Kas ir ISO 27001 audits un vai tas ir vajadzīgs manam uzņēmumam?

Mūsu pasaulē, kurā tiek pārdoti dati, kiberdrošības standartiem ir jābūt debesīm un asiem. Lielākajai daļai uzņēmumu, pat ja tas nav tieši saistīts ar tehnoloģijām, galu galā radīsies vajadzība sevi aptvert no iekšpuses.

Pirms vairāk nekā desmit gadiem Starptautiskā standartu organizācija pieņēma specifikāciju ar nosaukumu ISO 27001. Kas tad īsti ir? Ko ISO 27001 audits var pastāstīt par organizācijas iekšējām mahinācijām? Un kā jūs izlemjat, vai jūsu uzņēmumā jāveic revīzija?

Kas ir informācijas drošības pārvaldības sistēma (ISMS)?

Informācijas drošības pārvaldības sistēma (ISMS) ir organizācijas galvenā aizsardzības līnija pret datu pārkāpumi un cita veida kiberdraudi no ārpuses.

Efektīva ISMS nodrošina, ka aizsargājamā informācija paliek konfidenciāla un droša, uzticīga avotam un pieejama cilvēkiem, kuriem ir atļauts ar to strādāt.

Bieža kļūda ir pieņēmums, ka ISMS ir ne vairāk kā ugunsmūris vai citi tehniski aizsardzības līdzekļi. Tā vietā pilnībā integrēta ISMS ir tikpat izplatīta uzņēmuma kultūrā un katrā darbiniekā, inženierī vai citādi. Tas pārsniedz IT nodaļu.

Šīs sistēmas darbības joma ir ne tikai oficiāla politika un procedūra, bet arī komandas spēja pārvaldīt un uzlabot sistēmu. Izpilde un protokola faktiskais pielietojums ir vissvarīgākie.

Tas ietver ilgtermiņa pieeju riska pārvaldībai un mazināšanai. Uzņēmuma vadītājiem ir rūpīgi jāpārzina visi riski, kas saistīti ar nozari, kurā viņi strādā. Bruņojušies ar šo ieskatu, viņi varēs attiecīgi uzcelt sienas ap sevi.

Kas ir ISO 27001, tieši?

2005. gadā Starptautiskā standartizācijas organizācija (ISO) un Starptautiskā elektrotehniskā organizācija Komisija (IEC) atjaunoja BS 7799 - drošības pārvaldības standartu, kuru BSI grupa pirmo reizi izveidoja 10 gadus iepriekš.

Tagad oficiāli pazīstams kā ISO / IEC 27001: 2005, ISO 27001 ir starptautisks atbilstības standarts, kas piešķirts uzņēmumiem, kuriem ir paraugs informācijas drošības pārvaldībā.

Būtībā tā ir stingra standartu kolekcija, pret kuru var izturēties pret uzņēmuma informācijas drošības pārvaldības sistēmu. Šī sistēma ļauj auditoriem pēc tam novērtēt visas sistēmas izturību. Uzņēmumi var izvēlēties veikt revīziju, ja viņi vēlas pārliecināt klientus un klientus, ka viņu dati viņu sienās ir droši.

Šajā noteikumu krājumā ietilpst: drošības politikas specifikācijas, aktīvi klasifikācija, vides drošība, tīkla pārvaldība, sistēmas uzturēšana un darbības nepārtrauktība plānošana.

ISO saīsināja visus šos aspektus no sākotnējās BSI hartas, destilējot tos mūsdienās atpazīstamajā versijā.

Rakšanās politikā

Kas tieši tiek vērtēts, kad uzņēmumam tiek veikts ISO 27001 audits?

Standarta mērķis ir formalizēt efektīvu un drošu informācijas politiku starptautiskā mērogā. Tas stimulē proaktīvu nostāju, kas cenšas izvairīties no nepatikšanām, pirms tās notiek.

ISO uzsver trīs svarīgus drošas ISMS aspektus:

1. Pastāvīga riska analīze un atzīšana: tas ietver gan pašreizējos riskus, gan riskus, kas var parādīties nākotnē.

2. Izturīga un droša sistēma: tas ietver sistēmu, kāda tā pastāv tehniskā nozīmē, kā arī visas drošības kontroles, kuras organizācija izmanto, lai pasargātu sevi no iepriekšminētajiem riskiem. Tie izskatīsies ļoti dažādi, atkarībā no uzņēmuma un nozares.

