InformációbiztonságINFORMÁCIÓBIZTONSÁG

MSZ/T ISO/IEC 27001:2014

 

 

Az információbiztonság tárgykörében a Magyar Szabványügyi Testület 2014. március 1-én tette közzé az MSZ/T ISO/IEC 27001:2014 Informatika. Biztonságtechnika. Információbiztonsági irányítási rendszerek. Követelmények  című szabványtervezetet, amely az ISO/IEC 27001:2013 Information technology. Security techniques. Information security management systems. Requirements című nemzetközi szabvány magyar nyelvű változatának tervezete, és amely felváltja a szabvány első, nyolc évvel ezelőtti kiadását, az MSZ ISO/IEC 27001:2006-ot.

Az ISO/IEC 27000-es szabványcsoport az információbiztonsági irányítási rendszerekkel kapcsolatos szabványokat tartalmazza, melyek egy része előkészítés, illetve korszerűsítés alatt áll, jelentős részük azonban már megjelent. Ezek közül az MSZT az ISO/IEC 27001-en kívül  még két szabványt vezetett be magyar nemzeti szabványként, amelyek a következők:

MSZ ISO/IEC 27002:2011   Informatika. Biztonságtechnika. Az információbiztonság irányítási gyakorlatának kézikönyve (magyar nyelvű)

MSZ ISO/IEC 27006:2013   Informatika. Biztonságtechnika. Az információbiztonság irányítási rendszereinek auditját és tanúsítását végző testületekre vonatkozó követelmények (angol nyelvű)

Az ISO/IEC 27001 nemzetközi szabványt abból a célból dolgozták ki, hogy meghatározzák az információbiztonsági irányítási rendszerek létesítésének, megvalósításának, fenntartásának és folyamatos továbbfejlesztésének követelményeit. Információbiztonsági irányítási rendszer bevezetése bármely szervezet számára stratégiai döntést jelent. Az információbiztonsági irányítási rendszer létesítését befolyásolják a szervezet igényei, célkitűzései, biztonsági követelményei, valamint a szervezet mérete és felépítése.
Az információbiztonsági irányítási rendszer feladata az információk titkosságának, sérthetetlenségének és elérhetőségének megőrzése azáltal, hogy kockázatkezelési folyamatot alkalmaz, és a kockázatok megfelelő kezelésével bizalmat teremt az érintett felekben.
Fontos, hogy az információbiztonsági irányítási rendszer integrált része legyen a szervezet folyamatainak és általános irányítási rendszerének. Alkalmazásakor a folyamatok, információs rendszerek és irányítási teendők tervezése során figyelembe kell venni az információbiztonságot.
A szabványt belső és külső felek egyaránt alkalmazhatják abból a célból, hogy felmérjék, mennyire képes a szervezet eleget tenni saját információbiztonsági követelményeinek.
A szabvány tartalmazza az információbiztonsági kockázatok adott szervezet igényei szerint végzett felmérésének és kezelésének követelményeit. A megfogalmazott követelmények általánosak. Céljuk, hogy jellegüktől, méretüktől vagy természetüktől függetlenül minden szervezetre alkalmazhatók legyenek.
A szabvány az irányítási rendszer működtetésének követelményeit a többi tanúsítható irányítási rendszer követelményeivel összhangban a következő fejezeteiben írja le:

1. Alkalmazási terület
2. Rendelkező hivatkozások
3. Szakkifejezések és meghatározásuk
4. A szervezet környezete
5. Vezetés
6. Tervezés
7. Támogatás
8. Működtetés
9. Teljesítményértékelés
10. Fejlesztés

A hivatkozásul szolgáló intézkedési célkitűzéseket és intézkedéseket (mint előírásokat) külön melléklet tartalmazza, ami felöleli az információbiztonság szabályozásának feladatait és területeit.

Az MSZ/T ISO/IEC 27001:2014 szabványtervezet kétnyelvű, a magyar mellett az eredeti angol nyelvű szöveget is tartalmazza. A tervezettel kapcsolatos javaslatokat/észrevételeket 2014. április 30-ig várjuk a g.nagy@mszt.hu e-mail címre.

A szabványtervezet megvásárlói az elkészült magyar nyelvű szabvány vételárából 40% kedvezményt kapnak. Ennek feltétele a vásárlást igazoló számla bemutatása.