ISO27001 megfelőség
Követelmény |
Link |
|
Szervezeti intézkedések |
||
|
Információbiztonsági politikák |
Intézkedés A vezetőségnek információbiztonsági politikát és témaspecifikus politikákat kell meghatároznia, jóváhagynia, közzétenni, kommunikálni az érintett személyzettel és érdekelt felekkel, hogy megismerjék azokat, valamint tervezett időközönként és jelentős változások esetén ezeket át kell vizsgálnia. |
Az Informatikai Biztonsági Szabályzat célja, információbiztonsági politika |
|
Információbiztonsági szerepek és felelősségek |
Intézkedés Az információbiztonsági szerepeket és felelősségeket a szervezet igényei szerint meg kell határozni és ki kell osztani. |
Szervezeti ábra |
|
Feladatkörök szétválasztása |
Intézkedés Az egymással ütköző kötelességeket és felelősségi területeket szét kell választani. |
|
|
Vezetői felelősségek |
Intézkedés A vezetőségnek meg kell követelnie minden személytől, hogy a szervezet bevezetett információbiztonsági politikája, témaspecifikus politikái és eljárásai szerint járjon el az információbiztonsági kérdésekben. |
|
|
Kapcsolat a hatóságokkal |
Intézkedés A szervezetnek kapcsolatot kell kialakítania és fenntartania az illetékes hatóságokkal. |
|
|
Kapcsolat a szakmai csoportokkal |
Intézkedés A szervezetnek kapcsolatot kell kialakítania és fenntartania szakmai csoportokkal vagy más specializálódott biztonsági fórumokkal és szakmai egyesületekkel. |
- |
|
Fenyegetésfelismerő képesség |
Intézkedés Az információbiztonsági fenyegetésekkel kapcsolatos információkat össze kell gyűjteni és elemezni kell fenyegetést felismerő képesség kialakítása érdekében. |
Az informatikai eszközök környezete, azok védelme |
|
Információbiztonság a projektmenedzsmentben |
Intézkedés Az információbiztonságot be kell építeni a projektmenedzsmentbe. |
Információ biztonság a projektmanagementben |
|
Az információk és egyéb kapcsolódó vagyonelemek leltára |
Intézkedés Ki kell alakítani az információk és egyéb kapcsolódó vagyonelemek leltárát, benne megadva a vagyongazdákat, és azt karban kell tartani. |
Vagyonelemek kezelése |
|
Az információk és egyéb kapcsolódó vagyonelemek elfogadható használata |
Intézkedés Azonosítani kell, dokumentálni kell és be kell vezetni az elfogadható használat szabályait, valamint az információk és egyéb kapcsolódó vagyonelemek kezelésének eljárásait. |
Vagyonelemek kezelése Információ biztonság és -átadás IT-02SZ - Vagyonelemek kezelési szabályzata 3.0 |
|
A vagyonelemek visszaszolgáltatása |
Intézkedés A személyzetnek és más érdekelt feleknek vissza kell szolgáltatniuk a szervezet minden birtokukban lévő vagyonelemét munkaviszonyuk, szerződésük vagy megváltozása, vagy megszűnése esetén. |
Vagyon elemek kezelési szabályzata 4. pont |
|
Az információk osztályba sorolása |
Intézkedés Az információkat a szervezet információbiztonsági igényei szerint kell osztályba sorolni a bizalmasság, sértetlenség, rendelkezésre állás, valamint az érdekelt felek vonatkozó követelményei alapján. |
Az Informatikai Biztonsági Szabályzat alkalmazásának módja |
|
Az információk megjelölése |
Intézkedés Megfelelő eljárásokat kell kialakítani és bevezetni az információk megjelölésére a szervezet által elfogadott információ-osztályba sorolási módszerrel összhangban. |
Az Informatikai Biztonsági Szabályzat alkalmazásának módja |
|
Az információ átadása |
Intézkedés Információátadási szabályokat, eljárásokat vagy megállapodásokat kell bevezetni a szervezeten belüli, valamint a szervezet és más felek közötti információátadás minden típusára. |
