Az ISO/IEC 27001 szerinti információbiztonsági rendszer arról szól, hogy az azt alkalmazó vállalkozás bizonyos információit biztonságban akarja tudni, vagyis valamilyen veszély ellen védeni akarja. Egyszerű: az információbiztonsági rendszer információt véd. Ennek tudatában megdöbbenek, amikor sok cég úgy akarja információbiztonsági rendszerét tanúsíttatni, hogy azok tárgya nem is információ védelméről szól. Mit is kell itt akkor ott auditálni?

Rengeteg helyen találkozom az ISO 9001-es minőségbiztosítási szabvány (szaknyelven szólva minőségirányítási rendszerszabvány) meghivatkozásával, és az (állítólag) annak szellemében épült rendszerek bemutatásával. Sokszor mégis azt veszem észre, hogy beszélünk róla, ugyanazokat a szavakat használjuk, mégsem ugyanarról beszélünk! Öntsünk tiszta vizet a pohárba, és tisztázzuk, hogy mit is követel meg az ISO 9001!

Számtalan példát láttam már mutatószámok használatára, ahol nagyon komoly felkészültség és szándék ellenére mégsem érték el a kívánt hatást. A folyamatok nem működtek rendesen, a mutatószámok nem a valóságot mutatták, stb…. Sokszor nagy elméletek, módszerek alkalmazása csúszott el egy „banánhéjon”. Megmutatjuk, hogy azt az alapvető tíz jó tanácsot, amelyekkel a legtöbb csapdát előre elkerülhetjük!

Az ügyfelek (vagy a partnerek) megelégedettségének megállapítására használt kérdőívek sokszor nem érik el céljukat. Kevesen válaszolnak, és sokszor maguk a válaszok se használhatók. Csupán annyi a „hasznunk” belőle, hogy az ISO 9001 auditon ezt is „kipipálhatjuk”. Pedig ha már csináltunk ilyen felmérést, akkor sokkal több haszna is lehetne. De hogyan?

A fejlődés egyben az informatika terjedését is jelenti. Az informatikai megoldások pedig lassan teljesen kiváltják a hagyományos papírkezelést. Ez a fejlődés önmagában jó, de sokszor számos új problémát is felvet. Hogy milyen problémákra kell gondolni?

• Előadóként hogyan lehet szemléletessé tenni egy-egy a téma szempontjából meghatározó adatot?
• Mi az ami rendszeresen felmerül az előadástechnikával, retorikával kapcsolatos képzéseken, de ritkán jut idő a válaszokra? (letölthető mp3)
• Érdekli, hogy milyen újdonságokat hoz a PowerPoint 2010-es változata?
• Hol lehet on-line, magyarul is elérhető, példaértékű előadásokra lelni?
• Milyen könyveket (és melyiket miért) érdemes elolvasnia, ha többet szeretne megtudni arról, hogyan kell felépíteni egy-egy előadást?

Ön rábízná idegenekre a bizalmas adatait? Idegen kezekbe kerülve, már a családi fotók, videók is kellemetlen pillanatokat okozhatnak. A bizalmas üzleti adatok szivárgása pedig egyenesen katasztrofális hatásokkal járhat az adott vállalkozás számára. Pedig hányan teszik ezt meg nap mint nap úgy, hogy közben nem is gondolnak rá!

Manapság egy-egy merevlemez, USB-s memória, vagy akár egy mobiltelefon is kritikus üzleti adatokat rejthet:

Az ISO bevezetése sok jót is tud hozni, azonban ész nélkül használva sokszor értelmetlen, az üzletmenetet romboló túlkapásokkal jár. Erre jó példa a következő történet…

(és gyakorlati tanácsok)

Az alábbi gondolatokat és tanácsokat vitaindítónak szánom. Meggyőződésem, hogy az itt bemutatott tapasztalatok, no és persze a hozzászólások észrevételei és tapasztalatai mindenkinek tanulságosak lesznek. Ajánlom továbbá mindazoknak, akik érdeklődnek az információbiztonsági rendszer kiépítése iránt, és ajánlom azoknak is, akiknek már van kiépített rendszerük (esetleg valami hasonló).

Az előző cikkben már bemutatott „HÉTPECSÉTES TÖRTÉNETEK – Információbiztonság az ISO 27001 tükrében” c. könyvből mutatok be ismét egy tanulságos történetet. Az eset tapasztalatait minden internetező figyelmébe ajánlom, hiszen óvatlanul is bárki könnyen hasonló jellegű csalás áldozatává válhat.