Illum, il-kwistjoni tas-sigurtà tal-informazzjoni (minn hawn 'il quddiem imsejħa sigurtà tal-informazzjoni) tal-kumpaniji hija waħda mill-aktar urġenti fid-dinja. U dan mhux sorprendenti, għaliex f'ħafna pajjiżi hemm issikkar tar-rekwiżiti għall-organizzazzjonijiet li jaħżnu u jipproċessaw data personali. Bħalissa, il-leġiżlazzjoni Russa teħtieġ li jinżamm proporzjon sinifikanti tal-fluss tad-dokumenti f'forma ta' karta. Fl-istess ħin, it-tendenza lejn id-diġitalizzazzjoni hija notevoli: ħafna kumpaniji diġà jaħżnu ammont kbir ta 'informazzjoni kunfidenzjali kemm f'format diġitali kif ukoll fil-forma ta' dokumenti tal-karta.
Skont ir-riżultati
Bħalissa, is-sigurtà tal-informazzjoni korporattiva mhijiex biss sett ta 'mezzi tekniċi, bħal antiviruses jew firewalls, hija diġà approċċ integrat għall-immaniġġjar tal-assi tal-kumpanija b'mod ġenerali u l-informazzjoni b'mod partikolari. Il-kumpaniji jindirizzaw dawn il-problemi b'mod differenti. Illum nixtiequ nitkellmu dwar l-implimentazzjoni tal-istandard internazzjonali ISO 27001 bħala soluzzjoni għal problema bħal din. Għall-kumpaniji fis-suq Russu, il-preżenza ta 'tali ċertifikat tissimplifika l-interazzjoni ma' klijenti u msieħba barranin li għandhom rekwiżiti għoljin f'din il-kwistjoni. L-ISO 27001 huwa użat ħafna fil-Punent u jkopri rekwiżiti tas-sigurtà tal-informazzjoni li għandhom ikunu koperti mis-soluzzjonijiet tekniċi użati, kif ukoll jikkontribwixxu għall-iżvilupp tal-proċessi tan-negozju. Għalhekk, dan l-istandard jista 'jsir il-vantaġġ kompetittiv tiegħek u punt ta' kuntatt ma 'kumpaniji barranin.
Din iċ-ċertifikazzjoni tas-Sistema ta' Ġestjoni tas-Sigurtà tal-Informazzjoni (minn hawn 'il quddiem imsejħa ISMS) ġabret l-aħjar prattiki għat-tfassil ta' ISMS u, importanti, ipprovdiet għall-possibbiltà li jintgħażlu għodod ta' kontroll biex jiżguraw il-funzjonament tas-sistema, rekwiżiti għall-appoġġ tas-sigurtà teknoloġika u anke għall-proċess ta 'ġestjoni tal-persunal fil-kumpanija. Wara kollox, huwa meħtieġ li wieħed jifhem li l-fallimenti tekniċi huma biss parti mill-problema. Fi kwistjonijiet ta 'sigurtà tal-informazzjoni, il-fattur uman għandu rwol kbir, u huwa ħafna aktar diffiċli li jiġi eliminat jew minimizzat.
Jekk il-kumpanija tiegħek qed tfittex li ssir iċ-ċertifikat ISO 27001, allura forsi diġà ppruvajt issib il-mod faċli biex tagħmel dan. Irridu niddiżappuntak: hawn m'hemmx modi faċli. Madankollu, hemm ċerti passi li jgħinu biex tipprepara organizzazzjoni għar-rekwiżiti internazzjonali tas-sigurtà tal-informazzjoni:
1. Ikseb appoġġ mill-maniġment
Tista' taħseb li dan huwa ovvju, iżda fil-prattika dan il-punt ħafna drabi jiġi injorat. Barra minn hekk, din hija waħda mir-raġunijiet ewlenin għaliex il-proġetti ta’ implimentazzjoni tal-ISO 27001 spiss ifallu. Mingħajr ma tifhem is-sinifikat tal-proġett ta 'implimentazzjoni standard, il-maniġment mhux se jipprovdi la riżorsi umani suffiċjenti jew baġit suffiċjenti għaċ-ċertifikazzjoni.
2. Żviluppa Pjan ta' Preparazzjoni għaċ-Ċertifikazzjoni
It-tħejjija għaċ-ċertifikazzjoni ISO 27001 hija biċċa xogħol kumplessa li tinvolvi ħafna tipi differenti ta 'xogħol, teħtieġ l-involviment ta' numru kbir ta 'nies u tista' tieħu ħafna xhur (jew saħansitra snin). Għalhekk, huwa importanti ħafna li jinħoloq pjan dettaljat tal-proġett: talloka r-riżorsi, il-ħin u l-involviment tan-nies għal kompiti definiti b'mod strett u tissorvelja l-konformità mal-iskadenzi - inkella qatt ma tista 'tlesti x-xogħol.
