نن ورځ ، د شرکتونو د معلوماتو امنیت (له دې وروسته د معلوماتو امنیت په نوم یادیږي) مسله په نړۍ کې یو له خورا فشار لاندې دی. او دا د حیرانتیا خبره نده، ځکه چې په ډیری هیوادونو کې د سازمانونو اړتیاوې سختې دي چې شخصي معلومات ذخیره او پروسس کوي. اوس مهال، د روسیې قانون د کاغذ په بڼه د اسنادو د جریان د پام وړ تناسب ساتلو ته اړتیا لري. په ورته وخت کې، د ډیجیټل کولو په لور تمایل د پام وړ دی: ډیری شرکتونه دمخه په ډیجیټل بڼه او د کاغذ اسنادو په بڼه د محرم معلوماتو لوی مقدار ذخیره کوي.
د پایلو له مخې د مالویر ضد تحلیلي مرکز، 86٪ ځواب ویونکو یادونه وکړه چې د کال په جریان کې دوی لږترلږه یو ځل د سایبر بریدونو وروسته یا د تاسیس شوي مقرراتو څخه د کارونکي سرغړونې په پایله کې پیښې حل کړي. په دې برخه کې، په سوداګرۍ کې د معلوماتو خوندیتوب ته لومړیتوب ورکول یوه اړتیا ګرځیدلې.
اوس مهال، د کارپوریټ معلوماتو امنیت نه یوازې د تخنیکي وسیلو یوه مجموعه ده، لکه انټي ویروسونه یا فایروالونه، دا دمخه په عمومي توګه د شرکت شتمنیو اداره کولو او په ځانګړې توګه د معلوماتو اداره کولو لپاره یو مربوط طریقه ده. شرکتونه دې ستونزو ته په بل ډول چلند کوي. نن موږ غواړو د دې ستونزې د حل په توګه د نړیوال معیار ISO 27001 پلي کولو په اړه وغږیږو. د روسیې په بازار کې د شرکتونو لپاره، د دې ډول سند شتون د بهرنیو پیرودونکو او شریکانو سره اړیکه ساده کوي چې پدې مسله کې لوړې اړتیاوې لري. ISO 27001 په لویدیز کې په پراخه کچه کارول کیږي او د معلوماتو امنیت په برخه کې اړتیاوې پوښي، کوم چې باید د کارول شوي تخنیکي حلونو لخوا پوښل شي، او د سوداګرۍ پروسو پراختیا کې هم مرسته کوي. پدې توګه ، دا معیار ستاسو سیالي ګټه او د بهرنیو شرکتونو سره د تماس نقطه کیدی شي.
د معلوماتو امنیت مدیریت سیسټم دا تصدیق (له دې وروسته د ISMS په نوم یادیږي) د ISMS ډیزاین کولو لپاره غوره تمرینونه راټول کړي او په مهم ډول د سیسټم فعالیت ډاډمن کولو لپاره د کنټرول وسیلو غوره کولو امکان چمتو کوي ، د ټیکنالوژیک امنیت ملاتړ اړتیاوې او حتی په شرکت کې د پرسونل مدیریت پروسې لپاره. په هرصورت، دا اړینه ده چې پوه شي چې تخنیکي ناکامۍ یوازې د ستونزې یوه برخه ده. د معلوماتو د امنیت په مسلو کې، بشري فکتور لوی رول لوبوي، او د دې له منځه وړل یا کمول خورا ستونزمن کار دی.
که ستاسو شرکت د ISO 27001 تصدیق کولو په لټه کې وي، نو تاسو ممکن دمخه د دې کولو لپاره اسانه لار موندلو هڅه کړې وي. موږ باید تاسو مایوسه کړو: دلته هیڅ اسانه لار نشته. په هرصورت، ځینې ګامونه شتون لري چې د نړیوالو معلوماتو امنیتي اړتیاو لپاره د یوې ادارې چمتو کولو کې مرسته کوي:
1. د مدیریت څخه ملاتړ ترلاسه کړئ
تاسو شاید فکر وکړئ چې دا څرګند دی، مګر په عمل کې دا ټکی اکثرا له پامه غورځول کیږي. سربیره پردې ، دا یو له اصلي دلیلونو څخه دی چې ولې د ISO 27001 پلي کولو پروژې ډیری وختونه ناکام کیږي. پرته لدې چې د معیاري پلي کولو پروژې اهمیت پوه شي ، مدیریت به کافي بشري سرچینې یا د تصدیق لپاره کافي بودیجه چمتو نکړي.
2. د تصدیق چمتو کولو پلان جوړ کړئ
د ISO 27001 تصدیق لپاره چمتو کول یو پیچلي دنده ده چې ډیری مختلف ډولونه پکې شامل دي ، د لوی شمیر خلکو ښکیلتیا ته اړتیا لري او ډیری میاشتې (یا حتی کلونه) وخت نیسي. له همدې امله، دا خورا مهم دي چې د پروژې مفصل پلان جوړ کړئ: سرچینې، وخت او د خلکو ښکیلتیا په کلکه تعریف شوي دندو لپاره تخصیص کړئ او د مهال ویش سره موافقت وڅارئ - که نه نو تاسو به هیڅکله کار پای ته ونه رسئ.
