Az információbiztonsági ügyviteli rendszer 12 lépése

információbiztonsági ügyviteli rendszer

információbiztonsági ügyviteli rendszer

Az ISIS (Informations-Sicherheritsmanagement System, magyarul: információbiztonsági ügyviteli rendszer) koncepció Németországból származik, amely magában foglalja az ISO 27001-es szabvány követelményeinek egy részét, annak érdekében, hogy ezt azok a cégek is bevezethessék, akik nem szeretnének végrehajtani egy ISO 27001 minősítési folyamatot, de elég áttekintetők ahhoz, hogy felismerik annak fontosságát a digitális üzleti életben.

Ezen cégek nehézségei elsősorban azok, hogy nem rendelkeznek külön IT részleggel, nem birtokolják ezt a fajta kompetenciát. Továbbá, az előírt szabványok, valamint az információbiztonsági kockázatelemzés és a konkrét intézkedések kiválasztása sok esetben nagyon bonyolult feladatnak tűnik. Ezért célszerű egy külső szakértőt felkérni az analízis elvégzéséhez. Az ő tapasztalata felgyorsítja és megkönnyíti a bevezetési munkát. Sokkal őszintébb képet kapunk saját cégünk működéséről, ha egy külső személy is részt vesz a folyamatok elemzésében.

A T-Alfasystem Kft. tapasztalt ebben a munkában, és szívesen végzi az ilyen projektek ügyvitelét a megrendelői számára.

Az ISIS 12 lépése:

  1. Irányelvek meghatározása: Van-e már céges policy, a dokumentumokat és az információkat milyen módon kezeljük. Ebben az esetben figyelembe veszi a cég az aktuális körülményeket. A külső tapasztalt tanácsadó nagymértékben segíteni tudja az irányelvek megfogalmazását.
  2. Alkalmazottak bevonása: El kell mondani a munkatársaknak, hogy miért fontos az információbiztonság. A cég és a partnerek védelmén felül őket is szolgálja a rendszer.
  3. Munkacsoport létrehozása: Fel kell állítani egy csoportot, akik végrehajtják a lépéseket, felelnek az irányelvekért, az irányelvek betartásáért. Gyakran ezt egy külső cég jobban meg tudja oldani, de a szervezeten belül kell legalább egy felelős munkatárs.
  4. IT dokumentáció felépítése: Át kell gondolni, hogy a fájlok struktúrája milyen lesz: Hova és milyen logika szerint mentik a munkatársak a dokumentumokat.
  5. Létrehozni a cégen belüli IT támogatói csoportot: A cégen belül támogatói csoportot kell létrehozni, akik leveszik a terhet a munkatársak válláról. A feladatuk a jó munkakörülmény megteremtése (pl. számítógépek beállítása, eszközbeszerzés). Ezt a szolgáltatást ki lehet szervezni külső cégeknek.
  6. Kritikus alkalmazások, folyamatok meghatározása: Mire kell fókuszálni biztonsági szempontból, valamint mi az, amit fölöslegesen tárolok a gépen. Ami nem kell, archiváljuk, vagy semmisítsük meg! De léteznek olyan folyamatok, rendszerek, amelyek bármilyen káreset folyamán működniük kell. Ilyen lehet pl. a telefon és az e-mail rendszer, amelyeknek állandóan üzemelnie kell, hogy fel tudjuk venni a rendeléseket.
  7. Az infrastruktúra elemzése: A cég jelenlegi infrastruktúráját, munkakörülményeit szükséges felmérni ebben a lépésben.
  8. A biztonsági óvintézkedések analizálása: Át kell gondolni, hogy mit tegyen a vállalkozás azért, hogy minimalizálja a kockázatokat. Intézkedéseket kell kitalálni kár vagy katasztrófa esetére. Olyan lehetőségeket kell figyelembe venni, amit nem csak mi okoztunk hanem akár a környezetünk. Így nem ér váratlanul semmilyen esemény.
  9. A jelen állapot összehasonlítása az elgondolt jövőbeli állapottal: Össze kell hasonlítani, hogy hol tart most a cég, és hova szeretne eljutni. Ehhez milyen intézkedéseket kell tenni. Például hány munkást fognak alkalmazni, milyen infrastruktúra kell a magas szinten végzett tevékenységhez stb.
  10. A végrehajtás megtervezése: Ebben a lépésben a végrehajtáshoz szükséges lépéseket egymásutániságát tervezik meg.
  11. A terv végrehajtása.
  12. Felülvizsgálat: Bizonyos időintervallum elteltével újra felül kell vizsgálni a bevezetett rendszert. Meg kell tekinteni, hogy közelebb került-e a cég a tervezett célállapothoz, vagy hogy a kitűzött célok még aktuálisak-e.