ዛሬ የኩባንያዎች የመረጃ ደህንነት ጉዳይ (ከዚህ በኋላ የመረጃ ደህንነት ተብሎ የሚጠራው) በዓለም ላይ በጣም አሳሳቢ ከሆኑት ውስጥ አንዱ ነው። እና ይህ አያስገርምም, ምክንያቱም በብዙ አገሮች ውስጥ የግል መረጃን ለማከማቸት እና ለሚያካሂዱ ድርጅቶች መስፈርቶች ጥብቅነት አለ. በአሁኑ ጊዜ የሩሲያ ህግ በወረቀት መልክ ከፍተኛ መጠን ያለው የሰነድ ፍሰት እንዲኖር ይጠይቃል. በተመሳሳይ ጊዜ, ወደ ዲጂታላይዜሽን ያለው አዝማሚያ የሚታይ ነው-ብዙ ኩባንያዎች ቀድሞውኑ ከፍተኛ መጠን ያለው ሚስጥራዊ መረጃ በዲጂታል ቅርጸት እና በወረቀት ሰነዶች መልክ ያከማቻሉ.
በውጤቶቹ መሠረት ፀረ-ማልዌር የትንታኔ ማዕከል፣ 86% ምላሽ ሰጪዎች በዓመቱ ውስጥ ቢያንስ አንድ ጊዜ ከሳይበር ጥቃቶች በኋላ ወይም በተጠቃሚዎች የተደነገጉ ደንቦችን በመጣስ የተከሰቱ ችግሮችን መፍታት ነበረባቸው። በዚህ ረገድ, በንግድ ውስጥ የመረጃ ደህንነትን ማስቀደም አስፈላጊ ሆኗል.
በአሁኑ ጊዜ የኮርፖሬት መረጃ ደህንነት እንደ ፀረ-ቫይረስ ወይም ፋየርዎል ያሉ ቴክኒካዊ መንገዶች ስብስብ ብቻ አይደለም ፣ ቀድሞውኑ የኩባንያውን ንብረቶች በአጠቃላይ እና በተለይም መረጃን ለመቆጣጠር የተቀናጀ አካሄድ ነው። ኩባንያዎች እነዚህን ችግሮች በተለየ መንገድ ይቀርባሉ. ዛሬ ስለ አለም አቀፍ ደረጃ ISO 27001 እንዲህ ላለው ችግር መፍትሄ ስለመተግበሩ መነጋገር እንፈልጋለን. በሩሲያ ገበያ ላይ ለሚገኙ ኩባንያዎች, እንደዚህ አይነት የምስክር ወረቀት መኖሩ በዚህ ጉዳይ ላይ ከፍተኛ መስፈርቶች ካላቸው የውጭ ደንበኞች እና አጋሮች ጋር ያለውን ግንኙነት ቀላል ያደርገዋል. ISO 27001 በምዕራቡ ዓለም በስፋት ጥቅም ላይ የዋለ ሲሆን በመረጃ ደህንነት መስክ መስፈርቶችን ይሸፍናል, ይህም ጥቅም ላይ በሚውሉት ቴክኒካዊ መፍትሄዎች መሸፈን አለበት, እና ለንግድ ስራ ሂደቶች እድገት አስተዋጽኦ ያደርጋል. ስለዚህ ይህ መመዘኛ የውድድር ተጠቃሚነትዎ እና ከውጭ ኩባንያዎች ጋር የመገናኘት ነጥብ ሊሆን ይችላል።
ይህ የመረጃ ደህንነት አስተዳደር ስርዓት ማረጋገጫ (ከዚህ በኋላ ISMS እየተባለ የሚጠራው) አይኤስኤምኤስን ለመንደፍ ምርጥ ተሞክሮዎችን የሰበሰበው እና በአስፈላጊ ሁኔታ የስርዓቱን አሠራር ለማረጋገጥ የመቆጣጠሪያ መሳሪያዎችን የመምረጥ እድልን ፣ የቴክኖሎጂ ደህንነት ድጋፍ መስፈርቶችን እና እንዲያውም በኩባንያው ውስጥ ለሠራተኞች አስተዳደር ሂደት. ከሁሉም በላይ, የቴክኒክ ብልሽቶች የችግሩ አካል ብቻ መሆናቸውን መረዳት ያስፈልጋል. በመረጃ ደህንነት ጉዳዮች፣ የሰው ልጅ ጉዳይ ትልቅ ሚና ይጫወታል፣ እና እሱን ለማጥፋት ወይም ለመቀነስ በጣም ከባድ ነው።