Intézkedési Terv az Információátadási Szabályokhoz és Eljárásokhoz |
|
Hozzáférés-felügyelet |
Intézkedés Az információkhoz és egyéb kapcsolódó vagyonelemekhez való fizikai és logikai hozzáférés felügyeletére vonatkozó szabályokat az üzleti és információbiztonsági követelmények alapján kell megállapítani és bevezetni. |
Fizikai Biztonsági Intézkedések Hitelesítési információk
|
|
Személyes azonosítók kezelése |
Intézkedés A személyes azonosítókat a teljes életciklusuk alatt menedzselni kell. |
|
|
Hitelesítési információk |
Intézkedés A hitelesítési információk kiosztását és kezelését egy menedzsmentfolyamattal kell felügyelni, beleértve a személyzetnek a hitelesítési információk megfelelő kezelésével kapcsolatos tanácsadást. |
Hitelesítési információk |
|
Hozzáférési jogosultságok |
Intézkedés Az információkhoz és egyéb kapcsolódó vagyonelemekhez való hozzáférési jogosultságokat a szervezet témaspecifikus politikáinak és hozzáférés-felügyeleti szabályainak megfelelően kell biztosítani, átvizsgálni, módosítani és visszavonni. |
Hitelesítési információk |
|
. Információbiztonság a szállítói kapcsolatokban |
Intézkedés Folyamatokat és eljárásokat kell meghatározni és bevezetni a szállító termékeinek vagy szolgáltatásainak használatával kapcsolatos információbiztonsági kockázatok kezelésére. |
Beszállítók |
|
Információbiztonság kezelése a szállítói megállapodásokban |
Intézkedés A vonatkozó információbiztonsági követelményeket minden egyes szállítóra a szállítói kapcsolat típusa alapján kell meghatározni és elfogadni. |
Beszállítók |
|
Az információbiztonság kezelése az információs és kommunikációs technológiai (IKT) szállítói láncban |
Intézkedés Az IKT-termékek és -szolgáltatások szállítói láncához kapcsolódó információbiztonsági kockázatok kezelésére folyamatokat és eljárásokat kell meghatározni és megvalósítani. |
Beszállítók |
|
A szállítói szolgáltatások figyelemmel kísérése, átvizsgálása és változásainak felügyelete |
Intézkedés A szervezetnek rendszeresen figyelemmel kell kísérnie, át kell vizsgálnia, értékelnie és kezelnie kell a változásokat a szállító információbiztonsági gyakorlatában és szolgáltatásnyújtásában. |
Beszállítók |
|
Felhőszolgáltatások használatára vonatkozó információbiztonság |
Intézkedés A felhőszolgáltatások megszerzésének, használatának, kezelésének és befejezésének folyamatait a szervezet információbiztonsági követelményeivel összhangban kell kialakítani. |
Felhőszolgáltatások Az Informatikai Biztonsági Szabályzat célja, információbiztonsági politika |
|
Az információbiztonsági incidenskezelés tervezése és felkészülés |
Intézkedés A szervezetnek meg kell terveznie és fel kell készülnie az információbiztonsági incidensek kezelésére azzal, hogy meghatározza, kialakítja és kommunikálja az információbiztonsági incidenskezelési folyamatokat, szerepeket és felelősségeket. |
Információbiztonsági Incidenskezelési Politika |
|
Az információbiztonsági események felmérése és döntéshozatal |
Intézkedés A szervezetnek fel kell mérni az információbiztonsági eseményeket, és el kell döntenie, hogy azok információbiztonsági incidensnek minősülnek-e. |
Információbiztonsági Incidenskezelési Politika |
|
Válasz az információbiztonsági incidensekre |
Intézkedés Az információbiztonsági incidensekre dokumentált eljárások szerint kell reagálni. |
Információbiztonsági Incidenskezelési Politika |
|
Tanulás az információbiztonsági incidensekből |
Intézkedés Az információbiztonsági incidensekből szerzett ismereteket az információbiztonsági intézkedések megerősítésére és fejlesztésére kell felhasználni. |
