Dr. KOVÁCS SÁRKÁNY Hajnalka

INFORMÁCIÓBIZTONSÁGI IRÁNYÍTÁSI RENDSZER TERVEZÉSÉNEK ÉS BEVEZETÉSÉNEK BEMUTATÁSA EGY ANONIMIZÁLT KÖZÉPVÁLLALKOZÁS PÉLDÁJÁN KERESZTÜL
Szerző: Dr. KOVÁCS SÁRKÁNY Hajnalka, igazgató (hajnalka.kovac@gmail.com)
Intézmény: European-cert doo, Szabadka

A kutatás egy anonimizált középvállalkozás példáján keresztül mutatja be az információbiztonsági irányítási rendszer tervezését és bevezetését. A munka keretében a vizsgált szervezet az MSZ EN ISO 9001:2015 és az MSZ EN ISO 22000:2018 szabványok szerint kialakított kézikönyve és vonatkozó dokumentumai kerültek átvizsgálásra és kiegészítésre az MSZ ISO/IEC 27001:2014 szabvány követelményeivel. Az előíró IBIR dokumentáció kialakításának a főbb mérföldköveit a stratégiai célok meghatározása, a helyzetfelmérés, az MSZ ISO/IEC 27001:2014 szabványnak megfelelő dokumentáció kidolgozása és bevezetése képezték. Az IBIR rendszer kialakításához és fejlesztéséhez célszerű olyan személyt bevonni a munkába, aki komplex szakmai és irányítási rendszer-ismeretekkel rendelkezik.
Magát az IBIR rendszer auditját is javasolt IT tudással és IBIR belső auditori végzettséggel is rendelkezők közreműködésével lefolytatni.
Kulcsszavak: szabvány, ISO/IEC 27001:2014, információ-biztonság

DEMONSTRATION OF THE DESIGN AND IMPLEMENTATION OF AN INFORMATION SECURITY MANAGEMENT SYSTEM THROUGH THE EXAMPLE OF AN ANONYMIZED MEDIUM-SIZED ENTERPRISE
The work describes the design and implementation of an information security management system using the example of an anonymised medium-sized enterprise. Within the scope of the work, the audited organisation’s manual and relevant documents developed in accordance with the standards MSZ EN ISO 9001:2015 and MSZ EN ISO 22000:2018, were reviewed and supplemented with the requirements of the standard MSZ ISO/IEC 27001:2014. The main milestones in the development of the prescriptive ISMS documentation were the definition of strategic objectives, the development and implementation of the situation assessment documentation in accordance with ISO/IEC 27001:2014.
In the design and development of the ISMS system, it is advisable to involve a person with comprehensive professional and management system knowledge. The audit of the ISMS system itself is also recommended to be carried out with the assistance of people with IT skills and ISMS internal audit qualifications.
Keywords: standard, ISO/IEC 27001:2014, information-security