3. Iddefinixxi l-perimetru taċ-ċertifikazzjoni
Jekk għandek organizzazzjoni kbira b'attivitajiet diversifikati, jista 'jagħmel sens li tiċċertifika parti biss min-negozju tal-kumpanija għal ISO 27001, li tnaqqas b'mod sinifikanti r-riskju tal-proġett tiegħek, kif ukoll il-ħin u l-ispiża tiegħu.
4. Żviluppa politika ta' sigurtà tal-informazzjoni
Wieħed mid-dokumenti l-aktar importanti huwa l-Politika tas-Sigurtà tal-Informazzjoni tal-kumpanija. Għandu jirrifletti l-għanijiet tas-sigurtà tal-informazzjoni tal-kumpanija tiegħek u l-prinċipji bażiċi tal-ġestjoni tas-sigurtà tal-informazzjoni, li għandhom jiġu segwiti mill-impjegati kollha. L-iskop ta’ dan id-dokument huwa li jiddetermina x’jixtieq jikseb il-maniġment tal-kumpanija fil-qasam tas-sigurtà tal-informazzjoni, kif ukoll kif dan se jiġi implimentat u kkontrollat.
5. Iddefinixxi metodoloġija ta' valutazzjoni tar-riskju
Waħda mill-aktar kompiti diffiċli hija d-definizzjoni ta' regoli għall-valutazzjoni u l-ġestjoni tar-riskju. Huwa importanti li wieħed jifhem liema riskji kumpanija tista' tqis aċċettabbli u liema jeħtieġu azzjoni immedjata biex tnaqqashom. Mingħajr dawn ir-regoli, l-ISMS ma jaħdimx.
Fl-istess ħin, ta 'min jiftakar l-adegwatezza tal-miżuri meħuda biex jitnaqqsu r-riskji. Imma m'għandekx titmexxa 'l bogħod wisq bil-proċess ta' ottimizzazzjoni, għaliex dawn jinvolvu wkoll ħin jew spejjeż finanzjarji kbar jew jistgħu sempliċement ikunu impossibbli. Nirrakkomandaw li tuża l-prinċipju ta’ “suffiċjenza minima” meta tiżviluppa miżuri għat-tnaqqis tar-riskju.
6. Immaniġġja r-riskji skont metodoloġija approvata
L-istadju li jmiss huwa l-applikazzjoni konsistenti tal-metodoloġija tal-ġestjoni tar-riskju, jiġifieri l-valutazzjoni u l-ipproċessar tagħhom. Dan il-proċess għandu jitwettaq fuq bażi regolari b'attenzjoni kbira. Billi żżomm ir-reġistru tar-riskju tas-sigurtà tal-informazzjoni aġġornat, tkun tista' talloka b'mod effettiv ir-riżorsi tal-kumpanija u tevita inċidenti serji.
7. Ippjana t-trattament tar-riskju
Ir-riskji li jaqbżu livell aċċettabbli għall-kumpanija tiegħek għandhom jiġu inklużi fil-pjan tat-trattament tar-riskju. Għandha tirreġistra azzjonijiet immirati biex inaqqsu r-riskji, kif ukoll il-persuni responsabbli għalihom u l-iskadenzi.
8. Imla d-Dikjarazzjoni tal-Applikabilità
Dan huwa dokument ewlieni li se jiġi studjat minn speċjalisti mill-korp taċ-ċertifikazzjoni matul il-verifika. Għandu jiddeskrivi liema kontrolli tas-sigurtà tal-informazzjoni japplikaw għall-attivitajiet tal-kumpanija tiegħek.
9. Iddetermina kif se titkejjel l-effettività tal-kontrolli tas-sigurtà tal-informazzjoni.
Kwalunkwe azzjoni għandu jkollha riżultat li jwassal għat-twettiq tal-għanijiet stabbiliti. Għalhekk, huwa importanti li jiġi definit b'mod ċar b'liema parametri l-kisba tal-għanijiet se titkejjel kemm għas-sistema kollha tal-ġestjoni tas-sigurtà tal-informazzjoni kif ukoll għal kull mekkaniżmu ta' kontroll magħżul mill-Anness tal-Applikabilità.
10. Timplimenta kontrolli tas-sigurtà tal-informazzjoni
U biss wara li tlesti l-passi preċedenti kollha għandek tibda timplimenta l-kontrolli applikabbli tas-sigurtà tal-informazzjoni mill-Appendiċi tal-Applikabilità. L-akbar sfida hawnhekk, ovvjament, se tkun li tintroduċi mod kompletament ġdid kif tagħmel l-affarijiet f'ħafna mill-proċessi tal-organizzazzjoni tiegħek. In-nies għandhom it-tendenza li jirreżistu politiki u proċeduri ġodda, għalhekk oqgħod attent għall-punt li jmiss.
