Napjainkban a vállalatok információbiztonságának (a továbbiakban: információbiztonság) kérdése az egyik legégetőbb a világon. És ez nem meglepő, mert sok országban szigorítják a személyes adatokat tároló és feldolgozó szervezetekkel szemben támasztott követelményeket. Jelenleg az orosz jogszabályok előírják, hogy a dokumentumok áramlásának jelentős hányadát papír formában kell fenntartani. Ugyanakkor érzékelhető a digitalizáció irányába mutató tendencia: sok cég már most is nagy mennyiségű bizalmas információt tárol mind digitális formában, mind papíralapú dokumentumok formájában.
Az eredmények szerint Az Anti-Malware Analytical Center, a válaszadók 86%-a jegyezte meg, hogy az év során legalább egyszer meg kellett oldania a számítógépes támadások vagy a felhasználói szabályok megsértése miatti incidenseket. Ebben a tekintetben az információbiztonság előtérbe helyezése az üzleti életben elengedhetetlenné vált.
A vállalati információbiztonság jelenleg nem csupán technikai eszközök – például vírusirtó vagy tűzfal – összessége, hanem már integrált megközelítést jelent általában a vállalati vagyonkezelésben és különösen az információk kezelésében. A cégek különbözőképpen közelítik meg ezeket a problémákat. Ma az ISO 27001 nemzetközi szabvány bevezetéséről szeretnénk beszélni, mint egy ilyen probléma megoldására. Az orosz piacon működő vállalatok számára egy ilyen tanúsítvány megléte leegyszerűsíti a külföldi ügyfelekkel és partnerekkel való interakciót, akiknek magas követelményeket támasztanak ebben a kérdésben. Az ISO 27001 széles körben elterjedt Nyugaton, és lefedi az információbiztonság területére vonatkozó követelményeket, amelyeket az alkalmazott műszaki megoldásoknak le kell fedniük, és hozzájárulniuk kell az üzleti folyamatok fejlesztéséhez is. Így ez a szabvány az Ön versenyelőnyévé és külföldi cégekkel való kapcsolattartási ponttá válhat.
Az Információbiztonsági Irányítási Rendszer (továbbiakban: ISMS) ezen tanúsítása összegyűjtötte az ISMS tervezésének legjobb gyakorlatait, és ami fontos, lehetőséget biztosított a rendszer működését biztosító vezérlőeszközök kiválasztására, a technológiai biztonsági támogatás követelményeire, ill. a vállalat személyzeti menedzsment folyamatához. Végül is meg kell érteni, hogy a műszaki hibák csak egy részét képezik a problémának. Az információbiztonsági kérdésekben az emberi tényezőnek óriási szerepe van, ennek megszüntetése, minimalizálása sokkal nehezebb.
Ha cége ISO 27001 tanúsítványt szeretne szerezni, akkor előfordulhat, hogy már megpróbálta megtalálni ennek egyszerű módját. Csalódást kell okoznunk: itt nincsenek egyszerű utak. Vannak azonban bizonyos lépések, amelyek segítenek felkészíteni a szervezetet a nemzetközi információbiztonsági követelményekre:
1. Kérjen támogatást a vezetőségtől
Azt gondolhatja, hogy ez nyilvánvaló, de a gyakorlatban ezt a pontot gyakran figyelmen kívül hagyják. Sőt, ez az egyik fő oka annak, hogy az ISO 27001 implementációs projektek gyakran kudarcot vallanak. A standard megvalósítási projekt jelentőségének megértése nélkül a vezetőség sem elegendő emberi erőforrást, sem elegendő költségvetést nem biztosít a tanúsításhoz.
2. Készítsen tanúsítvány előkészítési tervet
Az ISO 27001 tanúsításra való felkészülés összetett feladat, amely sokféle munkával jár, nagyszámú ember bevonását igényli, és több hónapot (vagy akár éveket is igénybe vehet). Ezért nagyon fontos a részletes projektterv elkészítése: a szigorúan meghatározott feladatokhoz erőforrásokat, időt és az emberek bevonását ossza meg, és ellenőrizze a határidők betartását - különben előfordulhat, hogy soha nem fejezi be a munkát.
