🥇 ISO 27001 कसरी लागू गर्ने: प्रयोगका लागि निर्देशनहरू

आज, कम्पनीहरूको सूचना सुरक्षाको मुद्दा (यसपछि सूचना सुरक्षा भनिन्छ) संसारमा सबैभन्दा दबाबको विषय हो। र यो अचम्मको कुरा होइन, किनकि धेरै देशहरूमा व्यक्तिगत डेटा भण्डारण र प्रशोधन गर्ने संस्थाहरूको लागि आवश्यकताहरू कडा बनाइएको छ। हाल, रूसी कानूनले कागजको रूपमा कागजात प्रवाहको महत्त्वपूर्ण अनुपात कायम राख्न आवश्यक छ। एकै समयमा, डिजिटलाइजेसन तिर प्रवृत्ति उल्लेखनीय छ: धेरै कम्पनीहरूले पहिले नै डिजिटल ढाँचा र कागज कागजातको रूपमा दुवै गोप्य जानकारीको ठूलो मात्रा भण्डारण गर्दछ।

परिणाममा आधारित सर्वेक्षण एन्टी-मालवेयर एनालिटिकल सेन्टर, 86% उत्तरदाताहरूले टिप्पणी गरे कि वर्षको दौडान उनीहरूले कम्तिमा एक पटक साइबर आक्रमण पछि वा स्थापित नियमहरूको प्रयोगकर्ता उल्लङ्घनको परिणामको रूपमा घटनाहरू समाधान गर्नुपरेको थियो। यस सन्दर्भमा, व्यवसायमा सूचना सुरक्षालाई प्राथमिकता दिन आवश्यक भएको छ।

हाल, कर्पोरेट सूचना सुरक्षा भनेको एन्टिभाइरस वा फायरवालहरू जस्ता प्राविधिक माध्यमहरूको सेट मात्र होइन, यो पहिले नै सामान्य रूपमा कम्पनी सम्पत्तिहरू र विशेष रूपमा जानकारीहरू ह्यान्डल गर्नको लागि एक एकीकृत दृष्टिकोण हो। कम्पनीहरूले यी समस्याहरूलाई फरक तरिकाले हेर्छन्। आज हामी यस्तो समस्याको समाधानको रूपमा अन्तर्राष्ट्रिय मानक ISO 27001 को कार्यान्वयनको बारेमा कुरा गर्न चाहन्छौं। रूसी बजारमा कम्पनीहरूका लागि, यस्तो प्रमाणपत्रको उपस्थितिले विदेशी ग्राहकहरू र यस विषयमा उच्च आवश्यकताहरू भएका साझेदारहरूसँग अन्तरक्रियालाई सरल बनाउँछ। ISO 27001 पश्चिममा व्यापक रूपमा प्रयोग गरिन्छ र सूचना सुरक्षाको क्षेत्रमा आवश्यकताहरू समावेश गर्दछ, जुन प्रयोग गरिएका प्राविधिक समाधानहरूद्वारा कभर गर्नुपर्छ, र व्यापार प्रक्रियाहरूको विकासमा पनि योगदान पुर्‍याउँछ। यसैले, यो मानक तपाइँको प्रतिस्पर्धी लाभ र विदेशी कम्पनीहरु संग सम्पर्क को बिन्दु बन्न सक्छ।

सूचना सुरक्षा प्रबन्धन प्रणालीको यो प्रमाणीकरण (यसपछि ISMS भनिन्छ) ले ISMS डिजाइन गर्नका लागि उत्तम अभ्यासहरू सङ्कलन गर्‍यो र, महत्त्वपूर्ण रूपमा, प्रणालीको कार्य, प्राविधिक सुरक्षा समर्थनका लागि आवश्यकताहरू र यहाँसम्म कि प्रणालीको कार्य सुनिश्चित गर्न नियन्त्रण उपकरणहरू छनौट गर्ने सम्भावनाको लागि प्रदान गरियो। कम्पनी मा कर्मचारी व्यवस्थापन प्रक्रिया को लागी। आखिर, यो बुझ्न आवश्यक छ कि प्राविधिक विफलता समस्या को मात्र भाग हो। सूचना सुरक्षा मामिलाहरूमा, मानव कारकले ठूलो भूमिका खेल्छ, र यसलाई हटाउन वा न्यूनीकरण गर्न धेरै गाह्रो छ।

यदि तपाइँको कम्पनी आईएसओ 27001 प्रमाणित बन्न खोज्दै छ भने, तपाइँ पहिले नै यो गर्न को लागी सजिलो तरिका खोज्ने प्रयास गरिसक्नु भएको छ। हामीले तपाईंलाई निराश पार्नु पर्छ: यहाँ कुनै सजिलो तरिकाहरू छैनन्। यद्यपि, त्यहाँ केहि चरणहरू छन् जसले संगठनलाई अन्तर्राष्ट्रिय सूचना सुरक्षा आवश्यकताहरूको लागि तयार गर्न मद्दत गर्नेछ:

