NIS 2 - ISO 27001 hozzárendelés

NIS 2 kiberbiztonsági kockázatkezelési intézkedések hozzárendelése az ISO 27001:2022 szabványhoz

ISO27001 - A szabvány. Mi az ISO/IEC 27001?

Az ISO/IEC 27001 egy világszerte elismert szabvány az információbiztonság menedzsmentjére. A Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Elektrotechnikai Bizottság (IEC) együttműködésében fejlesztették ki. Szisztematikus és strukturált megközelítést biztosít a szervezeten belüli érzékeny információk kezelésére és védelmére.

Az ISO/IEC 27001 a Plan-Do-Check-Act elven alapul. Ez a PDCA-ciklus, és megköveteli a szervezetektől, hogy átfogó irányelveket, eljárásokat és ellenőrzéseket hajtsanak végre az információbiztonsági kockázatok kezelésére, valamint az információk titkosságának, integritásának és elérhetőségének biztosítására. A szabványt úgy tervezték, hogy rugalmas legyen, és bármilyen méretű szervezetre alkalmazható legyen, a kisvállalkozásoktól a multinacionális vállalatokig.

A szabvány
követelményrendszert biztosít a szervezetek számára, hogy:

azonosítani és értékelni tudják az információbiztonsági kockázatokat,
ellenőrzéseket tudjanak végrehajtani a kockázatok csökkentése érdekében,
és folyamatosan figyelemmel kísérjék, felülvizsgálják ezen ellenőrzések hatékonyságát.

NIS 2
- Általános intézkedések

ISO 27001:2022

21. cikk (2) bekezdésének a) pontja
A kockázatelemzésre és az információs rendszerek biztonságára vonatkozó irányelvek

5.2 Szabályzat
6.1.2 Információbiztonsági kockázatértékelés
6.1.3 Információbiztonsági kockázatkezelés
8.2 Információbiztonsági kockázatértékelés
8.3 Információbiztonsági kockázatkezelés
A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 5.1 Információbiztonsági szabályzat
• 5.2 Információbiztonsági szerepkörök és felelősségek
• 5.7 Fenyegetés intelligencia
• 5.37 Dokumentált működési eljárások
21. cikk (2) bekezdésének b) pontja
Az események kezelése
A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 5.24 Információbiztonsági incidensek kezelésének tervezése és előkészítése
• 5.25 Információbiztonsági események értékelése és döntéshozatala
• 5.26 Reagálás információbiztonsági incidensekre
• 5.27 Tanulás az információbiztonsági incidensekből
• 5.28 Bizonyítékgyűjtés
• 6.8 Információbiztonsági események jelentése
• 8.15 Naplózás
• 8.16 Monitoring tevékenységek
21. cikk (2) bekezdésének c) pontja
Üzleti folytonosság, például biztonsági mentés
menedzsment és katasztrófaelhárítás, valamint válságkezelés

A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 5.29 Információbiztonság üzemzavar esetén
• 5.30 IKT felkészültség az üzletmenet folytonosságára
• 5.37 Dokumentált működési eljárások
• 8.13 Információk biztonsági mentése
• 8.14 Az információfeldolgozó létesítmények redundanciája
21. cikk (2) bekezdésének d) pontja
Az ellátási lánc biztonsága, beleértve az egyes jogalanyok és közvetlen beszállítói vagy szolgáltatói közötti kapcsolatok biztonsággal kapcsolatos szempontjai
A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 5.19 Információbiztonság a szállítói kapcsolatokban
• 5.20 Az információbiztonság kezelése a szállítói szerződéseken belül
• 5.21 Az információbiztonság kezelése az IKT-ellátási láncban
• 5.22 A beszállítói szolgáltatások nyomon követése, felülvizsgálata és változáskezelése
• 5.23 Információbiztonság a felhőszolgáltatások használatához
21. cikk (2) bekezdésének e) pontja
Biztonság a hálózatban és az információs rendszerekben, beszerzés, fejlesztés és karbantartás, beleértve a sebezhetőségek kezelését és közzétételét

