Haut ass d'Fro vun der Informatiounssécherheet (nodréiglech Informatiounssécherheet bezeechent) vun de Firmen eng vun den dréngendsten op der Welt. An dëst ass net iwwerraschend, well a ville Länner gëtt et eng Verschäerfung vun Ufuerderunge fir Organisatiounen déi perséinlech Daten späicheren a veraarbecht. Momentan erfuerdert d'russesch Gesetzgebung e wesentlechen Undeel vum Dokumentfloss a Pabeierform ze halen. Zur selwechter Zäit ass den Trend zu Digitaliséierung bemierkbar: vill Firmen späichere schonn eng grouss Quantitéit u vertraulech Informatioun souwuel am digitale Format wéi a Form vu Pabeierdokumenter.
Laut de Resultater Anti-Malware Analytesch Center, 86% vun de Befroten bemierkt datt während dem Joer op d'mannst eemol Tëschefäll no Cyberattacken oder als Resultat vu Benotzerverstouss géint etabléiert Reglementer léisen. An dëser Hisiicht ass d'Prioritéit vun Informatiounssécherheet am Geschäft eng Noutwennegkeet ginn.
De Moment ass d'Firma Informatiounssécherheet net nëmmen eng Rei vun technesche Mëttelen, wéi Antivirusen oder Firewalls, et ass schonn eng integréiert Approche fir d'Behandlung vun Firmenverméigen am Allgemengen a Informatioun besonnesch. Firmen Approche dës Problemer anescht. Haut wëlle mir iwwer d'Ëmsetzung vum internationale Standard ISO 27001 schwätzen als Léisung fir sou e Problem. Fir Firmen um russesche Maart, d'Präsenz vun esou engem Zertifikat vereinfacht Interaktioun mat auslännesche Clienten a Partner, déi héich Ufuerderunge an dëser Matière hunn. ISO 27001 gëtt vill am Westen benotzt an deckt Ufuerderungen am Beräich vun der Informatiounssécherheet, déi solle vun den benotzte technesche Léisunge gedeckt ginn, an och zur Entwécklung vu Geschäftsprozesser bäidroen. Sou kann dëse Standard Äre kompetitive Virdeel an e Kontaktpunkt mat auslännesche Firmen ginn.
Dës Zertifizéierung vum Informatiounssécherheets Management System (nodréiglech als ISMS bezeechent) huet déi bescht Praktiken gesammelt fir en ISMS ze designen an, wichteg, d'Méiglechkeet fir Kontrollinstrumenter ze wielen fir de Fonctionnement vum System ze garantéieren, Ufuerderunge fir technologesch Sécherheetssupport a souguer fir de Personalmanagementprozess an der Firma. No allem ass et néideg ze verstoen datt technesch Feeler nëmmen en Deel vum Problem sinn. An Informatiounssécherheetsfroen spillt de mënschleche Faktor eng grouss Roll, an et ass vill méi schwéier et ze eliminéieren oder ze minimiséieren.
Wann Är Firma sicht ISO 27001 zertifizéiert ze ginn, da hutt Dir vläicht scho probéiert den einfache Wee ze fannen et ze maachen. Mir mussen Iech enttäuschen: et gi keng einfach Weeër hei. Wéi och ëmmer, et gi verschidde Schrëtt déi hëllefen eng Organisatioun op international Informatiounssécherheetsufuerderunge virzebereeden:
1. Kréien Ënnerstëtzung vun Gestioun
Dir mengt vläicht datt dëst evident ass, awer an der Praxis gëtt dëse Punkt dacks iwwersinn. Ausserdeem ass dëst ee vun den Haaptgrënn firwat ISO 27001 Implementatiounsprojeten dacks feelen. Ouni d'Bedeitung vum Standard Implementatiounsprojet ze verstoen, gëtt d'Gestioun weder genuch mënschlech Ressourcen oder genuch Budget fir d'Zertifizéierung.
2. Entwéckelen engem Zertifizéierung Virbereedung Plan
D'Virbereedung fir d'ISO 27001 Zertifizéierung ass eng komplex Aufgab, déi vill verschidden Aarte vun Aarbecht involvéiert, d'Bedeelegung vun enger grousser Zuel vu Leit erfuerdert a vill Méint (oder souguer Joeren) daueren kann. Dofir ass et ganz wichteg en detailléierte Projetsplang ze kreéieren: Ressourcen, Zäit an Bedeelegung vu Leit un strikt definéiert Aufgaben ze verdeelen an d'Konformitéit mat Frist ze iwwerwaachen - soss kënnt Dir d'Aarbecht ni fäerdeg bréngen.
