Üzlet és biztonság
47. „A TÖBBSÉG UGYANOLYAN SÚLYOSAN TÉVEDHET, MINT A KISEBBSÉG” Farkas Imre–Fabiányi Gábor, KÜRT blog (http://www.kurt-blog.hu/)
Micki Krause a Bloginfosec-nél (www.bloginfosec.com) állítja, hogy a biztonság: üzleti funkció. Cikkében kifejti, hogy a jól szervezett biztonsági rendszer bevezetése és mĦködtetése megegyezik az általános üzleti folyamatok szervezésével. A statikus szabályozás paradigmájától elemelkedik, és egyértelmĦen folyamatorientált mĦködésrĘl ír (ISO 27001 Information Security Management System). Mi fontosnak tartottuk azt a szabvány által is javasolt megközelítést, hogy ha egy szervezet már rendelkezik ISO 9001-es minĘségirányítási rendszerrel, akkor a biztonságirányítási rendszert annak szerves részeként definiáljuk. Vagyis a szabályzatok mellett (vagy azok részeként), a „mit tegyünk / mit ne tegyünk” tevékenységsor mellett folyamatjellegĦ megközelítést alkalmazzunk, határozzuk meg a „hogyant” is. Ezt hívhatjuk akár munkautasításnak is, a lényeg, hogy egy, az egész szervezetre érvényes mutatószám és vezetĘi riportolási rendszer részeként történjék, és mint ilyen, megfelelĘ „magasságokba” jusson el a napi információ. Mindez azért, hogy látható legyen, mennyire hatékonyan mĦködik a biztonságirányításunk, és melyek annak az aktuális problémái. A folyamatszerĦ megközelítés fontos eszközei a mutatószámok (metrikák, mérések, BSC, KPI-k). Ezek teszik lehetĘvé azt, hogy a vezetés átláthassa az aktuális kockázatokat és a biztonsági rendszer mĦködésének jóságát. Nálatok mennyire szigetszerĦ az információbiztonság? Vannak olyan folyamatok és mutatók, amelyek beépülnek az általános üzletmenetbe, és használatukkal a vezetés szintjére kerülnek az aktuális problémák?
162