3. Határozza meg a tanúsítás körvonalát
Ha egy nagy szervezete szerteágazó tevékenységekkel rendelkezik, akkor érdemes lehet a vállalat üzleti tevékenységének csak egy részét tanúsítani az ISO 27001 szerint, ami jelentősen csökkenti a projekt kockázatát, valamint annak idejét és költségeit.
4. Információbiztonsági szabályzat kidolgozása
Az egyik legfontosabb dokumentum a vállalat információbiztonsági szabályzata. Ennek tükröznie kell cége információbiztonsági céljait és az információbiztonság menedzsment alapelveit, amelyeket minden dolgozónak be kell tartania. Jelen dokumentum célja annak meghatározása, hogy a vállalat vezetése mit szeretne elérni az információbiztonság területén, valamint ennek megvalósítása és ellenőrzése.
5. Határozza meg a kockázatértékelési módszertant
Az egyik legnehezebb feladat a kockázatértékelés és -kezelés szabályainak meghatározása. Fontos megérteni, hogy egy vállalat mely kockázatokat tarthatja elfogadhatónak, és melyek azok, amelyek azonnali intézkedést igényelnek azok csökkentése érdekében. E szabályok nélkül az ISMS nem fog működni.
Ugyanakkor érdemes emlékezni a kockázatok csökkentésére hozott intézkedések megfelelőségére. De nem szabad túlságosan elragadtatni magát az optimalizálási folyamattal, mert ezek is jelentős idő- vagy pénzügyi költségekkel járnak, vagy egyszerűen lehetetlenek. Javasoljuk, hogy a kockázatcsökkentő intézkedések kidolgozásakor használja a „minimális elegendőség” elvét.
6. Kockázatok kezelése jóváhagyott módszertan szerint
A következő lépés a kockázatkezelési módszertan következetes alkalmazása, vagyis azok értékelése és feldolgozása. Ezt a folyamatot rendszeresen, nagy körültekintéssel kell elvégezni. Az információbiztonsági kockázati nyilvántartás naprakészen tartásával hatékonyan oszthatja el a vállalati erőforrásokat, és megelőzheti a súlyos incidenseket.
7. Tervezze meg a kockázatkezelést
Azokat a kockázatokat, amelyek meghaladják az Ön vállalata számára elfogadható szintet, be kell építeni a kockázatkezelési tervbe. Rögzítenie kell a kockázatok csökkentését célzó intézkedéseket, valamint az ezekért felelős személyeket és a határidőket.
8. Töltse ki az Alkalmazhatósági nyilatkozatot
Ez egy kulcsfontosságú dokumentum, amelyet a tanúsító szervezet szakemberei tanulmányoznak az audit során. Le kell írnia, hogy mely információbiztonsági ellenőrzések vonatkoznak a vállalat tevékenységeire.
9. Határozza meg, hogyan kell mérni az információbiztonsági ellenőrzések hatékonyságát.
Minden cselekvésnek olyan eredménnyel kell járnia, amely a kitűzött célok teljesítéséhez vezet. Ezért fontos egyértelműen meghatározni, hogy a célok elérése milyen paraméterekkel mérhető mind a teljes információbiztonság-irányítási rendszerre, mind az Alkalmazhatósági mellékletből kiválasztott ellenőrzési mechanizmusokra vonatkozóan.
10. Hajtsa végre az információbiztonsági ellenőrzéseket
És csak az összes előző lépés végrehajtása után kezdje meg az Alkalmazhatósági függelékben található információbiztonsági vezérlők bevezetését. A legnagyobb kihívás természetesen egy teljesen új módszer bevezetése a szervezet számos folyamatában. Az emberek hajlamosak ellenállni az új irányelveknek és eljárásoknak, ezért figyeljen a következő pontra.
