Saiki, masalah keamanan informasi (sabanjuré diarani keamanan informasi) perusahaan minangka salah sawijining sing paling penting ing donya. Lan iki ora nggumunake, amarga ing pirang-pirang negara ana syarat ketat kanggo organisasi sing nyimpen lan ngolah data pribadi. Saiki, aturan Rusia mbutuhake njaga proporsi sing signifikan saka aliran dokumen ing wangun kertas. Ing wektu sing padha, tren menyang digitalisasi katon: akeh perusahaan wis nyimpen akeh informasi rahasia ing format digital lan ing wangun dokumen kertas.
Miturut asil Pusat Analitik Anti-Malware, 86% responden nyathet yen sajrone taun paling ora sapisan kudu ngrampungake kedadeyan sawise serangan cyber utawa minangka akibat saka pelanggaran pangguna marang peraturan sing wis ditetepake. Ing babagan iki, prioritas keamanan informasi ing bisnis wis dadi kabutuhan.
Saiki, keamanan informasi perusahaan ora mung minangka piranti teknis, kayata antivirus utawa firewall, nanging wis dadi pendekatan terpadu kanggo nangani aset perusahaan ing umum lan informasi khusus. Perusahaan nyedhaki masalah kasebut kanthi cara sing beda. Dina iki kita pengin ngomong babagan implementasine standar internasional ISO 27001 minangka solusi kanggo masalah kasebut. Kanggo perusahaan ing pasar Rusia, anané sertifikat kasebut nyederhanakake interaksi karo klien lan mitra manca sing nduweni syarat dhuwur ing perkara iki. ISO 27001 digunakake sacara wiyar ing Kulon lan nyakup syarat ing bidang keamanan informasi, sing kudu diliputi dening solusi teknis sing digunakake, lan uga nyumbang kanggo pangembangan proses bisnis. Mangkono, standar iki bisa dadi kauntungan kompetitif lan titik kontak karo perusahaan manca.
Sertifikasi Sistem Manajemen Keamanan Informasi iki (sabanjuré diarani ISMS) ngumpulake praktik paling apik kanggo ngrancang ISMS lan, sing penting, kasedhiya kanggo milih alat kontrol kanggo njamin fungsi sistem kasebut, syarat kanggo dhukungan keamanan teknologi lan malah kanggo proses manajemen personel ing perusahaan. Sawise kabeh, perlu dingerteni manawa kegagalan teknis mung minangka bagean saka masalah kasebut. Ing babagan keamanan informasi, faktor manungsa nduweni peran gedhe, lan luwih angel kanggo ngilangi utawa nyuda.
Yen perusahaan sampeyan pengin dadi sertifikasi ISO 27001, mula sampeyan bisa uga wis nyoba golek cara sing gampang. Kita kudu nguciwani sampeyan: ora ana cara sing gampang ing kene. Nanging, ana langkah tartamtu sing bakal mbantu nyiapake organisasi kanggo syarat keamanan informasi internasional:
1. Njaluk dhukungan saka manajemen
Sampeyan bisa uga mikir iki ketok, nanging ing laku titik iki asring diabaikan. Kajaba iku, iki minangka salah sawijining sebab utama kenapa proyek implementasi ISO 27001 asring gagal. Tanpa mangerteni pentinge proyek implementasi standar, manajemen ora bakal nyedhiyakake sumber daya manusia sing cukup utawa anggaran sing cukup kanggo sertifikasi.
2. Nggawe Rencana Persiapan Sertifikasi
Nyiyapake sertifikasi ISO 27001 minangka tugas rumit sing kalebu macem-macem jinis pakaryan, mbutuhake keterlibatan akeh wong lan bisa nganti pirang-pirang wulan (utawa malah taun). Mulane, penting banget kanggo nggawe rencana proyek sing rinci: nyedhiyakake sumber daya, wektu lan keterlibatan wong kanggo tugas sing ditetepake kanthi ketat lan ngawasi kepatuhan karo tenggat wektu - yen ora, sampeyan ora bakal bisa ngrampungake karya kasebut.
