Idag är frågan om företagens informationssäkerhet (nedan kallad informationssäkerhet) en av de mest angelägna i världen. Och det är inte förvånande, eftersom det i många länder sker en skärpning av kraven på organisationer som lagrar och behandlar personuppgifter. För närvarande kräver rysk lagstiftning att en betydande del av dokumentflödet upprätthålls i pappersform. Samtidigt märks trenden mot digitalisering: många företag lagrar redan en stor mängd konfidentiell information både i digitalt format och i form av pappersdokument.
Enligt resultaten Anti-Malware Analytical Center, 86 % av de tillfrågade noterade att de under året åtminstone en gång var tvungna att lösa incidenter efter cyberattacker eller som ett resultat av användaröverträdelser av etablerade regler. I detta avseende har prioritering av informationssäkerhet i företag blivit en nödvändighet.
För närvarande är företagsinformationssäkerhet inte bara en uppsättning tekniska medel, såsom antivirus eller brandväggar, det är redan ett integrerat tillvägagångssätt för att hantera företagstillgångar i allmänhet och information i synnerhet. Företag närmar sig dessa problem på olika sätt. Idag skulle vi vilja prata om implementeringen av den internationella standarden ISO 27001 som en lösning på ett sådant problem. För företag på den ryska marknaden förenklar närvaron av ett sådant certifikat interaktion med utländska kunder och partners som har höga krav i denna fråga. ISO 27001 används flitigt i västvärlden och täcker krav inom informationssäkerhetsområdet, som bör täckas av de tekniska lösningar som används, och även bidra till utvecklingen av affärsprocesser. Således kan denna standard bli din konkurrensfördel och en kontaktpunkt med utländska företag.
Denna certifiering av ledningssystemet för informationssäkerhet (nedan kallat ISMS) samlade de bästa metoderna för att designa ett ISMS och, vilket är viktigt, gav möjligheten att välja kontrollverktyg för att säkerställa att systemet fungerar, krav på tekniskt säkerhetsstöd och t.o.m. för personalledningsprocessen i företaget. När allt kommer omkring är det nödvändigt att förstå att tekniska fel bara är en del av problemet. I informationssäkerhetsfrågor spelar den mänskliga faktorn en enorm roll, och det är mycket svårare att eliminera eller minimera den.
Om ditt företag vill bli ISO 27001-certifierat, kanske du redan har försökt hitta det enkla sättet att göra det. Vi måste göra dig besviken: det finns inga enkla sätt här. Det finns dock vissa steg som hjälper till att förbereda en organisation för internationella krav på informationssäkerhet:
1. Få stöd från ledningen
Du kanske tycker att detta är uppenbart, men i praktiken förbises denna punkt ofta. Dessutom är detta en av huvudorsakerna till att ISO 27001-implementeringsprojekt ofta misslyckas. Utan att förstå betydelsen av standardimplementeringsprojektet kommer ledningen inte att tillhandahålla vare sig tillräckliga personalresurser eller tillräcklig budget för certifiering.
2. Utveckla en förberedelseplan för certifiering
Att förbereda sig för ISO 27001-certifiering är en komplex uppgift som involverar många olika typer av arbete, kräver inblandning av ett stort antal personer och kan ta många månader (eller till och med år). Därför är det mycket viktigt att skapa en detaljerad projektplan: allokera resurser, tid och engagemang av människor till strikt definierade uppgifter och övervaka efterlevnaden av deadlines - annars kanske du aldrig avslutar arbetet.
3. Definiera certifieringens omkrets
Om du har en stor organisation med diversifierad verksamhet kan det vara vettigt att certifiera endast en del av företagets verksamhet enligt ISO 27001, vilket avsevärt kommer att minska risken för ditt projekt, samt dess tid och kostnad.
4. Utveckla en informationssäkerhetspolicy
Ett av de viktigaste dokumenten är företagets informationssäkerhetspolicy. Den ska återspegla ditt företags informationssäkerhetsmål och de grundläggande principerna för informationssäkerhetshantering, som måste följas av alla anställda. Syftet med detta dokument är att fastställa vad företagets ledning vill uppnå inom informationssäkerhetsområdet, samt hur detta ska implementeras och kontrolleras.
5. Definiera en metod för riskbedömning
En av de svåraste uppgifterna är att definiera regler för riskbedömning och riskhantering. Det är viktigt att förstå vilka risker ett företag kan anse som acceptabla och vilka som kräver omedelbara åtgärder för att minska dem. Utan dessa regler fungerar inte ISMS.
Samtidigt är det värt att komma ihåg att de åtgärder som vidtas för att minska riskerna är tillräckliga. Men du bör inte ryckas för mycket med optimeringsprocessen, eftersom de också medför stora tid- eller ekonomiska kostnader eller helt enkelt kan vara omöjliga. Vi rekommenderar att du använder principen om "minimitillräcklighet" när du utvecklar riskreducerande åtgärder.
