Vandag is die kwessie van inligtingsekuriteit (hierna verwys as inligtingsekuriteit) van maatskappye een van die dringendste ter wêreld. En dit is nie verbasend nie, want in baie lande is daar 'n strenger vereistes vir organisasies wat persoonlike data stoor en verwerk. Tans vereis Russiese wetgewing die handhawing van 'n aansienlike deel van dokumentvloei in papiervorm. Terselfdertyd is die neiging na digitalisering merkbaar: baie maatskappye stoor reeds 'n groot hoeveelheid vertroulike inligting in beide digitale formaat en in die vorm van papierdokumente.
Volgens die resultate Anti-Malware Analitiese Sentrum, 86% van die respondente het opgemerk dat hulle gedurende die jaar ten minste een keer voorvalle na kuberaanvalle of as gevolg van gebruikersoortredings van gevestigde regulasies moes oplos. In hierdie verband het die prioritisering van inligtingsekuriteit in besigheid 'n noodsaaklikheid geword.
Tans is korporatiewe inligtingsekuriteit nie net 'n stel tegniese middele, soos antivirusse of firewalls nie, dit is reeds 'n geïntegreerde benadering tot die hantering van maatskappybates in die algemeen en inligting in die besonder. Maatskappye benader hierdie probleme anders. Vandag wil ons praat oor die implementering van die internasionale standaard ISO 27001 as 'n oplossing vir so 'n probleem. Vir maatskappye op die Russiese mark vergemaklik die teenwoordigheid van so 'n sertifikaat interaksie met buitelandse kliënte en vennote wat hoë vereistes in hierdie saak het. ISO 27001 word wyd gebruik in die Weste en dek vereistes op die gebied van inligtingsekuriteit, wat gedek moet word deur die tegniese oplossings wat gebruik word, en ook bydra tot die ontwikkeling van besigheidsprosesse. Dus kan hierdie standaard jou mededingende voordeel en 'n kontakpunt met buitelandse maatskappye word.
Hierdie sertifisering van die Inligtingsekuriteitsbestuurstelsel (hierna na verwys as ISMS) het die beste praktyke vir die ontwerp van 'n ISMS versamel en, belangriker nog, voorsiening gemaak vir die moontlikheid om beheerinstrumente te kies om die werking van die stelsel te verseker, vereistes vir tegnologiese sekuriteitsondersteuning en selfs vir die personeelbestuursproses in die maatskappy. Dit is immers nodig om te verstaan dat tegniese foute slegs deel van die probleem is. In inligtingsekuriteitsaangeleenthede speel die menslike faktor 'n groot rol, en dit is baie moeiliker om dit uit te skakel of te minimaliseer.
As jou onderneming ISO 27001-gesertifiseer wil word, het jy dalk al probeer om die maklike manier te vind om dit te doen. Ons moet jou teleurstel: hier is geen maklike maniere nie. Daar is egter sekere stappe wat sal help om 'n organisasie voor te berei vir internasionale inligtingsekuriteitsvereistes:
1. Kry ondersteuning van bestuur
Jy mag dink dit is voor die hand liggend, maar in die praktyk word hierdie punt dikwels oor die hoof gesien. Boonop is dit een van die hoofredes waarom ISO 27001-implementeringsprojekte dikwels misluk. Sonder om die belangrikheid van die standaardimplementeringsprojek te verstaan, sal bestuur nie voldoende menslike hulpbronne of voldoende begroting vir sertifisering voorsien nie.
2. Ontwikkel 'n sertifiseringsvoorbereidingsplan
Voorbereiding vir ISO 27001-sertifisering is 'n komplekse taak wat baie verskillende soorte werk behels, die betrokkenheid van 'n groot aantal mense vereis en baie maande (of selfs jare) kan neem. Daarom is dit baie belangrik om 'n gedetailleerde projekplan te skep: ken hulpbronne, tyd en betrokkenheid van mense toe aan streng gedefinieerde take en moniteer nakoming van spertye - anders mag jy nooit die werk klaarmaak nie.
