Kas yra ISO 27001 auditas ir ar mano įmonei to reikia?

Mūsų pradinių duomenų pasaulyje kibernetinio saugumo standartai turi būti aukšti dangaus ir aštrūs. Daugeliui kompanijų, net jei tai nėra iš karto susiję su technologijomis, ilgainiui kils poreikis susisegti iš vidaus.

Daugiau nei prieš dešimtmetį Tarptautinė standartų organizacija priėmė specifikaciją, vadinamą ISO 27001. Taigi, kas tai yra? Ką ISO 27001 auditas gali pasakyti apie organizacijos vidinius machinacijas? Ir kaip jūs nusprendžiate, ar jūsų įmonė turėtų būti audituojama?

Kas yra informacijos saugumo valdymo sistema (ISMS)?

Informacijos saugumo valdymo sistema (ISMS) yra pagrindinė organizacijos gynybos linija duomenų pažeidimai ir kitos kibernetinės grėsmės iš išorės.

Veiksminga ISMS užtikrina, kad saugoma informacija išliktų konfidenciali ir saugi, ištikima šaltiniui ir prieinama žmonėms, turintiems leidimą su ja dirbti.

Dažna klaida yra manyti, kad ISMS yra ne daugiau kaip užkarda ar kitos techninės apsaugos priemonės. Vietoj to, visiškai integruota ISMS yra tokia pati, kaip ir įmonės kultūroje, ir kiekvieno darbuotojo, inžinieriaus ar kitu atveju. Tai peržengia IT skyriaus ribas.

Šios sistemos taikymo sritis apima ne tik oficialią politiką ir procedūras, bet ir komandos sugebėjimą valdyti bei tobulinti sistemą. Vykdymas ir tai, kaip protokolas yra realiai taikomas, yra svarbiausi.

Tai reiškia ilgalaikį rizikos valdymo ir švelninimo požiūrį. Įmonės vadovai turi būti gerai susipažinę su bet kokia rizika, susijusia su pramone, kurioje jie dirba. Ginkluoti šia įžvalga, jie galės atitinkamai pastatyti sienas aplink save.

Kas yra ISO 27001, tiksliai?

2005 m. Tarptautinė standartizacijos organizacija (ISO) ir Tarptautinė elektrotechnikos Komisija (IEC) atnaujino BS 7799 - saugumo valdymo standartą, kurį BSI grupė pirmą kartą nustatė 10 metų anksčiau.

Dabar oficialiai žinomas kaip ISO / IEC 27001: 2005, ISO 27001 yra tarptautinis atitikties standartas, suteiktas įmonėms, kurios pavyzdingai valdo informacijos saugumą.

Iš esmės tai yra griežtas standartų rinkinys, prieš kurį galima išvengti įmonės informacijos saugumo valdymo sistemos. Ši sistema leidžia auditoriams įvertinti visos sistemos tvirtumą. Įmonės gali nuspręsti atlikti auditą, kai nori nuraminti savo klientus ir klientus, kad jų duomenys saugūs jų sienose.

Į šį atidėjinių rinkinį įtraukiamos: saugumo politikos specifikacijos, turtas klasifikavimas, aplinkos saugumas, tinklo valdymas, sistemos priežiūra ir veiklos tęstinumas planavimas.

ISO sutrumpino visus šiuos aspektus iš originalios BSI chartijos, išskirstydamas juos į tą versiją, kurią šiandien pripažįstame.

Gilinimasis į politiką

Kas tiksliai yra vertinama, kai įmonei atliekamas ISO 27001 auditas?

Standarto tikslas - formalizuoti veiksmingą ir saugią informacijos politiką tarptautiniu mastu. Tai skatina aktyvią poziciją, kuri siekia išvengti bėdų, kol jos dar neįvyksta.

ISO pabrėžia tris svarbius saugaus ISMS aspektus:

1. Nuolatinė rizikos analizė ir pripažinimas: tai apima ir dabartinę riziką, ir riziką, kuri gali atsirasti ateityje.

2. Tvirta ir saugi sistema: tai apima sistemą, kokia ji yra technine prasme, taip pat bet kokias saugumo kontrolės priemones, kurias organizacija naudoja apsisaugodama nuo minėtų pavojų. Tai atrodys labai skirtingai, priklausomai nuo įmonės ir pramonės.

