Heddiw, mae mater diogelwch gwybodaeth (y cyfeirir ato o hyn ymlaen fel diogelwch gwybodaeth) cwmnïau yn un o'r rhai mwyaf dybryd yn y byd. Ac nid yw hyn yn syndod, oherwydd mewn llawer o wledydd mae gofynion tynhau ar sefydliadau sy'n storio ac yn prosesu data personol. Ar hyn o bryd, mae deddfwriaeth Rwsia yn ei gwneud yn ofynnol cynnal cyfran sylweddol o lif dogfennau ar ffurf papur. Ar yr un pryd, mae'r duedd tuag at ddigideiddio yn amlwg: mae llawer o gwmnïau eisoes yn storio llawer iawn o wybodaeth gyfrinachol ar ffurf ddigidol ac ar ffurf dogfennau papur.
Yn ôl y canlyniadau Canolfan Ddadansoddol Gwrth-Drwgwedd, nododd 86% o ymatebwyr eu bod yn ystod y flwyddyn o leiaf unwaith wedi gorfod datrys digwyddiadau ar ôl ymosodiadau seiber neu o ganlyniad i dorri rheoliadau sefydledig gan ddefnyddwyr. Yn hyn o beth, mae blaenoriaethu diogelwch gwybodaeth mewn busnes wedi dod yn anghenraid.
Ar hyn o bryd, mae diogelwch gwybodaeth gorfforaethol nid yn unig yn set o ddulliau technegol, megis gwrthfeirysau neu waliau tân, mae eisoes yn ddull integredig o drin asedau cwmni yn gyffredinol a gwybodaeth yn benodol. Mae cwmnïau'n ymdrin â'r problemau hyn yn wahanol. Heddiw hoffem siarad am weithrediad y safon ryngwladol ISO 27001 fel ateb i broblem o'r fath. Ar gyfer cwmnïau ar y farchnad Rwsia, mae presenoldeb tystysgrif o'r fath yn symleiddio rhyngweithio â chleientiaid tramor a phartneriaid sydd â gofynion uchel yn y mater hwn. Defnyddir ISO 27001 yn eang yn y Gorllewin ac mae'n cwmpasu gofynion ym maes diogelwch gwybodaeth, a ddylai gael eu cwmpasu gan yr atebion technegol a ddefnyddir, a hefyd yn cyfrannu at ddatblygiad prosesau busnes. Felly, gall y safon hon ddod yn fantais gystadleuol i chi ac yn bwynt cyswllt â chwmnïau tramor.
Casglodd yr ardystiad hwn o'r System Rheoli Diogelwch Gwybodaeth (y cyfeirir ati yma wedi hyn fel ISMS) yr arferion gorau ar gyfer dylunio ISMS ac, yn bwysig, darparodd ar gyfer y posibilrwydd o ddewis offer rheoli i sicrhau gweithrediad y system, gofynion ar gyfer cymorth diogelwch technolegol a hyd yn oed ar gyfer y broses rheoli personél yn y cwmni. Wedi'r cyfan, mae angen deall mai dim ond rhan o'r broblem yw methiannau technegol. Mewn materion diogelwch gwybodaeth, mae'r ffactor dynol yn chwarae rhan enfawr, ac mae'n llawer anoddach ei ddileu neu ei leihau.
Os yw'ch cwmni'n edrych i gael ardystiad ISO 27001, yna efallai eich bod eisoes wedi ceisio dod o hyd i'r ffordd hawdd o wneud hynny. Mae’n rhaid inni eich siomi: nid oes unrhyw ffyrdd hawdd yma. Fodd bynnag, mae rhai camau a fydd yn helpu i baratoi sefydliad ar gyfer gofynion diogelwch gwybodaeth rhyngwladol:
1. Cael cefnogaeth gan y rheolwyr
Efallai eich bod yn meddwl bod hyn yn amlwg, ond yn ymarferol mae'r pwynt hwn yn aml yn cael ei anwybyddu. Ar ben hynny, dyma un o'r prif resymau pam mae prosiectau gweithredu ISO 27001 yn aml yn methu. Heb ddeall arwyddocâd y prosiect gweithredu safonol, ni fydd y rheolwyr yn darparu adnoddau dynol digonol na chyllideb ddigonol ar gyfer ardystio.
2. Datblygu Cynllun Paratoi Ardystio
Mae paratoi ar gyfer ardystiad ISO 27001 yn dasg gymhleth sy'n cynnwys llawer o wahanol fathau o waith, sy'n gofyn am gynnwys nifer fawr o bobl a gall gymryd misoedd lawer (neu hyd yn oed flynyddoedd). Felly, mae'n bwysig iawn creu cynllun prosiect manwl: dyrannu adnoddau, amser a chyfranogiad pobl i dasgau a ddiffinnir yn llym a monitro cydymffurfiaeth â therfynau amser - fel arall efallai na fyddwch byth yn gorffen y gwaith.