1. व्यवस्थापनबाट समर्थन प्राप्त गर्नुहोस्

तपाईलाई यो स्पष्ट लाग्न सक्छ, तर व्यवहारमा यो बिन्दु अक्सर बेवास्ता गरिन्छ। यसबाहेक, यो ISO 27001 कार्यान्वयन परियोजनाहरू प्राय: असफल हुनुको मुख्य कारणहरू मध्ये एक हो। मानक कार्यान्वयन परियोजनाको महत्त्व बुझे बिना, व्यवस्थापनले पर्याप्त जनशक्ति वा प्रमाणीकरणको लागि पर्याप्त बजेट प्रदान गर्दैन।

२. प्रमाणीकरण तयारी योजना विकास गर्नुहोस्

ISO 27001 प्रमाणीकरणको लागि तयारी गर्नु एक जटिल कार्य हो जसमा धेरै प्रकारका कामहरू समावेश हुन्छन्, ठूलो संख्यामा मानिसहरूको संलग्नता आवश्यक हुन्छ र धेरै महिना (वा वर्षहरू पनि) लाग्न सक्छ। तसर्थ, विस्तृत परियोजना योजना सिर्जना गर्न धेरै महत्त्वपूर्ण छ: कडा परिभाषित कार्यहरूमा स्रोत, समय र मानिसहरूको संलग्नता आवंटित गर्नुहोस् र समयसीमाको अनुपालनको अनुगमन गर्नुहोस् - अन्यथा तपाईंले काम कहिल्यै समाप्त गर्न सक्नुहुन्न।

3. प्रमाणीकरण परिधि परिभाषित गर्नुहोस्

यदि तपाईंसँग विविध गतिविधिहरू भएको ठूलो संगठन छ भने, यसले कम्पनीको व्यवसायको अंश मात्र ISO 27001 प्रमाणित गर्न अर्थपूर्ण हुन सक्छ, जसले तपाईंको परियोजनाको जोखिम, साथै यसको समय र लागतलाई उल्लेखनीय रूपमा कम गर्नेछ।

4. सूचना सुरक्षा नीति विकास गर्नुहोस्

सबैभन्दा महत्त्वपूर्ण कागजातहरू मध्ये एक कम्पनीको सूचना सुरक्षा नीति हो। यसले तपाईंको कम्पनीको सूचना सुरक्षा लक्ष्यहरू र सूचना सुरक्षा व्यवस्थापनका आधारभूत सिद्धान्तहरू प्रतिबिम्बित गर्नुपर्छ, जुन सबै कर्मचारीहरूले पालना गर्नुपर्छ। यस कागजातको उद्देश्य भनेको कम्पनीको व्यवस्थापनले सूचना सुरक्षाको क्षेत्रमा के हासिल गर्न चाहन्छ, साथै यसलाई कसरी कार्यान्वयन र नियन्त्रण गरिनेछ भनेर निर्धारण गर्नु हो।

5. जोखिम मूल्याङ्कन पद्धति परिभाषित गर्नुहोस्

सबैभन्दा कठिन कार्यहरू मध्ये एक जोखिम मूल्याङ्कन र व्यवस्थापनको लागि नियमहरू परिभाषित गर्नु हो। यो बुझ्न महत्त्वपूर्ण छ कि कम्पनीले कुन जोखिमहरूलाई स्वीकार्य मान्न सक्छ र तिनीहरूलाई कम गर्न तत्काल कदम चाल्न आवश्यक छ। यी नियमहरू बिना, ISMS ले काम गर्दैन।
एकै समयमा, यो जोखिम कम गर्न को लागी उपायहरु को पर्याप्तता सम्झना लायक छ। तर तपाईले अप्टिमाइजेसन प्रक्रियाको साथ धेरै टाढा हुनुहुँदैन, किनकि यसले ठूलो समय वा वित्तीय लागतहरू पनि समावेश गर्दछ वा असम्भव हुन सक्छ। हामी तपाईंलाई जोखिम न्यूनीकरण उपायहरू विकास गर्दा "न्यूनतम पर्याप्तता" को सिद्धान्त प्रयोग गर्न सिफारिस गर्छौं।

6. अनुमोदित विधि अनुसार जोखिम व्यवस्थापन गर्नुहोस्

अर्को चरण जोखिम व्यवस्थापन पद्धतिको निरन्तर प्रयोग हो, त्यो हो, तिनीहरूको मूल्याङ्कन र प्रशोधन। यो प्रक्रिया धेरै सावधानी संग नियमित आधार मा पूरा गर्नुपर्छ। सूचना सुरक्षा जोखिम दर्तालाई अप टु डेट राखेर, तपाइँ प्रभावकारी रूपमा कम्पनी स्रोतहरू आवंटित गर्न र गम्भीर घटनाहरू रोक्न सक्षम हुनुहुनेछ।