3. Veltīta līderu komanda: tie būs cilvēki, kas faktiski ieviesīs kontroli organizācijas aizstāvībai. Sistēma ir tikpat efektīva kā tie, kas strādā pie stūres.

Šo trīs galveno faktoru analīze palīdz auditoram gūt pilnīgāku priekšstatu par konkrētā uzņēmuma spēju droši darboties. Ilgtspējība tiek atbalstīta salīdzinājumā ar ISMS, kas paļaujas tikai uz rupju tehnisko spēku.

Saistīts: Kā atturēt darbiniekus no uzņēmuma datu zagšanas, aizejot

Ir svarīgs cilvēka elements, kam jābūt klāt. Tas, kā cilvēki uzņēmuma iekšienē kontrolē savus datus un ISMS, tiek turēts pāri visam. Šīs vadīklas faktiski nodrošina datu drošību.

Kas ir ISO 27001 A pielikums?

Konkrēti "kontroles" piemēri ir atkarīgi no nozares. ISO 27001 A pielikumā uzņēmumiem tiek piedāvāti 114 oficiāli atzīti līdzekļi to darbības drošības kontrolei.

Šīs vadības ierīces ietilpst vienā no četrpadsmit klasifikācijām:

A.5—Informācijas un drošības politika: institucionalizētā politika un procedūras, ko uzņēmums ievēro.

A.6—Informācijas drošības organizēšana: atbildības piešķiršana organizācijā saistībā ar ISMS un tās ieviešanu. Dīvainā kārtā šeit ir iekļauta arī politika, kas reglamentē tāldarbu un ierīču lietošana uzņēmumā.

A.7—Cilvēkresursu drošība: bažas par iekāpšanu, izkāpšanu un darbinieku maiņu organizācijā. Šeit ir izklāstīti arī skrīninga standarti un paraugprakse izglītības un apmācības jomā.

A.8—Aktīvu pārvaldība: ietver apstrādātos datus. Aktīvi ir jāuzskaita, jāuztur un jāuztur privāti, dažos gadījumos pat pāri departamentu līnijām. Īpašumtiesības uz katru aktīvu ir skaidri jānosaka; šī klauzula iesaka uzņēmumiem izstrādāt "pieņemamas lietošanas politiku", kas raksturīga tieši viņu uzņēmējdarbības virzienam.

A.9—Piekļuves kontrole: kam ir atļauts apstrādāt jūsu datus, un kā jūs ierobežosiet piekļuvi tikai pilnvarotiem darbiniekiem? Tas var ietvert nosacītu atļauju iestatīšanu tehniskā nozīmē vai piekļuvi bloķētām ēkām jūsu uzņēmuma pilsētiņā.

A.10—Kriptogrāfija: galvenokārt nodarbojas ar šifrēšanu un citiem veidiem, kā aizsargāt pārvadājamos datus. Šie preventīvie pasākumi ir aktīvi jāpārvalda; ISO attur organizācijas no šifrēšanas uzskatīt par universālu risinājumu visiem ar datu drošību saistītajiem dziļi niansētajiem izaicinājumiem.

A.11—Fiziskā un vides drošība: novērtē fizisko drošību visur, kur atrodas sensitīvi dati, vai nu faktiskajā biroju ēkā, vai mazā, ar serveriem piepildītā telpā ar gaisa kondicionētāju.

A.12—Operāciju drošība: kādi ir jūsu iekšējie drošības noteikumi, kad runa ir par jūsu uzņēmuma darbību? Dokumentācija, kas izskaidro šīs procedūras, būtu regulāri jāuztur un jāpārskata, lai apmierinātu jaunas, jaunas biznesa vajadzības.

Šajā kategorijā ietilpst pārmaiņu vadība, jaudas pārvaldība un dažādu departamentu nodalīšana.

A.13—Tīkla drošības pārvaldība: tīkliem, kas savieno katru jūsu uzņēmuma sistēmu, jābūt hermētiskiem un rūpīgi pieskatītiem.

Visaptverošie risinājumi, piemēram, ugunsmūri, tiek padarīti vēl efektīvāki, ja tos papildina ar tādām lietām kā biežas pārbaudes pārbaudes punkti, formalizētas pārsūtīšanas politikas vai aizliedzot izmantot publiskos tīklus piemēram, apstrādājot uzņēmuma datus.

A.14—Sistēmas iegūšana, izstrāde un uzturēšana: ja jūsu uzņēmumā vēl nav ieviesta ISMS, šī klauzula izskaidro, ko ideāla sistēma ienes tabulā. Tas palīdz jums nodrošināt, ka ISMS darbības joma aptver visus jūsu ražošanas dzīves cikla aspektus.