ኩባንያዎ ISO 27001 የምስክር ወረቀት ለማግኘት እየፈለገ ከሆነ ይህን ለማድረግ ቀላሉ መንገድ አስቀድመው ሞክረው ሊሆን ይችላል። ልናሳዝንህ ይገባል፡ እዚህ ምንም ቀላል መንገዶች የሉም። ሆኖም አንድ ድርጅት ለአለም አቀፍ የመረጃ ደህንነት መስፈርቶች ለማዘጋጀት የሚያግዙ አንዳንድ ደረጃዎች አሉ።
1. ከአስተዳደር ድጋፍ ያግኙ
ይህ ግልጽ ነው ብለው ያስቡ ይሆናል, ነገር ግን በተግባር ይህ ነጥብ ብዙውን ጊዜ ችላ ይባላል. ከዚህም በላይ የ ISO 27001 ትግበራ ፕሮጀክቶች ብዙ ጊዜ የሚወድቁበት አንዱ ዋና ምክንያት ይህ ነው። የስታንዳርድ ማስፈጸሚያ ፕሮጀክትን አስፈላጊነት ካልተረዳ፣ አመራሩ በቂ የሰው ሃይል ወይም በቂ በጀት ለዕውቅና ማረጋገጫ አይሰጥም።
2. የምስክር ወረቀት ዝግጅት እቅድ ማዘጋጀት
ለ ISO 27001 የምስክር ወረቀት መዘጋጀት ብዙ የተለያዩ የስራ ዓይነቶችን የሚያካትት ውስብስብ ስራ ነው, ብዙ ሰዎችን ተሳትፎ የሚጠይቅ እና ብዙ ወራት (ወይም አመታትም) ሊወስድ ይችላል. ስለዚህ, ዝርዝር የፕሮጀክት እቅድ ማዘጋጀት በጣም አስፈላጊ ነው: ሀብቶችን, ጊዜን እና የሰዎችን ተሳትፎ በጥብቅ የተገለጹ ተግባራትን ይመድቡ እና የግዜ ገደቦችን ማክበርን ይቆጣጠሩ - አለበለዚያ ስራውን በጭራሽ ሊጨርሱ አይችሉም.
3. የማረጋገጫ ፔሪሜትር ይግለጹ
የተለያየ እንቅስቃሴ ያለው ትልቅ ድርጅት ካለህ የኩባንያውን የንግድ ክፍል ብቻ ለ ISO 27001 ማረጋገጫ መስጠት ምክንያታዊ ሊሆን ይችላል ይህም የፕሮጀክትህን አደጋ እንዲሁም ጊዜውን እና ወጪውን በእጅጉ ይቀንሳል።
4. የመረጃ ደህንነት ፖሊሲን ማዘጋጀት
በጣም አስፈላጊ ከሆኑት ሰነዶች አንዱ የኩባንያው የመረጃ ደህንነት ፖሊሲ ነው. የድርጅትዎን የመረጃ ደህንነት ግቦች እና የመረጃ ደህንነት አስተዳደር መሰረታዊ መርሆችን የሚያንፀባርቅ መሆን አለበት፣ ይህም ሁሉም ሰራተኞች መከተል አለባቸው። የዚህ ሰነድ ዓላማ የኩባንያው አስተዳደር በመረጃ ደህንነት መስክ ምን ማሳካት እንደሚፈልግ፣ እንዲሁም ይህ እንዴት እንደሚተገበር እና እንደሚቆጣጠር ለመወሰን ነው።
5. የአደጋ ግምገማ ዘዴን ይግለጹ
በጣም አስቸጋሪ ከሆኑ ተግባራት ውስጥ አንዱ ለአደጋ ግምገማ እና አስተዳደር ደንቦችን መወሰን ነው. አንድ ኩባንያ ተቀባይነት ያለው እንደሆነ እና እነሱን ለመቀነስ አፋጣኝ እርምጃዎችን እንደሚያስፈልገው መረዳት አስፈላጊ ነው. ያለ እነዚህ ደንቦች፣ ISMS አይሰራም።
በተመሳሳይ ጊዜ አደጋዎችን ለመቀነስ የተወሰዱትን እርምጃዎች በቂነት ማስታወስ ጠቃሚ ነው. ነገር ግን በማመቻቸት ሂደቱ በጣም መወሰድ የለብዎትም, ምክንያቱም እነሱ ትልቅ ጊዜ ወይም የገንዘብ ወጪዎችን ያስከትላሉ ወይም በቀላሉ የማይቻል ሊሆኑ ይችላሉ. የአደጋ ቅነሳ እርምጃዎችን በሚያዘጋጁበት ጊዜ "ዝቅተኛው በቂነት" የሚለውን መርህ እንድትጠቀም እንመክራለን.