A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 5.37 Dokumentált működési eljárások
• 8.8 Technikai sérülékenységek kezelése
• 8.9 Konfigurációkezelés
• 8.19 Szoftver telepítése operációs rendszerekre
• 8.20 Hálózatbiztonság
• 8.21 A hálózati szolgáltatások biztonsága
21. cikk (2) bekezdésének f) pontja
Irányelvek és eljárások értékelése, a kiberbiztonsági kockázatkezelési intézkedések hatékonysága
9.1 Monitoring, mérés, elemzés és értékelés
9.2 Belső ellenőrzés
9.3 Vezetői áttekintés
A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 5.35 Az információbiztonság független felülvizsgálata
• 5.36 Az információbiztonsági irányelveknek, szabályoknak és szabványoknak való megfelelés
21. cikk (2) bekezdésének g) pontja
Alapvető számítógép-higiéniai gyakorlatok és kiberbiztonsági képzés
7.2 Kompetencia
7.3 Tudatosság
7.4 Kommunikáció
A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 6.3 Információbiztonsági tudatosság, oktatás és képzés
21. cikk (2) bekezdésének h) pontja
A vonatkozó irányelvek és eljárások
kriptográfia és adott esetben titkosítás használata

A. melléklet. Információbiztonsági ellenőrzések hivatkozása:
• 8.24 Titkosítás használat
21. cikk (2) bekezdésének i) pontja
Humán erőforrás biztonság, hozzáférés ellenőrzési politikák és vagyonkezelés

7.2 Kompetencia
A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 5.2 Információbiztonsági szerepkörök és felelősségek
• 5.3 A feladatok elkülönítése
• 6.1 Szűrés
• 6.2 A foglalkoztatás feltételei
• 6.3 Információbiztonsági tudatosság, oktatás és képzés
• 6.4 Fegyelmi eljárás
• 6.5 Felelősségek a munkaviszony megszűnése vagy megváltozása után
• 6.6 Titoktartási vagy nyilvánosságra hozatali megállapodások
• 6.7 Távmunka
• 7.7 Tiszta asztal és tiszta képernyő
• 5.15 Hozzáférés-vezérlés
• 5.16 Identitáskezelés
• 5.17 Hitelesítési információk
• 5.18 Hozzáférési jogok
• 8.2 Privilegizált hozzáférési jogok
• 8.3 Az információhoz való hozzáférés korlátozása
• 8.4 Hozzáférés a forráskódhoz
• 8.5 Biztonságos hitelesítés
• 5.9 Információk és egyéb kapcsolódó eszközök nyilvántartása
• 5.10 Az információk és egyéb kapcsolódó eszközök elfogadható felhasználása
• 5.11 Eszközök visszaszolgáltatása
• 7.9 A vagyontárgyak biztonsága az üzlethelyiségen kívül
• 7.10 Adathordozók
• 7.14 A berendezés biztonságos ártalmatlanítása vagy újrafelhasználása
• 8.1 Felhasználói végpont eszközök
21. cikk (2) bekezdésének j) pontja
Többtényezős hitelesítés használata vagy folyamatos hitelesítési megoldások, biztonságos hang-, video- és szöveges kommunikáció, valamint biztonságos vészhelyzeti kommunikációs rendszerek az entitáson belül, ahol szükséges
A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 5.14 Információátvitel
• 5.16 Identitáskezelés
• 5.17 Hitelesítési információk
• 8.5 Biztonságos hitelesítés

NIS 2
- Egyéb intézkedések

ISO 27001:2022

21. cikk (3) bekezdése
Biztonságos fejlesztési eljárások...

A. melléklet. Információbiztonsági ellenőrzések hivatkozási száma:
• 8.25 Biztonságos fejlesztési életciklus
• 8.26 Alkalmazásbiztonsági követelmények
• 8.27 Biztonságos rendszerarchitektúra és mérnöki elvek
• 8.28 Biztonságos kódolás
• 8.29 Biztonsági tesztelés a fejlesztés és az elfogadás során
• 8.30 Kihelyezett fejlesztés
• 8.31 A fejlesztői, teszt- és gyártási környezet szétválasztása
• 8.32 Változáskezelés
• 8.33 Tesztinformációk
21. cikk (4) bekezdése
Megfelelő és arányos korrekciós intézkedések
(ha nem felelnek meg)

10.2 Nem megfelelőség és korrekciós intézkedés

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram