Îro, mijara ewlehiya agahdariyê (li vir wekî ewlehiya agahdariyê tê gotin) ya pargîdaniyan di cîhanê de yek ji wan ên herî giran e. Û ev ne ecêb e, ji ber ku li gelek welatan ji bo rêxistinên ku daneyên kesane hilînin û pêvajoy dikin hewcedariyek hişk heye. Heya nuha, qanûnên rûsî hewce dike ku rêjeyek girîng a herikîna belgeyê di forma kaxezê de biparêze. Di heman demê de, meyla ber bi dîjîtalbûnê ve tê xuyang kirin: gelek pargîdan berê gelek agahdariya nepenî hem di forma dîjîtal û hem jî di forma belgeyên kaxezê de hilînin.
Li gorî encamên Navenda Analîtîk a Antî-Malware, 86% ji beşdaran destnîşan kir ku di nav salê de ew bi kêmî ve carekê neçar bûn ku bûyerên piştî êrişên sîber an jî di encama binpêkirinên bikarhêner ên rêzikên sazkirî de çareser bikin. Di vî warî de, pêşîgirtina ewlehiya agahdariyê di karsaziyê de bûye pêdivîyek.
Heya nuha, ewlehiya agahdariya pargîdanî ne tenê komek rêgezên teknîkî ye, wekî antivirus an dîwarên agir, ew jixwe nêzîkbûnek yekgirtî ye ji bo birêvebirina malên pargîdaniyê bi gelemperî û agahdariya bi taybetî. Şirket van pirsgirêkan cuda cuda dikin. Îro em dixwazin li ser pêkanîna standarda navneteweyî ISO 27001 wekî çareseriyek ji pirsgirêkek weha re biaxivin. Ji bo pargîdaniyên li ser bazara rûsî, hebûna sertîfîkayek wusa danûstendina bi xerîdar û hevkarên biyanî yên ku di vê mijarê de hewcedariyên wan bilind in re hêsan dike. ISO 27001 li Rojava bi berfirehî tê bikar anîn û hewcedariyên di warê ewlehiya agahdariyê de vedihewîne, ku divê ji hêla çareseriyên teknîkî yên têne bikar anîn ve were vegirtin, û her weha beşdarî pêşveçûna pêvajoyên karsaziyê jî bibe. Bi vî rengî, ev standard dikare bibe berjewendiya weya pêşbaziyê û xalek pêwendiyê bi pargîdaniyên biyanî re.
Vê sertîfîkayê ya Pergala Rêvebiriya Ewlekariya Agahdariyê (ji vir şûnde wekî ISMS tê binav kirin) ji bo sêwirana ISMS-ê pratîkên çêtirîn berhev kir û ya girîng jî, derfeta hilbijartina amûrên kontrolê peyda kir da ku karûbarê pergalê, hewcedariyên ji bo piştgiriya ewlehiya teknolojîk û hetta ji bo pêvajoya rêveberiya personelê di pargîdaniyê de. Beriya her tiştî, pêdivî ye ku meriv fêm bike ku têkçûnên teknîkî tenê beşek pirsgirêkê ne. Di mijarên ewlehiya agahdariyê de, faktora mirovî rolek mezin dilîze, û jêbirin an kêmkirina wê pir dijwartir e.
Ger pargîdaniya we digere ku bibe ISO 27001 pejirandî, wê hingê dibe ku we berê hewl da ku hûn riya hêsan bibînin ku wê bikin. Divê em we bêhêvî bikin: li vir rêyên hêsan tune. Lêbelê, hin gav hene ku dê bibin alîkar ku rêxistinek ji bo hewcedariyên ewlehiya agahdariya navneteweyî amade bike:
1. Ji rêveberiyê piştgirî bistînin
Hûn dikarin bifikirin ku ev eşkere ye, lê di pratîkê de ev xal pir caran tête paşguh kirin. Wekî din, ev yek ji sedemên sereke ye ku projeyên bicîhkirina ISO 27001 bi gelemperî têk diçin. Bêyî têgihîştina girîngiya projeya pêkanîna standard, rêveberî dê ne çavkaniyên mirovî yên têr û ne jî budceya têr ji bo pejirandinê peyda neke.
2. Plana Amadekirina Sertîfîkayê bi pêş bixin
Amadekirina ji bo sertîfîkaya ISO 27001 karekî tevlihev e ku gelek cûreyên xebatê digire nav xwe, tevlêbûna hejmareke mezin ji mirovan hewce dike û dikare gelek mehan (an jî salan) bigire. Ji ber vê yekê, pir girîng e ku hûn plansaziyek projeyek hûrgulî biafirînin: çavkaniyan, dem û tevlêbûna mirovan ji karên bi hişkî diyarkirî re veqetînin û lihevhatina maweyan bişopînin - wekî din hûn ê çu carî kar neqedînin.
