Jodi a, pwoblèm nan sekirite enfòmasyon (ki refere yo kòm sekirite enfòmasyon) nan konpayi yo se youn nan pi ijan nan mond lan. Lè sa a se pa etone, paske nan anpil peyi gen yon pi sere nan kondisyon pou òganizasyon ki estoke ak trete done pèsonèl. Kounye a, lejislasyon Ris mande pou kenbe yon pwopòsyon enpòtan nan koule dokiman sou fòm papye. An menm tan an, tandans nan direksyon dijitalizasyon se aparan: anpil konpayi deja estoke yon gwo kantite enfòmasyon konfidansyèl tou de nan fòma dijital ak nan fòm dokiman papye.
Dapre rezilta yo Sant analitik Anti-Malveyan, 86% nan moun ki repond te note ke pandan ane a yo omwen yon fwa te oblije rezoud ensidan apre atak cyber oswa kòm yon rezilta nan vyolasyon itilizatè yo nan règleman etabli yo. Nan sans sa a, priyorite sekirite enfòmasyon nan biznis te vin tounen yon nesesite.
Kounye a, sekirite enfòmasyon antrepriz se pa sèlman yon seri mwayen teknik, tankou antivirus oswa firewall, li se deja yon apwòch entegre nan manyen byen konpayi an jeneral ak enfòmasyon an patikilye. Konpayi yo apwoche pwoblèm sa yo yon fason diferan. Jodi a nou ta renmen pale sou aplikasyon estanda entènasyonal ISO 27001 kòm yon solisyon a yon pwoblèm konsa. Pou konpayi sou mache Ris la, prezans nan yon sètifika sa yo senplifye entèraksyon ak kliyan etranje ak patnè ki gen gwo kondisyon nan zafè sa a. ISO 27001 se lajman ki itilize nan Lwès la epi li kouvri kondisyon nan jaden an nan sekirite enfòmasyon, ki ta dwe kouvri pa solisyon yo teknik yo itilize, epi tou li kontribye nan devlopman nan pwosesis biznis. Kidonk, estanda sa a ka vin avantaj konpetitif ou ak yon pwen kontak ak konpayi etranje yo.
Sètifikasyon sa a nan Sistèm Jesyon Sekirite Enfòmasyon (ki refere yo kòm ISMS) kolekte pi bon pratik pou desine yon ISMS epi, sa ki enpòtan, bay posiblite pou yo chwazi zouti kontwòl pou asire fonksyone sistèm nan, kondisyon pou sipò sekirite teknolojik e menm. pou pwosesis jesyon pèsonèl nan konpayi an. Apre yo tout, li nesesè yo konprann ke echèk teknik yo se sèlman yon pati nan pwoblèm nan. Nan zafè sekirite enfòmasyon, faktè imen an jwe yon gwo wòl, epi li pi difisil pou elimine oswa minimize li.
Si konpayi ou a ap chèche vin sètifye ISO 27001, Lè sa a, ou ka deja eseye jwenn fason ki pi fasil fè li. Nou dwe desevwa ou: pa gen okenn fason fasil isit la. Sepandan, gen sèten etap ki pral ede prepare yon òganizasyon pou kondisyon sekirite enfòmasyon entènasyonal yo:
1. Jwenn sipò nan men jesyon
Ou ka panse ke sa a se evidan, men nan pratik pwen sa a souvan neglije. Anplis, sa a se youn nan rezon prensipal poukisa pwojè aplikasyon ISO 27001 souvan echwe. San yo pa konprann siyifikasyon pwojè aplikasyon estanda a, jesyon pa pral bay ni ase resous imen oswa ase bidjè pou sètifikasyon.
2. Devlope yon Plan Preparasyon Sètifikasyon
Preparasyon pou sètifikasyon ISO 27001 se yon travay konplèks ki enplike anpil diferan kalite travay, mande pou patisipasyon yon gwo kantite moun epi li ka pran plizyè mwa (oswa menm ane). Se poutèt sa, li trè enpòtan yo kreye yon plan pwojè detaye: asiyen resous, tan ak patisipasyon moun nan travay ki entèdi defini epi kontwole konfòmite ak dat limit - otreman ou pa janm ka fini travay la.