3. Diffiniwch y perimedr ardystio
Os oes gennych chi sefydliad mawr gyda gweithgareddau amrywiol, efallai y bydd yn gwneud synnwyr i ardystio rhan yn unig o fusnes y cwmni i ISO 27001, a fydd yn lleihau risg eich prosiect yn sylweddol, yn ogystal â'i amser a'i gost.
4. Datblygu polisi diogelwch gwybodaeth
Un o'r dogfennau pwysicaf yw Polisi Diogelwch Gwybodaeth y cwmni. Dylai adlewyrchu nodau diogelwch gwybodaeth eich cwmni ac egwyddorion sylfaenol rheoli diogelwch gwybodaeth, y mae'n rhaid i bob gweithiwr eu dilyn. Pwrpas y ddogfen hon yw penderfynu beth mae rheolwyr y cwmni am ei gyflawni ym maes diogelwch gwybodaeth, yn ogystal â sut y bydd hyn yn cael ei weithredu a'i reoli.
5. Diffinio methodoleg asesu risg
Un o'r tasgau anoddaf yw diffinio rheolau ar gyfer asesu a rheoli risg. Mae'n bwysig deall pa risgiau y gall cwmni eu hystyried yn dderbyniol a pha rai sydd angen gweithredu ar unwaith i'w lleihau. Heb y rheolau hyn, ni fydd yr ISMS yn gweithio.
Ar yr un pryd, mae'n werth cofio pa mor ddigonol yw'r mesurau a gymerwyd i leihau risgiau. Ond ni ddylech fynd yn rhy bell â'r broses optimeiddio, oherwydd eu bod hefyd yn golygu costau amser neu ariannol mawr neu efallai eu bod yn amhosibl. Rydym yn argymell eich bod yn defnyddio’r egwyddor “lleiafswm digonolrwydd” wrth ddatblygu mesurau lleihau risg.
6. Rheoli risgiau yn unol â methodoleg gymeradwy
Y cam nesaf yw cymhwyso methodoleg rheoli risg yn gyson, hynny yw, eu hasesu a'u prosesu. Rhaid cynnal y broses hon yn rheolaidd gyda gofal mawr. Trwy gadw'r gofrestr risg diogelwch gwybodaeth yn gyfredol, byddwch yn gallu dyrannu adnoddau'r cwmni yn effeithiol ac atal digwyddiadau difrifol.
7. Cynllunio triniaeth risg
Rhaid cynnwys risgiau sy'n uwch na lefel dderbyniol i'ch cwmni yn y cynllun trin risg. Dylai gofnodi camau gweithredu sydd wedi'u hanelu at leihau risgiau, yn ogystal â'r personau sy'n gyfrifol amdanynt a'r terfynau amser.
8. Cwblhau'r Datganiad Cymhwysedd
Mae hon yn ddogfen allweddol a fydd yn cael ei hastudio gan arbenigwyr o'r corff ardystio yn ystod yr archwiliad. Dylai ddisgrifio pa reolaethau diogelwch gwybodaeth sy'n berthnasol i weithgareddau eich cwmni.
9. Penderfynu sut y bydd effeithiolrwydd rheolaethau diogelwch gwybodaeth yn cael eu mesur.
Rhaid i unrhyw weithred gael canlyniad sy'n arwain at gyflawni nodau sefydledig. Felly, mae'n bwysig diffinio'n glir yn ôl pa baramedrau y bydd cyflawniad nodau yn cael ei fesur ar gyfer y system rheoli diogelwch gwybodaeth gyfan ac ar gyfer pob mecanwaith rheoli dethol o'r Atodiad Cymhwysedd.
10. Gweithredu rheolaethau diogelwch gwybodaeth
A dim ond ar ôl cwblhau'r holl gamau blaenorol y dylech ddechrau gweithredu'r rheolaethau diogelwch gwybodaeth perthnasol o'r Atodiad Cymhwysedd. Yr her fwyaf yma, wrth gwrs, fydd cyflwyno ffordd gwbl newydd o wneud pethau ar draws llawer o brosesau eich sefydliad. Mae pobl yn tueddu i wrthsefyll polisïau a gweithdrefnau newydd, felly rhowch sylw i'r pwynt nesaf.
