Hari ini, isu keselamatan maklumat (selepas ini dirujuk sebagai keselamatan maklumat) syarikat adalah salah satu yang paling mendesak di dunia. Dan ini tidak menghairankan, kerana di banyak negara terdapat pengetatan keperluan untuk organisasi yang menyimpan dan memproses data peribadi. Pada masa ini, perundangan Rusia memerlukan mengekalkan sebahagian besar aliran dokumen dalam bentuk kertas. Pada masa yang sama, trend ke arah pendigitalan adalah ketara: banyak syarikat telah menyimpan sejumlah besar maklumat sulit dalam format digital dan dalam bentuk dokumen kertas.
Mengikut keputusan Pusat Analisis Anti-Hasad, 86% responden menyatakan bahawa pada tahun itu mereka sekurang-kurangnya sekali perlu menyelesaikan insiden selepas serangan siber atau akibat pelanggaran pengguna terhadap peraturan yang ditetapkan. Sehubungan itu, mengutamakan keselamatan maklumat dalam perniagaan telah menjadi satu keperluan.
Pada masa ini, keselamatan maklumat korporat bukan sahaja satu set cara teknikal, seperti antivirus atau tembok api, ia sudah menjadi pendekatan bersepadu untuk mengendalikan aset syarikat secara umum dan maklumat khususnya. Syarikat menghadapi masalah ini secara berbeza. Hari ini kami ingin bercakap tentang pelaksanaan standard antarabangsa ISO 27001 sebagai penyelesaian kepada masalah sedemikian. Bagi syarikat di pasaran Rusia, kehadiran sijil sedemikian memudahkan interaksi dengan pelanggan dan rakan kongsi asing yang mempunyai keperluan tinggi dalam perkara ini. ISO 27001 digunakan secara meluas di Barat dan merangkumi keperluan dalam bidang keselamatan maklumat, yang harus dilindungi oleh penyelesaian teknikal yang digunakan, dan juga menyumbang kepada pembangunan proses perniagaan. Oleh itu, piawaian ini boleh menjadi kelebihan daya saing anda dan titik hubungan dengan syarikat asing.
Pensijilan Sistem Pengurusan Keselamatan Maklumat (selepas ini dirujuk sebagai ISMS) mengumpul amalan terbaik untuk mereka bentuk ISMS dan, yang penting, menyediakan kemungkinan memilih alat kawalan untuk memastikan fungsi sistem, keperluan untuk sokongan keselamatan teknologi dan juga untuk proses pengurusan kakitangan dalam syarikat. Lagipun, adalah perlu untuk memahami bahawa kegagalan teknikal hanyalah sebahagian daripada masalah. Dalam hal keselamatan maklumat, faktor manusia memainkan peranan yang besar, dan adalah lebih sukar untuk menghapuskan atau meminimumkannya.
Jika syarikat anda ingin mendapatkan pensijilan ISO 27001, maka anda mungkin sudah cuba mencari cara mudah untuk melakukannya. Kami perlu mengecewakan anda: tiada cara mudah di sini. Walau bagaimanapun, terdapat langkah-langkah tertentu yang akan membantu menyediakan organisasi untuk keperluan keselamatan maklumat antarabangsa:
1. Dapatkan sokongan daripada pihak pengurusan
Anda mungkin fikir ini jelas, tetapi dalam praktiknya perkara ini sering diabaikan. Selain itu, ini adalah salah satu sebab utama mengapa projek pelaksanaan ISO 27001 sering gagal. Tanpa memahami kepentingan projek pelaksanaan standard, pihak pengurusan tidak akan menyediakan sama ada sumber manusia yang mencukupi atau bajet yang mencukupi untuk pensijilan.
2. Membangunkan Pelan Penyediaan Pensijilan
Persediaan untuk pensijilan ISO 27001 ialah tugas yang kompleks yang melibatkan pelbagai jenis kerja, memerlukan penglibatan sebilangan besar orang dan boleh mengambil masa berbulan-bulan (atau bahkan bertahun-tahun). Oleh itu, adalah sangat penting untuk mencipta pelan projek terperinci: memperuntukkan sumber, masa dan penglibatan orang kepada tugas yang ditetapkan dengan ketat dan memantau pematuhan tarikh akhir - jika tidak, anda mungkin tidak akan menyelesaikan kerja.