7. जोखिम उपचार योजना

तपाईंको कम्पनीको लागि स्वीकार्य स्तर भन्दा बढी जोखिमहरू जोखिम उपचार योजनामा समावेश हुनुपर्छ। यसले जोखिमहरू कम गर्ने उद्देश्यका साथ कार्यहरू रेकर्ड गर्नुपर्छ, साथै तिनीहरूका लागि जिम्मेवार व्यक्तिहरू र समयसीमाहरू।

8. लागू हुने कथन पूरा गर्नुहोस्

यो एक प्रमुख कागजात हो जुन अडिटको क्रममा प्रमाणीकरण निकायका विशेषज्ञहरूले अध्ययन गर्नेछ। यसले तपाइँको कम्पनीका गतिविधिहरूमा कुन सूचना सुरक्षा नियन्त्रणहरू लागू हुन्छ भनेर वर्णन गर्नुपर्छ।

9. सूचना सुरक्षा नियन्त्रणहरूको प्रभावकारिता कसरी मापन गरिनेछ भनेर निर्धारण गर्नुहोस्।

कुनै पनि कार्यले स्थापित लक्ष्यहरूको पूर्तिको लागि नेतृत्व गर्ने परिणाम हुनुपर्छ। तसर्थ, सम्पूर्ण सूचना सुरक्षा प्रबन्धन प्रणाली र प्रयोज्यता एनेक्सबाट प्रत्येक चयन गरिएको नियन्त्रण संयन्त्रका लागि लक्ष्यहरूको उपलब्धि कुन मापदण्डहरूद्वारा मापन गरिनेछ भनेर स्पष्ट रूपमा परिभाषित गर्न महत्त्वपूर्ण छ।

10. सूचना सुरक्षा नियन्त्रणहरू लागू गर्नुहोस्

र सबै अघिल्लो चरणहरू पूरा गरेपछि मात्र तपाईंले लागू हुने परिशिष्टबाट लागू हुने सूचना सुरक्षा नियन्त्रणहरू लागू गर्न सुरु गर्नुपर्छ। यहाँको सबैभन्दा ठूलो चुनौती, निस्सन्देह, तपाइँको संगठनका धेरै प्रक्रियाहरूमा चीजहरू गर्ने पूर्ण रूपमा नयाँ तरिकाको परिचय दिनेछ। मानिसहरू नयाँ नीतिहरू र प्रक्रियाहरूको प्रतिरोध गर्ने झुकाव राख्छन्, त्यसैले अर्को बिन्दुमा ध्यान दिनुहोस्।

11. कर्मचारीहरूको लागि प्रशिक्षण कार्यक्रमहरू लागू गर्नुहोस्

यदि तपाईका कर्मचारीहरूले परियोजनाको महत्त्व बुझ्दैनन् र सूचना सुरक्षा नीतिहरू अनुसार कार्य गर्दैनन् भने माथि वर्णन गरिएका सबै बुँदाहरू अर्थहीन हुनेछन्। यदि तपाइँ तपाइँको कर्मचारीहरूले सबै नयाँ नियमहरूको पालना गर्न चाहनुहुन्छ भने, तपाइँ पहिले मानिसहरूलाई किन आवश्यक छ भनेर व्याख्या गर्न आवश्यक छ, र त्यसपछि ISMS मा प्रशिक्षण प्रदान गर्न आवश्यक छ, कर्मचारीहरूले आफ्नो दैनिक काममा ध्यान दिनु पर्ने सबै महत्त्वपूर्ण नीतिहरूलाई हाइलाइट गर्दै। कर्मचारी प्रशिक्षणको अभाव ISO 27001 परियोजना विफलताको लागि एक सामान्य कारण हो।

12. ISMS प्रक्रियाहरू कायम राख्नुहोस्

यस बिन्दुमा, ISO 27001 तपाईंको संगठनमा दैनिक दिनचर्या बन्छ। मानक अनुसार सूचना सुरक्षा नियन्त्रणहरूको कार्यान्वयन पुष्टि गर्न, लेखा परीक्षकहरूले रेकर्डहरू प्रदान गर्न आवश्यक हुनेछ - नियन्त्रणहरूको वास्तविक सञ्चालनको प्रमाण। तर सबै भन्दा धेरै, रेकर्डहरूले तपाईका कर्मचारीहरू (र आपूर्तिकर्ताहरू) अनुमोदित नियमहरू अनुसार तिनीहरूको कार्यहरू गर्दै छन् कि छैनन् भनेर ट्र्याक गर्न मद्दत गर्दछ।