Információbiztonsági Incidenskezelési Politika |
|
Bizonyítékok összegyűjtése |
Intézkedés A szervezetnek eljárásokat kell kidolgoznia és megvalósítania az információbiztonsági eseményekkel kapcsolatos bizonyítékok azonosítására, összegyűjtésére, megszerzésére és megőrzésére. |
Bizonyítékok kezelése |
|
Információbiztonság zavarok esetén |
Intézkedés A szervezetnek meg kell terveznie, hogyan tartsa megfelelő szinten az információbiztonságot zavarok idején. |
|
|
IKT-felkészültség az üzletmenet- folytonossághoz |
Intézkedés Az IKT-készültséget az üzletmenet-folytonossági célok és az IKT- folytonossági követelmények alapján kell megtervezni, megvalósítani, karbantartani és tesztelni. |
|
|
Jogi, törvényi, szabályozási és szerződéses követelmények |
Intézkedés Meg kell határozni, dokumentálni kell és naprakészen kell tartani az információbiztonságra vonatkozó jogi, törvényi, szabályozási és szerződéses követelményeket, valamint a szervezet e követelmények teljesítésére irányuló megközelítését. |
|
|
Szellemi tulajdonjogok |
Intézkedés A szervezetnek megfelelő eljárásokat kell megvalósítania a szellemi tulajdonjogok védelme érdekében. |
Szellemi tulajdonjog védelme |
|
A feljegyzések védelme |
Intézkedés A feljegyzéseket védeni kell az elvesztéstől, a megsemmisüléstől, a hamisítástól, a jogosulatlan hozzáféréstől és a jogosulatlan kiadástól. |
Naplózás |
|
A magánélet és a személyes azonosításra alkalmas adatok (PII) védelme |
Intézkedés A szervezetnek meg kell határoznia és teljesítenie kell a magánélet megőrzésére és a személyes adatok védelmére vonatkozó követelményeket a vonatkozó törvények és szabályozások, valamint a szerződéses követelmények szerint. |
Ügyvéd csinálja |
|
Az információbiztonság független átvizsgálása |
Intézkedés A szervezet információbiztonság-irányítási megközelítését és megvalósítását független módon át kell vizsgálni tervezett időközönként vagy jelentős változások esetén, beleértve az embereket, a folyamatokat és a technológiákat. |
Gyuri |
|
Megfelelés az információbiztonsági politikáknak, szabályoknak és szabványoknak |
Intézkedés Rendszeresen át kell vizsgálni a szervezet információbiztonsági politikájának, a témaspecifikus politikáknak, a szabályoknak és a szabványoknak való megfelelést. |
Meg kell határozni a rendszeres karbantartás mellé ezt is |
|
Dokumentált működési eljárások |
Intézkedés Az információfeldolgozó eszközök működtetési eljárásait dokumentálni kell, és elérhetővé kell tenni azon személyek számára, akiknek szüksége van rá. |
|
Emberekkel kapcsolatos intézkedések |
||
|
Átvilágítás |
Intézkedés Minden, személyi állományba jelentkező esetén háttérellenőrzést kell végezni a szervezethez történő csatlakozás előtt és folyamatosan, figyelembe véve a vonatkozó törvényeket, szabályozásokat, etikai előírásokat, és ez legyen arányos az üzleti követelményekkel, a hozzáférhető információk osztályba sorolásával és az észlelt kockázatokkal. |
Julcsi/Feri |
|
A munkaviszonnyal kapcsolatos feltételek és kikötések |
Intézkedés A munkaviszonyra vonatkozó szerződéses megállapodásokban rögzíteni kell a személyzet és a szervezet információbiztonsági felelősségét. |
Julcsi/Feri |
|
Az információbiztonság tudatosítása, oktatása és képzése |
Intézkedés A szervezet személyzetének és az érintett érdekelt feleknek megfelelő információbiztonsági tudatosságot, oktatást és képzést kell kapniuk, valamint rendszeresen frissíteni kell ismereteiket a szervezet információbiztonsági politikájáról, a témaspecifikus politikákról és eljárásokról a munkakörükhöz kapcsolódóan. |
