இன்று, நிறுவனங்களின் தகவல் பாதுகாப்பு பிரச்சினை (இனிமேல் தகவல் பாதுகாப்பு என குறிப்பிடப்படுகிறது) உலகில் மிகவும் அழுத்தமான ஒன்றாகும். இது ஆச்சரியமல்ல, ஏனென்றால் பல நாடுகளில் தனிப்பட்ட தரவைச் சேமித்து செயலாக்கும் நிறுவனங்களுக்கான தேவைகள் கடுமையாக்கப்படுகின்றன. தற்போது, ரஷ்ய சட்டத்திற்கு காகித வடிவில் ஆவண ஓட்டத்தின் குறிப்பிடத்தக்க விகிதத்தை பராமரிக்க வேண்டும். அதே நேரத்தில், டிஜிட்டல் மயமாக்கலுக்கான போக்கு கவனிக்கத்தக்கது: பல நிறுவனங்கள் ஏற்கனவே டிஜிட்டல் வடிவத்திலும் காகித ஆவணங்களின் வடிவத்திலும் ஏராளமான ரகசிய தகவல்களைச் சேமித்து வைத்துள்ளன.
முடிவுகளின் படி மால்வேர் எதிர்ப்பு பகுப்பாய்வு மையம், பதிலளித்தவர்களில் 86% பேர், சைபர் தாக்குதல்களுக்குப் பிறகு அல்லது நிறுவப்பட்ட விதிமுறைகளின் பயனர் மீறல்களின் விளைவாக வருடத்தில் ஒரு முறையாவது சம்பவங்களைத் தீர்க்க வேண்டும் என்று குறிப்பிட்டுள்ளனர். இது சம்பந்தமாக, வணிகத்தில் தகவல் பாதுகாப்பிற்கு முன்னுரிமை அளிப்பது அவசியமாகிவிட்டது.
தற்போது, கார்ப்பரேட் தகவல் பாதுகாப்பு என்பது வைரஸ் தடுப்பு அல்லது ஃபயர்வால்கள் போன்ற தொழில்நுட்ப வழிமுறைகளின் தொகுப்பு மட்டுமல்ல, இது ஏற்கனவே நிறுவனத்தின் சொத்துக்களை பொதுவாகவும் குறிப்பாக தகவலையும் கையாளும் ஒரு ஒருங்கிணைந்த அணுகுமுறையாகும். நிறுவனங்கள் இந்த பிரச்சனைகளை வித்தியாசமாக அணுகுகின்றன. அத்தகைய சிக்கலுக்கு தீர்வாக சர்வதேச தரநிலை ISO 27001 ஐ செயல்படுத்துவது பற்றி இன்று பேச விரும்புகிறோம். ரஷ்ய சந்தையில் உள்ள நிறுவனங்களுக்கு, அத்தகைய சான்றிதழின் இருப்பு இந்த விஷயத்தில் அதிக தேவைகளைக் கொண்ட வெளிநாட்டு வாடிக்கையாளர்கள் மற்றும் கூட்டாளர்களுடன் தொடர்புகொள்வதை எளிதாக்குகிறது. ISO 27001 மேற்கு நாடுகளில் பரவலாகப் பயன்படுத்தப்படுகிறது மற்றும் தகவல் பாதுகாப்புத் துறையில் தேவைகளை உள்ளடக்கியது, இது பயன்படுத்தப்படும் தொழில்நுட்ப தீர்வுகளால் மூடப்பட்டிருக்க வேண்டும், மேலும் வணிக செயல்முறைகளின் வளர்ச்சிக்கும் பங்களிக்க வேண்டும். எனவே, இந்த தரநிலை உங்கள் போட்டி நன்மையாகவும் வெளிநாட்டு நிறுவனங்களுடனான தொடர்புக்கான புள்ளியாகவும் மாறும்.
தகவல் பாதுகாப்பு மேலாண்மை அமைப்பின் இந்தச் சான்றிதழானது (இனி ISMS என குறிப்பிடப்படுகிறது) ஒரு ISMS வடிவமைப்பிற்கான சிறந்த நடைமுறைகளை சேகரித்து, முக்கியமாக, அமைப்பின் செயல்பாட்டை உறுதி செய்வதற்கான கட்டுப்பாட்டுக் கருவிகளைத் தேர்ந்தெடுக்கும் சாத்தியம், தொழில்நுட்ப பாதுகாப்பு ஆதரவுக்கான தேவைகள் மற்றும் கூட. நிறுவனத்தில் பணியாளர் மேலாண்மை செயல்முறைக்கு. எல்லாவற்றிற்கும் மேலாக, தொழில்நுட்ப தோல்விகள் பிரச்சனையின் ஒரு பகுதி மட்டுமே என்பதை புரிந்து கொள்ள வேண்டும். தகவல் பாதுகாப்பு விஷயங்களில், மனித காரணி ஒரு பெரிய பாத்திரத்தை வகிக்கிறது, மேலும் அதை அகற்றுவது அல்லது குறைப்பது மிகவும் கடினம்.