6. በተፈቀደ ዘዴ መሰረት አደጋዎችን መቆጣጠር
ቀጣዩ ደረጃ የአደጋ አያያዝ ዘዴን ማለትም የእነሱ ግምገማ እና ሂደትን የማያቋርጥ ትግበራ ነው. ይህ ሂደት በከፍተኛ ጥንቃቄ በመደበኛነት መከናወን አለበት. የመረጃ ደህንነት ስጋት መመዝገቢያውን ወቅታዊ በማድረግ የኩባንያውን ሀብቶች በአግባቡ ለመመደብ እና ከባድ አደጋዎችን ለመከላከል ይችላሉ.
7. የአደጋ ህክምናን ያቅዱ
ለኩባንያዎ ተቀባይነት ካለው ደረጃ በላይ የሆኑ አደጋዎች በአደጋ ህክምና እቅድ ውስጥ መካተት አለባቸው። አደጋዎችን ለመቀነስ የታለሙ እርምጃዎችን እንዲሁም ለእነሱ ተጠያቂ የሆኑትን ሰዎች እና የጊዜ ገደቦችን መመዝገብ አለበት።
8. የተግባራዊነት መግለጫውን ይሙሉ
ይህ በኦዲት ወቅት ከማረጋገጫ አካል በልዩ ባለሙያዎች የሚጠና ቁልፍ ሰነድ ነው። የትኛው የመረጃ ደህንነት ቁጥጥር በኩባንያዎ እንቅስቃሴዎች ላይ እንደሚተገበር መግለጽ አለበት።
9. የመረጃ ደህንነት ቁጥጥሮች ውጤታማነት እንዴት እንደሚለካ ይወስኑ።
ማንኛውም ተግባር የተቀመጡ ግቦችን ወደ ፍፃሜ የሚያደርስ ውጤት ሊኖረው ይገባል። ስለዚህ ለጠቅላላው የመረጃ ደህንነት አስተዳደር ስርዓት እና ለእያንዳንዱ የተመረጠ የቁጥጥር ዘዴ ከተግባራዊነት አባሪ የዓላማዎች ስኬት በምን አይነት መለኪያዎች እንደሚለካ በግልፅ መግለፅ አስፈላጊ ነው።
10. የመረጃ ደህንነት ቁጥጥሮችን መተግበር
እና ሁሉንም ቀዳሚ እርምጃዎች ከጨረሱ በኋላ ብቻ የሚመለከታቸውን የመረጃ ደህንነት ቁጥጥሮች ከተግባራዊነት አባሪ መተግበር መጀመር አለብዎት። እዚህ ያለው ትልቁ ፈተና፣ በእርግጥ፣ በብዙ የድርጅትዎ ሂደቶች ውስጥ ነገሮችን ሙሉ በሙሉ አዲስ መንገድ ማስተዋወቅ ነው። ሰዎች አዳዲስ ፖሊሲዎችን እና ሂደቶችን ይቃወማሉ, ስለዚህ ለሚቀጥለው ነጥብ ትኩረት ይስጡ.
11. ለሠራተኞች የሥልጠና ፕሮግራሞችን ተግባራዊ ማድረግ
ሰራተኞችዎ የፕሮጀክቱን አስፈላጊነት ካልተረዱ እና በመረጃ ደህንነት ፖሊሲዎች መሰረት ካልሰሩ ሁሉም ከላይ የተገለጹት ነጥቦች ትርጉም የለሽ ይሆናሉ. ሰራተኞችዎ ሁሉንም አዳዲስ ህጎች እንዲያከብሩ ከፈለጉ በመጀመሪያ ለምን አስፈላጊ እንደሆኑ ለሰዎች ማስረዳት እና ከዚያም በ ISMS ላይ ስልጠና መስጠት, ሰራተኞች በዕለት ተዕለት ስራቸው ውስጥ ግምት ውስጥ መግባት ያለባቸውን ሁሉንም ጠቃሚ ፖሊሲዎች በማጉላት. የሰራተኞች ስልጠና ማነስ ለ ISO 27001 ፕሮጀክት ውድቀት የተለመደ ምክንያት ነው።
12. የISMS ሂደቶችን ማቆየት።
በዚህ ጊዜ ISO 27001 በድርጅትዎ ውስጥ የዕለት ተዕለት እንቅስቃሴ ይሆናል። የመረጃ ደህንነት ቁጥጥሮችን በደረጃው መሠረት መተግበሩን ለማረጋገጥ ኦዲተሮች መዝገቦችን ማቅረብ አለባቸው - የመቆጣጠሪያዎቹ ትክክለኛ አሠራር ማስረጃ። ነገር ግን ከሁሉም በላይ, መዛግብት ሰራተኞችዎ (እና አቅራቢዎች) በተፈቀደላቸው ደንቦች መሰረት ተግባራቸውን እየፈጸሙ መሆናቸውን ለመከታተል ሊረዱዎት ይገባል.