|
|
Fegyelmi eljárás |
Intézkedés Fegyelmi eljárást kell kialakítani és kommunikálni az információbiztonsági politika megsértését elkövető személyzettel és más érintett érdekelt felekkel szembeni fellépés érdekében. |
|
|
Felelősségek a munkaviszony megszűnésé vagy megváltozása után |
Intézkedés Meg kell határozni, érvényesíteni kell azokat az információbiztonsági felelősségeket és kötelezettségeket, amelyek a munkaviszony megszűnése vagy megváltozása után is érvényben maradnak, és közölni kell azokat az érintett személyzettel és más érdekelt felekkel. |
|
|
Bizalmassági vagy titoktartási megállapodások |
Intézkedés Meg kell határozni, dokumentálni kell, rendszeresen át kell vizsgálni és alá kell írni a szervezet információvédelmi igényeit tükröző bizalmassági vagy titoktartási megállapodásokat a személyzettel és más érdekelt felekkel. |
HR-05S - Titoktartási nyilatkozat |
|
Távmunka |
Intézkedés Biztonsági intézkedéseket kell bevezetni, amikor a személyzet távolról, a szervezet telephelyén kívül dolgozik, a hozzáfért, feldolgozott vagy tárolt információk védelme érdekében. |
Távoli Munkavégzés |
|
Az információbiztonsági események jelentése |
Intézkedés A szervezetnek egy mechanizmust kell biztosítania a személyzet számára, hogy megfelelő csatornákon keresztül időben jelentse az észlelt vagy gyanított információbiztonsági eseményeket. |
Információbiztonsági Incidenskezelési Politika |
Fizikai intézkedések |
||
|
Fizikai biztonsági határok |
Intézkedés Biztonsági határokat kell meghatározni, és azokat úgy kell használni, hogy megvédjék az információkat és egyéb kapcsolódó vagyonelemeket tartalmazó területeket. |
Fizikai Biztonsági Intézkedések |
|
Fizikai belépés |
Intézkedés A biztonsági területeket megfelelő beléptetési intézkedésekkel és hozzáférési pontokkal kell védeni. |
Fizikai Biztonsági Intézkedések
|
|
Irodák, helyiségek és létesítmények védelme |
Intézkedés Az irodák, helyiségek és létesítmények fizikai biztonságát meg kell tervezni és azt meg kell valósítani. |
|
|
A fizikai biztonság figyelemmel kísérése |
Intézkedés Folyamatosan figyelemmel kell kísérni a telephelyeket az illetéktelen fizikai bejutás észlelése érdekében. |
Fizikai Biztonsági Intézkedések |
|
Fizikai és környezeti fenyegetések elleni védelem |
Intézkedés Meg kell tervezni és be kell vezetni a fizikai és környezeti fenyegetésekkel, például természeti katasztrófákkal és az infrastruktúrát érintő egyéb, szándékos vagy nem szándékos fizikai fenyegetésekkel szembeni védelmet. |
Fizikai Biztonsági Intézkedések |
|
Munkavégzés biztonsági területeken |
Intézkedés A biztonsági területeken végzett munkavégzéshez biztonsági intézkedéseket kell megtervezni és azokat meg kell valósítani. |
|
|
„Tiszta asztal és tiszta képernyő” |
Intézkedés Meg kell határozni és megfelelően érvényesíteni kell a papírokra és a cserélhető adathordozókra vonatkozó „tiszta asztal” szabályokat, valamint az információfeldolgozó eszközökre vonatkozó „tiszta képernyő” szabályokat. |
A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság |
|
Berendezések elhelyezése és védelme |
Intézkedés A berendezéseket biztonságosan és védetten kell elhelyezni. |
|
|
A vagyonelemek biztonsága a telephelyen kívül |
Intézkedés A telephelyen kívüli eszközöket védeni kell. |
|
|
Adathordozók |
Intézkedés Az adathordozókat a beszerzés, használat, szállítás és ártalmatlanítás életciklusa során a szervezet osztályba sorolási rendszerének és kezelési követelményeinek megfelelően kell kezelni. |
Adathordozók |
|
Közműszolgáltatások |
