اڄ، انفارميشن سيڪيورٽي جو مسئلو (هتي انفارميشن سيڪيورٽي طور حوالو ڏنو ويو آهي) ڪمپنين جي دنيا ۾ سڀ کان وڌيڪ دٻاء آهي. ۽ اها تعجب جي ڳالهه ناهي، ڇاڪاڻ ته ڪيترن ئي ملڪن ۾ تنظيمن جي گهرج کي سخت ڪيو ويو آهي جيڪي ذاتي ڊيٽا کي ذخيرو ۽ پروسيس ڪندا آهن. في الحال، روسي قانون سازي کي ڪاغذ جي فارم ۾ دستاويز جي وهڪري جو هڪ اهم تناسب برقرار رکڻ جي ضرورت آهي. ساڳئي وقت، ڊجيٽلائيزيشن ڏانهن رجحان قابل ذڪر آهي: ڪيتريون ئي ڪمپنيون پهريان ئي ڊجيٽل فارميٽ ۽ ڪاغذن جي دستاويزن جي صورت ۾ رازداري معلومات جي وڏي مقدار کي ذخيرو ڪن ٿيون.
نتيجن موجب اينٽي مالويئر تجزياتي مرڪز، 86 سيڪڙو جواب ڏيڻ وارن نوٽ ڪيو ته سال جي دوران انهن کي گهٽ ۾ گهٽ هڪ ڀيرو سائبر حملن کان پوء يا قائم ڪيل ضابطن جي صارف جي ڀڃڪڙي جي نتيجي ۾ واقعن کي حل ڪرڻو پوندو. ان سلسلي ۾، ڪاروبار ۾ معلومات جي حفاظت کي ترجيح ڏيڻ هڪ ضرورت بڻجي وئي آهي.
في الحال، ڪارپوريٽ انفارميشن سيڪيورٽي نه رڳو ٽيڪنيڪل ذريعن جو هڪ سيٽ آهي، جهڙوڪ اينٽي وائرس يا فائر والز، اهو اڳ ۾ ئي ڪمپني جي اثاثن کي عام طور تي ۽ خاص طور تي معلومات کي سنڀالڻ لاء هڪ مربوط طريقو آهي. ڪمپنيون انهن مسئلن کي مختلف طريقي سان ڏسندا آهن. اڄ اسان کي بين الاقوامي معيار ISO 27001 لاڳو ڪرڻ جي باري ۾ ڳالهائڻ چاهيون ٿا ته جيئن هڪ اهڙي مسئلي جي حل. روسي مارڪيٽ تي ڪمپنين لاء، اهڙي سرٽيفڪيٽ جي موجودگي غير ملڪي گراهڪن ۽ ڀائيوارن سان رابطي کي آسان بڻائي ٿو جن کي هن معاملي ۾ اعلي گهربل آهي. ISO 27001 مغرب ۾ وڏي پيماني تي استعمال ٿيندو آهي ۽ معلومات جي حفاظت جي شعبي ۾ گهرجون پوريون ڪندو آهي، جيڪي استعمال ٿيل ٽيڪنيڪل حلن کي ڍڪڻ گهرجن، ۽ ڪاروباري عملن جي ترقي ۾ پڻ حصو وٺندا آهن. اهڙيء طرح، هي معيار بڻجي سگهي ٿو توهان جي مقابلي جو فائدو ۽ پرڏيهي ڪمپنين سان رابطي جو هڪ نقطو.
