Fontos változások az ISO 27001 háza táján

Az információvédelmi irányítási rendszer tanúsíttatásának új szabványa lépett életbe. A régivel már nem érdemes kezdeni.
 

Az ISO 27001 magyar nyelvű szabványtervezetének, az MSZ/T ISO/IEC 27001:2014-es kiadásának megjelenése alkalmából szakmai napot szervezett áprilisban a Magyar Szabványügyi Testület (MSZT). A szabványtervezethez április 30-ig szólhatnak hozzá az érintett szakmai szervezetek, ezt szavazás, majd a végleges szabvány magyar kiadása követi, várhatóan júniusban.

A szakmai napon elhangzott előadások egyebek közt a 2005-ös és a 2013-as szabványverziók közötti különbségeket, a tanúsítói gyakorlat várható változásait ecsetelték, illetve szó esett arról, hogy az érintett cégek hogyan tudnak felkészülni az új szabvány kihívásaira.

Tarján Gábor, a MagiCom ügyvezető partnerének záró előadásában elhangzott: a szabvány előző kiadásához képest nem hoz drasztikus változásokat, mindazonáltal nyilvánvaló, hogy az auditálást kérő cégeknek lesz tennivalójuk. Annál is inkább, mert az IAF (International Accreditation Forum) szabályozása szerint a 2013. október 1-jén megjelent szabványra kétéves átállási időszak áll rendelkezésre, azaz 2015. október 1. után a régi szabvány szerinti tanúsítás nem végezhető. Mi több, jövő októbertől az addig kiadott tanúsítványok is érvényüket vesztik. Ezért az információbiztonság-irányítási rendszerüket a jövőben auditáltatni akaró szervezeteknek már ma is az új szabványt érdemes választaniuk. Idén októbertől pedig már csak a 2013-as szabvány szerint végezhető audit – emelte ki Tarján Gábor.


A szakember szerint az új változatban a korábbinál nagyobb hangsúlyt kapott a kockázatértékelés, miközben a szabványalkotók nem rögzítették annak módszertanát, viszont megkövetelik a választott módszer transzparens végigvitelét. Szintén fontos változást mutat az alkalmazhatósági nyilatkozat. Míg a régi szabvány „A” melléklete 133, információbiztonsági környezetben használható védelmi intézkedést sorolt fel, és a cégek a gyakorlatban ezek alapján készítettek maguknak kontroll-leltárt, addig az új szabvány alkotói arra törekedtek, hogy a cégek a saját információvagyonukra vonatkozó kockázatelemzés elvégzése után maguk vezessék le az alkalmazandó kontrollokat. Az „A” mellékletben található – mellesleg már csak 114 kontrollt tartalmazó – lista tehát pusztán segédlet; speciális tevékenységet végző cégeknél pedig a listában nem szereplő kontrollokra is szükség lehet.

Így, bár önállóságra ösztönöz, a régi szabvány szerint szükséges intézkedéseket meghozó cégeknek az új szabvány szerint sem kell meglepetésektől tartaniuk.

Említést érdemel, hogy aki lemaradt az MSZT szakmai napjáról, az a májusi, 61. Hétpecsét Fórumon meghallgathatja Tarján Gábor előadását a szabványtervezet – akkorra már véleményezett – változatának újdonságairól. A Hétpecsét Információbiztonsági Egyesület tagjai – az MSZT-vel együttműködve – komoly szerepet vállaltak a szabvány első kiadását hatálytalanító és helyettesítő új, magyar nyelvű szabványtervezet előkészítésében.
 
  1. 4

    Az Amavis fejlesztői egy biztonsági hibáról számoltak be.

  2. 3

    Az Apple egy biztonsági rést foltozott be az Xcode esetében.

  3. 2

    Az Apple iTunes for Windows szoftverhez egy biztonsági frissítés érkezett.

  4. 4

    A Microsoft Edge webböngésző két sebezhetőség miatt szorul frissítésre.

  5. 4

    A Fortinet egy súlyos sebezhetőségről számolt be.

  6. 3

    Az Adobe egy biztonsági hibát javított a ColdFusionben.

  7. 4

    Az Adobe két sebezhetőségről számolt be a Premiere Pro kapcsán.

  8. 4

    Az Adobe Lightroom egy fontos frissítést kapott.

  9. 3

    Az Adobe 46 biztonsági rést foltozott be az Experience Manageren.

  10. 4

    A Windows ismét jelentős mennyiségű hibajavítást kapott.

Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

hirdetés
Közösség