3. Definéiert d'Zertifizéierungsperimeter
Wann Dir eng grouss Organisatioun mat diversifizéierten Aktivitéiten hutt, kann et Sënn maachen nëmmen en Deel vum Betrib vun der Firma op ISO 27001 ze zertifiéieren, wat de Risiko vun Ärem Projet wesentlech reduzéiert, souwéi seng Zäit a Käschten.
4. Entwéckelt eng Informatiounssécherheetspolitik
Ee vun de wichtegsten Dokumenter ass d'Informatiounssécherheetspolitik vun der Firma. Et sollt d'Informatiounssécherheetsziler vun Ärer Firma an d'Basisprinzipien vun der Informatiounssécherheetsmanagement reflektéieren, déi vun all Mataarbechter gefollegt musse ginn. Den Zweck vun dësem Dokument ass et ze bestëmmen wat d'Gestioun vun der Firma am Beräich vun der Informatiounssécherheet wëll erreechen, wéi och wéi dat ëmgesat a kontrolléiert gëtt.
5. Definéieren eng Risiko Bewäertung Methodik
Eng vun de schwieregsten Aufgaben ass d'Regele fir Risikobewäertung a Gestioun ze definéieren. Et ass wichteg ze verstoen wéi eng Risiken eng Firma akzeptabel betruechten an déi direkt Handlung erfuerderen fir se ze reduzéieren. Ouni dës Regelen funktionnéiert d'ISMS net.
Zur selwechter Zäit ass et derwäert ze erënneren un d'Adequatitéit vun de Moossname fir d'Risiken ze reduzéieren. Awer Dir sollt net zevill mat dem Optimisatiounsprozess duerchgefouert ginn, well se och vill Zäit oder finanziell Käschten enthalen oder einfach onméiglech sinn. Mir recommandéieren Iech de Prinzip vun der "Minimumssuffizienz" ze benotzen wann Dir Risikoreduktiounsmoossnamen entwéckelt.
6. Verwalte Risiken no enger approuvéierter Methodik
Déi nächst Stuf ass déi konsequent Uwendung vun der Risikomanagementmethodologie, dat heescht hir Bewäertung a Veraarbechtung. Dëse Prozess muss regelméisseg mat grousser Suergfalt duerchgefouert ginn. Andeems Dir den Informatiounssécherheetsrisikoregister um neiste Stand hält, kënnt Dir effektiv Firmeressourcen allocéieren an sérieux Tëschefäll verhënneren.
7. Plan Risiko Behandlung
Risiken déi en akzeptablen Niveau fir Är Firma iwwerschreiden mussen am Risikobehandlungsplang abegraff sinn. Et soll Aktiounen notéieren, déi d'Risiken reduzéieren, souwéi d'Persounen déi dofir verantwortlech sinn an d'Deadline.
8. Fëllt d'Erklärung vun der Uwendung aus
Dëst ass e Schlësseldokument dat vu Spezialisten aus dem Zertifizéierungsorgan während dem Audit studéiert gëtt. Et soll beschreiwen wéi eng Informatiounssécherheetskontrolle fir Är Aktivitéite vun Ärer Firma gëllen.
9. Bestëmmt wéi d'Effizienz vun Informatiounssécherheetskontrollen gemooss gëtt.
All Handlung muss e Resultat hunn, deen zur Erfëllung vun etabléierten Ziler féiert. Dofir ass et wichteg kloer ze definéieren mat wéi enge Parameteren d'Erreeche vun den Ziler souwuel fir de ganzen Informatiounssécherheetsmanagementsystem a fir all ausgewielte Kontrollmechanismus aus der Applicability Annex gemooss ginn.
10. Ëmsetzen Informatiounen Sécherheet Kontrollen
An nëmmen nodeems Dir all déi vireg Schrëtt ofgeschloss hutt, sollt Dir ufänken déi applicabel Informatiounssécherheetskontrolle vum Applicability Appendix ëmzesetzen. Déi gréissten Erausfuerderung hei ass natierlech e komplett neie Wee fir Saachen a ville Prozesser vun Ärer Organisatioun ze maachen. D'Leit tendéieren nei Politiken a Prozeduren ze widderstoen, also oppassen op den nächste Punkt.
