Fejléc

Egy sikeres ISO 27001 bevezetés gyakorlati tapasztalatai

Szerző ikon Tóth Tamás

Dátum ikon 2021.12.07

Az ISO 27001-ről és az ISMS bevezetésről szóló cikksorozatom lezárásaként egy 1 évig tartó ISMS bevezetési projekt gyakorlati tapasztalatait kívánom megosztani. A tanúsító audit megállapítások és nemmegfelelőségek azonosítása nélkül, 3 erősség kiemelésével zárult, tehát a projekt sikeres lett.
Természetesen a felsoroltaknál sokkal több gyakorlati tapasztalatról lehetne értekezni, de az alábbiakat mindenképp kiemelném:

A vezetői elkötelezettség elengedhetetlen

Minden projektben vannak holtpontok, egy ISMS bevezetés során több ilyen is előfordulhat. Az állandó és szilárd vezetői elkötelezettség át tudja billenteni a projektet ezeken a holtpontokon, a projekt összecsapása vagy feladása helyett. Ezen kívül természetesen a projekttagokat is motiválni kell, ami legfőképp az ő területükön jelentkező előnyökkel lehetséges.

Az alapos projektmenedzsment fél siker

Az előbbi mondat gyakorlatilag minden projektre igaz lehet, de ha az ISMS követelmények komplexitására, az érintett területek széles spektrumára és az elérendő változások nagy mértékére gondolunk, akkor nem túlzás kijelenteni, hogy egy sikeres ISMS bevezetés a jó projektmenedzsmenten állhat vagy bukhat. Elengedhetetlen, hogy rendszeresen státuszoljunk és a részletek mellett magasszintű rálátás is kell az egész projektre és ha valami nem a tervek szerint alakul, akkor arra már korán figyelmeztetni kell. A projektterv, mérföldkövek, feladatok és ezek függőségeinek meghatározása, tervezése, megértése alapszintű elvárás. Az ütemezés során ráhagyásokkal kell számolni, hogy csúszások esetén legyen miből gazdálkodni. Az ISMS bevezetés ügyfél oldalon mindig belső projekt, amelyek előrehaladását sok dolog – leginkább a fizetős projektek – visszafoghatja. Menet közben nagy valószínűséggel kiderülhetnek olyan súlyos hiányosságok (pl. magas kockázatok), amelyek megoldása időigényes. Sokszor eljöhet az a pont, amikor inkább az újra ütemezés célravezetőbb, mert az eredeti ütemezéshez való görcsös ragaszkodás a minőség vagy a projekt sikerességének a rovására mehet. A súlyos hiányosságok kijavítása nem minden esetben, de gyakran költséges lehet (pl. új generációs tűzfalak beszerzése, licenszek vásárlása), így ezeket is előre kell jelezni és a tervezés során minél több információt kell beszerezni ezekre vonatkozóan.

Ismerni és érteni kell a szabványokat

A projekt szakmai vezetőjének alaposan ismernie kell az ISO 2700x szabványcsalád releváns tagjait: 27000, 27001, 27002, 27003, 27005, ezen belül a logikájukat, elveiket és az elvárásaikat. Vegyülnie kell a minőségügyi „quality-s” nézőpontnak, valamint az információbiztonsági kockázatkezelési és technikai nézőpontnak, hiszen ahogy a korábbi cikkekben írtam, a 27001-es szabvány két elválaszthatatlan részből áll, amelyeket eltérő módon kell megközelíteni. Meg kell tudni érteni és be kell tudni csatornázni például a stakeholderek elvárásait, de a kontrollok technikai hátterét és célját is érteni kell, hogy a kontrollok bevezetésének/alkalmazásának részleteit, követelményeit megfelelően lehessen átadni a végrehajtásért felelős projekttagoknak és a végrehajtást is vissza lehessen ellenőrizni.

Auditor szempontot is érvényesíteni kell

Ahogy a korábbi cikkeimben hangsúlyoztam, ha jó ISMS-t szeretnénk bevezetni, akkor nem csak a papírozással törődünk, hogy átcsússzunk az auditon. Ugyanakkor mégis nagy gondot kell fordítani arra, hogy a saját munkánkat auditori nézőpontból is értékeljük és feltegyük a kérdéseket: Megfelelően teljesítjük az elvárt követelményeket? Megfelelő dokumentációval rendelkezünk? Vannak evidenciáink a megfelelő működésre vonatkozóan? Mindenki ismeri a rá vagy a területére vonatkozó követelményeket? Ha nem vagyunk teljesen magabiztosak a válaszainkat illetően, akkor még lesz munkánk az audit előtt.