3. Tentukan perimeter pensijilan
Jika anda mempunyai organisasi besar dengan pelbagai aktiviti, mungkin masuk akal untuk memperakui hanya sebahagian daripada perniagaan syarikat kepada ISO 27001, yang akan mengurangkan risiko projek anda dengan ketara, serta masa dan kosnya.
4. Membangunkan dasar keselamatan maklumat
Salah satu dokumen yang paling penting ialah Dasar Keselamatan Maklumat syarikat. Ia harus mencerminkan matlamat keselamatan maklumat syarikat anda dan prinsip asas pengurusan keselamatan maklumat, yang mesti dipatuhi oleh semua pekerja. Tujuan dokumen ini adalah untuk menentukan apa yang ingin dicapai oleh pengurusan syarikat dalam bidang keselamatan maklumat, serta bagaimana ini akan dilaksanakan dan dikawal.
5. Tentukan metodologi penilaian risiko
Salah satu tugas yang paling sukar ialah mentakrifkan peraturan untuk penilaian dan pengurusan risiko. Adalah penting untuk memahami risiko yang mungkin dianggap boleh diterima oleh syarikat dan yang memerlukan tindakan segera untuk mengurangkannya. Tanpa peraturan ini, ISMS tidak akan berfungsi.
Pada masa yang sama, adalah wajar mengingati kecukupan langkah-langkah yang diambil untuk mengurangkan risiko. Tetapi anda tidak seharusnya terlalu terbawa-bawa dengan proses pengoptimuman, kerana ia juga memerlukan masa yang besar atau kos kewangan atau mungkin mustahil. Kami mengesyorkan agar anda menggunakan prinsip "kecukupan minimum" semasa membangunkan langkah pengurangan risiko.
6. Menguruskan risiko mengikut metodologi yang diluluskan
Peringkat seterusnya ialah aplikasi konsisten metodologi pengurusan risiko, iaitu penilaian dan pemprosesannya. Proses ini mesti dijalankan secara tetap dengan berhati-hati. Dengan memastikan daftar risiko keselamatan maklumat dikemas kini, anda akan dapat memperuntukkan sumber syarikat dengan berkesan dan mencegah insiden serius.
7. Rancang rawatan risiko
Risiko yang melebihi tahap yang boleh diterima untuk syarikat anda mesti dimasukkan dalam pelan rawatan risiko. Ia harus merekodkan tindakan yang bertujuan untuk mengurangkan risiko, serta orang yang bertanggungjawab ke atasnya dan tarikh akhir.
8. Lengkapkan Pernyataan Kebolehgunaan
Ini adalah dokumen penting yang akan dikaji oleh pakar dari badan pensijilan semasa audit. Ia harus menerangkan kawalan keselamatan maklumat yang digunakan untuk aktiviti syarikat anda.
9. Tentukan bagaimana keberkesanan kawalan keselamatan maklumat akan diukur.
Sebarang tindakan mesti mempunyai hasil yang membawa kepada pemenuhan matlamat yang ditetapkan. Oleh itu, adalah penting untuk menentukan dengan jelas dengan parameter apakah pencapaian matlamat akan diukur untuk keseluruhan sistem pengurusan keselamatan maklumat dan untuk setiap mekanisme kawalan yang dipilih daripada Lampiran Kebolehgunaan.
10. Melaksanakan kawalan keselamatan maklumat
Dan hanya selepas melengkapkan semua langkah sebelumnya anda harus mula melaksanakan kawalan keselamatan maklumat yang berkenaan daripada Lampiran Kebolehgunaan. Cabaran terbesar di sini, sudah tentu, akan memperkenalkan cara yang benar-benar baharu untuk melakukan sesuatu merentasi banyak proses organisasi anda. Orang ramai cenderung untuk menentang dasar dan prosedur baharu, jadi beri perhatian kepada perkara seterusnya.