Intézkedés Az információfeldolgozó eszközöket védeni kell az áramkimaradásoktól és a támogató közművek meghibásodása által okozott egyéb zavaroktól. |
Közmű szolgáltatások |
|
Kábelbiztonság |
Intézkedés A villamos energiát, adatot vagy támogató információs szolgáltatásokat szállító kábeleket védeni kell a lehallgatástól, a zavarástól és a károsodástól. |
|
|
Berendezések karbantartása |
Intézkedés A berendezéseket megfelelően karban kell tartani az információk rendelkezésre állásának, sértetlenségének és bizalmasságának biztosítása érdekében. |
|
|
Berendezések biztonságos eltávolítása vagy újra felhasználása |
Intézkedés Minden olyan berendezést, amely adattároló eszközt tartalmaz, ellenőrizni kell annak érdekében, hogy arról az összes érzékeny adatot és jogvédett szoftvert letörölték-e vagy biztonságosan felülírták-e az eltávolítás, vagy újra felhasználás előtt. |
|
Technológiai intézkedések |
||
|
Intézkedés A felhasználói végponti eszközökön tárolt, feldolgozott vagy azokon keresztül hozzáférhető információkat védeni kell. |
Vírusvédelem 11.6 |
|
|
Intézkedés Korlátozni és menedzselni kell a kiemelt hozzáférési jogosultságok kiosztását és felhasználását. |
A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság |
|
|
Intézkedés Az információkhoz és az egyéb kapcsolódó eszközökhöz való hozzáférést korlátozni kell a hozzáférés-felügyeletre kialakított témaspecifikus politikával összhangban. |
A védelmet igénylő adatok és információk osztályozása, minősítése, hozzáférési jogosultság |
|
|
Intézkedés A forráskódhoz, a fejlesztői eszközökhöz és a szoftverkönyvtárokhoz való olvasási és írási hozzáférést megfelelően menedzselni kell. |
|
|
|
Intézkedéss Biztonságos hitelesítési technológiákat és eljárásokat kell megvalósítani az információ-hozzáférési korlátozások és a hozzáférés-felügyelet témaspecifikus politikája alapján. |
|
|
|
Intézkedés Az erőforrások felhasználását figyelemmel kell kísérni és a jelenlegi és várható kapacitásigényekhez kell igazítani. |
|
|
|
Intézkedés Meg kell valósítani a rosszindulatú szoftverek elleni védelmet, és támogatni kell a megfelelő felhasználói tudatosságot. |
Szoftver védelem Vírusvédelem |
|
|
Intézkedés Meg kell szerezni az információkat a használatban lévő információs rendszerek műszaki sebezhetőségeiről, értékelni kell a szervezet kitettségét az ilyen sérülékenységeknek, és meg kell tenni a megfelelő intézkedéseket. |
|
|
|
Intézkedés A hardver, a szoftver, a szolgáltatások és a hálózatok konfigurációit, beleértve a biztonsági konfigurációkat, létre kell hozni, dokumentálni kell, meg kell valósítani, felügyelni kell és át kell vizsgálni. |
|
|
|
Intézkedés Az információs rendszerekben, eszközökben vagy bármely más adathordozón tárolt információkat törölni kell, ha már nincs szükség rájuk. |
Felhőszolgáltatások Befejezése IT-02SZ - Vagyonelemek kezelési szabályzata 3.95 |
|
|
Intézkedés Az adatmaszkolást kell használni a szervezet témaspecifikus hozzáférés-felügyeleti és egyéb kapcsolódó témaspecifikus politikáival, valamint üzleti követelményeivel összhangban, figyelembe véve a vonatkozó jogszabályokat. |
|
|
|
Intézkedés Adatszivárgás-megelőző intézkedéseket kell alkalmazni olyan rendszerekre, hálózatokra és minden más eszközre, amely érzékeny információkat dolgoz fel, tárol vagy továbbít. |
|
|
|
Intézkedés Az információk, a szoftverek és a rendszerek biztonsági másolatait karban kell tartani és rendszeresen tesztelni kell a biztonsági mentésre vonatkozó, elfogadott, témaspecifikus politikával összhangban. |
Biztonsági mentések, file-ok védelme |