11. Gweithredu rhaglenni hyfforddi ar gyfer gweithwyr
Bydd yr holl bwyntiau a ddisgrifir uchod yn ddiystyr os nad yw eich gweithwyr yn deall pwysigrwydd y prosiect ac nad ydynt yn gweithredu yn unol â pholisïau diogelwch gwybodaeth. Os ydych am i'ch staff gydymffurfio â'r holl reolau newydd, yn gyntaf mae angen i chi esbonio i bobl pam eu bod yn angenrheidiol, ac yna darparu hyfforddiant ar yr ISMS, gan amlygu'r holl bolisïau pwysig y mae'n rhaid i weithwyr eu hystyried yn eu gwaith bob dydd. Mae diffyg hyfforddiant staff yn rheswm cyffredin dros fethiant prosiect ISO 27001.
12. Cynnal prosesau ISMS
Ar y pwynt hwn, mae ISO 27001 yn dod yn drefn ddyddiol yn eich sefydliad. Er mwyn cadarnhau gweithrediad rheolaethau diogelwch gwybodaeth yn unol â'r safon, bydd angen i archwilwyr ddarparu cofnodion - tystiolaeth o weithrediad gwirioneddol y rheolaethau. Ond yn bennaf oll, dylai cofnodion eich helpu i olrhain a yw eich cyflogeion (a chyflenwyr) yn cyflawni eu tasgau yn unol â rheolau cymeradwy.
13. Monitro eich ISMS
Beth sy'n digwydd gyda'ch ISMS? Faint o ddigwyddiadau sydd gennych chi, pa fath ydyn nhw? A yw pob gweithdrefn yn cael ei dilyn yn gywir? Gyda'r cwestiynau hyn, dylech wirio a yw'r cwmni'n bodloni ei nodau diogelwch gwybodaeth. Os na, rhaid i chi ddatblygu cynllun i gywiro'r sefyllfa.
14. Cynnal archwiliad ISMS mewnol
Pwrpas yr archwiliad mewnol yw nodi anghysondebau rhwng prosesau gwirioneddol y cwmni a pholisïau diogelwch gwybodaeth cymeradwy. Ar y cyfan, mae'n gwirio i weld pa mor dda y mae eich cyflogeion yn dilyn y rheolau. Mae hwn yn bwynt pwysig iawn, oherwydd os nad ydych yn rheoli gwaith eich staff, gall y sefydliad ddioddef niwed (yn fwriadol neu'n anfwriadol). Ond nid y nod yma yw dod o hyd i'r tramgwyddwyr a'u disgyblu am beidio â chydymffurfio â pholisïau, ond cywiro'r sefyllfa ac atal problemau yn y dyfodol.
15. Trefnu adolygiad rheoli
Ni ddylai rheolwyr ffurfweddu eich wal dân, ond dylent wybod beth sy'n digwydd yn yr ISMS: er enghraifft, a yw pawb yn cyflawni eu cyfrifoldebau ac a yw'r ISMS yn cyflawni ei ganlyniadau targed. Yn seiliedig ar hyn, rhaid i reolwyr wneud penderfyniadau allweddol i wella'r ISMS a phrosesau busnes mewnol.
16. Cyflwyno system o gamau unioni ac ataliol
Fel unrhyw safon, mae ISO 27001 yn gofyn am “welliant parhaus”: cywiro ac atal anghysondebau yn y system rheoli diogelwch gwybodaeth yn systematig. Trwy gamau unioni ac ataliol, gellir cywiro'r anghydffurfiaeth a'i atal rhag digwydd eto yn y dyfodol.
I gloi, hoffwn ddweud, mewn gwirionedd, bod cael ardystiad yn llawer anoddach nag a ddisgrifir mewn amrywiol ffynonellau. Cadarnheir hyn gan y ffaith mai dim ond yn Rwsia heddiw wedi eu hardystio ar gyfer cydymffurfio. Ar yr un pryd, dyma un o'r safonau mwyaf poblogaidd dramor, gan gwrdd â gofynion cynyddol busnes ym maes diogelwch gwybodaeth. Mae'r galw hwn am weithredu yn ganlyniad nid yn unig i dwf a chymhlethdod y mathau o fygythiadau, ond hefyd i ofynion deddfwriaeth, yn ogystal â chleientiaid y mae angen iddynt gynnal cyfrinachedd llwyr eu data.
Er gwaethaf y ffaith nad yw ardystiad ISMS yn dasg hawdd, gall yr union ffaith o fodloni gofynion y safon ryngwladol ISO/IEC 27001 ddarparu mantais gystadleuol ddifrifol yn y farchnad fyd-eang. Gobeithiwn fod ein herthygl wedi darparu dealltwriaeth gychwynnol o'r camau allweddol wrth baratoi cwmni ar gyfer ardystio.
Ffynhonnell: hab.com