Támogatott tevékenységek

A SeCube GRC alkalmazás teljes körű támogatást nyújt egy szervezet Információbiztonsági Irányítási Rendszerének (röviden: IBIR) létrehozásához és folyamatos karbantartásához.

Támogatott ISO27001 tevékenységek:

  • Vagyonelemleltár (Inventory)
  • Üzleti hatáselemzés (Governance)
  • Erőforrások BSR besorolása (Governance)
  • Információbiztonsági kockázatelemzés és kezelés (Risk)
  • Belső audit támogatás és ISO alkalmazhatósági felmérés (Compliance)
  • Szabályozási és kontroll környezet vezetése (Compliance)
  • Működésfolytonosság tervezés és menedzsment (BCM)

A SeCube moduláris felépítése lehetővé teszi az igények alapján történő részleges moduláris használatot is.

Vagyonelemleltár

Az Inventoryban felvehetjük üzleti folyamatinkat, a kezelt adatköröket, az informatikai rendszereket, azok felépítését, továbbá mindezek működési és függőségi kapcsolatait. A nyilvántartási modellt akár mező szinten is testre szabhatjuk. Az Inventory lefedi az ISO27001 vagyonelem leltár követelményeit.

Üzleti hatáselemzés

A Governance modulban ezen működési modellen az üzleti felelősöket bevonva Rendelkezésre állás, Bizalmasság és Sértetlenség szerinti üzleti hatáselemzést hajthatnak végre az arra kijelölt felelős felhasználók. Értékelhetjük az üzleti tevékenységek, rendszerek vagy adatvagyon sérülése során fellépő lehetséges kárhatásokat, mindezt a szervezetre szabható anyagi és immateriális értékelési aspektusok mentén valósíthatjuk meg. A kárhatások aspektusai (anyagi kár, működési kár, reputáció sérülése, jogi következmény, személyi sérülés stb.) és szöveges értelmezésük a szervezet működési környezetéhez szabható. Közigazgatási (Ibtv.), piaci és GDPR specifikus kárhatás tábla sablonok is elérhetők.

Az üzleti hatáselemzés felmérés eredmények az Inventory vagyonelemleltár függőségi kapcsolatai mentén öröklődnek, listákba rendezhetők és számos egyéb funkciót táplálnak:

  • Erőforrások osztályozása
  • Egyes vagyon elemek érzékenység kimutatása, idő ábrázolással
  • Legnagyobb hatású hibapontok keresése
  • Szimulált események következményei
  • Kockázatelemzési hatás adatok
  • BCM visszaállítási időcélok (RTO, MTPD)

A vizsgálat alapján meghatározhatjuk összes vagyonelemünk besorolását. Osztályozhatjuk erőforrásainkat, testre szabható Bizalmassági – Sértetlenségi – Rendelkezésre állási biztonsági szintek alapján. Az osztályozás lehet manuális vagy a BIA eredményei alapján számolva paraméterezhető szabályok alapján.

Belső audit és Compliance menedzsment

A Compliance modulban egyrészt az ISO2001 szabvány követelményeinek való kontroll megfelelésünket vezethetjük, alkalmazhatósági nyilatkozat riporttal, továbbá felépíthetjük saját Információbiztonsági Irányítási Rendszerünk szabályozási és követelmény rendszerét, mellyel szemben tervszerű és rendszeres belső audit felméréseket végezhetünk. Saját szabályozó rendszerünkkel szemben tetszőleges hatókörű és perioditású belső audit csomagokat indíthatunk. Ezáltal megvalósítva és követve az ISO által előirt belső audit tevékenységeket. A belső audit által feltárt hiányosságokra intézkedési tervek készíthetők, követhetők megvalósulásuk. A szoftverben elérhető riportokkal a belső audit és megfelelés tevékenységek auditálható módon bemutatható ISO auditok során.

A Compliance modulban akár más megfelelés megfelelési és audit vizsgálatok is futhatnak párhuzamosan (pl. ISO9001) integrált hiányosság és megfelelés kezeléssel.

Kockázat felmérés és kezelés

A RISK modulban vezethetjük információbiztonsági kockázatelemzésünk és a kezelési intézkedéseket.
A kockázatelemzés összekapcsolja vagyonelemeink sérülékenységeit és védelmi intézkedéseit a fenyegető veszélyekkel. Lehetséges bekövetkezésük esetén ok-okozati szimulációk mentén elemezhetjük a következményeket és a fellépő üzleti károkat. Értékelhetjük kockázatainkat, valamint folyamatos kockázatmenedzsment tevékenységet valósíthatunk meg.

