Informatikai biztonsági (információbiztonsági) rendszer kialakítás, bevezetés, fejlesztés és audit

• kockázatok értékelése és menedzselése,
• incidensek kezelése,
• humán vonatkozások (pl.: alkalmazottak hozzáférései),
• fizikai védelem (pl.: üzemi területek védelme),
• belső és külső kommunikáció, stb..

• Tisztában vagyunk az információbiztonság kapcsán felmerülő üzleti kockázatokkal és megfelelően foglalkoztunk velük?
• Az ügyfelek által rendelkezésre bocsátott adatokat / információkat megfelelően kezeljük és védjük a szervezetünkön belül?
• Valóban bizalmasan kezeljük / kezelik az alkalmazottak az információkat a cégen belül ÉS kívül?
• Biztosítva vagyunk az információink sértetlenségéről? Pontos és ellenőrzött információkkal dolgozunk?
• Tényleg csak azok és csak akkor férhetnek hozzá az információkhoz, akik erre jogosultsággal rendelkeznek?
• Nyugodtak vagyunk az információk folyamatos rendelkezésre állását illetően? Felkészültünk az esetleges adatvesztések esetén a megfelelő visszaállításukra?
• Feltétel nélkül megbízunk alkalmazottainkban, akik a vállalat információit kezelik? Oktattuk őket, hogy mire kell figyelniük az esetleges külső támadások észlelése és elhárítása esetén? Figyelmet fordítunk a fluktuációra és az azáltal generált információbiztonsági kérdésekre?
• Mindent megtettünk annak érdekében, hogy bárminemű külső fenyegetés / támadás esetén megfelelő védelemmel rendelkezzünk és időben reagáljunk?

• Partnerek irányába a bizalom, a biztonság és az imázs növekedése
• Költségcsökkentés
• Hatékonyságnövelés
• Konkurenciával szembeni versenyelőny
• Ipari kémkedés lehetőségének minimalizálása
• Üzletfolytonosság biztosítása
• Kockázat megfelelő hatékonyságú kezelése

Érdekelik a részletek? Tanácsadónk DÍJMENTESEN és SZEMÉLYESEN tájékoztatja a részletekről!

Lépjen kapcsolatba velünk vagy írjon az Ezt a címet a spamrobotok ellen védjük. Engedélyezze a Javascript használatát, hogy megtekinthesse. címre vagy kérjen AJÁNLATOT! Bízunk benne, hogy Önt is hamarosan Ügyfeleink közt köszönthetjük.

• Az első kapcsolatfelvételt követően, munkatársunk felkeresi Önt és személyesen tájékoztatja a tanácsadás pontos metodikájáról és időtartamáról;
• A látogatást követően kifejezetten az Ön vállalatára specifikált ajánlatot készítünk;
• Amennyiben az ajánlat elnyerte tetszését vállalataink közt szerződéskötésre kerül sor;

• A szerződéskötést követően részletes helyzetfelmérést végzünk Önöknél az informatikai biztonság (információbiztonság) irányítási rendszer kialakítása, a hatékonyság növelése továbbá a lehetséges fejlesztendő területek kijelölése érdekében
• A helyzetfelmérést követően az Ön vállalata szerint specifikált oktatást tartunk minden munkatárs részére
• Megfelelő végzettségű tanácsadóink (CISA, CISSP, 27001 Lead Auditor) aktív közreműködése mellett segítjük az információbiztonsági kockázat menedzsment végrehajtását
• A kockázat menedzsment alapján kialakítjuk / módosítjuk az információbiztonsági dokumentumokat, amelyek például a következők lehetnek:
  • Adatvédelmi és Adatbiztonsági Szabályzat,
  • Biztonsági Szabályzat,
  • Üzletmenet Folytonossági Terv (BCP - Business Continuity Plan),
  • Üzletmenet Visszaállítási Terv (BRP - Business Recovery Plan),
  • Katasztrófa Elhárítási Terv (DRP - Disaster Recovery Plan),
  • IT Üzemeltetési Szabályzat,
  • Mentési és Archiválási Szabályzat,
  • Fejlesztési Szabályzat,
  • Jogosultságkezelési Szabályzat,
• Aktív tanácsadói közreműködés mellett közösen irányítjuk az informatikai biztonság (információbiztonság) irányítási rendszer bevezetését;

• A bevezetéssel párhuzamosan segítséget nyújtunk a tanúsító kiválasztásában és a vele való kommunikációban;
• A tanúsító audit előtt egy független (aki nem vett részt az Ön vállalatánál a tanácsadásban) tanácsadó kollégánk tanácsadói auditot tart Önöknél, ezzel is segítve és a felkészülést a tanúsító auditra;
• A tanácsadói audit tapasztalatait figyelembe véve az ügyféllel közösen javítjuk és fejlesztjük tovább az informatikai biztonsági (információbiztonság) rendszert;
• A tanúsító auditon a felkészítésben részt vevő tanácsadónk aktív részvétele és közreműködése mellett támogatjuk minden megrendelőnket.

• A bevezetést követően kezdődik meg az informatikai biztonság (információbiztonság) rendszer folyamatos fenntartása és fejlesztése.
• Tanácsadóink természetesen az utógondozási folyamatot is aktívan támogatják.
• Az incidensek figyelése és az auditok alapján kerül folyamatosan fejlesztésre a kockázat menedzsment és ezáltal az informatikai biztonság (információbiztonság) rendszer.