Fenntartható dokumentációt kell kialakítani

Szintén visszautalva a korábbi cikkekre, az ISMS dokumentációval jár, ebből azonban előnyöket lehet kovácsolni, hiszen a működés és a követelmények kialakításával vagy fejlesztésével és azok leírásával egyből növekszik a szervezet érettségi szintje. Nagyon fontos, hogy a dokumentációt logikusan felépített struktúrába kell rendezni és erősen ajánlott a GRC platformok vagy más támogató rendszerek igénybevétele és későbbi használata. Ellenkező esetben a dokumentumok és a tudás el fog veszni vagy csorbulni fog, ami megállapításokhoz, komolyabb esetekben nemmegfelelőséghez vezet az ISMS működtetésével járó munka megkeserítése mellett.

Bevezetés után nem ajánlott egyből tanúsítani

Ha összeálltak az ISMS alkotóelemei és a dokumentációja, akkor még nem ajánlott az azonnali tanúsítás. Lehetőleg már a projekt korai szakaszaitól kezdve az ISMS előírásai szerint kell működni és alkalmazni kell a kontrollokat (pl. hozzáférési jogok felülvizsgálata, BCP-k tesztelése, tűzfalszabályok felülvizsgálata, stb.) és az irányítási rendszer alkotóelemeit (pl. vezetőségi átvizsgálások, projekt áttekintő értekezletek lebonyolítása, célok kijelölése és nyomon követése, stb.). Ez azért hasznos, mert ezek a tevékenységek hamarabb megszilárdulnak és csiszolódnak, továbbá evidenciák állnak elő az ISMS szerinti működésről. Egy nem régóta működő irányítási rendszert nehezen lehet auditálni.

Másik erősen ajánlott – és egyébként kötelező elem – a belső audit lebonyolítása. A projekt sikere szempontjából célszerű az első belső auditot kiszervezni egy komoly referenciákkal rendelkező, független külső félnek, aki nem vett részt a bevezetésben és ezáltal objektív módon tudja lebonyolítani az auditot. Ezzel nem csak a kötelező követelmény teljesül, de felszínre kerülhetnek olyan hiányosságok vagy fejlesztési lehetőségek, amelyekre a bevezetés során esetleg nem gondoltunk vagy másképp ítéltük meg a súlyát. Ezek felismerése és korrigálása nagy mértékben hozzájárul a projekt sikeréhez. A projekttervezésről szóló cikknél említettem, hogy a belső auditot úgy kell beütemezni, hogy elegendő idő legyen az esetlegesen feltárt hiányosságok javítására. A menetrend tehát a következő: bevezetés, működtetés, belső audit, tanúsító audit.


A tanácsadó egyedül nem tud mindent megoldani

A tanácsadó a szabványismeretével, a szakmai tapasztalatával, minősítéseinek és vizsgáinak gyakorlati tudássá alakításával segíti a projekt tervezését, dokumentáció kialakítását, konkrét javaslatokat ad a követelmények ügyfél általi bevezetésére és alkalmazására. Gyakori tévhit, hogy az egész munkát ki lehet szervezni a tanácsadónak és ő egyedül mindent meg tud oldani. Elengedhetetlen egy – ügyfélnél dolgozó – belső kontaktszemély kijelölése, aki az ügyfél szervezetén belül összefogja a munkát és segít a tanácsadónak eligazodni a belső formális és informális viszonyok közt. A nap végén az ügyfélnél dolgozóknak vagy az ügyfél részére szolgáltatást nyújtó harmadik feleknek kell a gyakorlatban alkalmazni a szabályzatokban, folyamatokban leírtakat.

Az ISMS-t működtetni kell

sikeres tanúsító audit után meg kell ünnepelni az elért eredményeket, ahogy azt az alábbi kép 15. lépése is javasolja. A kép az iso27001security.com ISO 27001 Toolkitéből származik, azon belül az ISO27k ISMS implementation and certification process 4v1 c. dokumentum szemlélteti az ISMS bevezetés fő lépéseit, amelyre a tervezés során mi is támaszkodtunk. Az ünneplés után nem lehet hátradőlni, a 16. lépésnek megfelelően a lerakott alapok, éves ütemterv, kialakított felelősségi körök és átadott tudás alapján kell működtetni az ISMS-t. A szóban forgó projektnél is így történt: az audit utáni szabadság után az ISMS működtetésével járó munka az utolsó negyedéves és a következő éves feladatok megtervezésével, az információs vagyonelemleltár frissítésével és az éves kockázatelemzéssel folytatódott.

Az ISMS gyakorlati lépésiről szóló leírás megtalálható az EURO ONE InfoSec Akadémián. Továbbá a fentebb említett projektről Tamás egy beszélgetés keretében osztotta meg, hogy zajlott az 1 éves projekt, ez is elérhető Akadémiánkon.