انفارميشن سيڪيورٽي مئنيجمينٽ سسٽم جي هن سرٽيفڪيشن (هتان کان پوءِ ISMS طور حوالو ڏنو ويو آهي) هڪ ISMS ڊزائين ڪرڻ لاءِ بهترين طريقا گڏ ڪيا ۽، اهم طور تي، سسٽم جي ڪم کي يقيني بڻائڻ لاءِ ڪنٽرول اوزار چونڊڻ جي امڪان لاءِ مهيا ڪيل، ٽيڪنالاجي سيڪيورٽي سپورٽ جي گهرج ۽ حتي. ڪمپني ۾ عملي جي انتظام جي عمل لاء. آخرڪار، اهو سمجهڻ ضروري آهي ته ٽيڪنيڪل ناڪامي صرف مسئلي جو حصو آهن. معلومات جي حفاظت جي معاملن ۾، انساني عنصر تمام وڏو ڪردار ادا ڪري ٿو، ۽ ان کي ختم ڪرڻ يا گھٽائڻ تمام گهڻو ڏکيو آهي.
جيڪڏهن توهان جي ڪمپني ISO 27001 تصديق ٿيل ٿيڻ جي ڪوشش ڪري رهي آهي، ته توهان شايد اڳ ۾ ئي ڪوشش ڪئي آهي ته اهو ڪرڻ لاء آسان رستو ڳولڻ جي. اسان کي توهان کي مايوس ڪرڻو پوندو: هتي ڪي به آسان طريقا نه آهن. تنهن هوندي، ڪجهه قدم آهن جيڪي هڪ تنظيم کي بين الاقوامي معلومات جي حفاظت جي گهرجن لاء تيار ڪرڻ ۾ مدد ڏين ٿيون:
1. انتظاميا کان مدد حاصل ڪريو
توهان شايد سوچيو ته اهو واضح آهي، پر عملي طور تي هن نقطي کي اڪثر نظر انداز ڪيو ويندو آهي. ان کان علاوه، اهو هڪ بنيادي سبب آهي ڇو ته ISO 27001 عملدرآمد منصوبن اڪثر ناڪام ٿي ويندا آهن. معياري عمل درآمد واري منصوبي جي اهميت کي سمجهڻ کان سواء، انتظاميا يا ته ڪافي انساني وسيلن يا سرٽيفڪيشن لاءِ ڪافي بجيٽ فراهم نه ڪندي.
2. هڪ سرٽيفڪيشن تيار ڪرڻ جو منصوبو ٺاهيو
ISO 27001 سرٽيفڪيشن لاءِ تياري ڪرڻ هڪ پيچيده ڪم آهي جنهن ۾ ڪم جا ڪيترائي مختلف قسم شامل آهن، ماڻهن جي وڏي تعداد جي شموليت جي ضرورت آهي ۽ ڪيترن ئي مهينن (يا ان کان به سال) وٺي سگھي ٿو. تنهن ڪري، اهو تمام ضروري آهي ته هڪ تفصيلي پروجيڪٽ پلان ٺاهيو: وسيلن، وقت ۽ ماڻهن جي شموليت کي سختي سان مقرر ڪيل ڪمن لاءِ مختص ڪريو ۽ ڊيڊ لائنن جي تعميل جي نگراني ڪريو - ٻي صورت ۾ توهان ڪڏهن به ڪم ختم نه ڪري سگهندا.
3. سرٽيفڪيشن جي حد جي وضاحت ڪريو
جيڪڏهن توهان وٽ متنوع سرگرمين سان گڏ هڪ وڏو ادارو آهي، ته اهو سمجهي سگھي ٿو ته ڪمپني جي ڪاروبار جي صرف هڪ حصي کي ISO 27001 جي تصديق ڪرڻ لاء، جيڪو توهان جي منصوبي جي خطري سان گڏوگڏ ان جي وقت ۽ قيمت کي خاص طور تي گهٽائيندو.
