Leo, suala la usalama wa habari (hapa linajulikana kama usalama wa habari) la makampuni ni mojawapo ya matatizo makubwa zaidi duniani. Na hii haishangazi, kwa sababu katika nchi nyingi kuna uimarishaji wa mahitaji ya mashirika ambayo huhifadhi na kusindika data ya kibinafsi. Hivi sasa, sheria ya Kirusi inahitaji kudumisha sehemu kubwa ya mtiririko wa hati katika fomu ya karatasi. Wakati huo huo, mwelekeo wa digitalization unaonekana: makampuni mengi tayari huhifadhi kiasi kikubwa cha habari za siri katika muundo wa digital na kwa namna ya nyaraka za karatasi.
Kulingana na matokeo Kituo cha Uchambuzi cha Kupambana na Malware, 86% ya waliohojiwa walibainisha kuwa katika mwaka huo angalau mara moja walipaswa kutatua matukio baada ya mashambulizi ya mtandao au kama matokeo ya ukiukaji wa watumiaji wa kanuni zilizowekwa. Katika suala hili, kuweka kipaumbele usalama wa habari katika biashara imekuwa jambo la lazima.
Hivi sasa, usalama wa habari wa shirika sio tu seti ya njia za kiufundi, kama vile antivirus au ngome, tayari ni njia jumuishi ya kushughulikia mali za kampuni kwa ujumla na habari haswa. Makampuni huchukulia matatizo haya kwa njia tofauti. Leo tungependa kuzungumza juu ya utekelezaji wa kiwango cha kimataifa cha ISO 27001 kama suluhisho la tatizo kama hilo. Kwa makampuni kwenye soko la Kirusi, uwepo wa cheti kama hicho hurahisisha mwingiliano na wateja wa kigeni na washirika ambao wana mahitaji ya juu katika suala hili. ISO 27001 inatumika sana katika nchi za Magharibi na inashughulikia mahitaji katika uwanja wa usalama wa habari, ambayo inapaswa kufunikwa na ufumbuzi wa kiufundi unaotumiwa, na pia kuchangia katika maendeleo ya michakato ya biashara. Kwa hivyo, kiwango hiki kinaweza kuwa faida yako ya ushindani na hatua ya kuwasiliana na makampuni ya kigeni.
Udhibitisho huu wa Mfumo wa Usimamizi wa Usalama wa Habari (ambao unajulikana kama ISMS) ulikusanya mbinu bora za kuunda ISMS na, muhimu zaidi, ilitoa uwezekano wa kuchagua zana za udhibiti ili kuhakikisha utendakazi wa mfumo, mahitaji ya usaidizi wa usalama wa kiteknolojia na hata. kwa mchakato wa usimamizi wa wafanyikazi katika kampuni. Baada ya yote, ni muhimu kuelewa kwamba kushindwa kwa kiufundi ni sehemu tu ya tatizo. Katika maswala ya usalama wa habari, sababu ya kibinadamu ina jukumu kubwa, na ni ngumu zaidi kuiondoa au kuipunguza.
Ikiwa kampuni yako inatafuta kuthibitishwa na ISO 27001, basi unaweza kuwa tayari umejaribu kutafuta njia rahisi ya kufanya hivyo. Tunapaswa kukukatisha tamaa: hakuna njia rahisi hapa. Hata hivyo, kuna hatua fulani ambazo zitasaidia kuandaa shirika kwa mahitaji ya kimataifa ya usalama wa taarifa:
1. Pata usaidizi kutoka kwa usimamizi
Unaweza kufikiria kuwa hii ni dhahiri, lakini katika mazoezi hatua hii mara nyingi hupuuzwa. Zaidi ya hayo, hii ni mojawapo ya sababu kuu kwa nini miradi ya utekelezaji ya ISO 27001 mara nyingi inashindwa. Bila kuelewa umuhimu wa mradi wa utekelezaji wa kawaida, usimamizi hautatoa rasilimali watu ya kutosha au bajeti ya kutosha kwa uthibitisho.
2. Tengeneza Mpango wa Maandalizi ya Vyeti
Kujitayarisha kwa uthibitisho wa ISO 27001 ni kazi ngumu inayohusisha aina nyingi tofauti za kazi, inahitaji ushirikishwaji wa idadi kubwa ya watu na inaweza kuchukua miezi mingi (au hata miaka). Kwa hiyo, ni muhimu sana kuunda mpango wa kina wa mradi: kutenga rasilimali, muda na ushiriki wa watu kwa kazi zilizoelezwa madhubuti na kufuatilia kufuata kwa muda uliopangwa - vinginevyo huwezi kumaliza kazi.
