Kiwari, masalah kaamanan inpormasi (saterusna disebut kaamanan inpormasi) perusahaan mangrupikeun salah sahiji anu paling pencét di dunya. Sareng ieu teu heran, sabab di loba nagara aya tightening sarat pikeun organisasi nu nyimpen jeung ngolah data pribadi. Ayeuna, panerapan Rusia merlukeun ngajaga proporsi signifikan tina aliran dokumen dina formulir kertas. Dina waktos anu sami, tren nuju digitalisasi katingali: seueur perusahaan parantos nyimpen seueur inpormasi rahasia dina format digital sareng dina bentuk dokumén kertas.
Numutkeun hasil Pusat Analitik Anti-Malware, 86% réspondén nyatakeun yén salami sataun aranjeunna sahenteuna sakali kedah ngabéréskeun insiden saatos serangan cyber atanapi salaku hasil tina palanggaran pangguna kana peraturan anu ditetepkeun. Dina hal ieu, prioritas kaamanan inpormasi dina bisnis parantos janten kabutuhan.
Ayeuna, kaamanan inpormasi perusahaan sanés ngan ukur sakumpulan alat téknis, sapertos antivirus atanapi firewall, éta parantos pendekatan terpadu pikeun nanganan aset perusahaan sacara umum sareng inpormasi khususna. Pausahaan pendekatan masalah ieu béda. Dinten ieu kami hoyong ngobrol ngeunaan palaksanaan standar internasional ISO 27001 salaku solusi pikeun masalah sapertos kitu. Pikeun pausahaan di pasar Rusia, ayana sertipikat sapertos simplifies interaksi jeung klien asing na mitra anu boga syarat tinggi dina urusan ieu. ISO 27001 seueur dianggo di Jabar sareng nyertakeun syarat dina widang kaamanan inpormasi, anu kedah katutupan ku solusi téknis anu dianggo, sareng ogé nyumbang kana pamekaran prosés bisnis. Ku kituna, standar ieu tiasa janten kaunggulan kalapa anjeun sareng titik kontak sareng perusahaan asing.
Sertifikasi Sistem Manajemén Kaamanan Inpormasi ieu (saterusna disebut ISMS) ngumpulkeun prakték pangsaéna pikeun ngarancang ISMS sareng, anu penting, nyayogikeun kamungkinan milih alat kontrol pikeun mastikeun fungsi sistem, syarat pikeun dukungan kaamanan téknologi sareng bahkan. pikeun prosés manajemén tanaga di perusahaan. Barina ogé, perlu ngarti yén kagagalan téknis ngan ukur bagian tina masalah. Dina masalah kaamanan inpormasi, faktor manusa maénkeun peran anu ageung, sareng langkung hese ngaleungitkeun atanapi ngaminimalkeunana.
Upami perusahaan anjeun hoyong janten sertifikasi ISO 27001, maka anjeun panginten parantos nyobian milarian cara anu gampang pikeun ngalakukeunana. Urang kedah nguciwakeun anjeun: teu aya cara anu gampang di dieu. Nanging, aya léngkah-léngkah anu bakal ngabantosan nyiapkeun organisasi pikeun syarat kaamanan inpormasi internasional:
1. Meunang rojongan ti manajemen
Anjeun panginten panginten ieu écés, tapi dina prakna titik ieu sering ditingali. Sumawona, ieu mangrupikeun salah sahiji alesan utama naha proyék palaksanaan ISO 27001 sering gagal. Tanpa ngartos pentingna proyék palaksanaan standar, manajemén moal nyayogikeun sumber daya manusa anu cekap atanapi anggaran anu cekap pikeun sertifikasi.
2. Ngembangkeun Rencana Persiapan Sertifikasi
Nyiapkeun pikeun sertifikasi ISO 27001 mangrupikeun tugas anu rumit anu ngalibatkeun sababaraha jinis padamelan, ngabutuhkeun keterlibatan sajumlah ageung jalma sareng tiasa nyandak sababaraha bulan (atanapi taun). Ku sabab éta, penting pisan pikeun nyiptakeun rencana proyék anu lengkep: alokasi sumber daya, waktos sareng kalibet jalma kana tugas anu ditetepkeun sacara ketat sareng ngawaskeun patuh kana wates waktu - upami henteu, anjeun moal kantos ngabéréskeun padamelan.
