Az ISO/IEC 27001 szerinti információbiztonsági rendszer arról szól, hogy az azt alkalmazó vállalkozás bizonyos információit biztonságban akarja tudni, vagyis valamilyen veszély ellen védeni akarja. Egyszerű: az információbiztonsági rendszer információt véd. Ennek tudatában megdöbbenek, amikor sok cég úgy akarja információbiztonsági rendszerét tanúsíttatni, hogy azok tárgya nem is információ védelméről szól. Mit is kell itt akkor ott auditálni?

Rengeteg helyen találkozom az ISO 9001-es minőségbiztosítási szabvány (szaknyelven szólva minőségirányítási rendszerszabvány) meghivatkozásával, és az (állítólag) annak szellemében épült rendszerek bemutatásával. Sokszor mégis azt veszem észre, hogy beszélünk róla, ugyanazokat a szavakat használjuk, mégsem ugyanarról beszélünk! Öntsünk tiszta vizet a pohárba, és tisztázzuk, hogy mit is követel meg az ISO 9001!

Számtalan példát láttam már mutatószámok használatára, ahol nagyon komoly felkészültség és szándék ellenére mégsem érték el a kívánt hatást. A folyamatok nem működtek rendesen, a mutatószámok nem a valóságot mutatták, stb…. Sokszor nagy elméletek, módszerek alkalmazása csúszott el egy „banánhéjon”. Megmutatjuk, hogy azt az alapvető tíz jó tanácsot, amelyekkel a legtöbb csapdát előre elkerülhetjük!

Az ügyfelek (vagy a partnerek) megelégedettségének megállapítására használt kérdőívek sokszor nem érik el céljukat. Kevesen válaszolnak, és sokszor maguk a válaszok se használhatók. Csupán annyi a „hasznunk” belőle, hogy az ISO 9001 auditon ezt is „kipipálhatjuk”. Pedig ha már csináltunk ilyen felmérést, akkor sokkal több haszna is lehetne. De hogyan?

A fejlődés egyben az informatika terjedését is jelenti. Az informatikai megoldások pedig lassan teljesen kiváltják a hagyományos papírkezelést. Ez a fejlődés önmagában jó, de sokszor számos új problémát is felvet. Hogy milyen problémákra kell gondolni?

Ön rábízná idegenekre a bizalmas adatait? Idegen kezekbe kerülve, már a családi fotók, videók is kellemetlen pillanatokat okozhatnak. A bizalmas üzleti adatok szivárgása pedig egyenesen katasztrofális hatásokkal járhat az adott vállalkozás számára. Pedig hányan teszik ezt meg nap mint nap úgy, hogy közben nem is gondolnak rá!

Manapság egy-egy merevlemez, USB-s memória, vagy akár egy mobiltelefon is kritikus üzleti adatokat rejthet:

Az ISO bevezetése sok jót is tud hozni, azonban ész nélkül használva sokszor értelmetlen, az üzletmenetet romboló túlkapásokkal jár. Erre jó példa a következő történet…

Az előző cikkben már bemutatott „HÉTPECSÉTES TÖRTÉNETEK – Információbiztonság az ISO 27001 tükrében” c. könyvből mutatok be ismét egy tanulságos történetet. Az eset tapasztalatait minden internetező figyelmébe ajánlom, hiszen óvatlanul is bárki könnyen hasonló jellegű csalás áldozatává válhat.

Az információbiztonsági szabvány sokaknak egy elvont és nehezen kezelhető dolognak tűnik, pedig mondanivalója nagyon is a hétköznapjainkról szól. Erre világít rá a Hétpecsét Információbiztonsági Egyesület által 2008-ban kiadott HÉTPECSÉTES TÖRTÉNETEK című kis könyv. Ez az ISO 27001 szabvány minden követelmény-fejezetéhez bemutat egy kis életszituációt, olyant, amellyel vagy hasonlóval szinte mindenki találkozhatott (volna) már. Ezek a történetek némi humorral mutatják be mindennapjaink botlásait, és a tanulságok pedig gondolkozásra késztetnek.

Ebből a könyvből ízelítőül mutatok be két történetet, egyet most és egyet a következő írásomban.

Sokan, sokszor visznek haza munkát, mert ez egyrészt kényelmes, másrészt pedig a határidő is hajt. Sokan otthon nyugodtabban tudnak dolgozni, gyorsabban haladnak a munkával. Azt azonban már kevesen mérik fel, hogy ez milyen adatbiztonsági veszélyekkel jár!