Tölvumál - 01.09.2003, Blaðsíða 32
BS-7799-staðallinn
Vottun samkvæmt
BS 7799 sannar, að
fyrirtækið hafi staðist
ytri endurskoðun
óháðs matsaðila.
• Útbúa öryggisstefnu fyrirtækisins.
• Samningur við starfsmenn þar sem
ábyrgð hvers og eins hvað varðar frið-
helgi fyrirtækisins, starfsmanna og við-
skiptamannaupplýsinga, er skilgreind. I
samningnum þarf einnig að koma fram
viðurkenning starfsmanns á rétti fyrir-
tækisins til að fylgjast með notkun hans
á aðstöðu og búnaði fyrirtækisins og
skuldbinding hans til þess að tilkynna
um alla öryggisveikleika og - brot sem
hann verður var við.
• Aðgangsstýring til auðkenningar á öll-
um notendum og skilgreining á að-
gangsréttindum þeirra, þ.m.t. reglur er
varða notkun og breytingu á aðgangs-
orðum.
• Áætlun um rekstrarsamfellu ef aðstaða
tapast.
• Aðgangsstýringar að aðstöðu fyrirtæk-
isins, þ.m.t. í móttöku, hurðir, rimlar
fyrir glugga, öryggiskerfi, auðkenni á
eignum og tæki til að vernda ferðavélar.
• Nákvæmar prófanir á hugbúnaði í próf-
unarumhverfi áður en hann er tekinn í
notkun í raunumhverfi, þ.m.t. þjónustur
er tengjast innri og ytri netum.
• Upptalning á skyldum er varða öryggi í
samningum við þriðja aðila, sem að-
gang hefur að upplýsingum, þ.m.t.
ræstingafólk og annað fólk sem hefur
raunlægan aðgang að einhverri af að-
stöðum fyrirtækisins.
• Oháð eftirlit og endurskoðun á öryggis-
kerfi og þeim stýrimarkmiðum sem í
notkun eru.
Þó svo fyrirtæki taki tillit til ofan-
greindra atriða eða innleiði þau, gerir það
fyrirtækið ekki endilega í stakk búið til að
fá vottun samkvæmt staðlinum, heldur
veitir það því eins konar tryggingu fyrir
því að rekstur þess geti haldið áfram í til-
felli meiriháttar tjóns.
Hagur fyrirtækja af því að innleiða BS
7799-staðalinn
• Tryggir samfelldan rekstur og lágmark-
ar tap á viðskiptum með því að vernda
upplýsingar fyrir hvers kyns ógnum.
• Sýnir fram á samsvörun við staðal um
upplýsingaöryggi auk þess að hjálpa
fyrirtækjum að varðveita viðkvæmar
upplýsingar á tryggan hátt.
• Viðurkennd leið fyrir fyrirtæki til að
sannprófa virkni öryggiskerfa sinna
• Eykur traust gagnvart viðskiptavinum,
sem vita af upplýsingum sínum vel
varðveittum.
• Styrkir samkeppnisstöðu fyrirtækisins
með því að skapa traust, út á við sem
inn á við.
• Hvetur stjómendur til að tileinka sér
góðar starfsvenjur í öryggismálum.
Mynd 2: Uppbygging upplýsingaöryggiskerfis
Vottun samkvæmt BS 7799
Vottun samkvæmt BS 7799 sannar, að fyr-
irtækið hafi staðist ytri endurskoðun óháðs
matsaðila. Til að auka gildi slíkrar vottun-
ar, ætti hún að vera framkvæmd af löggilt-
um aðila, sem sjálfur hefur hlotið úttekt á
því hvort hann sé hæfur til að meta stjóm-
kerfi upplýsingaöryggis annarra fyrir-
tækja. Ytri úttekt slíks aðila ætti að vera
starfsmönnum mikil hvatning til að gera
hlutina eins vel og hægt er.
Nú þegar hafa tvö fyrirtæki á íslandi,
ANZA hf. og Stiki ehf., hlotið vottun sam-
kvæmt BS 7799, og munu fleiri án efa
fylgja í kjölfarið á næstunni. Áhugi fyrir-
tækja á öryggismálum tölvukerfa hefur
aukist mikið á síðustu tveimur árum og
hafa þau í vaxandi mæli leitað sér ráðgjaf-
ar á þessu sviði.
Höfundur er sviðsstióri samþættinga- og
ráogjafasviðs hjá Anza
32
Tölvumál