Szabályozási útmutatók
KiberbiztonságRegcytech magyarázó útmutató

ISO/IEC 27001 – Információbiztonsági irányítási rendszer (ISMS)

Az ISMS nem csak IT-szabályzat, hanem irányítási rendszer — kockázatalapú, igazolható, a vezetői felelősségig.

9 perc olvasásFrissítve: 2026-06-22

Ez az oldal a Regcytech saját, közérthető magyarázó anyaga. Nem az ISO szabvány hivatalos szövege, nem jogi tanácsadás, nem tanúsítási vagy auditvélemény, és nem helyettesíti az adott szabvány hivatalos beszerzését vagy tanúsító szervezettel történő egyeztetést.

02VEZETŐI ÖSSZEFOGLALÓ

Vezetői összefoglaló

Az ISO/IEC 27001 egy nemzetközi keret arra, hogyan kezelje egy szervezet rendszerszinten az információbiztonságot — magyarul ISMS-ként, információbiztonsági irányítási rendszerként. A középpontban nem egyetlen termék vagy technológia áll, hanem egy működő gyakorlat: a cég felméri, mely információs értékei kockázatosak, ezekhez arányos védelmet rendel, és ezt folyamatosan karbantartja.

A cégek azért foglalkoznak vele, mert egy igazolható információbiztonsági gyakorlat ma gyakran a szerződés vagy a beszállítói lista feltétele, és mert a rendezett bizonyíték sokkal könnyebbé teszi a kérdőívekre és auditokra adott választ.

Üzleti szempontból az ISMS azt a problémát segít rendszerezni, hogy a kiberbiztonság ne csak az IT-csapat ügye legyen, hanem irányítási kérdés: kockázatalapú, felelősökhöz kötött, mérhető és a vezetésig elszámoltatható.

03MIT SEGÍT RENDSZEREZNI

Mit segít rendszerezni ez a szabvány?

Közérthetően: az ISMS jellemzően ilyen kérdéseket segít tisztázni és rendben tartani.

  • Mely információs értékek (rendszerek, adatok, eszközök) fontosak, és melyek a legkockázatosabbak.
  • Hogyan zajlik a kockázatértékelés, és hogyan kötődnek hozzá az arányos intézkedések.
  • Ki mihez fér hozzá, és ez megfelel-e a tényleges szükségletnek (hozzáférés-kezelés).
  • Mi a teendő, ha biztonsági esemény történik — észlelés, reagálás, tanulság (incidenskezelés).
  • Hogyan kezeljük a beszállítók és szolgáltatók biztonsági kockázatát.
  • Hogyan működik a mentés, a naplózás és a változáskezelés a mindennapokban.
  • Hogyan épül a tudatosság és a felelősségi rend a szervezetben.
04DOKUMENTUMOK ÉS BIZONYÍTÉKOK

Jellemző dokumentumok és bizonyítékok

Egy felkészülési projektben jellemzően ilyen dokumentumok és bizonyítékok kerülnek elő. Ez nem hivatalos követelménylista — és nem reprodukáljuk a kontrollkatalógust.

  • Információbiztonsági politika
  • Hatókör és a védett rendszerek / szolgáltatások köre
  • Információs értékek (asset) átgondolása
  • Kockázatértékelés és kezelési terv
  • Hozzáférés-kezelési eljárás és jogosultság-felülvizsgálat
  • Incidenskezelési eljárás és incidensnapló
  • Mentés, naplózás, sebezhetőség- és változáskezelés bizonyítékai
  • Biztonságtudatossági oktatás nyilvántartása
  • Beszállítói információbiztonsági kontrollok
  • Belső audit bizonyítékai
  • Vezetőségi átvizsgálás anyaga
  • Fejlesztési és intézkedési terv
05FELKÉSZÜLÉSI KÉRDÉSEK

Gyakorlati felkészülési kérdések

  1. Tudjuk-e, mely információs értékeink a legfontosabbak és legkockázatosabbak?
  2. Van-e valós, felelőshöz kötött kockázatértékelésünk — vagy csak elmondható?
  3. Ki fér hozzá mihez, és felülvizsgáljuk-e ezt rendszeresen?
  4. Mi történik egy incidens esetén — van-e világos menet, és vezetjük-e a naplót akkor is, ha nincs esemény?
  5. Készülnek-e mentések, és teszteltük-e a visszaállítást?
  6. Naplózunk-e elég ahhoz, hogy utólag megérthető legyen, mi történt?
  7. Kezeljük-e tudatosan a beszállítóink és szolgáltatóink biztonsági kockázatát?
  8. Kap-e az állomány rendszeres biztonságtudatossági oktatást?
  9. A vezetés napirenden tartja-e az információbiztonsági kockázatokat?
  10. A működésünk visszakövethető-e, vagy csak emlékezetből rekonstruálható?
  11. Egy CyberVadis vagy ügyfél-átvilágítás kérdéseire tudnánk-e ma bizonyítékkal válaszolni?
  12. Tudjuk-e, érint-e minket a NIS2 vagy hasonló digitális ellenállóképességi elvárás?
06GYAKORI FÉLREÉRTÉSEK

