Kitől várható el, hogy egy szabvány legújabb verzióját töviről hegyire ismerje, ha nem egy tanúsító szervezettől? A kérdés persze költői, legutóbbi, szerencsére sikerrel zárult auditunk történeti előzménye viszont nagyon is prózai. 2023 októberében többhónapos előkészítő munkánk eredményeként megszereztük jogosultságunkat a vadonatúj ISO 27001-es szabvány szerinti tanúsítására.
A blogunkat régebb óta figyelemmel kísérőknek nem új információ, hogy a szabványok világa is állandó mozgásban van, az ISO (International Organization for Standardization) világszervezete pedig igyekszik a standardokban is leképezni a technikai és gazdasági környezetben bekövetkezett változásokat.
Szépészeti beavatkozás vagy teljes átalakulás?
Legutóbb, tavaly októberben az ISO 27001 esett át ráncfelvarráson. A “ráncfelvarrás” talán ez esetben nem is igazán pontos kifejezés, lévén itt már többről van szó némi korrekciónál, az alkotók jócskán belenyúltak a szabványba. Bár a szabványtörzs érintetlen maradt, a több száz kérdéses, az információbiztonsági kontrollokat felsoroló, úgynevezett A melléklet alaposan megváltozott.
Tanulni, tanulni, tanulni!
Ha pedig egy standardet ennyire felforgatnak, az a felkészítő és tanúsító cégekre lesz első körben igen komoly hatással. Állítólag Lenintől származik az a mondás, hogy “Tanulni, tanulni, tanulni!” Nos, akár ő mondta, akár nem, a kijelentés igazságtartalmával nemigen tudtunk vitatkozni, amikor a szabvány alapos megismerésével, feldolgozásával belekezdtünk a folyamatba, hogy végül a tudnivalókból egy házi használatra készült tananyagot állítsunk össze az auditor kollégáknak. Az “Ilyen volt – ilyen lett!” modell szemléltető eszközként mutatta meg, hogy mi maradt és mit cseréltek le az információbiztonsági szabványban. Emellett az ismereteket életből vett példákra kihegyezett upgrade tréningeken adtuk át kollégáinknak, akikre ezek után – csak hogy kifogástalanul végezhessék munkájukat – otthon még sok órányi tanulás várt.
Auditált auditor
Feladatunk azonban nem itt és nem ezzel ért véget. Az utolsó lépés annak bizonyítása volt, hogy a gyakorlatban is képesek vagyunk az új szabvány szerinti auditot levezényelni.
Azaz, egy a szakzsargonban witness auditnak nevezett vizsgaauditon és egy rendkívüli akkreditálási eljáráson kellett helytállnunk.
Volt itt minden, amitől az ilyen helyzetekben ódzkodóknak, rémálmaik vannak: egy bevállalós cég, amely vállalkozott arra, hogy “tesztalanyként” a legújabb ISO 27001-es szabvány szerinti auditnak lehetőséget és helyet ad, és természetesen volt egy, az akkreditáló hatóság részéről a munkánk értékelése céljából kivezényelt szakember.
ÚJ ISO 27001 – papírunk van róla!
Szerencsére – bár talán a szerencsének volt ebben a legkisebb szerepe – auditor kollégánk nem volt lámpalázas és az eddigi szabványváltozások is megedzették, így sikerrel vette az akadályokat. Az ő jóvoltából pedig a CertUnion is jogosulttá vált arra, hogy az újrahúzott ISO 27001-es szabványra is tanúsíthassuk a hozzánk forduló vállalkozásokat.
Mint látható: minden szakmának, így a miénknek is megvannak a maga nehézségei. Ilyen például az, hogy
a már érvényes infobiztonsági tanúsítással rendelkező cégeknek az új szabvány életbe lépését követően három évük van az átállásra, míg a hozzánk hasonló tanúsító szervezeteknek mindössze egy.
Ez a magyarázata annak, hogy minden vizsgaauditra úgy kell felkészülnünk, mintha egy vadonatúj, a portfóliónkban eddig nem szereplő szabvány tanúsítására szeretnénk megszerezni az engedélyt.
2024 áprilisáig még választhatunk
Mire bejegyzésünk megjelenik, már a hivatalos akkreditációt is kézhezkaptuk,
vagyis mind a korábbi, mind az új információbiztonsági rendszerszabványt tanúsítására megvan a jogosultságunk.
Az is igaz azonban, hogy az eddig használt ISO 27001-től jövő év áprilisában búcsút kell vennünk. Onnantól már csak az újrahuzalozott szabvány kezdeti tanúsítására van mód. Addig azonban ügyfeleink tetszés szerint választhatnak, melyik szabványvariánsra van igényük. Mi immár mindkét szabvány tanúsítását vállaljuk.
