Balogh Zoltán RSM szakértői fotó
Balogh Zoltán 2025.12.15
6 perc
Könyvvizsgálat

A sikeres ISO 27001-projekt második harmada az implementációról szól: a kulcskontrollok működésbe állításáról, a bizonyítékok (evidence-ek) tudatos felépítéséről és az információbiztonsági kultúra megerősítéséről. Ebben a fázisban az elméletből gyakorlat lesz: a jóváhagyott scope, a kockázatkezelési keret és az információbiztonsági politika vázlata alapján kialakulnak azok a folyamatok, amelyekre a tanúsító auditor rákérdez – és amelyek napi szinten is értéket teremtenek.

Mit foglal magában az ISO 27001 implementációs szakasza?

Az ISO 27001 tanúsítási  projekt második harmada tipikusan 3 fő cél köré épül:

  1. A szükséges kontrollok és eljárások bevezetése
  2. A működés bizonyítékainak (evidence-ek) felépítése
  3. A szervezeti tudatosság és képességek megerősítése
  4. Az eredmény: működő folyamatok, auditbiztos nyomvonal és egy stabil rendszer a belső audit előtt.

1. Kulcskontrollok kialakítása és bevezetése (Annex A 2022)

A 2022-es Annex A kontrollok a legjobb gyakorlatokat hozzák a hozzáférés-kezeléstől a beszállítói kockázatokig. A siker kulcsa nem a teljes lista mechanikus átvétele, hanem egy kockázatalapú, priorizált kontrollkészlet kialakítása.

Hozzáféréskezelés (A.5 / A.9 kontrollcsoportok)

Az egyik legkritikusabb terület: ki, mihez, milyen alapon fér hozzá.


Kulcselemek:

  • jogosultság-életciklus (igénylés → jóváhagyás → kiosztás → visszavonás)
  • admin jogosultságok külön kezelése
  • rendszeres jogosultság-felülvizsgálat
  • közös / megosztott fiókok kivezetése

Auditbiztos eredmény: naprakész jogosultsági nyilvántartás és dokumentált igénylési-engedélyezési folyamat.

Változáskezelés (Change Management)

Cél: minden infrastruktúra-, alkalmazás- és konfigurációváltozás követhető, engedélyezett és tesztelt legyen.
Fókusz:

  • formalizált change folyamat (normál / sürgős változások)
  • hatásvizsgálat (biztonsági, üzleti, rendelkezésre állási szempontból)
  • UAT / tesztelési bizonyítékok

Eredmény: kiszámíthatóbb IT működés, kevesebb konfigurációs incidens.

Incidenskezelés

Az ISO 27001 a gyors felismerést és zárt ciklust várja el. Az implementáció során létrejön:

  • incidenskezelési szabályzat és workflow
  • incidens-besorolás
  • bejelentési csatorna és ticketing
  • gyökérokelemzés (RCA) módszertan

Eredmény: auditálható ticketek, zárási jegyzőkönyvek, tanulságok.

Beszállítói kockázatok kezelése

A legtöbb szervezet kitettsége a beszállítói láncban nő. Az implementáció fókusza:

  • vendor-lista és kritikus szolgáltatók azonosítása
  • biztonsági és megfelelési követelmények beépítése a szerződésekbe
  • rendszeres vendor-értékelések és kockázatfelülvizsgálat

Eredmény: átlátható beszállítói kockázatportfólió, auditálható ellenőrzések.

2. Bizonyítékgyűjtés: a működés auditbiztos nyomvonala

A tanúsító audit egyik legkritikusabb tényezője, hogy a folyamatok nemcsak léteznek, hanem bizonyíthatók is. Emiatt a második szakaszban felépül a bizonyítékgyűjtési keret:

Mit tekint az auditor megfelelő bizonyítéknak?

  • naplózott engedélyezési döntések
  • jegyzőkönyvek, meeting minutes
  • ticketing rendszer eseményei
  • konfigurációs és naplóállományok
  • képzési részvételi igazolások
  • monitoring és mérési eredmények

A jó implementáció egyik ismérve, hogy minden kontrollhoz tartozik minimum 1–2 rendszeres evidence, amelyet a szervezet következetesen fenntart és archivál.

