrófák miatt történő adatvesztés is. A kockázatok lehetnek fizikaiak, például tűz és földrengés, vagy logikaiak, például adatrongálás.
Az adatmódosítási kockázatok közé tartozik a szervezet információinak jogosulatlan felhasználásának kockázata. Ez állhat az adatok szállítás közbeni manipulálásából, például e-mail csalásból, vagy a tárolt adatok kezeléséből.
A szolgáltatás megszakadásának kockázata: kialakulhat kibertámadás vagy természeti katasztrófa következményeként is. Jelentősen befolyásolhatja a szervezet azon képességét, hogy elvégezze tevékenységét.
Csalás jellegű kockázatok közé tartozik az online csalás, a személyazonosság-lopás és az adatmanipuláció.
Fontos megjegyezni, hogy ezek a kockázatok a tevékenységi ágazattól és a szervezet méretétől függően változhatnak. Ezért a szervezeteknek a rájuk vonatkozó konkrét cégre szabott kockázatértékelést kell végezniük, és megfelelő stratégiákat kell kidolgozniuk ezek mérséklésére.
Ezek a követelmények a következők:
Eszközök azonosítása: A szervezetnek azonosítania kell az ISMS szempontjából releváns összes információs eszközt. Ez magában foglalhatja az elektronikus vagy fizikai formátumú információkat, valamint a rendszereket és az alkalmazásokat is.
A fenyegetések azonosítása: amelyek befolyásolhatják az információs eszközök bizalmas jellegét, integritását vagy rendelkezésre állását. A veszélyek lehetnek belső vagy külső veszélyek, beleértve az emberi hibát, a lopást, a szabotázst és a természeti katasztrófákat.
A sebezhetőségek értékelése: A korábban azonosított fenyegetéseket kihasználhatják. Ezek lehetnek a szervezet rendszereinek vagy folyamatainak gyengeségei, amelyeket egy támadó kihasználhat.
Kockázatértékelés: Az azonosított fenyegetésekhez és sebezhetőségekhez kapcsolódóan. Magában foglalhatja kockázati táblázatok használatát a kockázatok rangsorolásához hatásuk és valószínűségük szerint.
Intézkedések meghatározása: az azonosított kockázatok mérséklése érdekében. Ezek a kontrollok fizikai, technikai és szervezeti intézkedéseket tartalmazhatnak az információs eszközök védelme és a biztonsági incidensek kockázatának csökkentése érdekében.
A kockázatok azonosítása folyamatos és dinamikus folyamat. A vállalatnak rendszeres időközönként kockázatértékelést kell végeznie, és biztonsági ellenőrzéseit az információbiztonsági környezet változásainak megfelelően kell módosítania.
Információbiztonsági kockázatértékelés az ISO 27000 szabvány szerint
Az ISO 27001 a kockázatértékelési folyamat során azonosított információbiztonsági kockázatok kezelésére szolgáló folyamatot határoz meg. Ez a folyamat négy fő szakaszban zajlik, amelyek a következők:
Kockázatok elfogadása: A szervezetnek meg kell határoznia, hogy el tudja-e fogadni az azonosított kockázatokat, azaz, hogy a hatás és a valószínűség értékelése alapján elfogadhatóak-e az esélyek. Ha a kockázatot elfogadhatónak ítélik, nincs szükség további lépésekre.
Kockázatok kiküszöbölése: A szervezetnek intézkedéseket kell tennie az azonosított kockázatok elkerülése érdekében. Ez magában foglalhatja a szervezet folyamatainak vagy rendszereinek módosítását a kockázatok kiküszöbölése vagy csökkentése érdekében.
Kockázatok átadása: A szervezet átruházhatja a kockázatot egy másik félre, biztosítás vagy harmadik féllel kötött szolgáltatási szintű megállapodások (SLA) révén.
Kockázatok mérséklése: Ha a kockázatokat nem lehet elfogadni, elkerülni vagy átruházni, a szervezetnek biztonsági ellenőrzéseket kell bevezetnie a kockázat mérséklésére. Ezek az ellenőrzések lehetnek technikai, fizikai vagy adminisztratív jellegűek, és azokat a kockázatértékelés eredményei alapján kell kiválasztani.