3. Perimeterê sertîfîkayê diyar bikin
Ger we rêxistinek mezin a bi çalakiyên cihêreng heye, dibe ku maqûl be ku hûn tenê beşek karsaziya pargîdaniyê bi ISO 27001 verast bikin, ku ev ê xetera projeya we û her weha dem û lêçûna wê bi girîngî kêm bike.
4. Siyaseta ewlekariya agahiyê pêş bixin
Yek ji belgeyên herî girîng Polîtîkaya Ewlekariya Agahdariya pargîdaniyê ye. Pêdivî ye ku ew armancên ewlehiya agahdariya pargîdaniya we û prensîbên bingehîn ên rêveberiya ewlehiya agahdariyê nîşan bide, ku divê ji hêla hemî karmendan ve were şopandin. Armanca vê belgeyê ew e ku diyar bike ka rêveberiya şirketê dixwaze di warê ewlehiya agahdariyê de çi bi dest bixe, her weha dê ev yek çawa were pêkanîn û kontrol kirin.
5. Rêbazek nirxandina rîskê diyar bike
Yek ji karên herî dijwar diyarkirina qaîdeyên ji bo nirxandin û birêvebirina xetereyê ye. Girîng e ku meriv fêm bike ka kîjan xetereyên pargîdaniyek dikare qebûl bike û kîjan ji bo kêmkirina wan çalakiya bilez hewce dike. Bêyî van rêbazan, ISMS dê nexebite.
Di heman demê de, hêja ye ku têra tedbîrên ku ji bo kêmkirina xetereyan hatine girtin bi bîr bînin. Lê pêdivî ye ku hûn bi pêvajoya xweşbîniyê re pir xwe negirin, ji ber ku ew di heman demê de lêçûnên dem an darayî yên mezin vedigirin an jî dibe ku ne gengaz be. Em pêşniyar dikin ku hûn di dema pêşdebirina tedbîrên kêmkirina xetereyê de prensîba "têra herî kêm" bikar bînin.
6. Rîskan li gorî rêbazek pejirandî birêve bibin
Qonaxa paşîn serîlêdana domdar a metodolojiya rêveberiya xetereyê ye, ango nirxandin û hilanîna wan. Divê ev pêvajo bi rêkûpêk bi baldarî were meşandin. Bi nûvekirina qeydkirina xetera ewlehiya agahdariyê, hûn ê karibin çavkaniyên pargîdaniyê bi bandor veqetînin û pêşî li bûyerên giran bigirin.
7. Tedawiya rîskê plan bikin
Rîskên ku ji astek pejirandî ji bo pargîdaniya we derbas dibin divê di plansaziya dermankirina xetereyê de cih bigirin. Divê ew kiryarên ku ji bo kêmkirina xetereyan têne armanc kirin, û her weha berpirsiyarên wan û muhletan tomar bike.
8. Daxuyaniya Serlêdanê temam bikin
Ev belgeyek sereke ye ku dê di dema kontrolê de ji hêla pisporên saziya pejirandinê ve were xwendin. Pêdivî ye ku ew diyar bike ka kîjan kontrolên ewlehiya agahdariyê li ser çalakiyên pargîdaniya we bicîh tîne.
9. Tesbît bike ka dê bandorkeriya kontrolên ewlehiya agahdariyê çawa were pîvandin.
Divê her çalakî bibe xwedî encamek ku bigihêje armancên hatine destnîşan kirin. Ji ber vê yekê, girîng e ku bi zelalî were destnîşankirin ku bi kîjan pîvanan gihîştina armancan dê hem ji bo tevahiya pergala rêveberiya ewlehiya agahdariyan û hem jî ji bo her mekanîzmaya kontrolê ya bijartî ji Pêveka Serlêdanê were pîvandin.
10. Kontrolên ewlekariya agahdariyê pêk bînin
Û tenê piştî temamkirina hemî gavên berê, divê hûn dest bi bicihanîna kontrolên ewlehiya agahdariyê yên ji Pêveka Serlêdanê bikin. Pirsgirêka herî mezin li vir, bê guman, dê danasîna rêyek bi tevahî nû ya kirina tiştan di gelek pêvajoyên rêxistina we de be. Mirov li hember siyaset û prosedurên nû li ber xwe didin, ji ber vê yekê bala xwe bidin xala din.