3. د تصدیق محیط تعریف کړئ
که تاسو د متنوع فعالیتونو سره لوی سازمان ولرئ ، نو دا به معنی ولري چې د شرکت سوداګرۍ یوازې برخه ISO 27001 ته تصدیق کړئ ، کوم چې به ستاسو د پروژې خطر ، او همدارنګه د هغې وخت او لګښت د پام وړ کم کړي.
4. د معلوماتو د خوندیتوب پالیسي جوړول
یو له خورا مهم سندونو څخه د شرکت د معلوماتو امنیت پالیسي ده. دا باید ستاسو د شرکت د معلوماتو امنیت اهداف او د معلوماتو امنیت مدیریت لومړني اصول منعکس کړي ، کوم چې باید د ټولو کارمندانو لخوا تعقیب شي. د دې سند هدف دا دی چې دا معلومه کړي چې د شرکت مدیریت د معلوماتو امنیت په برخه کې څه ترلاسه کول غواړي، او همدارنګه دا به څنګه پلي او کنټرول شي.
5. د خطر ارزونې میتودولوژي تعریف کړئ
یو له خورا ستونزمنو کارونو څخه د خطر ارزونې او مدیریت لپاره د قواعدو ټاکل دي. دا مهمه ده چې پوه شو چې کوم خطرونه یو شرکت ممکن د منلو وړ وګڼي او کوم چې د کمولو لپاره سمدستي اقدام ته اړتیا لري. د دې مقرراتو پرته، ISMS به کار ونکړي.
په ورته وخت کې، دا د خطرونو کمولو لپاره د اخیستل شویو اقداماتو کافي اندازه د یادولو وړ ده. مګر تاسو باید د اصلاح کولو پروسې سره ډیر لرې نه شئ، ځکه چې دوی لوی وخت یا مالي لګښتونه هم لري یا ممکن په ساده ډول ناممکن وي. موږ وړاندیز کوو چې تاسو د "لږترلږه کفایت" اصول وکاروئ کله چې د خطر کمولو اقداماتو رامینځته کول.
6. د منظور شوي میتودولوژي سره سم د خطرونو اداره کول
بله مرحله د خطر مدیریت میتودولوژي دوامداره پلي کول دي ، دا د دوی ارزونه او پروسس کول دي. دا پروسه باید په منظمه توګه د ډیر احتیاط سره ترسره شي. د معلوماتو د امنیت خطر راجستر تر نیټې ساتلو سره، تاسو به وکولی شئ په مؤثره توګه د شرکت سرچینې تخصیص کړئ او د جدي پیښو مخه ونیسئ.
7. د خطر درملنه پلان کړئ
هغه خطرونه چې ستاسو د شرکت لپاره د منلو وړ کچې څخه ډیر وي باید د خطر درملنې پلان کې شامل شي. دا باید هغه کړنې ثبت کړي چې هدف یې د خطرونو کمول دي ، په بیله بیا هغه اشخاص چې د دوی لپاره مسؤل دي او مهال ویش.
8. د تطبیق بیان بشپړ کړئ
دا یو کلیدي سند دی چې د تفتیش په جریان کې به د تصدیق کولو ادارې متخصصینو لخوا مطالعه شي. دا باید تشریح کړي چې کوم معلومات امنیتي کنټرولونه ستاسو د شرکت فعالیتونو باندې پلي کیږي.
9. دا معلومه کړئ چې د معلوماتو د خوندیتوب کنټرول اغیزمنتوب به څنګه اندازه شي.
هر عمل باید پایله ولري چې د ټاکل شوي اهدافو د پوره کیدو لامل شي. له همدې امله، دا مهمه ده چې په واضح ډول تعریف کړئ چې د اهدافو لاسته راوړنه به د معلوماتو امنیت مدیریت سیسټم او د پلي کیدو ضمیمې څخه د هر ټاکل شوي کنټرول میکانیزم لپاره اندازه شي.
10. د معلوماتو امنیت کنټرولونه پلي کول
او یوازې د ټولو تیرو مرحلو بشپړولو وروسته تاسو باید د پلي کیدو ضمیمه څخه د پلي کیدو وړ معلوماتو امنیت کنټرول پلي کول پیل کړئ. دلته ترټولو لویه ننګونه، البته، به ستاسو د سازمان ډیری پروسو کې د شیانو د ترسره کولو یوه بشپړه نوې طریقه معرفي کړي. خلک د نویو پالیسیو او طرزالعملونو سره مقاومت کوي، نو راتلونکي ټکي ته پام وکړئ.
