Információbiztonsági auditok tapasztalatai - 2011 - Tarján Gábor kollégánk személyes vallomása az idei információbiztonsági auditjairól

Mindig úgy volt szerencsém auditálni, hogy főállásban vezetési tanácsadóként szolgáltam ügyfeleinket, és csak megbízásos auditora voltam különböző tanúsító testületeknek (természetesen ott, ahol tanácsadóként nem voltam jelen, hiszen a pártatlanság, függetlenség az auditori szakma alapelve). A DEKRA (stuttgarti központú európai tanúsító) megbízásából több mint tíz éve veszek részt auditokban, 2007 óta vagyok a DEKRA budapesti irodájának kinevezett ISO 27001-es vezető auditora, és mint ilyen, évente 6-8 cég auditját menedzselem. A közép-kelet-európai térségben szinte \"egyedülálló\" státuszomnak köszönhetően a DEKRA 2011-ben is bevont Magyarországon kívüli audit eseményekbe is: májusban volt szerencsém ismét Romániában dolgozni, ahol ugyanazt a korszerű biztonsági termékeket is előállító magyar tulajdonosi érdekeltségű nyomda bukaresti és kolozsvári egységét látogattam meg, mint 2010-ben egy úgynevezett felügyeleti audit keretében. Szinte kézzel fogható volt a fejlődés. Az egy évvel korábban látott állapotokhoz képest számos változás történt a cégnél (pl. ügyvezető és telephely csere!), de ezek a változások nem befolyásolták negatívan a cég által követett gyakorlatot. Az ősz egy újabb romániai túrát hozott: most egy elektronikai, elektromechanikai multinacionális cég két, Szatmárnémetiben működő, gyárát kellett meglátogatnom egy igazán nemzetközi auditor-csapat (német, magyar, román) részeként. Az auditon párhuzamosam folyt egy klasszikus ISO 9001-es minőségirányítási, egy ISO 14001-es környezetvédelmi és egy ISO/TS 16949-es vizsgálat a \"szokásos\" 27001-es mellett. (A TS 16949 tulajdonképpen nem más, mint egy turbósított ISO 9001, kifejezetten autóipari beszállítók számára.) Egy ilyen többszakmás audit következménye, hogy 6 auditor vizsgálódott párhuzamosan a cégnél, és ha ehhez még hozzáadjuk a helyi kísérőket is, akkor elképzelhető, hogy mit éltek át szegény auditáltak, amikor egy \"kis\" 10-12 fős csapat rájuk tört. Kellemes meglepetés volt, hogy szinte kivétel nélkül tökéletes német és angol nyelvtudás volt jellemző a céges kollégákra, ezért igencsak oda kellett tennem magamat és tudásomat, hogy auditorként ne szégyenüljek meg. Ezzel együtt néha bábeli állapotok uralkodtak a területen, mert nem egyszer egy német nyelvű kérdésre angol válasz érkezett egy erdélyi magyar kollégától, aki még gyorsan románra is lefordított mindent, nehogy sértődés legyen a dologból. A cég két romániai gyárában látott termelési kultúra felvonultatta mindazokat a menedzsment technikákat (pl. kanban kártyák, just in time, 5 S, TQM stb.), amelyekhez a nyugati gyárakban már hozzászokhattunk, és kicsit nagyképűen azt mernénk feltételezni, hogy kelet felé haladva ez egyre kevésbé létezik. A cég mindkét telephelye igen erős volt az ún. klasszikus fizikai védelmi eszközökben is (pl. forgóajtó, kártyás beléptető rendszer, motozás, őrkutya és hű társa stb.), és pedig \"jó\" auditorként vonzottam a bajt: mindig nálam romlott el a forgóajtó, nem engedett be a kártya, nem találták a laptopom gyári számát stb. A német auditor kollégák erősen szurkoltak, hogy az őrkutya szoftvere ne a jelenlétemben hibásodjon meg, mert akkor még a baleseti sebészetre is elkísérhettek volna.... Ismerve az auditált cég magyarországi és németországi telephelyeit is, az a benyomásom alakult ki, hogy nyugodtan felszámolható mindenfajta előítélet más országok termelési kultúrájával kapcsolatban, és ezt még a német kollégák is hajlamosak voltak elismerni (persze csak este a vendéglátóinkkal meglátogatott pincészet termékeit fogyasztva történtek meg ezek a felismerések). Tarján Gábor információbiztonsági tanácsadó