11. Timplimenta programmi ta' taħriġ għall-impjegati
Il-punti kollha deskritti hawn fuq se jkunu bla sens jekk l-impjegati tiegħek ma jifhmux l-importanza tal-proġett u ma jaġixxux skont il-politiki tas-sigurtà tal-informazzjoni. Jekk trid li l-istaff tiegħek jikkonforma mar-regoli l-ġodda kollha, l-ewwel trid tispjega lin-nies għaliex huma meħtieġa, u mbagħad tipprovdi taħriġ dwar l-ISMS, filwaqt li tenfasizza l-politiki importanti kollha li l-impjegati għandhom iqisu fix-xogħol tagħhom ta’ kuljum. In-nuqqas ta' taħriġ tal-persunal huwa raġuni komuni għall-falliment tal-proġett ISO 27001.
12. Żomm proċessi ISMS
F'dan il-punt, ISO 27001 isir rutina ta 'kuljum fl-organizzazzjoni tiegħek. Biex tikkonferma l-implimentazzjoni tal-kontrolli tas-sigurtà tal-informazzjoni skont l-istandard, l-awdituri se jkollhom jipprovdu rekords - evidenza tal-operat attwali tal-kontrolli. Iżda fuq kollox, ir-rekords għandhom jgħinuk issegwi jekk l-impjegati tiegħek (u l-fornituri) humiex qed iwettqu l-kompiti tagħhom skont ir-regoli approvati.
13. Immonitorja l-ISMS tiegħek
X'qed jiġri bl-ISMS tiegħek? Kemm għandek inċidenti, liema tip huma? Il-proċeduri kollha huma segwiti kif suppost? B'dawn il-mistoqsijiet, għandek tiċċekkja jekk il-kumpanija hijiex tilħaq l-għanijiet tas-sigurtà tal-informazzjoni tagħha. Jekk le, trid tiżviluppa pjan biex tikkoreġi s-sitwazzjoni.
14. Twettaq verifika interna tal-ISMS
L-iskop tal-awditjar intern huwa li jiġu identifikati inkonsistenzi bejn il-proċessi attwali fil-kumpanija u l-politiki approvati dwar is-sigurtà tal-informazzjoni. Fil-biċċa l-kbira, qed tiċċekkja biex tara kemm l-impjegati tiegħek qed isegwu r-regoli. Dan huwa punt importanti ħafna, għaliex jekk ma tikkontrollax ix-xogħol tal-persunal tiegħek, l-organizzazzjoni tista 'tbati ħsara (intenzjonata jew mhux intenzjonata). Iżda l-għan hawnhekk mhuwiex li jinstabu l-ħatja u dixxiplinahom għal nuqqas ta 'konformità mal-politiki, iżda li tikkoreġi s-sitwazzjoni u jiġu evitati problemi futuri.
15. Organizza reviżjoni tal-ġestjoni
Il-ġestjoni m'għandhiex tikkonfigura l-firewall tiegħek, iżda għandhom ikunu jafu x'qed jiġri fl-ISMS: pereżempju, jekk kulħadd hux qed jilħaq ir-responsabbiltajiet tiegħu u jekk l-ISMS hux jikseb ir-riżultati fil-mira tiegħu. Abbażi ta' dan, il-maniġment għandu jieħu deċiżjonijiet ewlenin biex itejjeb l-ISMS u l-proċessi tan-negozju interni.
16. Introduċi sistema ta' azzjonijiet korrettivi u preventivi
Bħal kull standard, ISO 27001 jeħtieġ "titjib kontinwu": il-korrezzjoni sistematika u l-prevenzjoni ta 'inkonsistenzi fis-sistema ta' ġestjoni tas-sigurtà tal-informazzjoni. Permezz ta 'azzjonijiet korrettivi u preventivi, in-nuqqas ta' konformità tista 'tiġi kkoreġuta u evitata milli terġa' sseħħ fil-futur.
Bħala konklużjoni, nixtieq ngħid li fil-fatt, li tinkiseb iċ-ċertifikat huwa ħafna aktar diffiċli milli deskritt f'diversi sorsi. Dan huwa kkonfermat mill-fatt li fir-Russja llum hemm biss
Minkejja l-fatt li ċ-ċertifikazzjoni ISMS mhijiex ħidma faċli, il-fatt stess li tissodisfa r-rekwiżiti tal-istandard internazzjonali ISO/IEC 27001 jista 'jipprovdi vantaġġ kompetittiv serju fis-suq globali. Nittamaw li l-artiklu tagħna pprovda fehim inizjali tal-istadji ewlenin fil-preparazzjoni ta 'kumpanija għaċ-ċertifikazzjoni.
Sors: www.habr.com