Compliance modul célja
A Compliance modul segítségével számos előre definiált nemzetközi információbiztonsági szabványnak és jogszabálynak, valamint tetszőlegesen összeállítható követelmény katalógusnak való megfelelés felmérését, rendszeres felülvizsgálatát és az eltérések tervezett kezelését hajthatjuk végre. A vizsgálatok eredményeképpen részletes megfelelés és audit riportokat valamint a hiányosságokat kezelő cselekvési terveket készíthetünk.
Compliance vizsgálatok
- A Compliance vizsgálatok valamilyen követelménynek való megfelelés szisztematikus felmérését és kezelését jelentik. Tetszőleges követelmény csomagokat állíthatunk könnyedén össze, ezáltal például ügyfeleink leképezhetik saját információbiztonsági szabályzataik követelményeit, vagy audit tervüket. A követelmény-jegyzék lehet:
- Jogi követelmény
- Szerződéses kötelezettség
- Szabvány (pl. ISO vagy NIST)
- Információbiztonsági célok
- Audit terv
- Üzleti célok
- Szabályozó szerv előírásai
- Ügyfél igények
- Vállalati Szabályozás
- Anyavállalati követelmények
Természetesen folyamatosan bővülő előre elkészített követelménycsomagokból is választhatunk (a teljesség igénye nélkül) és dolgozhatunk velük:
- ISO/IEC 27001:2013
- MSZ ISO 27001:2014
- 41/2015 BM rendelet (2013. évi. L. információbiztonsági törvényhez kapcsolódóan)
- PCI DSS
- HIPAA security requirements
- NIST SP 800-53r4-2013 – FISMA
- NIST Critical Infrastructure Cybersecurity Framework
- SOX 404 security requirements
- 42/2015 Kormány Rendelet a pénzügyi intézmények, biztosítók… informatikai rendszerének védelméről
- MNB 7/2017 ajánlása az informatikai rendszer védelméről
- ITIL v3
- ISO/IEC 20000
- SOX 404
- WLA-SCS -. World Lottery Association Security Control Standard
A szoftver funkcionalitása az ISO27001:2013 (valamint MSZ ISO27001:2014) szabványi követelménypontoknak való megfelelés elemzését és a megfelelés követését kifejezetten támogatja.
A szoftverben a megfelelés vizsgálat – GAP analysis – eredményeiből részletes kimutatások készíthetőek. A követelményeknek való megfelelést rendszeresen felülvizsgálhatjuk, periodikus audit tevékenységet hajthatunk végre, továbbá az audit eredményeket tárolhatjuk is. A nem megfelelésekre, audit hiányosságok kezelésére akciótervet készíthetünk, és követhetjük a helyesbítő intézkedések megvalósulását, valamint visszavezethetjük a megvalósuló intézkedések hatásait elemzéseinkbe.
Compliance eredmények:
- Megfelelés és GAP elemzés riportok
- Hiányosság kimutatások
- Eltérés akció tervek
- Interaktív eltérés és akció terv kimutatások
2013. évi L. információbiztonsági törvény támogatása
Az információbiztonsági törvény végrehajtási rendelete (41/2015 BM rendelet) számos elemzési és adminisztrációs feladat elé állítja az érintett állami és önkormányzati, valamint a létfontosságú rendszerelemnek jelölt piaci szervezeteket. A Compliance modul funkcionalitása támogatja a végrehajtási rendeletek által előírt feladatok hatékony és időt megtakarító végrehajtását, valamint a kötelező hatósági adatszolgáltatások egyszerű összeállítását.
- Kockázatelemzés és üzleti hatáselemzés adatok alapján kalkulált információs rendszerek, fizikai létesítmények vagy szervezeti egységek BSR szerinti elvárt biztonsági osztályba illetve szintbe sorolása.
- A biztonsági osztályoktól függő követelménypontoknak való megfelelés elemzése, ezáltal az aktuálisan elért BSR biztonsági osztályok /szintek meghatározása. Az elemzést egy külön erre a célra fejlesztett hatékony felhasználói felülettelsegítjük, amelyen információs rendszereinket együttesen is értékelhetjük, nagyságrendekkel gyorsítva ezáltal az adminisztrációs feladatokat.
- Átfogó cselekvési terv készítése. A cselekvési terv intézkedéseit különböző szempontok alapján sorba tehetjük, például milyen sorrendben érdemes végrehajtani őket az elvárt osztályzatok lépcsőzetes eléréséhez tetszőleges időtávon.
- Interaktív megfelelés és cselekvési terv kimutatások, vezetői riportok.
- Folyamatos megfelelés hatékony támogatása. A cselekvési terv állapota követhető, a megvalósuló intézkedések visszavezetésre kerülnek az elemzésekbe, ezáltal interaktívvá téve a folyamatos karbantartást, az információbiztonsági törvénynek való megfelelés állandó követését. Szükség esetén bármikor aktuális riportok generálhatóak gombnyomásra.
- A jogszabályi és az aktuális Hatósági adatszolgáltatási elvárások követése
- Szükség szerint bármikor előállítható a jogszabályok által előírt hatósági adatszolgáltatási exportok.
Információbiztonsági törvényi eredmények:
- Osztályba / szintbe sorolás és megfelelés felmérés riportok
- Cselekvési terv
- Hatósági adatszolgáltatáshoz szükséges export csomag
- Vezetői kimutatások