11. Képzési programok végrehajtása az alkalmazottak számára
A fent leírt pontok mindegyike értelmetlen lesz, ha alkalmazottai nem értik a projekt fontosságát, és nem az információbiztonsági irányelveknek megfelelően cselekszenek. Ha azt szeretné, hogy munkatársai megfeleljenek az összes új szabálynak, először el kell magyaráznia az embereknek, miért van rájuk szükség, majd képzést kell tartania az ISMS-ről, kiemelve mindazon fontos irányelveket, amelyeket az alkalmazottaknak figyelembe kell venniük a napi munkájuk során. A személyzet képzésének hiánya az ISO 27001 projekt kudarcának gyakori oka.
12. ISMS folyamatok karbantartása
Ezen a ponton az ISO 27001 napi rutinná válik a szervezetében. Az információbiztonsági ellenőrzések szabvány szerinti végrehajtásának megerősítése érdekében az ellenőröknek feljegyzéseket kell szolgáltatniuk – bizonyítékot kell szolgáltatniuk az ellenőrzések tényleges működésére. De leginkább a nyilvántartásoknak kell segíteniük annak nyomon követésében, hogy alkalmazottai (és beszállítói) a jóváhagyott szabályoknak megfelelően végzik-e feladataikat.
13. Figyelje ISMS-ét
Mi történik az ISMS-eddel? Hány eseménye van, milyen típusúak? Minden eljárást megfelelően követnek? Ezekkel a kérdésekkel ellenőriznie kell, hogy a vállalat teljesíti-e információbiztonsági céljait. Ha nem, akkor tervet kell kidolgoznia a helyzet javítására.
14. Végezzen belső ISMS auditot
A belső audit célja a vállalat tényleges folyamatai és a jóváhagyott információbiztonsági szabályzatok közötti ellentmondások feltárása. A legtöbb esetben annak ellenőrzése, hogy az alkalmazottak mennyire tartják be a szabályokat. Ez egy nagyon fontos pont, mert ha nem irányítja munkatársai munkáját, akkor a szervezetet (szándékos vagy nem szándékos) kár érheti. De itt nem az a cél, hogy megtalálják a tetteseket, és fegyelmezzenek az irányelvek be nem tartása miatt, hanem a helyzet kijavítása és a jövőbeni problémák megelőzése.
15. Vezetői szemle szervezése
A menedzsmentnek nem szabad konfigurálnia a tűzfalat, de tudnia kell, hogy mi történik az ISMS-ben: például, hogy mindenki teljesíti-e a kötelezettségeit, és hogy az ISMS eléri-e a kitűzött eredményeit. Ez alapján a vezetőségnek kulcsfontosságú döntéseket kell meghoznia az ISMS és a belső üzleti folyamatok fejlesztése érdekében.
16. Korrekciós és megelőző intézkedések rendszerének bevezetése
Mint minden szabvány, az ISO 27001 is „folyamatos fejlesztést” igényel: az információbiztonsági irányítási rendszer következetlenségeinek szisztematikus korrekcióját és megelőzését. A korrekciós és megelőző intézkedésekkel a nem megfelelőség korrigálható, és megakadályozható a jövőbeni újbóli előfordulása.
Végezetül szeretném elmondani, hogy valójában a tanúsítvány megszerzése sokkal nehezebb, mint ahogy azt a különböző források leírják. Ezt megerősíti az a tény, hogy Oroszországban ma már csak megfelelőségi tanúsítványt kaptak. Ugyanakkor ez az egyik legnépszerűbb szabvány külföldön, amely megfelel az üzleti élet növekvő információbiztonsági igényeinek. Ez a megvalósítási igény nemcsak a fenyegetések fajtáinak növekedéséből és összetettségéből adódik, hanem a jogszabályi követelményeknek, valamint az ügyfeleknek, akiknek meg kell őrizniük adataik teljes körű titkosságát.
Annak ellenére, hogy az ISMS tanúsítás nem könnyű feladat, már az ISO/IEC 27001 nemzetközi szabvány követelményeinek való megfelelés ténye is komoly versenyelőnyt jelenthet a világpiacon. Reméljük, hogy cikkünk kezdetben megértette a vállalat tanúsításra való felkészítésének legfontosabb lépéseit.
Forrás: will.com