3. Nangtukeun perimeter sertifikasi
Upami anjeun gaduh organisasi anu ageung kalayan kagiatan anu béda-béda, éta tiasa janten akal pikeun ngajamin ukur bagian tina bisnis perusahaan kana ISO 27001, anu sacara signifikan bakal ngirangan résiko proyék anjeun, ogé waktos sareng biayana.
4. Ngembangkeun kawijakan kaamanan informasi
Salah sahiji dokumén anu paling penting nyaéta Kabijakan Kaamanan Informasi perusahaan. Éta kedah ngagambarkeun tujuan kaamanan inpormasi perusahaan sareng prinsip dasar manajemén kaamanan inpormasi, anu kedah diturutan ku sadaya karyawan. Tujuan tina dokumén ieu nyaéta pikeun nangtukeun naon anu hayang dihontal ku manajemén perusahaan dina widang kaamanan inpormasi, ogé kumaha ieu bakal dilaksanakeun sareng dikontrol.
5. Nangtukeun metodologi assessment resiko
Salah sahiji tugas anu paling hese nyaéta netepkeun aturan pikeun penilaian sareng manajemén résiko. Penting pikeun ngartos résiko mana anu dianggap tiasa ditampi ku perusahaan sareng anu peryogi tindakan langsung pikeun ngiranganana. Tanpa aturan ieu, ISMS moal jalan.
Dina waktos anu sami, kedah émut kana kacukupan ukuran anu dilaksanakeun pikeun ngirangan résiko. Tapi anjeun teu kudu teuing dibawa jauh jeung prosés optimasi, sabab ogé merlukeun waktu badag atawa waragad finansial atawa ngan saukur jadi teu mungkin. Kami ngarékoméndasikeun yén anjeun nganggo prinsip "kecukupan minimum" nalika ngamekarkeun ukuran pangurangan résiko.
6. Atur resiko nurutkeun hiji metodologi disatujuan
Tahap salajengna nyaéta aplikasi anu konsisten tina metodologi manajemén résiko, nyaéta, penilaian sareng pamrosésanna. Proses ieu kedah dilaksanakeun sacara teratur kalayan ati-ati. Ku ngamutahirkeun daptar résiko kaamanan inpormasi, anjeun bakal tiasa sacara efektif ngalokasikeun sumber daya perusahaan sareng nyegah kajadian anu serius.
7. Rencana perlakuan résiko
Résiko anu ngaleuwihan tingkat anu ditampi pikeun perusahaan anjeun kedah dilebetkeun kana rencana perlakuan résiko. Éta kedah ngarékam tindakan anu ditujukeun pikeun ngirangan résiko, ogé jalma-jalma anu nanggung jawabna sareng wates waktuna.
8. Ngalengkepan Pernyataan Applicability
Ieu mangrupikeun dokumén konci anu bakal ditaliti ku spesialis ti badan sertifikasi salami pamariksaan. Éta kedah ngajelaskeun kadali kaamanan inpormasi mana anu dianggo pikeun kagiatan perusahaan anjeun.
9. Nangtukeun kumaha efektivitas kontrol kaamanan informasi bakal diukur.
Sakur tindakan kedah gaduh hasil anu ngarah kana minuhan tujuan anu ditetepkeun. Ku alatan éta, penting pikeun ngartikeun sacara jelas ku parameter naon anu bakal diukur pikeun ngahontal tujuan pikeun sakabéh sistem manajemén kaamanan inpormasi sareng pikeun unggal mékanisme kontrol anu dipilih tina Applicability Annex.
10. Nerapkeun kadali kaamanan informasi
Sareng saatos ngalengkepan sadaya léngkah sateuacana anjeun kedah ngawitan nerapkeun kadali kaamanan inpormasi anu tiasa dianggo ti Applicability Appendix. Tangtangan pangbadagna di dieu, tangtosna, bakal ngenalkeun cara anu énggal pikeun ngalakukeun hal-hal dina seueur prosés organisasi anjeun. Jalma condong nolak kawijakan jeung prosedur anyar, jadi nengetan titik salajengna.
