Információbiztonsági Szabályzat elkészítése
Információbiztonsági Szabályzat (IBSZ)
Az Információbiztonsági Szabályzat (IBSZ) a szervezet kiberbiztonsági működésének alapdokumentuma. Meghatározza azokat a szabályokat, felelősségeket, folyamatokat és védelmi intézkedéseket, amelyek biztosítják az elektronikus információs rendszerek bizalmasságát, sértetlenségét és rendelkezésre állását.
A Kiberbiztonsági törvény hatálya alá tartozó szervezetek számára az IBSZ elkészítése és folyamatos karbantartása alapvető megfelelőségi követelmény.
Miért fontos az IBSZ?
Az IBSZ nem csupán egy kötelező dokumentum. Segítségével a szervezet egyértelműen meghatározza:
- a kiberbiztonsági célokat;
- a vezetők, munkavállalók és külső partnerek felelősségeit;
- az informatikai rendszerek használatának szabályait;
- a biztonsági események kezelésének rendjét;
- a jogosultságkezelés és hozzáférés-szabályozás alapelveit;
- a fizikai és logikai védelmi intézkedéseket;
- az auditálhatóság és elszámoltathatóság követelményeit.
Mit tartalmaz egy IBSZ?
Az IBSZ jellemzően az alábbi területeket szabályozza:
- információbiztonsági szervezet és felelősségi körök;
- kockázatkezelés;
- emberi erőforrás biztonság;
- eszköz- és leltárkezelés;
- hozzáférés-kezelés;
- hitelesítés és jelszókezelés;
- naplózás és monitorozás;
- incidenskezelés;
- mentések és helyreállítás;
- változáskezelés;
- konfigurációkezelés;
- ellátási lánc biztonsága;
- távoli hozzáférések kezelése;
- mobil eszközök használata;
- fizikai és környezeti biztonság;
- üzletmenet-folytonosság.
Mikor szükséges az IBSZ felülvizsgálata?
Az IBSZ-t rendszeresen felül kell vizsgálni, különösen:
- jelentős szervezeti változás esetén;
- új informatikai rendszerek bevezetésekor;
- jogszabályváltozások esetén;
- kiberbiztonsági incidenseket követően;
- auditok vagy hatósági ellenőrzések előtt.
Hogyan segít a MISec?
A MISec az IBSZ teljes életciklusában támogatást nyújt:
- új IBSZ elkészítése;
- meglévő szabályzatok felülvizsgálata;
- NIS2 és Kiberbiztonsági törvény szerinti megfelelőség kialakítása;
- kapcsolódó mellékletek és nyilvántartások elkészítése;
- auditfelkészítés;
- vezetői és szakmai konzultáció.
Gyakori probléma
Számos szervezet rendelkezik ugyan IBSZ-szel, azonban az gyakran elavult, nem követi a jelenlegi működést, vagy nem felel meg a hatályos jogszabályi követelményeknek. Egy audit során nem a dokumentum megléte, hanem annak aktualitása, részletessége és a gyakorlati alkalmazhatósága kerül vizsgálatra.
Miért a MISec?
Az általunk készített Információbiztonsági Szabályzatok felépítése a 7/2024. (VI. 24.) MK rendelet követelményrendszerét követi. A szabályzatok kialakítása során kiemelt figyelmet fordítunk arra, hogy azok ne csupán a jogszabályi megfelelést támogassák, hanem az auditok és hatósági ellenőrzések során is könnyen áttekinthetők és jól használhatók legyenek.
Tapasztalataink szerint a rendelet logikáját követő struktúra jelentősen megkönnyíti az auditorok, valamint a hatósági ellenőrök munkáját, mivel a követelmények és a szabályozások közötti megfeleltetés gyorsan és egyértelműen elvégezhető.
Az általunk készített dokumentációk több sikeres kiberbiztonsági audit és hatósági ellenőrzés során is pozitív szakmai visszajelzést kaptak mind az auditorok, mind az ellenőrzést végző szakemberek részéről.
Célunk nem pusztán egy kötelező dokumentum elkészítése, hanem egy olyan IBSZ kialakítása, amely hosszú távon támogatja a szervezet működését, megfelelőségi feladatait és auditálhatóságát.