3. Netepake perimeter sertifikasi
Yen sampeyan duwe organisasi gedhe kanthi macem-macem kegiatan, bisa uga penting yen mung nandhakake bagean saka bisnis perusahaan menyang ISO 27001, sing bakal nyuda resiko proyek sampeyan, uga wektu lan biaya.
4. Ngembangake kabijakan keamanan informasi
Salah sawijining dokumen sing paling penting yaiku Kebijakan Keamanan Informasi perusahaan. Iki kudu nggambarake tujuan keamanan informasi perusahaan lan prinsip dhasar manajemen keamanan informasi, sing kudu ditindakake kabeh karyawan. Tujuan saka dokumen iki yaiku kanggo nemtokake apa sing dikarepake manajemen perusahaan ing bidang keamanan informasi, uga carane iki bakal ditindakake lan dikontrol.
5. Netepake metodologi penilaian risiko
Salah sawijining tugas sing paling angel yaiku nemtokake aturan kanggo penilaian lan manajemen risiko. Penting kanggo mangerteni risiko apa sing bisa dianggep perusahaan bisa ditrima lan sing mbutuhake tindakan langsung kanggo nyuda. Tanpa aturan kasebut, ISMS ora bakal bisa digunakake.
Ing wektu sing padha, perlu elinga kecukupan langkah-langkah sing ditindakake kanggo nyuda risiko. Nanging sampeyan ora perlu banget digawa karo proses optimasi, amarga uga mbutuhake wektu gedhe utawa biaya finansial utawa bisa uga ora mungkin. Disaranake sampeyan nggunakake prinsip "kecukupan minimal" nalika ngembangake langkah-langkah pengurangan risiko.
6. Ngatur risiko miturut metodologi sing disetujoni
Tahap sabanjure yaiku aplikasi konsisten metodologi manajemen risiko, yaiku penilaian lan proses. Proses iki kudu ditindakake kanthi rutin kanthi ati-ati. Kanthi tetep nganyari registrasi risiko keamanan informasi, sampeyan bakal bisa ngalokasi sumber daya perusahaan kanthi efektif lan nyegah kedadeyan serius.
7. Rencana perawatan resiko
Risiko sing ngluwihi tingkat sing bisa ditampa kanggo perusahaan sampeyan kudu kalebu ing rencana perawatan risiko. Sampeyan kudu ngrekam tumindak sing tujuane nyuda risiko, uga wong sing tanggung jawab lan tenggat wektu.
8. Rampungake Pranyatan Aplikasi
Iki minangka dokumen penting sing bakal diteliti dening spesialis saka badan sertifikasi sajrone audit. Sampeyan kudu njlèntrèhaké kontrol keamanan informasi sing ditrapake kanggo aktivitas perusahaan sampeyan.
9. Nemtokake carane efektifitas kontrol keamanan informasi bakal diukur.
Tumindak apa wae kudu ana asil kanggo nggayuh tujuan sing wis ditemtokake. Mula, penting kanggo nemtokake kanthi jelas kanthi paramèter apa sing bakal diukur kanggo nggayuh tujuan kanggo kabeh sistem manajemen keamanan informasi lan kanggo saben mekanisme kontrol sing dipilih saka Applicability Annex.
10. Ngleksanakake kontrol keamanan informasi
Lan mung sawise ngrampungake kabeh langkah sadurunge sampeyan kudu miwiti ngleksanakake kontrol keamanan informasi sing ditrapake saka Applicability Appendix. Tantangan paling gedhe ing kene, mesthi, bakal ngenalake cara sing anyar kanggo nindakake kabeh proses ing organisasi sampeyan. Wong cenderung nolak kabijakan lan tata cara anyar, mula kudu digatekake babagan sabanjure.