11. Melaksanakan program latihan untuk pekerja
Semua perkara yang diterangkan di atas tidak akan bermakna jika pekerja anda tidak memahami kepentingan projek dan tidak bertindak mengikut dasar keselamatan maklumat. Jika anda mahu kakitangan anda mematuhi semua peraturan baharu, anda perlu menjelaskan kepada orang ramai dahulu mengapa mereka perlu, dan kemudian menyediakan latihan tentang ISMS, menyerlahkan semua dasar penting yang perlu diambil kira oleh pekerja dalam kerja harian mereka. Kekurangan latihan kakitangan adalah sebab biasa kegagalan projek ISO 27001.
12. Mengekalkan proses ISMS
Pada ketika ini, ISO 27001 menjadi rutin harian dalam organisasi anda. Untuk mengesahkan pelaksanaan kawalan keselamatan maklumat mengikut piawaian, juruaudit perlu menyediakan rekod - bukti operasi sebenar kawalan. Tetapi yang paling penting, rekod harus membantu anda menjejaki sama ada pekerja anda (dan pembekal) melaksanakan tugas mereka mengikut peraturan yang diluluskan.
13. Pantau ISMS anda
Apa yang berlaku dengan ISMS anda? Berapa banyak insiden yang anda ada, apakah jenisnya? Adakah semua prosedur diikuti dengan betul? Dengan soalan ini, anda harus menyemak sama ada syarikat itu memenuhi matlamat keselamatan maklumatnya. Jika tidak, anda mesti membuat rancangan untuk membetulkan keadaan.
14. Menjalankan audit dalaman ISMS
Tujuan audit dalaman adalah untuk mengenal pasti ketidakselarasan antara proses sebenar dalam syarikat dan polisi keselamatan maklumat yang diluluskan. Untuk sebahagian besar, ia menyemak untuk melihat sejauh mana pekerja anda mematuhi peraturan. Ini adalah perkara yang sangat penting, kerana jika anda tidak mengawal kerja kakitangan anda, organisasi mungkin mengalami kerosakan (sengaja atau tidak sengaja). Tetapi matlamat di sini bukan untuk mencari pesalah dan mendisiplinkan mereka kerana tidak mematuhi dasar, tetapi untuk membetulkan keadaan dan mencegah masalah masa depan.
15. Mengadakan kajian semula pengurusan
Pengurusan tidak seharusnya mengkonfigurasi tembok api anda, tetapi mereka harus tahu perkara yang berlaku dalam ISMS: contohnya, sama ada semua orang memenuhi tanggungjawab mereka dan sama ada ISMS mencapai hasil sasarannya. Berdasarkan ini, pengurusan mesti membuat keputusan penting untuk menambah baik ISMS dan proses perniagaan dalaman.
16. Memperkenalkan sistem tindakan pembetulan dan pencegahan
Seperti mana-mana standard, ISO 27001 memerlukan "penambahbaikan berterusan": pembetulan sistematik dan pencegahan ketidakkonsistenan dalam sistem pengurusan keselamatan maklumat. Melalui tindakan pembetulan dan pencegahan, ketidakakuran itu boleh diperbetulkan dan dielakkan daripada berulang pada masa hadapan.
Sebagai kesimpulan, saya ingin mengatakan bahawa sebenarnya, mendapatkan pensijilan adalah lebih sukar daripada yang diterangkan dalam pelbagai sumber. Ini disahkan oleh fakta bahawa di Rusia hari ini hanya ada telah diperakui untuk pematuhan. Pada masa yang sama, ini adalah salah satu piawaian paling popular di luar negara, memenuhi permintaan perniagaan yang semakin meningkat dalam bidang keselamatan maklumat. Permintaan untuk pelaksanaan ini bukan sahaja disebabkan oleh pertumbuhan dan kerumitan jenis ancaman, tetapi juga kepada keperluan perundangan, serta pelanggan yang perlu mengekalkan kerahsiaan lengkap data mereka.
Walaupun pada hakikatnya pensijilan ISMS bukanlah satu tugas yang mudah, hakikat untuk memenuhi keperluan standard antarabangsa ISO/IEC 27001 boleh memberikan kelebihan daya saing yang serius dalam pasaran global. Kami berharap artikel kami telah memberikan pemahaman awal tentang peringkat utama dalam menyediakan syarikat untuk pensijilan.
Sumber: www.habr.com