உங்கள் நிறுவனம் ISO 27001 சான்றிதழைப் பெற விரும்பினால், அதைச் செய்வதற்கான எளிதான வழியைக் கண்டுபிடிக்க நீங்கள் ஏற்கனவே முயற்சித்திருக்கலாம். நாங்கள் உங்களை ஏமாற்ற வேண்டும்: இங்கே எளிதான வழிகள் எதுவும் இல்லை. இருப்பினும், சர்வதேச தகவல் பாதுகாப்பு தேவைகளுக்கு ஒரு நிறுவனத்தை தயார்படுத்த உதவும் சில படிகள் உள்ளன:
1. நிர்வாகத்தின் ஆதரவைப் பெறுங்கள்
இது வெளிப்படையானது என்று நீங்கள் நினைக்கலாம், ஆனால் நடைமுறையில் இந்த புள்ளி பெரும்பாலும் கவனிக்கப்படுவதில்லை. மேலும், ISO 27001 செயல்படுத்தும் திட்டங்கள் அடிக்கடி தோல்வியடைவதற்கு இதுவும் முக்கிய காரணங்களில் ஒன்றாகும். நிலையான செயலாக்கத் திட்டத்தின் முக்கியத்துவத்தைப் புரிந்து கொள்ளாமல், நிர்வாகம் போதுமான மனித வளங்களையோ அல்லது சான்றிதழுக்கான போதுமான பட்ஜெட்டையோ வழங்காது.
2. ஒரு சான்றிதழ் தயாரிப்பு திட்டத்தை உருவாக்கவும்
ISO 27001 சான்றிதழுக்காகத் தயாரிப்பது என்பது பல்வேறு வகையான வேலைகளை உள்ளடக்கிய ஒரு சிக்கலான பணியாகும், அதிக எண்ணிக்கையிலான நபர்களின் ஈடுபாடு தேவைப்படுகிறது மற்றும் பல மாதங்கள் (அல்லது ஆண்டுகள் கூட) ஆகலாம். எனவே, ஒரு விரிவான திட்டத் திட்டத்தை உருவாக்குவது மிகவும் முக்கியம்: கண்டிப்பாக வரையறுக்கப்பட்ட பணிகளுக்கு ஆதாரங்கள், நேரம் மற்றும் மக்களின் ஈடுபாட்டை ஒதுக்குங்கள் மற்றும் காலக்கெடுவுடன் இணங்குவதை கண்காணிக்கவும் - இல்லையெனில் நீங்கள் வேலையை முடிக்க முடியாது.
3. சான்றிதழ் சுற்றளவை வரையறுக்கவும்
பன்முகப்படுத்தப்பட்ட செயல்பாடுகளைக் கொண்ட ஒரு பெரிய நிறுவனம் உங்களிடம் இருந்தால், நிறுவனத்தின் வணிகத்தின் ஒரு பகுதியை மட்டுமே ISO 27001 க்கு சான்றளிப்பது அர்த்தமுள்ளதாக இருக்கும், இது உங்கள் திட்டத்தின் அபாயத்தையும் அதன் நேரத்தையும் செலவையும் கணிசமாகக் குறைக்கும்.
4. தகவல் பாதுகாப்புக் கொள்கையை உருவாக்குதல்
மிக முக்கியமான ஆவணங்களில் ஒன்று நிறுவனத்தின் தகவல் பாதுகாப்புக் கொள்கை. இது உங்கள் நிறுவனத்தின் தகவல் பாதுகாப்பு இலக்குகள் மற்றும் அனைத்து ஊழியர்களும் பின்பற்ற வேண்டிய தகவல் பாதுகாப்பு மேலாண்மையின் அடிப்படைக் கொள்கைகளை பிரதிபலிக்க வேண்டும். இந்த ஆவணத்தின் நோக்கம், தகவல் பாதுகாப்புத் துறையில் நிறுவனத்தின் நிர்வாகம் எதை அடைய விரும்புகிறது என்பதையும், இது எவ்வாறு செயல்படுத்தப்படும் மற்றும் கட்டுப்படுத்தப்படும் என்பதையும் தீர்மானிப்பதாகும்.