13. የእርስዎን አይኤስኤምኤስ ይቆጣጠሩ
በእርስዎ አይኤስኤምኤስ ላይ ምን እየሆነ ነው? ምን ያህል ክስተቶች አሉዎት ፣ ምን ዓይነት ናቸው? ሁሉም ሂደቶች በትክክል ይከተላሉ? በእነዚህ ጥያቄዎች ኩባንያው የመረጃ ደህንነት ግቦቹን እያሳካ መሆኑን ማረጋገጥ አለብዎት። ካልሆነ ሁኔታውን ለማስተካከል እቅድ ማዘጋጀት አለብዎት.
14. የውስጥ ISMS ኦዲት ማካሄድ
የውስጥ ኦዲት ዓላማ በኩባንያው ውስጥ በተጨባጭ ሂደቶች እና በፀደቁ የመረጃ ደህንነት ፖሊሲዎች መካከል ያለውን አለመጣጣም መለየት ነው። በአብዛኛው፣ የእርስዎ ሰራተኞች ምን ያህል ህጎቹን እንደሚከተሉ ለማየት እየፈተሸ ነው። ይህ በጣም አስፈላጊ ነጥብ ነው, ምክንያቱም የሰራተኞችዎን ስራ ካልተቆጣጠሩ, ድርጅቱ ጉዳት ሊደርስበት ይችላል (ሆን ተብሎ ወይም ባለማወቅ). ነገር ግን እዚህ ያለው ግብ ወንጀለኞችን መፈለግ እና ፖሊሲዎችን ባለማክበር ተግሣጽ ሳይሆን ሁኔታውን ለማስተካከል እና የወደፊት ችግሮችን ለመከላከል ነው.
15. የአስተዳደር ግምገማ ያደራጁ
ማኔጅመንቱ የእርስዎን ፋየርዎል ማዋቀር የለበትም፣ ነገር ግን በISMS ውስጥ ምን እየተከሰተ እንዳለ ማወቅ አለባቸው፡ ለምሳሌ፡ ሁሉም ሰው ሃላፊነታቸውን እየተወጡ እንደሆነ እና አይኤስኤምኤስ የዒላማውን ውጤት እያሳካ እንደሆነ። ከዚህ በመነሳት አስተዳደሩ አይኤስኤምኤስን እና የውስጥ የስራ ሂደቶችን ለማሻሻል ቁልፍ ውሳኔዎችን ማድረግ አለበት።
16. የማስተካከያ እና የመከላከያ እርምጃዎችን ስርዓት ማስተዋወቅ
እንደ ማንኛውም መመዘኛ ፣ ISO 27001 “ቀጣይ ማሻሻያ” ይፈልጋል-በመረጃ ደህንነት አስተዳደር ስርዓት ውስጥ ያሉ ስልታዊ እርማት እና አለመግባባቶች መከላከል። በማስተካከያ እና በመከላከያ እርምጃዎች, አለመስማማት ሊታረም እና ለወደፊቱ እንዳይከሰት መከላከል ይቻላል.
ለማጠቃለል ያህል፣ በእውነቱ የምስክር ወረቀት ማግኘት በተለያዩ ምንጮች ከተገለጸው የበለጠ ከባድ ነው ማለት እፈልጋለሁ። ይህ ዛሬ በሩሲያ ውስጥ ብቻ በመኖሩ የተረጋገጠ ነው ለማክበር የምስክር ወረቀት ተሰጥቷቸዋል. በተመሳሳይ ጊዜ, ይህ በመረጃ ደህንነት መስክ እያደገ የመጣውን የንግድ ሥራ ፍላጎቶች በማሟላት በውጭ አገር በጣም ታዋቂ ከሆኑ ደረጃዎች አንዱ ነው. ይህ የመተግበር ፍላጎት በአስጊ ዓይነቶች እድገት እና ውስብስብነት ብቻ ሳይሆን በህግ መስፈርቶች እንዲሁም ደንበኞች የመረጃቸውን ሙሉ ምስጢራዊነት መጠበቅ አለባቸው።
ምንም እንኳን የ ISMS የምስክር ወረቀት ቀላል ስራ ባይሆንም የአለም አቀፍ ደረጃውን የ ISO/IEC 27001 መስፈርቶችን የማሟላት እውነታ በአለም አቀፍ ገበያ ውስጥ ከፍተኛ ተወዳዳሪነት ያለው ጥቅም ሊሰጥ ይችላል. ጽሑፋችን አንድን ኩባንያ ለማረጋገጫ ለማዘጋጀት ዋና ዋና ደረጃዎችን የመጀመሪያ ደረጃ ግንዛቤ እንዳገኘ ተስፋ እናደርጋለን።
ምንጭ: hab.com