11. د کارمندانو لپاره د روزنې پروګرامونه پلي کول
پورته ذکر شوي ټول ټکي به بې معنی وي که ستاسو کارمندان د پروژې په اهمیت نه پوهیږي او د معلوماتو د خوندیتوب پالیسیو سره سم عمل نه کوي. که تاسو غواړئ چې ستاسو کارمندان د ټولو نوي مقرراتو سره سم عمل وکړي، تاسو باید لومړی خلکو ته تشریح کړئ چې ولې دوی اړین دي، او بیا د ISMS په اړه روزنه چمتو کړئ، ټولې مهمې پالیسۍ په ګوته کړئ چې کارمندان باید په خپل ورځني کار کې په پام کې ونیسي. د کارمندانو د روزنې نشتوالی د ISO 27001 پروژې ناکامۍ یو عام دلیل دی.
12. د ISMS پروسې ساتل
پدې مرحله کې ، ISO 27001 ستاسو په سازمان کې ورځنی معمول کیږي. د معیار سره سم د معلوماتو امنیت کنټرولونو پلي کولو تصدیق کولو لپاره ، پلټونکي به اړتیا ولري ریکارډونه چمتو کړي - د کنټرول ریښتیني عملیاتو شواهد. مګر تر ټولو ډیر، ریکارډونه باید تاسو سره مرسته وکړي چې دا تعقیب کړي چې آیا ستاسو کارمندان (او عرضه کوونکي) د منظور شوي مقرراتو سره سم خپل کارونه ترسره کوي.
13. خپل ISMS څارنه وکړئ
ستاسو د ISMS سره څه تیریږي؟ تاسو څومره پیښې لرئ، کوم ډول دي؟ ایا ټول طرزالعملونه په سمه توګه تعقیب شوي؟ د دې پوښتنو سره، تاسو باید وګورئ چې آیا شرکت د خپلو معلوماتو امنیت اهداف پوره کوي. که نه، تاسو باید د وضعیت سمولو لپاره یو پالن جوړ کړئ.
14. د ISMS داخلي پلټنه ترسره کړئ
د داخلي پلټنې هدف په شرکت کې د حقیقي پروسو او تصویب شوي معلوماتو امنیت پالیسیو ترمنځ د تضادونو پیژندل دي. د ډیری برخې لپاره، دا ګوري چې وګورئ ستاسو کارمندان څومره ښه قواعد تعقیبوي. دا یو ډیر مهم ټکی دی، ځکه چې که تاسو د خپلو کارمندانو کار کنټرول نه کړئ، کیدای شي سازمان زیانمن شي (په قصدي یا غیر ارادي توګه). خو دلته موخه دا نه ده چې د مجرمینو موندل او د پالیسیو د نه مراعاتولو په خاطر هغوی ته امتیاز ورکول، بلکې د وضعیت سمول او د راتلونکو ستونزو مخنیوی دی.
15. د مدیریت بیاکتنه تنظیم کړئ
مدیریت باید ستاسو د فایر وال تنظیم نه کړي، مګر دوی باید پوه شي چې په ISMS کې څه پیښیږي: د مثال په توګه، ایا هرڅوک خپل مسؤلیتونه پوره کوي او ایا ISMS خپلې موخې پایلې ترلاسه کوي. د دې پر بنسټ، مدیریت باید د ISMS او داخلي سوداګرۍ پروسو ته وده ورکولو لپاره کلیدي پریکړې وکړي.
16. د اصلاحي او مخنیوي اقداماتو یو سیسټم معرفي کړئ
د هر معیار په څیر ، ISO 27001 "دوامداره پرمختګ" ته اړتیا لري: د معلوماتو امنیت مدیریت سیسټم کې سیسټمیک سمون او د تضادونو مخنیوی. د اصلاحي او مخنیوي اقداماتو له لارې، غیر موافقت سم کیدی شي او په راتلونکي کې د بیا تکرار مخه ونیسي.
په پایله کې، زه غواړم ووایم چې په حقیقت کې، تصدیق ترلاسه کول د مختلفو سرچینو په پرتله خورا ستونزمن کار دی. دا د دې حقیقت لخوا تایید شوی چې نن ورځ یوازې په روسیه کې شتون لري د اطاعت لپاره تصدیق شوي دي. په ورته وخت کې ، دا په بهر کې یو له خورا مشهور معیارونو څخه دی ، د معلوماتو امنیت په برخه کې د سوداګرۍ مخ په ډیریدونکي غوښتنې پوره کوي. د پلي کولو لپاره دا غوښتنه نه یوازې د ګواښونو ډولونو وده او پیچلتیا له امله ده ، بلکه د قانون جوړولو اړتیاو او همدارنګه هغه پیرودونکي چې اړتیا لري د خپلو معلوماتو بشپړ محرمیت وساتي.
د دې حقیقت سره سره چې د ISMS تصدیق کول اسانه کار ندی ، د نړیوال معیار ISO/IEC 27001 اړتیاو پوره کولو حقیقت کولی شي په نړیوال بازار کې جدي سیالي ګټه چمتو کړي. موږ امید لرو چې زموږ مقاله د تصدیق لپاره د شرکت چمتو کولو کې د کلیدي مرحلو لومړني پوهه چمتو کړې.
سرچینه: www.habr.com