5. இடர் மதிப்பீட்டு முறையை வரையறுக்கவும்
இடர் மதிப்பீடு மற்றும் நிர்வாகத்திற்கான விதிகளை வரையறுப்பது மிகவும் கடினமான பணிகளில் ஒன்றாகும். ஒரு நிறுவனம் ஏற்றுக்கொள்ளக்கூடியதாகக் கருதும் அபாயங்கள் மற்றும் அவற்றைக் குறைக்க உடனடி நடவடிக்கை தேவை என்பதைப் புரிந்துகொள்வது அவசியம். இந்த விதிகள் இல்லாமல், ISMS வேலை செய்யாது.
அதே நேரத்தில், அபாயங்களைக் குறைக்க எடுக்கப்பட்ட நடவடிக்கைகளின் போதுமான தன்மையை நினைவில் கொள்வது மதிப்பு. ஆனால் தேர்வுமுறை செயல்முறையை நீங்கள் அதிகம் எடுத்துச் செல்லக்கூடாது, ஏனென்றால் அவை அதிக நேரம் அல்லது நிதிச் செலவுகளை ஏற்படுத்துகின்றன அல்லது வெறுமனே சாத்தியமற்றதாக இருக்கலாம். ஆபத்துக் குறைப்பு நடவடிக்கைகளை உருவாக்கும் போது, "குறைந்தபட்ச போதுமான அளவு" என்ற கொள்கையைப் பயன்படுத்துமாறு நாங்கள் பரிந்துரைக்கிறோம்.
6. அங்கீகரிக்கப்பட்ட முறையின்படி அபாயங்களை நிர்வகிக்கவும்
அடுத்த கட்டம் இடர் மேலாண்மை முறையின் நிலையான பயன்பாடு ஆகும், அதாவது அவற்றின் மதிப்பீடு மற்றும் செயலாக்கம். இந்த செயல்முறை மிகுந்த கவனத்துடன் ஒரு வழக்கமான அடிப்படையில் மேற்கொள்ளப்பட வேண்டும். தகவல் பாதுகாப்பு இடர் பதிவேட்டை புதுப்பித்த நிலையில் வைத்திருப்பதன் மூலம், நீங்கள் நிறுவனத்தின் வளங்களை திறம்பட ஒதுக்கலாம் மற்றும் தீவிரமான சம்பவங்களைத் தடுக்கலாம்.
7. ஆபத்து சிகிச்சையை திட்டமிடுங்கள்
உங்கள் நிறுவனத்திற்கு ஏற்றுக்கொள்ளக்கூடிய அளவைத் தாண்டிய அபாயங்கள் இடர் சிகிச்சை திட்டத்தில் சேர்க்கப்பட வேண்டும். இது அபாயங்களைக் குறைப்பதை நோக்கமாகக் கொண்ட செயல்களையும், அவர்களுக்குப் பொறுப்பான நபர்கள் மற்றும் காலக்கெடுவையும் பதிவு செய்ய வேண்டும்.
8. பொருந்தக்கூடிய அறிக்கையை முடிக்கவும்
இது ஒரு முக்கிய ஆவணமாகும், இது தணிக்கையின் போது சான்றிதழ் அமைப்பிலிருந்து நிபுணர்களால் ஆய்வு செய்யப்படும். உங்கள் நிறுவனத்தின் செயல்பாடுகளுக்கு எந்த தகவல் பாதுகாப்பு கட்டுப்பாடுகள் பொருந்தும் என்பதை இது விவரிக்க வேண்டும்.
9. தகவல் பாதுகாப்புக் கட்டுப்பாடுகளின் செயல்திறன் எவ்வாறு அளவிடப்படும் என்பதைத் தீர்மானிக்கவும்.
எந்தவொரு செயலும் நிறுவப்பட்ட இலக்குகளை நிறைவேற்ற வழிவகுக்கும் முடிவைக் கொண்டிருக்க வேண்டும். எனவே, முழு தகவல் பாதுகாப்பு மேலாண்மை அமைப்பு மற்றும் பொருந்தக்கூடிய இணைப்பிலிருந்து தேர்ந்தெடுக்கப்பட்ட ஒவ்வொரு கட்டுப்பாட்டு பொறிமுறைக்கும் இலக்குகளை அடைவது எந்த அளவுருக்கள் மூலம் அளவிடப்படும் என்பதை தெளிவாக வரையறுப்பது முக்கியம்.