6. Hantera risker enligt en godkänd metodik
Nästa steg är den konsekventa tillämpningen av riskhanteringsmetoder, det vill säga deras bedömning och bearbetning. Denna process måste utföras regelbundet med stor omsorg. Genom att hålla informationssäkerhetsriskregistret uppdaterat kommer du att effektivt kunna fördela företagets resurser och förebygga allvarliga incidenter.
7. Planera riskbehandling
Risker som överstiger en acceptabel nivå för ditt företag ska ingå i riskbehandlingsplanen. Den bör registrera åtgärder som syftar till att minska risker, samt de personer som är ansvariga för dem och tidsfristerna.
8. Fyll i uttalandet om tillämplighet
Detta är ett nyckeldokument som kommer att studeras av specialister från certifieringsorganet under revisionen. Den ska beskriva vilka informationssäkerhetskontroller som gäller för ditt företags verksamhet.
9. Bestäm hur effektiviteten av informationssäkerhetskontroller kommer att mätas.
Varje åtgärd måste ha ett resultat som leder till att uppsatta mål uppnås. Därför är det viktigt att tydligt definiera med vilka parametrar måluppfyllelsen kommer att mätas både för hela ledningssystemet för informationssäkerhet och för varje vald kontrollmekanism från Tillämpningsbilagan.
10. Implementera informationssäkerhetskontroller
Och först efter att ha slutfört alla föregående steg bör du börja implementera tillämpliga informationssäkerhetskontroller från Applicability Appendix. Den största utmaningen här kommer naturligtvis att vara att introducera ett helt nytt sätt att göra saker på i många av din organisations processer. Människor tenderar att motstå nya policyer och procedurer, så var uppmärksam på nästa punkt.
11. Genomföra utbildningsprogram för anställda
Alla punkter som beskrivs ovan kommer att vara meningslösa om dina anställda inte förstår vikten av projektet och inte agerar i enlighet med informationssäkerhetspolicyer. Om du vill att din personal ska följa alla nya regler måste du först förklara för människor varför de är nödvändiga, och sedan ge utbildning om ISMS, och lyfta fram alla viktiga policyer som anställda måste ta hänsyn till i sitt dagliga arbete. Brist på personalutbildning är en vanlig orsak till att ISO 27001-projekt misslyckats.
12. Upprätthålla ISMS-processer
Vid det här laget blir ISO 27001 en daglig rutin i din organisation. För att bekräfta genomförandet av informationssäkerhetskontroller i enlighet med standarden kommer revisorerna att behöva tillhandahålla register - bevis på kontrollernas faktiska funktion. Men mest av allt bör register hjälpa dig att spåra om dina anställda (och leverantörer) utför sina uppgifter i enlighet med godkända regler.
13. Övervaka ditt ISMS
Vad händer med ditt ISMS? Hur många incidenter har du, vilken typ är det? Följs alla procedurer korrekt? Med dessa frågor bör du kontrollera om företaget uppfyller sina informationssäkerhetsmål. Om inte, måste du utveckla en plan för att rätta till situationen.
14. Genomför en intern ISMS-revision
Syftet med internrevisionen är att identifiera inkonsekvenser mellan faktiska processer i företaget och godkända informationssäkerhetspolicyer. För det mesta är det en kontroll för att se hur väl dina anställda följer reglerna. Detta är en mycket viktig punkt, för om du inte kontrollerar din personals arbete kan organisationen lida skada (avsiktlig eller oavsiktlig). Men målet här är inte att hitta de skyldiga och disciplinera dem för bristande efterlevnad av policyer, utan att rätta till situationen och förhindra framtida problem.
15. Organisera en ledningsgranskning
Ledningen bör inte konfigurera din brandvägg, men de bör veta vad som händer i ISMS:en: till exempel om alla uppfyller sina skyldigheter och om ISMS uppnår sina målresultat. Utifrån detta måste ledningen fatta viktiga beslut för att förbättra ISMS och interna affärsprocesser.
16. Införa ett system med korrigerande och förebyggande åtgärder
Som alla standarder kräver ISO 27001 "ständig förbättring": systematisk korrigering och förebyggande av inkonsekvenser i ledningssystemet för informationssäkerhet. Genom korrigerande och förebyggande åtgärder kan avvikelsen korrigeras och förhindras från att upprepas i framtiden.
Avslutningsvis skulle jag vilja säga att det faktiskt är mycket svårare att bli certifierad än vad som beskrivs i olika källor. Detta bekräftas av det faktum att i Ryssland idag finns det bara har certifierats för överensstämmelse. Samtidigt är detta en av de mest populära standarderna utomlands, som möter de växande kraven från företag inom informationssäkerhetsområdet. Denna efterfrågan på implementering beror inte bara på tillväxten och komplexiteten hos typerna av hot, utan också på lagstiftningens krav, såväl som på kunder som behöver upprätthålla fullständig konfidentialitet för sina uppgifter.
Trots att ISMS-certifiering inte är en lätt uppgift, kan själva det faktum att uppfylla kraven i den internationella standarden ISO/IEC 27001 ge en allvarlig konkurrensfördel på den globala marknaden. Vi hoppas att vår artikel har gett en första förståelse för de viktigaste stegen i att förbereda ett företag för certifiering.
Källa: will.com