A szoftverben a kockázatelemzés alapvető módszertani paraméterei és kockázat számítási módszerei széles körben testre szabhatók, így lehetőséget ad arra, hogy figyelembe vegye a szervezet adottságait, különböző anyavállalati vagy jogszabályi elvárásokat. A hatások és károk értelmezése teljes egészében egy szervezetre és annak környezetére szabhatók.
A kockázatelemzés modulban található módszertani paraméterek és szabadon bővíthető alapértelmezett listák (fenyegetések, sérülékenységek, védelmi intézkedések) információbiztonsági ajánlásokon (NIST), szabványokon (ISO) és jogszabályokon (IBTV) alapul, kiegészítve Kürt tapasztalatokkal és ügyfél visszajelzésekkel. Az alkalmazott kockázatelemzési módszertan és terminológiák megfeleltethetők az ISO/IEC 27005 szabvány által leírtakkal. Kockázatelemzési sarokkövek:

  • vagyonelem
  • fenyegetés
  • sérülékenység
  • védelmi intézkedés
  • gyakoriság
  • következmény
  • üzleti hatás
  • kockázat
  • kockázat kezelés
  • maradvány kockázat

A kockázatelemzés során feltárt priorizált kockázatokat különböző elemzési kimutatások mentén értékelhetjük és kockázatkezelési döntések hozhatók. A kockázatokhoz részletes intézkedéseket tervezhetünk. A kockázatkezelési intézkedések megvalósulását feladatmenedzsment funkciók segítik, felelősökkel, státuszokkal, email értesítőkkel, és akár időben összehasonlítható kimutatásokkal (elemzéskori állapot, mai napi aktuális állapot, jövőbeni tervezett állapotok). A kockázatkezelési funkciók és kimutatások célja a szervezet kockázatarányos védelmének folyamatos irányítása. Számos egyéb kimutatás mellett a kockázatelemzésünk aktuális eredményeiről és állapotáról és az alkalmazott módszertantól teljeskörű Kockázatelemzési Jelentés (docx) generálható, mely ISO auditokon felhasználható.A Risk modulban akár több és akár más jellegű kockázatfelmérés is futhat párhuzamosan (pl. üzleti, fizikai, humán, adatvédelmi, kritikus infrastruktúra stb.) melyek eredményei egységesen is kezelhetők, ezáltal megvalósítva és támogatva az integrált teljes vállalati kockázatmenedzsmentet (ERM – Enterprise risk management).

Működésfolytonosság tervezés és menedzsment

A BCM modul integrált módon támogatja egy szervezet informatikai, technológia, információbiztonsági és működés-folytonossági tervezési és menedzsment tevékenységeit. A BCM modul a működés folytonosság menedzsment teljes életciklusát kívánja egységes rendszerben támogatni az ISO 22301 szabvány figyelembevétele mellett:

  • Működés modellezés
  • Kockázatelemzés és üzleti hatáselemzéssel
  • Visszaállítási időcélok meghatározása és terveinkkel való összevetés
  • BCP és DRP tervek részletes tervezése 
  • A nyugalmi időszak felkészülési feladatainak megtervezése és végrehajtásának ellenőrzése
  • Tervek karbantartása és felülvizsgálata
  • Tervek tesztelése 
  • Vészhelyzeti alkalmazás és szimulációk 

 

A BCM tervezés eredménytermékei az időcélok figyelembevétele mellett készült részletes BCP vagy DRP cselekvési tervek. A tervek tartalmazzák a kidolgozott vészhelyzeti cselekvéseket, szcenáriókba rendezve, továbbá a tervek működőképességéhez szükséges felkészülési cselekvéseket. A BC és DR tervek szöveges formátumba (docx) is exportálhatók.

A létrehozott tervekhez tesztek is készíthetők, tervezhető és menedzselhető a teszt tevékenység, generálható teszt jegyzőkönyvekkel (docx).

A külső auditorok számára bemutatható a teljes BCM tevékenységünk, a következő alátámasztó riportokkal:

  • Word dokumentumba is exportálható részletes BCP és DRP tervek
  • Nyugalmi időszak felkészülési cselekvései
  • Teszt tervek és tesztelési jegyzőkönyvek
  • Visszaállítási időcélok kimutatások

ISMS ISO27001

    top