EN | HU

Biztonsági audit

A szolgáltatás bemutatása

Információbiztonsági audit megbízatásaink során felmérjük a vizsgált információs rendszer biztonsági kockázatait, kockázati kategóriákba soroljuk azokat, majd javaslatokat dolgozunk ki a felmért biztonsági kockázatok csökkentésére.

Joggal merülhet fel valakiben a kérdés, hogy pontosan milyen részei is vannak egy információbiztonsági auditnak?

A válasz megadásához fel kell idéznünk az információs rendszer fogalmát: „az információs rendszer nem csupán a szervezet által használt információs és kommunikációs technológiát jelöli, hanem azt a módot is, ahogyan az emberek kölcsönhatnak ezzel a technológiával az üzleti folyamatok támogatása során”1. Azaz, nem csupán a technológiát kell vizsgálni a biztonsági audit során, hanem a technológiát körülvevő – formalizált, vagy nem formalizált – folyamatokat is.

Ez a gondolat ma már teljesen elfogadottá vált az információbiztonsági szakemberek között, hiszen jól tudjuk, hogy a technológia magában soha nem rejt biztonsági kockázatokat, mindig az emberi felhasználás során jelennek meg a kockázati tényezők.

A fentiek értelmében információbiztonsági auditjaink két fő részből állnak: egy folyamatauditból, és egy rendszerauditból. A folyamataudit során összevetjük az információs rendszer részét képező folyamatokat a vonatkozó nemzetközi szabványokkal (pl. CobiT2, ITIL3), és a hazai és nemzetközi iparági gyakorlattal, míg a rendszeraudit során megvizsgáljuk az információs és kommunikációs technológia biztonsági architektúráját, illetve konfigurációját.

Kinek ajánljuk a szolgáltatást?

  • Bármilyen szervezetnek új információs rendszer bevezetése esetén;
  • olyan szervezetek számára, amelyek üzleti tevékenysége erősen támaszkodik valamilyen információs rendszer folyamatos, és kockázatmentes működésére;
  • olyan szervezeteknek számára, amelyeknek valamilyen törvényi megfelelőségi követelménynek (pl. 2004. évi XXII. törvény4, 345/2004 kormányrendelet5) kell eleget tenniük.

Miért minket válasszanak?

  • Mert nagy gyakorlatunk van biztonsági auditok elvégzésében és menedzselésében;
  • mert mély technikai ismeretekkel rendelkezünk számos platform tekintetében;
  • mert számottevő tapasztalatunk van az audit során megfogalmazott ajánlásokban szereplő biztonsági infrastruktúrák és folyamatok megvalósítása terén;
  • mert képesek vagyunk vezetői szinten is interpretálni a feltárt biztonsági kockázatokat.

Hivatkozások

  • 1Kroenke, David M., Experiencing MIS, 2nd edition, Prentice-Hall (2009)
  • 2Control Objectives for Information and Related Technology
  • 3IT Infrastructure Library
  • 42004. évi XXII. törvény a befektetők és a betétesek fokozott védelmével kapcsolatos egyes törvények módosításáról
  • 5345/2004. (XII.22.) Kormányrendelet az elektronikus hírközlési szolgáltatás minőségének a fogyasztók védelmével összefüggő követelményeiről