10. தகவல் பாதுகாப்பு கட்டுப்பாடுகளை செயல்படுத்தவும்
முந்தைய அனைத்துப் படிகளையும் முடித்த பின்னரே, பொருந்தக்கூடிய பின்னிணைப்பில் இருந்து பொருந்தக்கூடிய தகவல் பாதுகாப்புக் கட்டுப்பாடுகளைச் செயல்படுத்தத் தொடங்க வேண்டும். இங்குள்ள மிகப்பெரிய சவாலானது, உங்கள் நிறுவனத்தின் பல செயல்முறைகளில் முற்றிலும் புதிய விஷயங்களைச் செய்வதற்கான ஒரு வழியை அறிமுகப்படுத்துவதாகும். மக்கள் புதிய கொள்கைகள் மற்றும் நடைமுறைகளை எதிர்க்க முனைகிறார்கள், எனவே அடுத்த புள்ளியில் கவனம் செலுத்துங்கள்.
11. பணியாளர்களுக்கான பயிற்சித் திட்டங்களைச் செயல்படுத்துதல்
உங்கள் பணியாளர்கள் திட்டத்தின் முக்கியத்துவத்தைப் புரிந்து கொள்ளாமல், தகவல் பாதுகாப்புக் கொள்கைகளின்படி செயல்படவில்லை என்றால் மேலே விவரிக்கப்பட்ட அனைத்து புள்ளிகளும் அர்த்தமற்றதாக இருக்கும். உங்கள் பணியாளர்கள் அனைத்து புதிய விதிகளுக்கும் இணங்க வேண்டும் என நீங்கள் விரும்பினால், அவர்கள் ஏன் அவசியம் என்பதை முதலில் மக்களுக்கு விளக்க வேண்டும், பின்னர் ISMS இல் பயிற்சி அளிக்க வேண்டும், ஊழியர்கள் தங்கள் அன்றாட வேலைகளில் கணக்கில் எடுத்துக்கொள்ள வேண்டிய அனைத்து முக்கியமான கொள்கைகளையும் முன்னிலைப்படுத்த வேண்டும். ISO 27001 திட்டத் தோல்விக்கு ஊழியர்களுக்கான பயிற்சி இல்லாதது ஒரு பொதுவான காரணமாகும்.
12. ISMS செயல்முறைகளைப் பராமரிக்கவும்
இந்த கட்டத்தில், ISO 27001 உங்கள் நிறுவனத்தில் தினசரி வழக்கமாகிறது. தரநிலைக்கு ஏற்ப தகவல் பாதுகாப்பு கட்டுப்பாடுகளை செயல்படுத்துவதை உறுதிப்படுத்த, தணிக்கையாளர்கள் பதிவுகளை வழங்க வேண்டும் - கட்டுப்பாடுகளின் உண்மையான செயல்பாட்டின் சான்றுகள். ஆனால் எல்லாவற்றிற்கும் மேலாக, அங்கீகரிக்கப்பட்ட விதிகளின்படி உங்கள் ஊழியர்கள் (மற்றும் சப்ளையர்கள்) தங்கள் பணிகளைச் செய்கிறார்களா என்பதைக் கண்காணிக்க பதிவுகள் உங்களுக்கு உதவ வேண்டும்.
13. உங்கள் ISMS ஐ கண்காணிக்கவும்
உங்கள் ISMS இல் என்ன நடக்கிறது? உங்களுக்கு எத்தனை சம்பவங்கள் உள்ளன, அவை என்ன வகை? அனைத்து நடைமுறைகளும் முறையாக பின்பற்றப்படுகிறதா? இந்தக் கேள்விகளுடன், நிறுவனம் அதன் தகவல் பாதுகாப்பு இலக்குகளை சந்திக்கிறதா என்பதை நீங்கள் சரிபார்க்க வேண்டும். இல்லையெனில், நிலைமையை சரிசெய்ய நீங்கள் ஒரு திட்டத்தை உருவாக்க வேண்டும்.