• ISO/IEC 27001:2005 - Information technology. Security techniques. Information security management systems. Requirements. - MSZ ISO/IEC 27001:2006 - Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszerei. Követelmények (MSZE 17799-2:2004 helyett) (tartalmában azonos a BS 7799-2:2005 szabvánnyal);
• ISO/IEC 27002:2007 - Information technology. Security techniques. Code of practice for information security management - MSZ ISO/IEC 27002:2007 - Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve. (MSZ ISO/IEC 17799:2002 helyett) (korábban BS 7799-1:1999, MSZ ISO/IEC 17799:2002 majd ISO/IEC 17799:2005 és MSZ ISO/IEC 17799:2006);
• ISO/IEC TR 18044:2004 - Information technology. Security techniques. Information security incident management - MSZ ISO/IEC TR 18044:2006 - Informatika. Biztonságtechnika. Az információbiztonsági incidensek kezelése
• ISO/IEC TR 18045 - Information technology. Security techniques. Methodology for IT security evaluation. Az IT biztonság értékelésének módszertana
• ISO/IEC 13569 - Financial services - Information security guidelines. Pénzügyi szolgáltatások. Információbiztonsági irányelvek.
• ISO/IEC 18028-4:2005 Information technology. Security techniques. IT network security Part 4: Securing remote access - MSZ ISO/IEC 18028-4:2005 - Informatika. Biztonságtechnika. IT-hálózatbiztonság 4. rész: Biztonságos távoli hozzáférés
• ISO/IEC Guide 73:2002 - Risk management. Vocabulary. Guidelines for use in standards;
• ISO/IEC 13335-1:2004 - Information technology. Security techniques. Management of information and communications technology security. Part 1: Concepts and models for information and communications technology security management - MSZ ISO/IEC 13335-1:2005 - Informatika. Biztonságtechnika. Az informatikai és távközlési biztonság menedzselése. 1. rész: Az informatikai és távközlési biztonság menedzselésének fogalmai és modelljei;
• ISO/IEC TR 13335-3:1998 - Information technology. Guidelines for the management of IT security. Part 3: Techniques for the management of IT security - MSZ ISO/IEC TR 13335-3:2004 - Informatika. Az informatikai biztonság menedzselésének irányelvei. 3. rész: Az informatikai biztonság menedzselésének technikái;
• EN ISO 19011:2002 Guidelines for quality and/or environmental management systems auditing - MSZ EN ISO 19011:2003 Útmutató minőségirányítási és/vagy környezetközpontú irányítási rendszerek auditjához.
• ISO/IEC 90003:2004 Software engineering. Guidelines for the application of ISO 9001:2000 to computer software - MSZ ISO/IEC 90003:2005 Szoftvertechnológia. Az ISO 9001:2000 alkalmazási irányelvei számítógépes szoftverekhez.

• The Standard of Good Practice for Information Security, produced by the Information Security Forum (ISF);
• COBIT 4.1 Control Objectives for Information and Related Technology (Információ-technológiai Kontroll Irányelvek);
• Common Criteria (CC) - az informatikai termékek és rendszerek biztonsági értékelésének módszertana, szabványként pedig az
  • ISO/IEC 15408-1:1999 Information technology. Security techniques. Evaluation criteria for IT security. Part 1: Introduction and general model - MSZ ISO/IEC 15408-1:2002 Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 1. rész: Bevezetés és általános modell
  • ISO/IEC 15408-2:1999 Information technology. Security techniques. Evaluation criteria for IT security. Part 2: Security functional requirements - MSZ ISO/IEC 15408-2:2003 Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 2. rész: A biztonság funkcionális követelményei
  • ISO/IEC 15408-3:1999 Information technology. Security techniques. Evaluation criteria for IT security. Part 3: Security assurance requirements - MSZ ISO/IEC 15408-3:2003 Informatika. Biztonságtechnika. Az informatikai biztonságértékelés közös szempontjai. 3. rész: A biztonság garanciális követelményei
• Az Informatikai Tárcaközi Bizottság ajánlásai (8. Informatikai biztonsági módszertani kézikönyv, 12. Informatikai rendszerek biztonsági követelményei, 16. Common Criteria stb.);
• BSI

  • BS 25999-2 - Business Continuity Management Part 2.: Specification
• NIST - National Institute of Standard and Technology

  • NIST 800-100. - Information Security Handbook: A guide for managers;
  • NIST 800-12. - An Introduction to Computer Security: The NIST handbook;
  • NIST 800-14. - Generally Accepted Principles and Practices for Securing It Systems.1996.;
  • NIST 800-27. - Engineering Principles for IT Security. 2001. stb.
• ITIL (IT Infrastructure Library) a CCTA (Central Computing and Telecommunications Agency - Központi Számítástechnikai és Telekommunikációs Ügynökség) által kifejlesztett módszertan, szabványként pedig az

  • ISO/IEC 20000-1:2005 Information technology. Service management. Part 1: Specification - MSZ ISO/IEC 20000-1:2007 Informatika. Szolgáltatásirányítás 1. rész: Előírás és az
  • ISO/IEC 20000-2:2005 Information technology. Service management. Part 2: Code of practice - MSZ ISO/IEC 20000-2:2007 Informatika. Szolgáltatásirányítás 2. rész: Alkalmazási útmutató;

• SOX - Sarbanes-Oxley act of 2002,
• SAS 70 - Statement on Auditing Standards
• HIPAA - Health Insurance Portability and Accountability Act of 1996
• GLBA - Gramm Leach Bliley Act of 1999 - The Financial Modernization act of 1999
• The Payment Card Industry (PCI) Data Security Standard,
• Basel II 1998,
• EU Directive on Data Protection etc.;
• Állami Számvevőszék - Módszertan az informatikai rendszerek kontrolljainak ellenőrzéséhez;