3. Defini perimèt sètifikasyon an
Si ou gen yon gwo òganizasyon ak aktivite divèsifye, li ka fè sans pou sètifye sèlman yon pati nan biznis konpayi an ISO 27001, ki pral siyifikativman redwi risk pou pwojè ou a, osi byen ke tan li yo ak pri.
4. Devlope yon politik sekirite enfòmasyon
Youn nan dokiman ki pi enpòtan yo se Règleman sekirite enfòmasyon konpayi an. Li ta dwe reflete objektif sekirite enfòmasyon konpayi ou a ak prensip debaz yo nan jesyon sekirite enfòmasyon, ki dwe swiv pa tout anplwaye yo. Objektif dokiman sa a se detèmine kisa jesyon konpayi an vle reyalize nan domèn sekirite enfòmasyon, ansanm ak fason sa a pral aplike ak kontwole.
5. Defini yon metodoloji evalyasyon risk
Youn nan travay ki pi difisil yo se defini règleman pou evalyasyon ak jesyon risk. Li enpòtan pou w konprann ki risk yon konpayi ka konsidere akseptab epi ki mande aksyon imedya pou diminye yo. San règ sa yo, ISMS a pa pral travay.
An menm tan an, li vo sonje si mezi yo pran pou diminye risk yo. Men, ou pa ta dwe twò pote ale ak pwosesis optimize a, paske yo menm tou yo gen gwo tan oswa depans finansye oswa yo ka tou senpleman enposib. Nou rekòmande pou w sèvi ak prensip "sifizans minimòm" lè w ap devlope mezi rediksyon risk.
6. Jere risk selon yon metodoloji apwouve
Pwochen etap la se aplikasyon ki konsistan nan metodoloji jesyon risk, se sa ki, evalyasyon yo ak pwosesis. Pwosesis sa a dwe fèt sou yon baz regilye ak anpil atansyon. Lè w kenbe enskripsyon risk sekirite enfòmasyon an ajou, w ap kapab byen asiyen resous konpayi yo epi anpeche ensidan grav.
7. Plan pou tretman risk
Risk ki depase yon nivo akseptab pou konpayi ou dwe enkli nan plan tretman risk. Li ta dwe anrejistre aksyon ki vize a diminye risk, osi byen ke moun ki responsab pou yo ak dat limit yo.
8. Ranpli Deklarasyon Aplikasyon an
Sa a se yon dokiman kle ke espesyalis nan kò sètifikasyon an pral etidye pandan kontwòl kontab la. Li ta dwe dekri ki kontwòl sekirite enfòmasyon ki aplike nan aktivite konpayi ou.
9. Detèmine kijan efikasite kontwòl sekirite enfòmasyon yo pral mezire.
Nenpòt aksyon dwe gen yon rezilta ki mennen nan akonplisman objektif etabli yo. Se poutèt sa, li enpòtan pou defini klèman pa ki paramèt yo pral mezire reyalizasyon objektif yo tou de pou tout sistèm jesyon sekirite enfòmasyon an ak pou chak mekanis kontwòl chwazi nan Anèks aplikasyon an.
10. Aplike kontwòl sekirite enfòmasyon
Epi sèlman apre w fin ranpli tout etap anvan yo ou ta dwe kòmanse aplike kontwòl sekirite enfòmasyon ki aplikab yo nan Apendis aplikasyon an. Pi gwo defi isit la, nan kou, pral entwodwi yon fason konplètman nouvo pou fè bagay atravè anpil nan pwosesis òganizasyon w lan. Moun yo gen tandans reziste nouvo politik ak pwosedi, kidonk peye atansyon sou pwen kap vini an.