3. Atsidavusi lyderių komanda: tai bus žmonės, kurie iš tikrųjų imsis kontrolės, kad apsaugotų organizaciją. Sistema yra tokia pat efektyvi, kaip ir dirbantieji prie vairo.

Šių trijų pagrindinių veiksnių analizė padeda auditoriui susidaryti išsamesnį tam tikros įmonės gebėjimo saugiai veikti vaizdą. Tvarumas yra palankesnis už ISMS, kuris remiasi tik grubia technine jėga.

Susijęs: Kaip neleisti darbuotojams vogti įmonės duomenų, kai jie išeina

Turi būti svarbus žmogaus elementas. Tai, kaip įmonės žmonės kontroliuoja savo duomenis ir ISMS, yra svarbiausia. Šie valdikliai iš tikrųjų saugo duomenis.

Kas yra ISO 27001 A priedas?

Konkretūs „kontrolės“ pavyzdžiai priklauso nuo pramonės. ISO 27001 A priede įmonėms siūloma 114 oficialiai pripažintų būdų kontroliuoti savo operacijų saugumą.

Šie valdikliai priskiriami vienai iš keturiolikos klasifikacijų:

A.5—Informacijos ir saugumo politika: institucionalizuota politika ir procedūros, kurių laikosi įmonė.

A.6—Informacijos saugumo organizavimas: atsakomybės paskirstymas organizacijoje atsižvelgiant į ISMS sistemą ir jos įgyvendinimą. Kaip bebūtų keista, čia įtraukta ir nuotolinio darbo bei prietaisų naudojimas įmonėje.

A.7—Žmogiškųjų išteklių saugumas: rūpesčiai dėl įlaipinimo, išlaipinimo ir darbuotojų vaidmens keitimo organizacijoje. Čia taip pat aprašyti atrankos standartai ir geriausia švietimo ir mokymo patirtis.

A.8—Turto valdymas: apima tvarkomus duomenis. Turtas turi būti inventorizuojamas, prižiūrimas ir laikomas privatus, net kai kuriais atvejais net per žinybas. Kiekvieno turto nuosavybė turi būti aiškiai nustatyta; ši sąlyga rekomenduoja įmonėms parengti „priimtino naudojimo politiką“, skirtą jų verslo sričiai.

A.9—Prieigos kontrolė: kam leidžiama tvarkyti jūsų duomenis ir kaip apribosite prieigą tik įgalioti darbuotojai? Tai gali apimti sąlyginių leidimų nustatymą technine prasme arba prieigą prie užrakintų pastatų jūsų įmonės miestelyje.

A.10—Kriptografija: pirmiausia susijęs su šifravimu ir kitais būdais apsaugoti gabenamus duomenis. Šios prevencinės priemonės turi būti aktyviai valdomos; ISO atgraso organizacijas nelaikyti šifravimo visiems tinkamu sprendimu visiems giliai niuansuotiems iššūkiams, susijusiems su duomenų saugumu.

A.11—Fizinis ir aplinkos saugumas: įvertina fizinį saugumą visur, kur yra neskelbtini duomenys, faktiškame biurų pastate ar mažoje patalpoje su oro kondicionieriumi, kuriame pilna serverių.

A.12—Operacijų saugumas: kokios yra jūsų vidaus saugumo taisyklės, kai kalbama apie jūsų įmonės veiklą? Dokumentai, paaiškinantys šias procedūras, turėtų būti nuolat tvarkomi ir tikslinami, kad atitiktų naujus, kylančius verslo poreikius.

Šiai kategorijai priskiriami pokyčių valdymas, pajėgumų valdymas ir skirtingų padalinių atskyrimas.

A.13—Tinklo saugumo valdymas: tinklai, jungiantys kiekvieną jūsų įmonės sistemą, turi būti sandarūs ir kruopščiai prižiūrimi.

Visiems pritaikyti sprendimai, pvz., Ugniasienės, yra dar efektyvesni, kai yra papildomi tokiais dalykais, kaip dažnai atliekami tikrinimo punktai, įforminta perdavimo politika arba draudžiantis naudotis viešaisiais tinklais tvarkydami, pavyzdžiui, savo įmonės duomenis.