|
|
Intézkedés Az információfeldolgozó eszközöket a rendelkezésre állási követelmények teljesítéséhez elegendő redundanciával kell megvalósítani. |
Biztonsági mentések, file-ok védelme |
|
|
Intézkedés A tevékenységeket, rendellenességeket, hibákat és egyéb lényeges eseményeket naplózni kell, valamint tárolni, védeni és elemezni kell. |
Naplózás |
|
|
Intézkedés A hálózatokat, rendszereket és alkalmazásokat figyelemmel kell kísérni a rendellenes viselkedés szempontjából, és meg kell tenni a megfelelő intézkedéseket a lehetséges információbiztonsági események értékelésére. |
|
|
|
Intézkedés A szervezet által használt információfeldolgozó rendszerek óráit szinkronizálni kell jóváhagyott időforrásokhoz. |
|
|
|
Intézkedés Az olyan segédprogramok használatát, amelyek képesek felülírni a rendszer- és alkalmazásszintű védelmi intézkedéseket, korlátozni kell, és szoros felügyelet alatt kell tartani. |
|
|
|
Intézkedés Eljárásokat és intézkedéseket kell megvalósítani az üzemelő rendszerekre történő szoftvertelepítés biztonságos menedzselésére. |
|
|
|
Intézkedés A hálózatokat és a hálózati eszközöket védeni, kezelni és felügyelni kell a rendszerekben és az alkalmazásokban lévő információk védelme érdekében. |
Vírusvédelem IT-04SZ - Vírusvédelmi szabályzat |
|
|
Intézkedés A hálózati szolgáltatások biztonsági mechanizmusait, szolgáltatási szintjeit és szolgáltatási követelményeit azonosítani kell, be kell vezetni és figyelemmel kell kísérni. |
Internet hozzáféréssel kapcsolatos intézkedések |
|
|
Intézkedés Az információs szolgáltatások, felhasználók és információs rendszerek csoportjait el kell különíteni a szervezet hálózataiban. |
Internet hozzáféréssel kapcsolatos intézkedések |
|
|
Intézkedés A külső webhelyekhez való hozzáférést úgy kell kezelni, hogy csökkentsék a rosszindulatú tartalomnak való kitettséget. |
|
|
|
Intézkedés Meg kell határozni és be kell vezetni a titkosítás hatékony használatára vonatkozó szabályokat, beleértve a kriptográfiai kulcskezelést is. |
|
|
|
Intézkedés Meg kell határozni és alkalmazni kell a szoftverek és rendszerek biztonságos fejlesztésére vonatkozó szabályokat. |
|
|
|
Intézkedés Az információbiztonsági követelményeket azonosítani kell, meg kell határozni és jóvá kell hagyni az alkalmazások fejlesztése vagy beszerzése során. |
|
|
|
|
Intézkedés A biztonságos rendszerek tervezésére alapelveket kell kialakítani, dokumentálni, fenntartani és alkalmazni az információs rendszer fejlesztési tevékenységeihez. |
|
|
Intézkedés A szoftverfejlesztés során biztonságos kódolási elveket kell alkalmazni. |
|
|
|
|
Intézkedés A biztonsági tesztelési folyamatokat meg kell határozni és meg kell valósítani a fejlesztési életciklusban. |
|
|
Intézkedés A szervezetnek irányítania kell, figyelemmel kell kísérnie és át kell vizsgálnia a kiszervezett rendszerfejlesztéssel kapcsolatos tevékenységeket. |
|
|
|
|
Intézkedés A fejlesztési, a tesztelési és az üzemi környezetet el kell különíteni, és védetté kell tenni. |
|
|
Intézkedés Az információfeldolgozó eszközök és információs rendszerek változásaira legyenek változáskezelési eljárások. |
Biztonsági mentések, file-ok védelme |
|
|
Intézkedés A tesztelési információkat megfelelően kell kiválasztani, védeni és kezelni kell. |
|
|
|
|
Intézkedés Az auditvizsgálatokat és a működő rendszerek átvizsgálását magában foglaló egyéb értékelési tevékenységeket meg kell tervezni, és ebben a vizsgálónak és az illetékes vezetőségnek meg kell állapodnia. |
Az információs rendszerek védelme az auditvizsgálatok alatt |