Az ISO 27001 tanúsítás ma már nem luxus, hanem belépő. Nagyvállalati megrendelők, pályázatok és EU-s projektek egyre gyakrabban követelik meg. A BR Works ERP rendszere beépített Annex A kontrollokkal segíti a tanúsítás megszerzését.
Az ISO/IEC 27001:2022 egy nemzetközi szabvány, amely meghatározza az információbiztonsági irányítási rendszer (ISMS) követelményeit. Egyszerűen fogalmazva: egy keretrendszer, amely segít a szervezeteknek rendszerezetten kezelni az információbiztonsági kockázataikat.
A szabványt az ISO (International Organization for Standardization) és az IEC (International Electrotechnical Commission) adja ki. A legfrissebb verzió a 2022-es kiadás, amely 93 kontrollt tartalmaz az Annex A mellékletben, 4 fő kategóriába sorolva: szervezeti, személyi, fizikai és technológiai kontrollok.
Az ISO 27001 tanúsítás önkéntes, senki nem kötelezi rá jogszabály. Viszont a gyakorlatban egyre több helyen elvárás:
Tehát bár nem kötelező, a piaci valóság az, hogy ISO 27001 nélkül bizonyos megrendelésekhez, pályázatokhoz és partnerségekhez egyszerűen nem fér hozzá.
A tanúsítási folyamat lényege: egy akkreditált tanúsító szervezet (pl. Bureau Veritas, TÜV, SGS) auditálja a cég információbiztonsági irányítási rendszerét. Ha megfelel a szabvány követelményeinek, kiadják a tanúsítványt, amely 3 évig érvényes (éves felügyeleti audittal).
A tanúsítás nem arról szól, hogy tökéletes legyen a rendszer. Arról szól, hogy legyen rendszer: dokumentált folyamatok, kockázatelemzés, kontrollok, és folyamatos fejlesztés. Egy ISO 27001 kompatibilis szoftver használata jelentősen megkönnyíti ezt, mert a technikai kontrollok már adottak.
Teljes vállalatirányítási rendszert szeretne beépített ISO kontrollokkal, vagy csak az információbiztonsági megfelelést kell megoldania? Mindkettőre van megoldásunk.
Teljes vállalatirányítási rendszer (CRM, számlázás, készlet, projektek), amelyben az ISO 27001 Annex A technikai kontrollok alapból benne vannak. Egy rendszer, ami a cégét irányítja és a tanúsítási auditot is megkönnyíti.
Ha már van vállalatirányítási rendszere, de az nem fedi le az ISO 27001 kontrollokat. Célzott megoldás a tanúsítási felkészüléshez: dokumentáció, kockázatelemzés, kontroll nyilvántartás, audit előkészítés.
Az ISO 27001:2022 Annex A 93 kontrollt tartalmaz 4 kategóriában. A BR Works rendszere a technikai és szervezeti kontrollok jelentős részét lefedi.
Szerepkör alapú jogosultságkezelés: ki mihez fér hozzá, milyen szinten. Felhasználói fiókok kezelése, jogosultságok kiosztása és visszavonása, rendszeres felülvizsgálat. Minden változás naplózva.
Annex A 5.15, 8.2, 8.3, 8.4AES-256 titkosítás a tárolt adatokon, HTTPS (TLS 1.3) az átvitel során. Titkosítási kulcsok kezelése, jelszavak hash-elése (bcrypt). Az adatok nyugalmi és átviteli állapotban is védettek.
Annex A 8.24Kétfaktoros hitelesítés (2FA) SMS, e-mail vagy authenticator alkalmazás alapján. Jelszó-komplexitási szabályok, munkamenet-kezelés, automatikus kijelentkeztetés inaktivitás után.
Annex A 8.5Teljes audit napló: ki lépett be, mit módosított, mikor, honnan. Rendszeresemények naplózása, gyanús tevékenységek detektálása. A naplók nem módosíthatók és nem törölhetők, exportálhatók az auditor számára.
Annex A 8.15, 8.16Automatikus napi biztonsági mentés georedundáns tárolással. Változáskezelés dokumentálása, kapacitás monitoring, fejlesztési és éles környezet szétválasztása.
Annex A 8.13, 8.14, 8.31, 8.32Titkosított adatátvitel (TLS 1.3), biztonságos API kapcsolatok (OAuth 2.0), hálózati szegmentálás. Harmadik fél rendszerekkel való adatcsere kizárólag titkosított csatornán.
Annex A 8.20, 8.21, 8.22Információs eszközök nyilvántartása: szoftverek, hardverek, adatbázisok, dokumentumok. Tulajdonos hozzárendelés, osztályozás, életciklus kezelés. Az auditor ezt kéri először.
Annex A 5.9, 5.10, 5.11, 5.12Biztonsági incidensek rögzítése, kategorizálása, eszkalálása. Riasztások gyanús tevékenységeknél. Incidens napló az auditornak, tanulságok dokumentálása, korrekciós intézkedések nyomon követése.
Annex A 5.24, 5.25, 5.26, 5.27Beépített kockázatfelmérő modul: fenyegetések azonosítása, valószínűség és hatás értékelése, kockázatkezelési terv. Az ISO 27001 alapkövetelménye (6.1.2 pont), a tanúsítási audit egyik fő vizsgálati területe.