4. هڪ ڄاڻ سيڪيورٽي پاليسي ٺاهيو
سڀ کان اهم دستاويزن مان هڪ آهي ڪمپني جي انفارميشن سيڪيورٽي پاليسي. اهو توهان جي ڪمپني جي معلومات جي حفاظت جي مقصدن ۽ معلومات جي حفاظت جي انتظام جي بنيادي اصولن کي ظاهر ڪرڻ گهرجي، جيڪو سڀني ملازمن جي پيروي ڪرڻ گهرجي. هن دستاويز جو مقصد اهو طئي ڪرڻ آهي ته ڪمپني جي انتظاميه معلومات جي حفاظت جي شعبي ۾ ڇا حاصل ڪرڻ چاهي ٿي، انهي سان گڏ اهو ڪيئن لاڳو ڪيو ويندو ۽ ڪنٽرول ڪيو ويندو.
5. خطري جي تشخيص جو طريقو بيان ڪريو
سڀ کان وڌيڪ ڏکيو ڪمن مان هڪ خطري جي تشخيص ۽ انتظام لاء ضابطن جي وضاحت ڪرڻ آهي. اهو سمجهڻ ضروري آهي ته ڪهڙن خطرن کي هڪ ڪمپني قابل قبول سمجهي سگهي ٿي ۽ انهن کي گهٽائڻ لاءِ فوري ڪارروائي جي ضرورت آهي. انهن ضابطن جي بغير، ISMS ڪم نه ڪندو.
ساڳئي وقت، اهو ياد رکڻ جي قابل آهي ته خطرن کي گهٽائڻ لاء قدمن جي مناسبيت. پر توهان کي بهتر ڪرڻ جي عمل سان تمام گهڻو پري نه وڃڻ گهرجي، ڇاڪاڻ ته اهي پڻ وڏي وقت يا مالي خرچن ۾ شامل آهن يا شايد ناممڪن ٿي سگهي ٿي. اسان سفارش ڪريون ٿا ته توهان "گهٽ ۾ گهٽ ڪافي" جو اصول استعمال ڪريو جڏهن خطري جي گھٽتائي جي قدمن کي ترقي ڪندي.
6. منظور ٿيل طريقي جي مطابق خطرن کي منظم ڪريو
ايندڙ مرحلو خطري جي انتظام جي طريقيڪار جي مسلسل درخواست آهي، اهو آهي، انهن جي تشخيص ۽ پروسيسنگ. اهو عمل باقاعده بنياد تي وڏي احتياط سان ڪيو وڃي. معلومات جي حفاظتي خطري جي رجسٽر کي تاريخ تائين رکڻ سان، توهان مؤثر طريقي سان ڪمپني وسيلن کي مختص ڪرڻ ۽ سنگين واقعن کي روڪڻ جي قابل هوندا.
7. خطري جي علاج جو منصوبو
خطرا جيڪي توهان جي ڪمپني لاءِ قابل قبول سطح کان وڌي وڃن انهن کي خطري جي علاج واري منصوبي ۾ شامل ڪيو وڃي. اهو عملن کي رڪارڊ ڪرڻ گهرجي جنهن جو مقصد خطرن کي گهٽائڻ آهي، انهي سان گڏ انهن لاء ذميوار ماڻهو ۽ آخري وقت.
8. لاڳو ڪرڻ جو بيان مڪمل ڪريو
هي هڪ اهم دستاويز آهي جنهن جو مطالعو ڪيو ويندو سرٽيفڪيشن اداري جي ماهرن پاران آڊٽ دوران. اهو بيان ڪرڻ گهرجي ته ڪهڙي معلومات سيڪيورٽي ڪنٽرول توهان جي ڪمپني جي سرگرمين تي لاڳو ٿئي ٿي.
9. طئي ڪيو ته ڪيئن معلومات جي حفاظتي ڪنٽرول جي اثرائتي ماپي ويندي.
ڪنهن به عمل جو نتيجو ضرور هوندو آهي جنهن جي نتيجي ۾ قائم ڪيل مقصدن جي حاصلات ٿيندي آهي. تنهن ڪري، اهو واضح طور تي وضاحت ڪرڻ ضروري آهي ته مقصدن جي حاصلات کي ماپي ويندي ٻنهي سموري معلومات سيڪيورٽي مئنيجمينٽ سسٽم لاء ۽ هر چونڊيل ڪنٽرول ميڪانيزم لاء لاڳو ڪندڙ ضميمه مان.