11. Ji bo karmendan bernameyên perwerdehiyê pêk bînin
Hemî xalên ku li jor hatine destnîşan kirin dê bêwate bin heke karmendên we girîngiya projeyê fam nekin û li gorî polîtîkayên ewlehiya agahdariyê tevnegerin. Ger hûn dixwazin karmendên we hemî qaîdeyên nû tevbigerin, hûn pêşî hewce ne ku ji mirovan re rave bikin ka çima ew hewce ne, û dûv re perwerdehiyê li ser ISMS peyda bikin, hemî polîtîkayên girîng ên ku karmend divê di xebata xwe ya rojane de li ber çavan bigirin ronî bikin. Nebûna perwerdehiya karmendan sedemek hevpar a têkçûna projeya ISO 27001 e.
12. Pêvajoyên ISMS-ê biparêzin
Di vê xalê de, ISO 27001 di rêxistina we de dibe rûtînek rojane. Ji bo piştrastkirina pêkanîna kontrolên ewlehiya agahdarî li gorî standardê, pêdivî ye ku çavdêran tomaran peyda bikin - delîlên operasyona rastîn a kontrolê. Lê ya herî zêde, tomar divê ji we re bibin alîkar ku hûn bişopînin ka karmendên we (û dabînker) li gorî rêzikên pejirandî karên xwe dikin.
13. ISMS-a xwe bişopînin
Bi ISMS-a we re çi diqewime? Çend bûyerên we hene, çi cure ne? Ma hemî prosedurên bi rêkûpêk têne şopandin? Bi van pirsan re, divê hûn kontrol bikin ka pargîdanî armancên ewlehiya agahdariya xwe pêk tîne. Heke ne, divê hûn planek çêbikin ku rewşê rast bikin.
14. Kontrola ISMS-a navxweyî pêk bînin
Armanca kontrolkirina hundurîn ew e ku nakokiyên di navbera pêvajoyên rastîn ên pargîdaniyê û polîtîkayên ewlehiya agahdariya pejirandî de nas bike. Bi piranî, ew kontrol dike ku hûn bibînin ka karmendên we çiqas qaîdeyan bişopînin. Ev xalek pir girîng e, ji ber ku heke hûn karê karmendên xwe kontrol nekin, dibe ku rêxistin zirarê bibîne (bi qest an jî ne mebest). Lê di vir de armanc ne dîtina sûcdaran û terbiyekirina wan ji ber nelirêtiya siyasetan e, lê belê armanc rastkirina rewşê û pêşîgirtina li pirsgirêkên pêşerojê ye.
15. Vekolînek rêveberiyê organîze bikin
Pêdivî ye ku rêveberî dîwarê weya fireh mîheng neke, lê divê ew zanibin ka di ISMS-ê de çi diqewime: mînakî, gelo her kes berpirsiyariyên xwe bicîh tîne û gelo ISMS digihîje encamên armanca xwe. Li ser vê yekê, rêveberî divê biryarên sereke bide ku ISMS û pêvajoyên karsaziya navxweyî baştir bike.
16. Pergalek çalakiyên rastkirin û pêşîlêgirtinê destnîşan bikin
Mîna her standardek, ISO 27001 "pêşveçûnek domdar" hewce dike: rastkirina sîstematîk û pêşîlêgirtina nakokiyên di pergala rêveberiya ewlehiya agahdariyê de. Bi çalakiyên rastkirin û pêşîlêgirtinê, nelihevî dikare were rast kirin û pêşî lê bê girtin ku di pêşerojê de dubare nebe.
Di encamê de, ez dixwazim bibêjim ku bi rastî, wergirtina sertîfîkayê ji ya ku di çavkaniyên cihêreng de hatî destnîşan kirin pir dijwartir e. Ev ji hêla rastiyê ve tê pejirandin ku îro li Rûsyayê tenê hene ji bo lihevhatinê hatine pejirandin. Di heman demê de, ev yek ji standardên herî populer ên li derveyî welat e, ku di warê ewlehiya agahdariyê de daxwazên mezin ên karsaziyê bicîh tîne. Ev daxwaza pêkanînê ne tenê ji ber mezinbûn û tevliheviya celebên gefan, lê di heman demê de ji ber hewcedariyên qanûnê, û her weha xerîdarên ku hewce ne nepeniya tam a daneyên xwe biparêzin ye.
Tevî vê rastiyê ku pejirandina ISMS ne karekî hêsan e, rastiya pêkanîna hewcedariyên standarda navneteweyî ISO/IEC 27001 dikare di bazara gerdûnî de avantajek ciddî ya pêşbaziyê peyda bike. Em hêvî dikin ku gotara me têgihîştina destpêkê ya qonaxên sereke yên amadekirina pargîdaniyek ji bo pejirandinê peyda kiriye.
Source: www.habr.com