ISO 27001 6.1.2, 6.1.3Az ISO 27001 tanúsítás nem jogszabályi kötelezettség. Viszont a piaci valóság az, hogy egyre több helyen elvárás. Ha az alábbi kategóriák bármelyikébe tartozik, érdemes komolyan gondolkodnia rajta.
Nagyvállalati ügyfelek szinte kivétel nélkül megkövetelik az ISO 27001 tanúsítást a szoftveres beszállítóiktól. Ha enterprise piacra dolgozik, ez belépő.
EU-s pályázatoknál és közbeszerzéseknél az ISO 27001 tanúsítás gyakran pontozási szempont vagy kötelező feltétel. Tanúsítvány nélkül kiesik a versenyből.
Kórházak, klinikák, egészségügyi intézmények beszállítói (IT, orvostechnika, adatfeldolgozás) számára az ISO 27001 egyre inkább alapelvárás a betegadatok védelme miatt.
Bankok, biztosítók, pénzügyi szolgáltatók megkövetelik a beszállítóiktól az ISO 27001 tanúsítást. A MNB ajánlásai is ebbe az irányba mutatnak.
Ha szoftvert szolgáltatásként (SaaS) nyújt, az ügyfelei jogosan kérdezik: hogyan védi az adataikat? Az ISO 27001 tanúsítvány erre a kérdésre a legerősebb válasz.
Ez a kulcs: ha a megrendelői között van nagyvállalat, multinacionális cég, állami intézmény vagy EU-s projekt, akkor előbb-utóbb megkérdezik: van ISO 27001 tanúsítványa? Ha nincs, a versenytárs kapja a megbízást.
| ISO 27001 követelmény | Rendszer nélkül | BR Works megoldással |
|---|---|---|
| Hozzáférés-kezelés (A 8.2-8.4) | ✗ Közös jelszavak, nincs nyilvántartás | ✓ Szerepkör alapú, naplózott, felülvizsgálható |
| Audit napló (A 8.15) | ✗ Nincs, vagy hiányos | ✓ Automatikus, teljes, nem módosítható |
| Kriptográfia (A 8.24) | ✗ Titkosítatlan adatok | ✓ AES-256 + TLS 1.3 |
| Hitelesítés (A 8.5) | ✗ Csak jelszó | ✓ 2FA, jelszó-policy, session kezelés |
| Biztonsági mentés (A 8.13) | ✗ Kézi, rendszertelen | ✓ Napi, automatikus, georedundáns |
| Incidenskezelés (A 5.24-5.28) | ✗ Nincs folyamat | ✓ Rögzítés, kategorizálás, eszkaláció |
| Kockázatelemzés (6.1.2) | ✗ Nem dokumentált | ✓ Beépített modul, sablonok, riportok |
| Eszközleltár (A 5.9-5.12) | ✗ Excel vagy semmi | ✓ Központi nyilvántartás, tulajdonos, osztályozás |
| Tanúsítási audit előkészítés | Hónapok (tanácsadó + fejlesztés) | Technikai kontrollok azonnal készen |
| SoA (Statement of Applicability) | ✗ Nulláról kell megírni | ✓ Generálható a rendszerből |
Az ISO 27001 egy önkéntes nemzetközi szabvány. Ön dönt, hogy tanúsíttatja-e magát. Egy akkreditált tanúsító szervezet (pl. Bureau Veritas, TÜV, SGS) végzi az auditot, és ha megfelel, kiadja a tanúsítványt. Senki nem bünteti meg, ha nincs tanúsítványa, de a piac egyre inkább elvárja.
A NIS2 egy kötelező EU jogszabály (Magyarországon a 2023. évi XXIII. törvény). Állami hatóság (SZTFH) felügyeli, és ha nem felel meg, bírságot kap. Nem opcionális, ha az Ön szervezete érintett.
A két rendszer között jelentős átfedés van a technikai követelményekben. Az ISO 27001 Annex A kontrolljai (hozzáférés-kezelés, titkosítás, naplózás, incidenskezelés) nagyrészt lefedik a NIS2 21. cikkében előírt biztonsági intézkedéseket is.
Gyakorlatban ez azt jelenti:
Ha a cége NIS2-köteles (vagy NIS2-köteles szervezetnek szállít be): a NIS2 megfelelés kötelező, az ISO 27001 opcionális de ajánlott. Ha a cége nem NIS2-köteles, de nagyvállalati ügyfeleknek dolgozik vagy pályázatokon indul: az ISO 27001 tanúsítás a piaci elvárás. Ha mindkettő releváns: egy rendszerrel mindkettőt megoldhatja.
Töltse ki az űrlapot és 24 órán belül visszajelzünk: milyen szinten áll most, mit kell pótolnia, és hogyan segíthet a rendszerünk. Nincs elköteleződés.
Ingyenes konzultáció: felmérjük, hol tart most, és hogyan juthat el a tanúsításig a legrövidebb úton. Semmi elköteleződés.
Az ISO 27001 mellett teljes ERP és CRM rendszereket is fejlesztünk, valamint NIS2 megfelelőségi megoldást is kínálunk.
Weboldalunk sütiket használ a legjobb felhasználói élmény érdekében. Adatvédelmi szabályzat