10. معلومات سيڪيورٽي ڪنٽرول لاڳو ڪريو
۽ صرف سڀني پوئين قدمن کي مڪمل ڪرڻ کان پوء توهان کي لاڳو ڪرڻ شروع ڪرڻ گهرجي قابل اطلاق معلومات حفاظتي ضابطن کي لاڳو ڪرڻ جي ضميمه مان. هتي سڀ کان وڏو چئلينج، يقينا، توهان جي تنظيم جي ڪيترن ئي عملن ۾ ڪم ڪرڻ جو هڪ مڪمل طور تي نئون طريقو متعارف ڪرايو ويندو. ماڻهو نون پاليسين ۽ طريقيڪار جي مزاحمت ڪن ٿا، تنهنڪري ايندڙ نقطي تي ڌيان ڏيو.
11. ملازمن لاءِ تربيتي پروگرام لاڳو ڪريو
مٿي بيان ڪيل سڀئي نقطا بي معنيٰ ٿي ويندا جيڪڏهن توهان جا ملازم پروجيڪٽ جي اهميت کي نٿا سمجهن ۽ معلومات جي حفاظت جي پاليسين جي مطابق عمل نٿا ڪن. جيڪڏهن توهان چاهيو ٿا ته توهان جو عملو سڀني نون ضابطن جي تعميل ڪري، توهان کي پهريان ماڻهن کي وضاحت ڪرڻي پوندي ته اهي ڇو ضروري آهن، ۽ پوءِ ISMS تي تربيت فراهم ڪندي، انهن سڀني اهم پاليسين کي اجاگر ڪندي جن کي ملازمن کي پنهنجي روزاني ڪم ۾ ڌيان ڏيڻ گهرجي. اسٽاف ٽريننگ جي کوٽ ISO 27001 منصوبي جي ناڪامي جو هڪ عام سبب آهي.
12. ISMS عملن کي برقرار رکڻ
هن موقعي تي، ISO 27001 توهان جي تنظيم ۾ روزاني معمول بڻجي ويندو آهي. معيار جي مطابق انفارميشن سيڪيورٽي ڪنٽرولز جي عمل جي تصديق ڪرڻ لاء، آڊيٽرز کي رڪارڊ مهيا ڪرڻ جي ضرورت پوندي - ڪنٽرول جي حقيقي آپريشن جو ثبوت. پر سڀ کان وڌيڪ، رڪارڊ توهان کي ٽريڪ ڪرڻ ۾ مدد ڪرڻ گهرجي ته ڇا توهان جا ملازم (۽ سپلائرز) انهن جي ڪمن کي منظور ٿيل ضابطن جي مطابق انجام ڏئي رهيا آهن.
13. پنھنجي ISMS جي نگراني ڪريو
توهان جي ISMS سان ڇا ٿي رهيو آهي؟ توهان وٽ ڪيترا واقعا آهن، اهي ڪهڙي قسم جا آهن؟ ڇا سڀئي طريقا صحيح طريقي سان پيروي ڪندا آهن؟ انهن سوالن سان، توهان کي چيڪ ڪرڻ گهرجي ته ڇا ڪمپني پنهنجي معلومات جي حفاظت جي مقصدن کي پورو ڪري رهي آهي. جيڪڏهن نه، توهان کي صورتحال کي درست ڪرڻ لاء هڪ منصوبو ٺاهڻ گهرجي.