Drošas attīstības iekšējā politika dod jūsu inženieriem kontekstu, kas viņiem ir nepieciešams, lai izveidotu atbilstošu produktu no darba sākuma dienas.

A.15—Piegādātāja drošības politikaKādi piesardzības pasākumi tiek veikti, veicot darījumus ar trešo pušu piegādātājiem ārpus uzņēmuma, lai novērstu ar viņiem kopīgoto datu noplūdi vai pārkāpumus?

A.16—Informācijas drošības incidentu vadība: kad kaut kas noiet greizi, jūsu uzņēmums, visticamāk, nodrošina zināmu pamatu tam, kā par problēmu būtu jāpaziņo, jārisina un jānovērš nākotnē.

ISO meklē atbildes sistēmas, kas ļauj uzņēmuma autoritātēm ātri un ar lielu aizspriedumu rīkoties pēc draudu atklāšanas.

A.17—Informācijas drošības aspekti uzņēmējdarbības nepārtrauktības pārvaldībā: katastrofas vai kāda cita maz ticama gadījuma gadījumā, kas neatgriezeniski izjauc jūsu darbību, plāns būs nepieciešams, lai saglabātu uzņēmuma labklājību un tā datus, līdz bizness atsāksies kā normāli.

Ideja ir tāda, ka organizācijai ir nepieciešams kaut kāds veids, kā saglabāt drošības nepārtrauktību šādos laikos.

A.18—AtbilstībaVisbeidzot, mēs esam nonākuši pie faktiskā līguma par līgumiem, kas uzņēmumam jāapstiprina, lai izpildītu ISO 27001 sertifikāta prasības. Jūsu pienākumi ir izklāstīti pirms jums. Atliek tikai parakstīties uz punktētās līnijas.

ISO vairs neprasa, lai atbilstošie uzņēmumi izmantotu tikai tādas vadības ierīces, kas ietilpst iepriekš uzskaitītajās kategorijās. Saraksts ir lieliska vieta, kur sākt, ja tomēr jūs tikai sākat likt pamatus sava uzņēmuma ISMS.

Saistīts: Kā uzlabot savu uzmanību, izmantojot labu drošības praksi

Vai mans uzņēmums ir jāpārbauda?

Tas atkarigs. Ja jūs esat ļoti mazs iesācējs un strādājat jomā, kas nav jutīga vai kurai ir paaugstināta riska pakāpe, jūs, iespējams, varat aizkavēties, līdz nākotnes plāni būs drošāki.

Vēlāk, pieaugot jūsu komandai, jūs varētu atrasties kādā no šīm kategorijām:

• Iespējams, jūs strādājat ar svarīgu klientu, kurš lūdz novērtēt jūsu uzņēmumu, lai pārliecinātos, ka viņš ir drošībā ar jums.
• Iespējams, nākotnē vēlēsities pāriet uz IPO.
• Jūs jau esat kļuvis par pārkāpuma upuri un jums ir jāpārdomā veids, kā pārvaldāt un aizsargājat sava uzņēmuma datus.

Prognozēšana nākotnei ne vienmēr var būt vienkārša. Pat ja jūs neredzat sevi nevienā no iepriekš minētajiem scenārijiem, tas nekaitē būt aktīvam un sākt savā režīmā iekļaut dažas no ISO ieteiktām praksēm.

Spēks ir jūsu rokās

ISMS sagatavošana revīzijai ir tikpat vienkārša kā rūpīga pārbaude, pat ja strādājat šodien. Dokumentācija vienmēr jāuztur un jāarhivē, sniedzot pierādījumus, ka jums būs jāpamato savas prasmes par kompetenci.

Tas ir tāpat kā vidusskolā: jūs veicat mājasdarbu un saņemat atzīmi. Klienti ir drošībā un drošībā, un jūsu priekšnieks ir ļoti apmierināts ar jums. Šie ir vienkārši ieradumi, kas jāapgūst un jāuztur. Jūs pateiksieties vēlāk, kad beidzot piezvanīs vīrietis ar starpliktuvi.

4 galvenās kiberdrošības tendences, no kurām jāuzmanās 2021. gadā un pēc tam

Šeit ir kiberuzbrukumi, kas jums jāievēro 2021. gadā, un kā jūs varat izvairīties no to upuriem.

Lasiet Tālāk

Par autoru