3. Definieer die sertifiseringsomtrek
As jy 'n groot organisasie met gediversifiseerde aktiwiteite het, kan dit sin maak om slegs 'n deel van die maatskappy se besigheid volgens ISO 27001 te sertifiseer, wat die risiko van jou projek, sowel as die tyd en koste daarvan aansienlik sal verminder.
4. Ontwikkel 'n inligtingsekuriteitsbeleid
Een van die belangrikste dokumente is die maatskappy se inligtingsekuriteitsbeleid. Dit moet jou maatskappy se inligtingsekuriteitsdoelwitte en die basiese beginsels van inligtingsekuriteitbestuur weerspieël, wat deur alle werknemers gevolg moet word. Die doel van hierdie dokument is om te bepaal wat die maatskappy se bestuur op die gebied van inligtingsekuriteit wil bereik, asook hoe dit geïmplementeer en beheer sal word.
5. Definieer 'n risikobepalingsmetodologie
Een van die moeilikste take is om reëls vir risikobepaling en bestuur te definieer. Dit is belangrik om te verstaan watter risiko's 'n maatskappy as aanvaarbaar kan beskou en wat onmiddellike optrede vereis om dit te verminder. Sonder hierdie reëls sal die ISMS nie werk nie.
Terselfdertyd is dit die moeite werd om die toereikendheid van die maatreëls wat geneem is om risiko's te verminder, te onthou. Maar jy moet nie te meegevoer raak met die optimaliseringsproses nie, want dit behels ook groot tyd of finansiële koste of kan eenvoudig onmoontlik wees. Ons beveel aan dat jy die beginsel van "minimum genoegsaamheid" gebruik wanneer jy risikoverminderingsmaatreëls ontwikkel.
6. Bestuur risiko's volgens 'n goedgekeurde metodologie
Die volgende fase is die konsekwente toepassing van risikobestuursmetodologie, dit wil sê hul assessering en verwerking. Hierdie proses moet op 'n gereelde basis met groot sorg uitgevoer word. Deur die inligtingsekuriteitsrisikoregister op datum te hou, sal jy maatskappyhulpbronne effektief kan toewys en ernstige voorvalle kan voorkom.
7. Beplan risikobehandeling
Risiko's wat 'n aanvaarbare vlak vir jou maatskappy oorskry, moet by die risikobehandelingsplan ingesluit word. Dit moet aksies aanteken wat daarop gemik is om risiko's te verminder, sowel as die persone wat daarvoor verantwoordelik is en die sperdatums.
8. Voltooi die Verklaring van Toepaslikheid
Dit is 'n sleuteldokument wat tydens die oudit deur spesialiste van die sertifiseringsliggaam bestudeer sal word. Dit moet beskryf watter inligtingsekuriteitskontroles van toepassing is op jou maatskappy se aktiwiteite.
9. Bepaal hoe die doeltreffendheid van inligtingsekuriteitskontroles gemeet sal word.
Enige aksie moet 'n resultaat hê wat lei tot die vervulling van vasgestelde doelwitte. Daarom is dit belangrik om duidelik te definieer deur watter parameters die bereiking van doelwitte gemeet sal word vir beide die hele inligtingsekuriteitbestuurstelsel en vir elke geselekteerde beheermeganisme uit die Toepasbaarheidsbylae.
10. Implementeer inligtingsekuriteitskontroles
En eers nadat jy al die vorige stappe voltooi het, moet jy begin om die toepaslike inligtingsekuriteitskontroles vanaf die Toepaslikheidsbylaag te implementeer. Die grootste uitdaging hier sal natuurlik wees om 'n heeltemal nuwe manier van doen in baie van jou organisasie se prosesse bekend te stel. Mense is geneig om nuwe beleide en prosedures te weerstaan, let dus op die volgende punt.