14. اندروني ISMS آڊٽ کي منظم ڪريو
اندروني آڊٽ جو مقصد ڪمپني ۾ حقيقي عملن جي وچ ۾ تضاد جي نشاندهي ڪرڻ ۽ معلومات جي حفاظتي پاليسين جي منظوري ڏني وئي آهي. سڀ کان وڌيڪ حصو لاء، اهو ڏسڻ جي جانچ ڪري رهيو آهي ته توهان جا ملازم ڪيئن قاعدن تي عمل ڪري رهيا آهن. اهو هڪ تمام اهم نقطو آهي، ڇاڪاڻ ته جيڪڏهن توهان پنهنجي عملي جي ڪم کي ڪنٽرول نه ڪندا، تنظيم کي نقصان پهچي سگهي ٿو (عمدي يا غير ارادي). پر هتي مقصد اهو نه آهي ته ڏوهن کي ڳولڻ ۽ پاليسين جي عدم تعميل لاءِ انهن کي نظم و ضبط ڪرڻ، پر صورتحال کي درست ڪرڻ ۽ مستقبل جي مسئلن کي روڪڻ آهي.
15. انتظامي جائزو منظم ڪريو
انتظاميا کي توهان جي فائر وال کي ترتيب نه ڏيڻ گهرجي، پر انهن کي ڄاڻڻ گهرجي ته ISMS ۾ ڇا ٿي رهيو آهي: مثال طور، ڇا هرڪو پنهنجون ذميواريون پوريون ڪري رهيو آهي ۽ ڇا ISMS پنهنجي ٽارگيٽ نتيجا حاصل ڪري رهيو آهي. انهي جي بنياد تي، انتظاميا کي ISMS ۽ اندروني ڪاروباري عملن کي بهتر ڪرڻ لاء اهم فيصلا ڪرڻ گهرجن.
16. اصلاحي ۽ بچاءُ واري عمل جو نظام متعارف ڪرايو
ڪنهن به معيار وانگر، ISO 27001 "مسلسل سڌارو" جي ضرورت آهي: معلومات جي سيڪيورٽي مينيجمينٽ سسٽم ۾ سسٽماتي اصلاح ۽ تضاد جي روڪٿام. اصلاحي ۽ بچاءُ واري عمل ذريعي، غير مطابقت کي درست ڪري سگهجي ٿو ۽ مستقبل ۾ ٻيهر ٿيڻ کان روڪي سگهجي ٿو.
آخر ۾، مان اهو چوڻ چاهيان ٿو ته حقيقت ۾، تصديق ٿيل حاصل ڪرڻ تمام گهڻو ڏکيو آهي مختلف ذريعن ۾ بيان ڪيل کان. هن حقيقت جي تصديق ڪئي وئي آهي ته روس ۾ اڄ رڳو آهن تعميل جي تصديق ڪئي وئي آهي. ساڳئي وقت، هي هڪ آهي سڀ کان وڌيڪ مشهور معيار ٻاهرين ملڪ، معلومات جي حفاظت جي شعبي ۾ ڪاروبار جي وڌندڙ مطالبن کي پورو ڪرڻ. عمل درآمد لاءِ هي مطالبو نه رڳو خطرن جي قسمن جي واڌ ۽ پيچيدگي جي ڪري آهي، پر قانون سازي جي ضرورتن جي ڪري، انهي سان گڏ گراهڪ جن کي پنهنجي ڊيٽا جي مڪمل رازداري برقرار رکڻ جي ضرورت آهي.
ان حقيقت جي باوجود ته ISMS سرٽيفڪيشن ڪو آسان ڪم نه آهي، بين الاقوامي معيار ISO/IEC 27001 جي ضرورتن کي پورو ڪرڻ جي حقيقت عالمي مارڪيٽ ۾ هڪ سنگين مقابلي جو فائدو ڏئي سگهي ٿي. اسان اميد ٿا ڪريون ته اسان جو مضمون سرٽيفڪيشن لاءِ ڪمپني تيار ڪرڻ ۾ اهم مرحلن جي ابتدائي سمجھاڻي ڏني آهي.
جو ذريعو: www.habr.com