Evidence management keretrendszer

Az RSM-megközelítésben kialakul:

  • központi bizonyítéktár (SharePoint / Teams / Confluence / GDrive)
  • havi–negyedéves evidence gyűjtési naptár
  • felelősök és határidők
  • ellenőrzőlista minden Annex A kontrollhoz

Eredmény: a Stage 1–2 auditon nincs kapkodás – minden elérhető, rendszerezett, ellenőrizhető.

3. Tudatosság és képzési program

Az ISO 27001 implementáció sikere nagyban múlik azon, hogy a szervezet munkavállalói megértik, miért fontos az információvédelem.

Mit tartalmaz egy jó tudatossági program?

  • éves oktatási tematika
  • kötelező e-learning modulok
  • phishing-szimulációk
  • szerepkör-specifikus tréningek (IT, HR, vezetőség)
  • vizsgakérdések és tudásmérés

Eredmény: csökken az emberi hibából fakadó incidensek aránya, nő a biztonsági kultúra.

4. Mérőszámok és monitoring (KPI / KRI)

Az ISO 27001 szabvány elvárja, hogy a szervezet mérje az IBIR teljesítményét.

Gyakori metrikák:

  • incidensek száma és súlyossága
  • változások átfutási ideje
  • SLA-k teljesülése
  • jogosultságfelülvizsgálatok határideje és aránya
  • vendor-auditok eredménye
  • képzési részvétel aránya

Eredmény: adatvezérelt vezetői riportok, jobb IT-üzemeltetés, erősebb megfelelés.

5. A belső audit program előkészítése

Az ISO 27001 tanúsítás előtt minden szervezetnek kötelező belső auditot végeznie – ez a második fázis végére előkészítésre kerül.

A belső audit előkészítése során:

  • kialakul az éves auditprogram
  • kijelölésre kerülnek az auditorok (belső vagy külső)
  • elkészülnek az auditkérdéslisták (checklist)
  • meghatározásra kerülnek a fókuszterületek:
    • nagy kockázatú folyamatok
    • kritikus beszállítók
    • privilegizált hozzáférések
    • incidenskezelés

Eredmény: a szervezet időben azonosítja a hiányosságokat, még a tanúsító audit előtt.

Mit ad a projekt második szakasza kézzelfogható eredményként?

A második harmad végére rendelkezésére állnak:

  • működő hozzáférés-, incidens-, változás- és vendor-kezelési folyamatok
  • bizonyítékgyűjtési keretrendszer és feltöltött evidence-csomag
  • dokumentált eljárások (SOP-ok) a kritikus területekre
  • oktatási és tudatossági program elindítva
  • előkészített belső audit program

Más szóval: minden kontroll működik, bizonyítható és auditálható – készen áll a vezetőségi átvizsgálásra és a belső auditra.

Miért kritikus ez a fázis?

Mert az ISO 27001 tanúsítás nem dokumentumprojekt, hanem működésprojekt.
Ebben a szakaszban derül ki, mennyire lesz a rendszer ellenálló, fenntartható és auditbiztos.

Ha a kontrollok jól működnek és vannak bizonyítékok:

  • a Stage 1 audit gyors és sima
  • a Stage 2 auditon minimális megállapítás várható
  • a tanúsítás időben és többletköltségek nélkül lezárható

Ez a fázis alakítja át a biztonsági elveket valódi, napi működéssé.

Támogatásra van szüksége az ISO 27001 implementáció vagy az audit előtt?

Az RSM teljes körűen támogatja a felkészítést, az implementációs tanácsadást és a belső auditot – auditbiztos, gyakorlati megközelítéssel.
ISO 27001 felkészítés és ISO 27001 belső audit szolgáltatás
 

ISO 27001 felkészítés és belső audit - érdekel

Mi várható az ISO 27001 tanúsítvány megszerzésének részleteit bemutató blogsorozatunk következő részében?

A harmadik részben bemutatjuk:

  • hogyan zajlik a vezetőségi átvizsgálás, milyen inputok és kimenetek szükségesek,
  • mire figyel a tanúsító auditor a Stage 1 és Stage 2 auditok során,
  • melyek a leggyakoribb nemmegfelelőségek, és hogyan előzhetők meg,
  • milyen praktikus tippek gyorsítják a tanúsítást és csökkentik a kockázatokat.
portfolioblogger
könyvvizsgálat

Érdeklik az adó, számviteli és jogi változások?

Iratkozzon fel hírlevelünkre, és legyen mindig naprakész!

Feliratkozom