13. आफ्नो ISMS निगरानी

तपाईको ISMS मा के भइरहेको छ? तपाईंसँग कतिवटा घटना छन्, ती कुन प्रकारका छन्? के सबै प्रक्रियाहरू ठीकसँग पछ्याइएको छ? यी प्रश्नहरूको साथ, तपाईंले कम्पनीले आफ्नो सूचना सुरक्षा लक्ष्यहरू पूरा गरिरहेको छ कि छैन भनेर जाँच गर्नुपर्छ। यदि होइन भने, तपाईंले परिस्थिति सुधार गर्न योजना विकास गर्नुपर्छ।

14. आन्तरिक ISMS अडिट सञ्चालन गर्नुहोस्

आन्तरिक लेखापरीक्षणको उद्देश्य कम्पनीमा भएका वास्तविक प्रक्रियाहरू र स्वीकृत सूचना सुरक्षा नीतिहरू बीचको विसंगतिहरू पहिचान गर्नु हो। धेरै जसो भागका लागि, यसले तपाइँका कर्मचारीहरूले नियमहरू कत्तिको राम्रोसँग पछ्याउँदै छन् भनेर जाँच गरिरहेको छ। यो एक धेरै महत्त्वपूर्ण बिन्दु हो, किनकि यदि तपाईले आफ्नो कर्मचारीको कामलाई नियन्त्रण गर्नुहुन्न भने, संस्थालाई क्षति हुन सक्छ (जानाजानी वा अनजानमा)। तर यहाँको लक्ष्य अपराधी पत्ता लगाउने र नीतिहरूको पालना नगरेकोमा उनीहरूलाई अनुशासन दिने होइन, तर परिस्थितिलाई सच्याउन र भविष्यमा आउने समस्याहरूलाई रोक्नु हो।

15. व्यवस्थापन समीक्षा व्यवस्थित गर्नुहोस्

व्यवस्थापनले तपाईंको फायरवाल कन्फिगर गर्नु हुँदैन, तर तिनीहरूले ISMS मा के भइरहेको छ भनेर थाहा पाउनुपर्छ: उदाहरणका लागि, सबैले आफ्नो जिम्मेवारीहरू पूरा गर्दैछन् र ISMS ले आफ्नो लक्ष्य परिणामहरू प्राप्त गरिरहेको छ कि छैन। यसको आधारमा, व्यवस्थापनले ISMS र आन्तरिक व्यापार प्रक्रियाहरू सुधार गर्न मुख्य निर्णयहरू गर्नुपर्छ।

16. सुधारात्मक र निवारक कार्यहरूको प्रणालीको परिचय दिनुहोस्

कुनै पनि मानक जस्तै, ISO 27001 लाई "निरन्तर सुधार" आवश्यक छ: सूचना सुरक्षा व्यवस्थापन प्रणालीमा व्यवस्थित सुधार र असंगतिहरूको रोकथाम। सुधारात्मक र निवारक कार्यहरू मार्फत, गैर-अनुरूपतालाई सच्याउन सकिन्छ र भविष्यमा पुनरावृत्ति हुनबाट रोक्न सकिन्छ।

अन्तमा, म भन्न चाहन्छु कि वास्तवमा, प्रमाणित गर्न विभिन्न स्रोतहरूमा वर्णन गरिएको भन्दा धेरै गाह्रो छ। यो रूस मा आज मात्र छन् भन्ने तथ्य द्वारा पुष्टि गरिएको छ २78० कम्पनीहरू अनुपालनको लागि प्रमाणित गरिएको छ। एकै समयमा, यो विदेशमा सबैभन्दा लोकप्रिय मापदण्डहरू मध्ये एक हो, सूचना सुरक्षाको क्षेत्रमा व्यापारको बढ्दो मागहरू पूरा गर्दै। कार्यान्वयनको लागि यो माग खतराहरूको प्रकारको वृद्धि र जटिलताको कारणले मात्र होईन, तर कानूनका आवश्यकताहरू, साथै ग्राहकहरू जसले उनीहरूको डाटाको पूर्ण गोपनीयता कायम राख्न आवश्यक छ।

ISMS प्रमाणीकरण सजिलो काम होइन भन्ने तथ्यको बावजुद, अन्तर्राष्ट्रिय मानक ISO/IEC 27001 को आवश्यकताहरू पूरा गर्ने तथ्यले विश्वव्यापी बजारमा गम्भीर प्रतिस्पर्धात्मक लाभ प्रदान गर्न सक्छ। हामी आशा गर्छौं कि हाम्रो लेखले प्रमाणीकरणको लागि कम्पनी तयार गर्ने मुख्य चरणहरूको प्रारम्भिक बुझाइ प्रदान गरेको छ।

स्रोत: www.habr.com

ISO 27001 कसरी लागू गर्ने: प्रयोगको लागि निर्देशन

एक टिप्पणी थप्न Отменить ответ