11. Ngleksanakake program pelatihan kanggo karyawan
Kabeh poin sing diterangake ing ndhuwur ora ana gunane yen karyawan sampeyan ora ngerti pentinge proyek kasebut lan ora tumindak miturut kabijakan keamanan informasi. Yen sampeyan pengin staf sampeyan tundhuk karo kabeh aturan anyar, sampeyan kudu nerangake marang wong-wong kenapa perlu, banjur menehi latihan babagan ISMS, nyorot kabeh kabijakan penting sing kudu digatekake karyawan ing karya saben dinane. Kurang pelatihan staf minangka alasan umum kanggo kegagalan proyek ISO 27001.
12. Njaga proses ISMS
Ing wektu iki, ISO 27001 dadi rutinitas saben dina ing organisasi sampeyan. Kanggo ngonfirmasi implementasine kontrol keamanan informasi sing cocog karo standar, auditor kudu nyedhiyani cathetan - bukti operasi nyata saka kontrol. Nanging sing paling penting, cathetan kudu mbantu sampeyan nglacak manawa karyawan (lan pemasok) nindakake tugas kasebut miturut aturan sing disetujoni.
13. Monitor ISMS sampeyan
Apa sing kedadeyan karo ISMS sampeyan? Pira kedadeyan sampeyan, jinis apa? Apa kabeh prosedur ditindakake kanthi bener? Kanthi pitakonan kasebut, sampeyan kudu mriksa manawa perusahaan wis ngrampungake tujuan keamanan informasi. Yen ora, sampeyan kudu nggawe rencana kanggo mbenerake kahanan kasebut.
14. Nindakake audit internal ISMS
Tujuan audit internal yaiku kanggo ngenali inconsistencies antarane proses nyata ing perusahaan lan kabijakan keamanan informasi sing disetujoni. Umume, mriksa kanggo ndeleng kepiye karyawan sampeyan nuruti aturan kasebut. Iki minangka titik sing penting banget, amarga yen sampeyan ora ngontrol karya staf sampeyan, organisasi bisa ngalami karusakan (sengaja utawa ora disengaja). Nanging tujuane ing kene ora kanggo nemokake pelakune lan ndisiplinake amarga ora netepi kabijakan, nanging kanggo mbenerake kahanan lan nyegah masalah ing mangsa ngarep.
15. Ngatur review manajemen
Manajemen ngirim ora ngatur firewall sampeyan, nanging kudu ngerti apa sing kedadeyan ing ISMS: contone, apa saben wong wis ngrampungake tanggung jawab lan apa ISMS entuk asil target. Adhedhasar iki, manajemen kudu nggawe keputusan penting kanggo nambah ISMS lan proses bisnis internal.
16. Ngenalake sistem tumindak korektif lan nyegah
Kaya standar apa wae, ISO 27001 mbutuhake "perbaikan terus-terusan": koreksi sistematis lan nyegah inkonsistensi ing sistem manajemen keamanan informasi. Liwat tumindak korektif lan nyegah, nonconformity bisa didandani lan dicegah supaya ora kedadeyan maneh ing mangsa ngarep.
Kesimpulane, aku pengin ujar manawa, entuk sertifikasi luwih angel tinimbang sing diterangake ing macem-macem sumber. Iki dikonfirmasi dening kasunyatan sing ing Rusia saiki mung ana wis disertifikasi kanggo kepatuhan. Ing wektu sing padha, iki minangka salah sawijining standar sing paling populer ing luar negeri, nyukupi panjaluk bisnis sing saya tambah akeh ing bidang keamanan informasi. Panjaluk implementasine iki ora mung amarga tuwuh lan kerumitan jinis ancaman, nanging uga kanggo syarat undang-undang, uga klien sing kudu njaga rahasia lengkap data.
Sanajan kasunyatan manawa sertifikasi ISMS dudu tugas sing gampang, kasunyatan sing nyukupi syarat standar internasional ISO / IEC 27001 bisa menehi kauntungan kompetitif sing serius ing pasar global. Muga-muga artikel kita wis menehi pemahaman awal babagan tahapan utama ing nyiapake perusahaan kanggo sertifikasi.
Source: www.habr.com