14. உள் ISMS தணிக்கையை நடத்தவும்
நிறுவனத்தில் உள்ள உண்மையான செயல்முறைகள் மற்றும் அங்கீகரிக்கப்பட்ட தகவல் பாதுகாப்புக் கொள்கைகளுக்கு இடையே உள்ள முரண்பாடுகளைக் கண்டறிவதே உள் தணிக்கையின் நோக்கமாகும். பெரும்பாலும், உங்கள் ஊழியர்கள் விதிகளை எவ்வளவு நன்றாகப் பின்பற்றுகிறார்கள் என்பதைப் பார்க்கவும். இது ஒரு மிக முக்கியமான விஷயம், ஏனென்றால் உங்கள் ஊழியர்களின் வேலையை நீங்கள் கட்டுப்படுத்தவில்லை என்றால், நிறுவனம் சேதமடையக்கூடும் (வேண்டுமென்றே அல்லது வேண்டுமென்றே). ஆனால் இங்கே இலக்கு குற்றவாளிகளைக் கண்டுபிடித்து, கொள்கைகளுக்கு இணங்காததற்காக அவர்களை ஒழுங்குபடுத்துவது அல்ல, மாறாக நிலைமையைச் சரிசெய்து எதிர்கால சிக்கல்களைத் தடுப்பதாகும்.
15. மேலாண்மை மதிப்பாய்வை ஏற்பாடு செய்யுங்கள்
நிர்வாகம் உங்கள் ஃபயர்வாலை உள்ளமைக்கக் கூடாது, ஆனால் ISMS இல் என்ன நடக்கிறது என்பதை அவர்கள் அறிந்திருக்க வேண்டும்: எடுத்துக்காட்டாக, ஒவ்வொருவரும் அவரவர் பொறுப்புகளை நிறைவேற்றுகிறார்களா மற்றும் ISMS அதன் இலக்கு முடிவுகளை அடைகிறதா. இதன் அடிப்படையில், ISMS மற்றும் உள் வணிக செயல்முறைகளை மேம்படுத்த நிர்வாகம் முக்கிய முடிவுகளை எடுக்க வேண்டும்.
16. திருத்தம் மற்றும் தடுப்பு நடவடிக்கைகளின் அமைப்பை அறிமுகப்படுத்துதல்
எந்தவொரு தரநிலையையும் போலவே, ISO 27001 க்கும் "தொடர்ச்சியான முன்னேற்றம்" தேவைப்படுகிறது: முறையான திருத்தம் மற்றும் தகவல் பாதுகாப்பு மேலாண்மை அமைப்பில் உள்ள முரண்பாடுகளைத் தடுத்தல். சரிசெய்தல் மற்றும் தடுப்பு நடவடிக்கைகள் மூலம், இணக்கமின்மையை சரிசெய்து எதிர்காலத்தில் மீண்டும் நிகழாமல் தடுக்கலாம்.
முடிவில், பல்வேறு ஆதாரங்களில் விவரிக்கப்பட்டுள்ளதை விட சான்றிதழ் பெறுவது மிகவும் கடினம் என்று நான் கூற விரும்புகிறேன். இன்று ரஷ்யாவில் மட்டுமே உள்ளன என்பதன் மூலம் இது உறுதிப்படுத்தப்பட்டுள்ளது இணங்குவதற்கு சான்றளிக்கப்பட்டது. அதே நேரத்தில், இது வெளிநாட்டில் மிகவும் பிரபலமான தரநிலைகளில் ஒன்றாகும், தகவல் பாதுகாப்பு துறையில் வணிகத்தின் வளர்ந்து வரும் கோரிக்கைகளை பூர்த்தி செய்கிறது. செயல்படுத்துவதற்கான இந்த கோரிக்கை அச்சுறுத்தல்களின் வகைகளின் வளர்ச்சி மற்றும் சிக்கலானது மட்டுமல்ல, சட்டத்தின் தேவைகள் மற்றும் அவர்களின் தரவின் முழுமையான ரகசியத்தன்மையை பராமரிக்க வேண்டிய வாடிக்கையாளர்களுக்கும் காரணமாகும்.
ஐஎஸ்எம்எஸ் சான்றிதழானது எளிதான பணி அல்ல என்ற போதிலும், சர்வதேச தரநிலையான ஐஎஸ்ஓ/ஐஇசி 27001 இன் தேவைகளை பூர்த்தி செய்வது உலக சந்தையில் ஒரு தீவிர போட்டி நன்மையை அளிக்கும். சான்றிதழுக்காக ஒரு நிறுவனத்தைத் தயாரிப்பதில் முக்கிய கட்டங்களைப் பற்றிய ஆரம்ப புரிதலை எங்கள் கட்டுரை வழங்கியுள்ளது என்று நம்புகிறோம்.
ஆதாரம்: www.habr.com