Munkamódszerünk

Az információbiztonsági rendszereknél (ISMS) többek között a következő tanácsadásokkal segítjük Megbízóinkat:

 • teljes információbiztonsági rendszer kiépítése, bevezetése tanúsítás segítése,
 • teljes belső rendszerauditok elvégzése,
 • folyamat auditok elvégzése,
 • tanácsadói mérnöknapok a rendszer továbbfejlesztésére,
 • tanácsadás folyamatok továbbfejlesztésére, pl.: kockázatelemzés elvégzése, vonatkozó aktuális jogszabályok felülvizsgálata, stb.,
 • ISMS vezetői feladatok ellátása.

Egy információbiztonsági irányítási rendszer kiépítését és bevezetését az alábbi főbb lépéseken keresztül végezzük.

A. A Megbízó információbiztonsági állapotának helyzetfelmérése, folyamatok azonosítása, részletes munkaprogram készítése az információbiztonság -irányítási rendszer integrálására, dokumentáció kialakítására és bevezetésére

A T&T projektvezetője a Megbízónál található dokumentumok áttanulmányozásával valamint a helyszínen tett átvizsgálással elvégzi a helyzetfelmérést. A helyzetfelmérés célja annak megállapítása, hogy Megbízónál milyen – a vonatkozó szabványnak megfelelő – információbiztonsági rendszer elemek léteznek, illetve működnek, ezáltal lehetővé téve ezek felhasználását, rendszerbe integrálását.

B. Információbiztonsági alapozó képzés

A T&T projektvezetője a Megbízóval előre egyeztetett időpontban előadás keretében megtartja az alapozó képzést a Megbízó által kijelölt munkatársak, felső vezetők számára. Az oktatás témái:

 • Információbiztonsági alapfogalmak, kockázatelemzési módszerek,
 • az ISO 27001 szabvány felépítése, követelményei, integrálás a meglévő minőségirányítási - környezetirányítási rendszerrel.
 • Kapcsolódó szabványok ismertetése.

C. A szabvány egyes fejezeteihez, a Megbízó folyamataihoz kapcsolódó szabályozó dokumentáció kidolgozása.

A T&T projektvezetője a rendszeres helyszíni látogatásokon szerzett információk és munkatársi interjúk alapján elkészíti a szabványpontokhoz, Megbízói folyamatokhoz kapcsolódó Kézikönyv fejezetek és az eljárások "0" változatát (melyek a szervezet nagyságától és bonyolultságától függően vagy a kézikönyvbe beépítve, vagy külön készülnek el), majd a Megbízó témafelelősével történő egyeztetések után a Megbízó igénye szerint javított és elfogadott dokumentációt nyomtatva és szövegfájlban átadja a Megbízónak.

Ezen túlmenően a Megbízó tevékenységétől függően szükség lehet információbiztonsági munkautasítások és/vagy űrlapok elkészítésére. Az igény felmerülése esetén a T&T projektvezetője munkautasítás és/vagy űrlap minták átadásával támogatja a Megbízó szakembereit.

D. Kockázatfelmérés elvégzése

A T&T projektvezetője oktatás keretében ismerteti az információ biztonság kockázatfelmérési módszertanokat, azok előnyeit, hátrányait, valamint javaslatot tesz az alkalmazandó kockázatfelmérési módszertanra összhangban a szabvány 4.2.1/c1 pontjában leírtaknak.

A kockázatfelmérési módszertan alapján a T&T projektvezetője elkészíti az információbiztonság területeit érintő kockázatfelmérést a Megbízó munkatársaival végzett interjúk és a helyzetfelmérés tapasztalatainak alapján. Az eljárás négy szakaszból áll az alábbiak szerint:

 • I. szakasz: A védelmi igény feltárása
 • II. szakasz: Fenyegetettség-elemzés
 • III. szakasz: Kockázatelemzés
 • IV. szakasz: Kockázat-menedzselés

E. Információbiztonság irányítási rendszer bevezetése képzés

A T&T projektvezetője kidolgozza a jóváhagyott kézikönyv, eljárások és utasítások, dolgozóknak történő megismertetését célzó képzések tematikáját és képzési programját. Ezek alapján a Megbízó képviselői a T&T projektvezetőjének szakmai támogatásával megtartják a képzéseket. A képzés témái: a jóváhagyott dokumentációs rendszer felépítése, követelményei, az alkalmazás során előforduló kérések tisztázása, kitöltendő formalapok és feljegyzések. A képzések dokumentálásra kerülnek.

F. Rendszerbevezetés

Az elkészült Integrált Kézikönyv, eljárások és utasítások szerint a Megbízó szakemberei megkezdik a rendszer működtetését és felügyeletét a T&T irányításával. A már elkészített előírásokat bevezetik és tesztelik hatékonyság, illetve betarthatóság szempontjából. A T&T projektvezetője rendszeres helyszíni konzultációk formájában áll a Megbízó szakemberei rendelkezésére. A rendszerbevezetés két részből áll: a kidolgozott kézikönyv, eljárások és utasítások megismertetése minden munkatárssal, illetve a már bevezetett működő rendszer ellenőrzése annak működőképessége szempontjából. Az ellenőrzést szükség esetén a kidolgozott rendszer korrekciói követik.

G. teljes belső rendszeraudit

A T&T egy kijelölt, a rendszerkiépítésben nem résztvevő szakembere a tanúsítási auditot megelőzően felméri az információbiztonsági irányítási rendszer állapotát, illetve tanúsíthatóságát (teljes belső rendszeraudit). Az auditor a belső auditálásról auditjegyzőkönyvet készít. A feltárt eltéréseket a Megbízó a projektvezető segítségével kijavítja.

H. Részvétel a tanúsításon

A teljes belső rendszeraudit után a T&T projektvezetője részt vesz a tanúsító előauditon, tanúsító auditon és szakmai tanácsaival támogatja a Megbízót a sikeres audit elérése érdekében.

További információkért keresse munkatársunkat: Katona László-t.

Telefon: 06-1/237-1330, 06-30-9708-849

E-mail: l.katona@ttq.hu