A.14—Sistemos įsigijimas, kūrimas ir priežiūra: jei jūsų įmonėje dar nėra ISMS, šis punktas paaiškina, ką ideali sistema pateikia ant stalo. Tai padeda užtikrinti, kad ISMS taikymo sritis apima visus jūsų gamybos gyvavimo ciklo aspektus.

Vidaus saugaus vystymosi politika suteikia jūsų inžinieriams kontekstą, kad jie turi sukurti reikalavimus atitinkantį produktą nuo pat darbo pradžios.

A.15—Tiekėjo saugumo politika: kai imamasi verslo su trečiųjų šalių tiekėjais ne jūsų įmonėje, kokių atsargumo priemonių imamasi, kad būtų išvengta su jais bendrinamų duomenų nutekėjimo ar pažeidimo?

A.16—Informacijos saugumo incidentų valdymas: kai viskas blogai, jūsų įmonė greičiausiai pateikia tam tikrą pagrindą, kaip apie problemą reikėtų pranešti, spręsti ir užkirsti jai kelią ateityje.

ISO ieško atsakomųjų sistemų, leidžiančių aptikti grėsmę įmonės valdžios atstovams greitai ir su dideliu išankstiniu nusistatymu.

A.17—Verslo tęstinumo valdymo informacijos saugumo aspektai: įvykus nelaimei ar kitam mažai tikėtam įvykiui, kuris neatšaukiamai sutrikdo jūsų veiklą, planuokite turės veikti, kad būtų išsaugota įmonės gerovė ir jos duomenys, kol verslas nebus atnaujintas normalus.

Idėja yra ta, kad organizacijai reikia tam tikro būdo išsaugoti saugumo tęstinumą tokiais laikais.

A.18—Laikymasis: galiausiai mes pasiekiame faktinę sutarčių sutartį, kurią įmonė turi pasirašyti, kad atitiktų ISO 27001 sertifikavimo reikalavimus. Jūsų įsipareigojimai išdėstyti prieš jus. Jums beliks tik pasirašyti ant punktyrinės linijos.

ISO nebereikalauja, kad reikalavimus atitinkančios įmonės naudotų tik tuos valdiklius, kurie atitinka aukščiau išvardytas kategorijas. Sąrašas yra puiki vieta pradėti, tačiau jūs tik pradedate kloti savo įmonės ISMS pagrindą.

Susijęs: Kaip pagerinti savo sąmoningumą taikant gerą saugumo praktiką

Ar turėtų būti tikrinama mano įmonė?

Tai priklauso. Jei esate labai mažas startuolis, dirbantis srityje, kuri nėra jautri ar kelianti didelę riziką, tikriausiai galite atsilaikyti tol, kol jūsų ateities planai bus patikimesni.

Vėliau, kai jūsų komanda auga, galite atsidurti vienoje iš šių kategorijų:

• Galbūt dirbate su svarbiu klientu, kuris prašo jūsų įmonės įvertinti, kad būtų užtikrinta, jog su jumis bus saugu.
• Ateityje galbūt norėsite pereiti prie IPO.
• Jūs jau tapote pažeidimo auka ir turite iš naujo pagalvoti, kaip tvarkote ir saugote savo įmonės duomenis.

Prognozuoti ateitį ne visada gali būti lengva. Net jei nematote savęs nė viename iš aukščiau išvardintų scenarijų, nepakenks būti iniciatyviam ir pradėti įtraukti kai kuriuos ISO rekomenduojamus metodus į savo režimą.

Galia yra tavo rankose

ISMS paruošimas auditui yra toks pat paprastas, kaip ir kruopštus rūpestis, net ir dirbant šiandien. Dokumentai visada turėtų būti tvarkomi ir archyvuojami, suteikiant jums įrodymų, kad turėsite patvirtinti savo tvirtinimus apie kompetenciją.

Tai kaip ir vidurinėje mokykloje: tu darai namų darbus ir gauni pažymį. Klientai yra saugūs ir patikimi, o jūsų viršininkas yra labai patenkintas jumis. Tai yra paprasti įpročiai mokytis ir išlaikyti. Vėliau padėkosite sau, kai vyras su iškarpine pagaliau ateis paskambinti.

4 svarbiausios kibernetinio saugumo tendencijos, kurių reikia saugotis 2021 m. Ir vėliau

Čia pateikiamos kibernetinės atakos, kurias reikia stebėti 2021 m., Ir kaip išvengti jų aukų.

Skaitykite toliau

Apie autorių