11. Implementeer opleidingsprogramme vir werknemers
Al die punte hierbo beskryf sal betekenisloos wees as jou werknemers nie die belangrikheid van die projek verstaan nie en nie in ooreenstemming met inligtingsekuriteitsbeleide optree nie. As jy wil hê jou personeel moet aan al die nuwe reëls voldoen, moet jy eers aan mense verduidelik hoekom dit nodig is, en dan opleiding oor die ISMS verskaf, met die klem op al die belangrike beleide wat werknemers in hul daaglikse werk in ag moet neem. Gebrek aan personeelopleiding is 'n algemene rede vir ISO 27001-projekmislukking.
12. Handhaaf ISMS-prosesse
Op hierdie stadium word ISO 27001 'n daaglikse roetine in jou organisasie. Om die implementering van inligtingsekuriteitskontroles in ooreenstemming met die standaard te bevestig, sal ouditeure rekords moet verskaf - bewyse van die werklike werking van die kontroles. Maar bowenal behoort rekords jou te help om vas te stel of jou werknemers (en verskaffers) hul take in ooreenstemming met goedgekeurde reëls uitvoer.
13. Monitor jou ISMS
Wat gaan aan met jou ISMS? Hoeveel insidente het jy, watter tipe is dit? Word alle prosedures behoorlik gevolg? Met hierdie vrae moet jy kyk of die maatskappy sy inligtingsekuriteitsdoelwitte bereik. Indien nie, moet jy 'n plan ontwikkel om die situasie reg te stel.
14. Voer 'n interne ISMS-oudit uit
Die doel van die interne oudit is om teenstrydighede tussen werklike prosesse in die maatskappy en goedgekeurde inligtingsekuriteitsbeleide te identifiseer. Vir die grootste deel, dit is om te kyk om te sien hoe goed jou werknemers die reëls volg. Dit is 'n baie belangrike punt, want as jy nie die werk van jou personeel beheer nie, kan die organisasie skade ly (opsetlik of onopsetlik). Maar die doel hier is nie om die skuldiges te vind en hulle te dissiplineer vir nie-nakoming van beleid nie, maar om die situasie reg te stel en toekomstige probleme te voorkom.
15. Organiseer 'n bestuursoorsig
Bestuur moet nie jou firewall opstel nie, maar hulle moet weet wat in die ISMS gebeur: byvoorbeeld of almal hul verantwoordelikhede nakom en of die ISMS sy teikenresultate bereik. Op grond hiervan moet bestuur sleutelbesluite neem om die ISMS en interne besigheidsprosesse te verbeter.
16. Stel 'n stelsel van regstellende en voorkomende aksies in
Soos enige standaard, vereis ISO 27001 "voortdurende verbetering": die sistematiese regstelling en voorkoming van teenstrydighede in die inligtingsekuriteitbestuurstelsel. Deur regstellende en voorkomende aksies kan die nie-konformiteit reggestel word en verhoed word om in die toekoms weer te voorkom.
Ten slotte wil ek sê dat dit in werklikheid baie moeiliker is om gesertifiseer te word as wat in verskeie bronne beskryf word. Dit word bevestig deur die feit dat daar vandag slegs in Rusland is gesertifiseer is vir voldoening. Terselfdertyd is dit een van die gewildste standaarde in die buiteland, wat voldoen aan die groeiende eise van besigheid op die gebied van inligtingsekuriteit. Hierdie aanvraag vir implementering is nie net te wyte aan die groei en kompleksiteit van die tipe bedreigings nie, maar ook aan die vereistes van wetgewing, sowel as kliënte wat volkome vertroulikheid van hul data moet handhaaf.
Ten spyte van die feit dat ISMS-sertifisering nie 'n maklike taak is nie, kan die feit om aan die vereistes van die internasionale standaard ISO/IEC 27001 te voldoen, 'n ernstige mededingende voordeel in die globale mark bied. Ons hoop dat ons artikel 'n aanvanklike begrip gegee het van die sleutelfases in die voorbereiding van 'n maatskappy vir sertifisering.
Bron: will.com