3. Fafanua mzunguko wa uthibitishaji
Iwapo una shirika kubwa lenye shughuli mbalimbali, inaweza kuwa na maana kuthibitisha sehemu tu ya biashara ya kampuni kwa ISO 27001, ambayo itapunguza kwa kiasi kikubwa hatari ya mradi wako, pamoja na muda na gharama yake.
4. Tengeneza sera ya usalama wa habari
Moja ya hati muhimu zaidi ni Sera ya Usalama wa Habari ya kampuni. Inapaswa kuonyesha malengo ya usalama wa taarifa ya kampuni yako na kanuni za msingi za usimamizi wa usalama wa habari, ambazo lazima zifuatwe na wafanyakazi wote. Madhumuni ya hati hii ni kuamua ni nini usimamizi wa kampuni unataka kufikia katika uwanja wa usalama wa habari, na pia jinsi hii itatekelezwa na kudhibitiwa.
5. Bainisha mbinu ya tathmini ya hatari
Moja ya kazi ngumu zaidi ni kufafanua sheria za tathmini na usimamizi wa hatari. Ni muhimu kuelewa hatari ambazo kampuni inaweza kuzingatia kuwa zinakubalika na zipi zinahitaji hatua za haraka kuzipunguza. Bila sheria hizi, ISMS haitafanya kazi.
Wakati huo huo, inafaa kukumbuka utoshelevu wa hatua zilizochukuliwa ili kupunguza hatari. Lakini haupaswi kubebwa sana na mchakato wa utoshelezaji, kwa sababu pia unajumuisha gharama kubwa za wakati au kifedha au inaweza kuwa haiwezekani. Tunapendekeza utumie kanuni ya "kutosha kwa kiwango cha chini" wakati wa kuunda hatua za kupunguza hatari.
6. Dhibiti hatari kulingana na mbinu iliyoidhinishwa
Hatua inayofuata ni utumiaji thabiti wa mbinu ya usimamizi wa hatari, ambayo ni, tathmini na usindikaji wao. Utaratibu huu lazima ufanyike mara kwa mara kwa uangalifu mkubwa. Kwa kusasisha rejista ya hatari ya usalama wa habari, utaweza kutenga rasilimali za kampuni kwa ufanisi na kuzuia matukio makubwa.
7. Panga matibabu ya hatari
Hatari zinazozidi kiwango kinachokubalika kwa kampuni yako lazima zijumuishwe katika mpango wa matibabu ya hatari. Inapaswa kurekodi hatua zinazolenga kupunguza hatari, pamoja na watu wanaohusika nazo na tarehe za mwisho.
8. Kamilisha Taarifa ya Kutumika
Hii ni hati muhimu ambayo itachunguzwa na wataalamu kutoka shirika la uthibitishaji wakati wa ukaguzi. Inapaswa kueleza ni vidhibiti vipi vya usalama vya habari vinavyotumika kwa shughuli za kampuni yako.
9. Amua jinsi ufanisi wa udhibiti wa usalama wa habari utapimwa.
Kitendo chochote lazima kiwe na matokeo yanayoongoza kwa utimilifu wa malengo yaliyowekwa. Kwa hivyo, ni muhimu kufafanua kwa uwazi ni vigezo gani mafanikio ya malengo yatapimwa kwa mfumo mzima wa usimamizi wa usalama wa habari na kwa kila utaratibu uliochaguliwa wa udhibiti kutoka kwa Kiambatisho cha Utumiaji.
10. Tekeleza udhibiti wa usalama wa habari
Na tu baada ya kukamilisha hatua zote za awali unapaswa kuanza kutekeleza udhibiti wa usalama wa habari unaotumika kutoka kwa Kiambatisho cha Utumiaji. Changamoto kubwa hapa, bila shaka, itakuwa ni kuanzisha njia mpya kabisa ya kufanya mambo katika michakato mingi ya shirika lako. Watu huwa wanapinga sera na taratibu mpya, kwa hivyo makini na hoja inayofuata.