11. Ngalaksanakeun program pelatihan pikeun pagawé
Sadaya poin anu ditétélakeun di luhur moal aya gunana upami karyawan anjeun henteu ngartos pentingna proyék sareng henteu ngalaksanakeun saluyu sareng kawijakan kaamanan inpormasi. Upami anjeun hoyong staf anjeun sasuai jeung sagala aturan anyar, Anjeun mimitina kudu ngajelaskeun ka jalma naha maranéhna diperlukeun, lajeng nyadiakeun latihan dina ISMS, panyorot sagala kawijakan penting anu karyawan kudu tumut kana akun dina karya sapopoé maranéhna. Kurangna pelatihan staf mangrupikeun alesan umum pikeun gagalna proyék ISO 27001.
12. Ngajaga prosés ISMS
Dina titik ieu, ISO 27001 janten rutinitas sapopoé di organisasi anjeun. Pikeun ngonfirmasi palaksanaan kadali kaamanan inpormasi saluyu sareng standar, auditors kedah nyayogikeun rékaman - bukti operasi kontrol anu saleresna. Tapi anu paling penting, rékaman kedah ngabantosan anjeun ngalacak naha karyawan anjeun (sareng supplier) ngalaksanakeun tugasna saluyu sareng aturan anu disatujuan.
13. Monitor ISMS Anjeun
Naon anu lumangsung kalawan ISMS anjeun? Sabaraha insiden anjeun gaduh, jenis naon aranjeunna? Naha sadayana prosedur dituturkeun leres? Kalayan patarosan ieu, anjeun kedah pariksa naha perusahaan nyumponan tujuan kaamanan inpormasi na. Upami henteu, anjeun kedah ngembangkeun rencana pikeun ngabenerkeun kaayaan.
14. Ngalaksanakeun audit internal ISMS
Tujuan tina Inok internal nyaéta pikeun ngaidentipikasi inconsistencies antara prosés aktual di perusahaan sareng kawijakan kaamanan inpormasi anu disatujuan. Kanggo sabagéan ageung, éta mariksa pikeun ningali kumaha karyawan anjeun nuturkeun aturan. Ieu titik pohara penting, sabab lamun teu ngadalikeun karya staf Anjeun, organisasi bisa ngalaman karuksakan (dihaja atawa teu dihaja). Tapi tujuanna di dieu sanés pikeun mendakan palaku sareng ngadisiplinkeun aranjeunna pikeun henteu patuh kana kawijakan, tapi pikeun ngabenerkeun kaayaan sareng nyegah masalah anu bakal datang.
15. Atur review manajemén
Manajemén henteu kedah ngonpigurasikeun firewall anjeun, tapi aranjeunna kedah terang naon anu lumangsung dina ISMS: contona, naha sadayana nyumponan tanggung jawabna sareng naha ISMS ngahontal hasil targétna. Dumasar ieu, manajemén kedah nyandak kaputusan konci pikeun ningkatkeun ISMS sareng prosés bisnis internal.
16. Ngawanohkeun sistem tindakan corrective jeung preventif
Sapertos standar naon waé, ISO 27001 ngabutuhkeun "perbaikan kontinyu": koréksi sistematis sareng pencegahan inconsistencies dina sistem manajemén kaamanan inpormasi. Ngaliwatan tindakan koréksi sareng pencegahan, nonconformity tiasa dilereskeun sareng dicegah tina kajantenan deui di hareup.
Dina kacindekan, kuring hoyong nyarios yén kanyataanna, kéngingkeun sertifikasi langkung sesah tibatan anu dijelaskeun dina sababaraha sumber. Ieu dikonfirmasi ku kanyataan yén di Rusia kiwari ngan aya geus Certified pikeun minuhan. Dina waktos anu sami, ieu mangrupikeun salah sahiji standar anu pang populerna di luar negeri, nyumponan tungtutan bisnis dina widang kaamanan inpormasi. Paménta pikeun palaksanaan ieu henteu ngan ukur pikeun kamekaran sareng pajeulitna jinis ancaman, tapi ogé pikeun sarat panerapan, ogé klien anu kedah ngajaga karusiahan lengkep datana.
Sanaos kanyataan yén sertifikasi ISMS sanés tugas anu gampang, kanyataanna nyumponan sarat standar internasional ISO / IEC 27001 tiasa masihan kaunggulan kompetitif anu serius di pasar global. Kami ngarepkeun tulisan kami parantos nyayogikeun pamahaman awal ngeunaan tahapan konci dina nyiapkeun perusahaan pikeun sertifikasi.
sumber: www.habr.com