11. Ëmsetzen Training Programmer fir Mataarbechter
All déi hei uewen beschriwwen Punkte wäerten sënnlos sinn wann Är Mataarbechter d'Wichtegkeet vum Projet net verstinn an net am Aklang mat der Informatiounssécherheetspolitik handelen. Wann Dir wëllt datt Äert Personal all déi nei Reegelen respektéiert, musst Dir fir d'éischt de Leit erkläre firwat se néideg sinn, an dann Training iwwer d'ISMS ubidden, déi all déi wichteg Politiken ervirhiewen déi d'Mataarbechter an hirer alldeeglecher Aarbecht berücksichtegen mussen. Mangel u Personalausbildung ass e gemeinsame Grond fir ISO 27001 Projet Echec.
12. Erhalen ISMS Prozesser
Zu dësem Zäitpunkt gëtt den ISO 27001 eng Alldag an Ärer Organisatioun. Fir d'Ëmsetzung vun Informatiounssécherheetskontrollen am Aklang mat dem Standard ze bestätegen, mussen d'Auditeure Rekorder ubidden - Beweiser fir déi aktuell Operatioun vun de Kontrollen. Awer virun allem, records sollen Iech hëllefen ze verfollegen ob Är Mataarbechter (a Fournisseuren) hir Aufgaben am Aklang mat genehmegt Reegelen ausféieren.
13. Monitor Är ISMS
Wat ass lass mat Ärem ISMS? Wéi vill Tëschefäll hutt Dir, wéi eng Zort sinn se? Ginn all Prozedure richteg gefollegt? Mat dëse Froen sollt Dir kontrolléieren ob d'Firma seng Informatiounssécherheetsziler entsprécht. Wann net, musst Dir e Plang entwéckelen fir d'Situatioun ze korrigéieren.
14. Dirigent eng intern ISMS Audit
Den Zweck vum internen Audit ass Inkonsistenz tëscht aktuellen Prozesser an der Firma an approuvéiert Informatiounssécherheetspolitik z'identifizéieren. Fir de gréissten Deel ass et iwwerpréift fir ze kucken wéi gutt Är Mataarbechter d'Regele befollegen. Dëst ass e ganz wichtege Punkt, well wann Dir d'Aarbecht vun Ärem Personal net kontrolléiert, kann d'Organisatioun Schued leiden (virsiichteg oder ongewollt). Mä d'Zil ass hei net d'Täter ze fannen an ze disziplinéieren fir d'Politik net ze respektéieren, mee d'Situatioun ze korrigéieren an zukünfteg Problemer ze vermeiden.
15. Organiséieren engem Gestioun review
D'Gestioun sollt Är Firewall net konfiguréieren, awer si sollten wëssen wat am ISMS geschitt: zum Beispill ob jiddereen seng Verantwortung erfëllt an ob den ISMS seng Zilresultater erreecht. Baséierend op dësem muss d'Gestioun SchlësselEntscheedunge treffen fir d'ISMS an intern Geschäftsprozesser ze verbesseren.
16. E System vun korrektiv a präventiven Aktiounen aféieren
Wéi all Standard, erfuerdert ISO 27001 "kontinuéierlech Verbesserung": déi systematesch Korrektur a Präventioun vun Inkonsistenzen am Informatiounssécherheetsmanagement System. Duerch korrektiv a präventiv Aktiounen kann d'Nonkonformitéit korrigéiert ginn a verhënnert ginn datt se an Zukunft erëm optrieden.
Als Conclusioun wëll ech soen datt tatsächlech vill méi schwéier zertifizéiert ze kréien ass wéi a verschiddene Quellen beschriwwen. Dëst ass bestätegt duerch d'Tatsaach, datt an Russland haut nëmmen sinn goufen fir Konformitéit zertifizéiert. Zur selwechter Zäit ass dëst ee vun de populäerste Standarden am Ausland, entsprécht de wuessende Fuerderunge vum Geschäft am Beräich vun der Informatiounssécherheet. Dës Demande fir Ëmsetzung ass wéinst net nëmmen de Wuesstem an d'Komplexitéit vun der Zorte vu Geforen, mä och un d'Ufuerderunge vum Gesetzgebung, wéi och Clienten déi komplett Confidentialitéit vun hiren Donnéeën ze erhalen brauchen.
Trotz der Tatsaach, datt d'ISMS Zertifizéierung keng einfach Aufgab ass, kann d'Tatsaach, datt d'Ufuerderunge vum internationale Standard ISO / IEC 27001 erfëllen, e seriéise kompetitive Virdeel um weltwäite Maart ubidden. Mir hoffen, datt eisen Artikel en éischte Verständnis vun de Schlësselstadien zur Virbereedung vun enger Firma op d'Zertifizéierung geliwwert huet.
Source: will.com