11. Aplike pwogram fòmasyon pou anplwaye yo
Tout pwen ki dekri pi wo a pral san sans si anplwaye ou yo pa konprann enpòtans pwojè a epi yo pa aji an akò ak règleman sekirite enfòmasyon yo. Si ou vle anplwaye ou yo konfòme yo ak tout nouvo règ yo, ou bezwen premye eksplike moun poukisa yo nesesè, ak Lè sa a, bay fòmasyon sou ISMS a, mete aksan sou tout politik enpòtan ke anplwaye yo dwe pran an kont nan travay chak jou yo. Mank fòmasyon anplwaye yo se yon rezon komen pou echèk pwojè ISO 27001.
12. Kenbe pwosesis ISMS
Nan pwen sa a, ISO 27001 vin tounen yon woutin chak jou nan òganizasyon w. Pou konfime aplikasyon an nan kontwòl sekirite enfòmasyon an akò ak estanda a, oditè yo pral bezwen bay dosye - prèv nan operasyon aktyèl la nan kontwòl yo. Men, pi fò nan tout, dosye yo ta dwe ede w swiv si anplwaye ou yo (ak founisè) ap fè travay yo an akò ak règleman apwouve.
13. Siveye ISMS ou
Kisa k ap pase ak ISMS ou a? Konbyen ensidan ou genyen, ki kalite yo ye? Èske tout pwosedi yo swiv byen? Avèk kesyon sa yo, ou ta dwe tcheke si konpayi an satisfè objektif sekirite enfòmasyon li yo. Si ou pa, ou dwe devlope yon plan pou korije sitiyasyon an.
14. Fè yon odit entèn ISMS
Objektif odit entèn la se idantifye enkonsistans ant pwosesis aktyèl nan konpayi an ak règleman sekirite enfòmasyon apwouve. Pou pi fò, li tcheke pou wè nan ki jan anplwaye ou yo ap swiv règ yo. Sa a se yon pwen trè enpòtan, paske si ou pa kontwole travay la nan anplwaye ou a, òganizasyon an ka soufri domaj (entansyonèl oswa san entansyon). Men, objektif la isit la se pa jwenn koupab yo ak disipline yo pou yo pa konfòme yo ak règleman yo, men yo korije sitiyasyon an ak anpeche pwoblèm nan lavni.
15. Òganize yon revizyon jesyon
Jesyon pa ta dwe configured firewall ou, men yo ta dwe konnen sa k ap pase nan ISMS la: pou egzanp, si tout moun ap satisfè responsablite yo epi si ISMS la ap reyalize rezilta sib li yo. Ki baze sou sa, jesyon dwe pran desizyon kle yo amelyore ISMS yo ak pwosesis biznis entèn yo.
16. Entwodwi yon sistèm aksyon korektif ak prevantif
Tankou nenpòt estanda, ISO 27001 mande pou "amelyorasyon kontinyèl": koreksyon sistematik ak prevansyon nan enkonsistans nan sistèm jesyon sekirite enfòmasyon an. Atravè aksyon korektif ak prevantif, non-konfòmite a ka korije epi anpeche rekòmanse alavni.
An konklizyon, mwen ta renmen di ke an reyalite, jwenn sètifye se pi difisil pase sa ki dekri nan divès sous. Sa a se konfime pa lefèt ke nan Larisi jodi a gen sèlman yo te sètifye pou konfòmite. An menm tan an, sa a se youn nan estanda ki pi popilè aletranje, satisfè demand yo k ap grandi nan biznis nan jaden an nan sekirite enfòmasyon. Demann pou aplikasyon sa a se akòz kwasans ak konpleksite kalite menas yo, men tou ak egzijans lejislasyon an, ansanm ak kliyan ki bezwen kenbe konfidansyalite konplè sou done yo.
Malgre lefèt ke sètifikasyon ISMS se pa yon travay fasil, reyalite a anpil nan satisfè kondisyon ki nan estanda entènasyonal ISO / IEC 27001 ka bay yon avantaj konpetitif serye nan mache mondyal la. Nou espere ke atik nou an te bay yon premye konpreyansyon sou etap kle yo nan prepare yon konpayi pou sètifikasyon.
Sous: www.habr.com