Gyakori félreértések

  • Az ISMS-t pusztán IT-szabályzatnak tekintik, nem irányítási rendszernek.
  • A politikát összekeverik a tényleges működéssel — a dokumentum megvan, a gyakorlat nem követi.
  • Nem tartják karban a bizonyítékokat, így audit vagy kérdőív idején nincs mit felmutatni.
  • Általános sablonokat használnak cégspecifikus testreszabás nélkül.
  • A vezetés nem vesz részt — így a kockázatok nem kapnak súlyt.
  • A kockázat, a cél és az intézkedés nem kapcsolódik össze.
  • Az incidensnaplót csak akkor vezetik, ha baj van — pedig a nulla esemény is igazolt módon kell, hogy látsszon.
07KAPCSOLÓDÓ KERETRENDSZEREK

Kapcsolódás más keretrendszerekhez

A rendezett információbiztonsági irányítás gyakran hasznos bizonyíték lehet más értékeléseknél is. Ezek kapcsolódhatnak, de nem garantálnak megfelelést.

  • NIS2: a kockázatalapú működés, az incidenskezelés és a beszállítói biztonság támogathatja a felkészülést — a konkrét érintettséget és határidőket hivatalos forrásból kell ellenőrizni.
  • CyberVadis: a politika, kockázatértékelés, hozzáférés-kezelés és technikai kontrollok gyakran hasznos bizonyíték lehet.
  • DORA-jellegű digitális ellenállóképességi elvárások: a mentés, naplózás, incidens- és változáskezelés kapcsolódhat — a pontos hatály mindig külön vizsgálandó.
  • GDPR adatbiztonsági oldala: a rendezett információbiztonsági gyakorlat támogathatja az adatvédelmi biztonsági elvárásokat (a jogi értelmezés szakjogi kérdés).
  • Beszállítói és ügyfél-átvilágítás: az igazolható biztonsági gyakorlat erősítheti a bizalmat.
08VÁLTOZÁSOK

Friss és várható változások

Az ISO/IEC 27001 jelenlegi alapja a 2022-es kiadás, kiegészítve a 2024-es éghajlatváltozással kapcsolatos módosítással, amely magas szinten a működési környezet és az érdekelt felek vizsgálatát bővíti ezzel a szemponttal.

Az információbiztonság szabályozási környezete emellett gyorsan mozog (például az uniós kiberbiztonsági és digitális ellenállóképességi elvárások). A konkrét hatály és határidők mindig hivatalos forrásból, az adott szervezet profiljára vetítve ellenőrzendők.

A tanúsítói átállási és alkalmazási kérdéseket mindig az adott tanúsító szervezettel és a hivatalos ISO/IAF kommunikációval kell egyeztetni. Ez az oldal felkészülési nézőpontot ad, nem jogi vagy tanúsítási garanciát.

09HOGYAN SEGÍT A REGCYTECH

Hogyan tud segíteni a Regcytech?

Tanácsadói, rendszerépítő szerepben dolgozunk — nem tanúsítóként. Tipikus támogatás a felkészülési szinten:

  • gap-felmérés a jelenlegi gyakorlat és egy működő ISMS között
  • dokumentációs és evidence-rendszer kialakítása
  • kockázatértékelés és intézkedési logika rendezése
  • politika, eljárások és felelősségi rend megfogalmazásának támogatása
  • vezetői összefoglaló a fő hiányokról és prioritásokról
  • felkészülési roadmap
  • CyberVadis és beszállítói biztonsági kérdőívek támogatása
  • tanúsítóval történő későbbi egyeztetésre való felkészítés

Amit a Regcytech nem nyújt

A Regcytech tanácsadói, rendszerépítő szerepben dolgozik. A megfelelési és tanúsítási határok egyértelműek:

  • Nem adunk ki ISO tanúsítványt.
  • Nem végzünk akkreditált tanúsítási auditot.
  • Nem adunk jogi megfelelési garanciát.
  • Nem helyettesítjük a hivatalos szabványt.
  • Nem helyettesítjük a tanúsító szervezet vagy a jogi tanácsadó álláspontját.
KÖVETKEZŐ LÉPÉS

Nézzük meg, hol tart a rendszere

Egy rövid, előzetes gap-áttekintéssel feltérképezzük, mi van már a helyén, és hol érdemes újrahasználható bizonyítékrendszert építeni — kötelezettség nélkül.