11. Kutekeleza programu za mafunzo kwa wafanyakazi
Mambo yote yaliyoelezwa hapo juu hayatakuwa na maana ikiwa wafanyakazi wako hawaelewi umuhimu wa mradi na hawafanyi kwa mujibu wa sera za usalama wa habari. Ikiwa unataka wafanyakazi wako kuzingatia sheria zote mpya, kwanza unahitaji kueleza kwa watu kwa nini ni muhimu, na kisha kutoa mafunzo juu ya ISMS, kuonyesha sera zote muhimu ambazo wafanyakazi wanapaswa kuzingatia katika kazi zao za kila siku. Ukosefu wa mafunzo ya wafanyakazi ni sababu ya kawaida ya kushindwa kwa mradi wa ISO 27001.
12. Dumisha michakato ya ISMS
Kwa wakati huu, ISO 27001 inakuwa utaratibu wa kila siku katika shirika lako. Ili kuthibitisha utekelezaji wa udhibiti wa usalama wa habari kwa mujibu wa kiwango, wakaguzi watahitaji kutoa rekodi - ushahidi wa uendeshaji halisi wa udhibiti. Lakini zaidi ya yote, rekodi zinapaswa kukusaidia kufuatilia ikiwa wafanyakazi wako (na wasambazaji) wanafanya kazi zao kwa mujibu wa sheria zilizoidhinishwa.
13. Fuatilia ISMS yako
Nini kinaendelea na ISMS yako? Una matukio mangapi, ni ya aina gani? Je, taratibu zote zinafuatwa ipasavyo? Ukiwa na maswali haya, unapaswa kuangalia ikiwa kampuni inafikia malengo yake ya usalama wa habari. Ikiwa sivyo, lazima utengeneze mpango wa kurekebisha hali hiyo.
14. Kufanya ukaguzi wa ndani wa ISMS
Madhumuni ya ukaguzi wa ndani ni kubaini kutowiana kati ya michakato halisi katika kampuni na sera zilizoidhinishwa za usalama wa habari. Kwa sehemu kubwa, inakagua ili kuona jinsi wafanyikazi wako wanavyofuata sheria vizuri. Hili ni jambo muhimu sana, kwa sababu ikiwa hudhibiti kazi ya wafanyakazi wako, shirika linaweza kupata uharibifu (kwa makusudi au bila kukusudia). Lakini lengo hapa si kutafuta wahalifu na kuwatia adabu kwa kutofuata sera, bali kurekebisha hali na kuzuia matatizo yajayo.
15. Panga mapitio ya usimamizi
Wasimamizi hawapaswi kusanidi ngome yako, lakini wanapaswa kujua kinachotokea katika ISMS: kwa mfano, ikiwa kila mtu anatimiza wajibu wake na kama ISMS inafikia matokeo yaliyolengwa. Kulingana na hili, usimamizi lazima ufanye maamuzi muhimu ili kuboresha ISMS na michakato ya biashara ya ndani.
16. Kuanzisha mfumo wa vitendo vya kurekebisha na kuzuia
Kama kiwango chochote kile, ISO 27001 inahitaji "uboreshaji endelevu": marekebisho ya kimfumo na uzuiaji wa kutofautiana katika mfumo wa usimamizi wa usalama wa habari. Kupitia hatua za kurekebisha na kuzuia, kutofuata kunaweza kusahihishwa na kuzuiwa kutokea tena katika siku zijazo.
Kwa kumalizia, ningependa kusema kwamba kwa kweli, kupata vyeti ni vigumu zaidi kuliko ilivyoelezwa katika vyanzo mbalimbali. Hii inathibitishwa na ukweli kwamba katika Urusi leo kuna tu zimethibitishwa kwa kufuata. Wakati huo huo, hii ni moja ya viwango maarufu zaidi nje ya nchi, kukidhi mahitaji ya kukua ya biashara katika uwanja wa usalama wa habari. Mahitaji haya ya utekelezaji hayatokani tu na ukuaji na ugumu wa aina za vitisho, lakini pia kwa mahitaji ya sheria, pamoja na wateja ambao wanahitaji kudumisha usiri kamili wa data zao.
Licha ya ukweli kwamba uthibitishaji wa ISMS si kazi rahisi, ukweli wenyewe wa kukidhi mahitaji ya kiwango cha kimataifa cha ISO/IEC 27001 unaweza kutoa faida kubwa ya ushindani katika soko la kimataifa. Tunatumahi kuwa nakala yetu imetoa ufahamu wa awali wa hatua muhimu katika kuandaa kampuni kwa uthibitisho.
Chanzo: mapenzi.com