A kockázatkezelési folyamat szintén folyamatos és dinamikus. A kockázatkezelési folyamat dokumentálása és a megtett intézkedések naprakész nyilvántartása elengedhetetlen.
A dokumentumkezelő szoftverek többféle módon is megvalósíthatják az ISO 27000 szabványt követő információbiztonsági rendszert. Néhány ezek közül:
Dokumentum-ellenőrzés: A dokumentumkezelő szoftver segíthet az ISMS-szel kapcsolatos dokumentumok létrehozásának, felülvizsgálatának, jóváhagyásának és terjesztésének ellenőrzésében. Biztosítja, hogy a dokumentumok naprakészek és csak az arra jogosult személyek számára hozzáférhetők legyenek.
Hozzáférés-szabályozás: Az elektronikus dokumentumkezelő szoftverek segítségével hozzáférési ellenőrzéseket lehet végrehajtani annak biztosítására, hogy csak az arra jogosult személyek férhessenek hozzá a bizalmas információkhoz. Ez magában foglalja a dokumentumokhoz való hozzáférés korlátozását meghatározott felhasználók vagy felhasználói csoportok számára.
Munkafolyamat: A dokumentumkezelő szoftverek automatizálhatják a dokumentumkezeléssel kapcsolatos munkafolyamatokat. Biztosítja, hogy a dokumentumok meghatározott létrehozási, felülvizsgálati és jóváhagyási folyamatot kövessenek.
Verziókezelés: Az ISO 27001 előírja a verziókezelést a fájl megfelelő verziójához való hozzáférés biztosítása érdekében. A dokumentumkezelő rendszer ezt a követelményt a verziókezelés és a változások és revíziók azonosítása révén tudja megvalósítani.
Biztonságos tárolás: Az ISO 27001 megköveteli a bizalmas dokumentumok biztonságos tárolását. A dokumentumkezelés segíthet ennek megvalósításában a dokumentumok biztonsági intézkedésekkel, például adattitkosítással és automatikus biztonsági mentésekkel történő védelmével.
Jelentés: A dokumentumkezelő szoftver képes jelentéseket készíteni, amelyek lehetővé teszik a szervezet számára, hogy nyomon kövesse az ISMS megvalósításának előrehaladását, és lépéseket tegyen a folyamat javítására.
Auditálás és nyomon követés: Az ISO 27001 előírja az auditálást és a nyomon követést annak biztosítása érdekében, hogy a dokumentumokat biztonságosan és hatékonyan kezeljék. Az elektronikus dokumentumkezelő az ellenőrzési nyomvonalak létrehozásával és a dokumentumváltozások nyomon követésével segíthet ennek a követelménynek a végrehajtásában.
Kockázatkezelés: Az ISO 27001 előírja a vállalatok számára, hogy rendszeres kockázatértékeléseket végezzenek a rendszereik és folyamataik biztonsági fenyegetéseinek és sebezhető pontjainak azonosítása érdekében. A dokumentumkezelő szoftver segíthet e követelmény végrehajtásában a kockázatértékelés automatizálásával és az azonosított kockázatok mérséklésére szolgáló biztonsági ellenőrzések meghatározásával.
Az OpenKM dokumentumkezelő szoftvere rendelkezik az ISO 27000 szabvány sikeres végrehajtásához szükséges összes funkcióval. Mindez holisztikus megközelítést igényel, amely nemcsak a dokumentumkezelést, hanem többek között a kockázatkezelést, a fizikai biztonságot, a munkavállalók képzését és a tudatosságot is magában foglalja. A felhasználók képzésének megkönnyítése érdekében az OpenKM a felhasználók szintjéhez igazított képzéseket kínál. Ha többet szeretne megtudni arról, hogy hogyan élvezhetné ennek az ISO-szabványnak az előnyeit, vagy hogyan szerezheti meg a tanúsítást, kérjük, vegye fel velünk a kapcsolatot.