నేడు, కంపెనీల సమాచార భద్రత (ఇకపై సమాచార భద్రతగా సూచిస్తారు) సమస్య ప్రపంచంలోనే అత్యంత కీలకమైనది. మరియు ఇది ఆశ్చర్యం కలిగించదు, ఎందుకంటే అనేక దేశాలలో వ్యక్తిగత డేటాను నిల్వ చేసే మరియు ప్రాసెస్ చేసే సంస్థలకు అవసరాలు కఠినతరం అవుతున్నాయి. ప్రస్తుతం, రష్యన్ చట్టానికి కాగితం రూపంలో డాక్యుమెంట్ ప్రవాహం యొక్క గణనీయమైన నిష్పత్తిని నిర్వహించడం అవసరం. అదే సమయంలో, డిజిటలైజేషన్ వైపు ధోరణి గమనించదగినది: చాలా కంపెనీలు ఇప్పటికే డిజిటల్ ఫార్మాట్లో మరియు పేపర్ డాక్యుమెంట్ల రూపంలో పెద్ద మొత్తంలో రహస్య సమాచారాన్ని నిల్వ చేస్తాయి.
ఫలితాల ప్రకారం యాంటీ-మాల్వేర్ ఎనలిటికల్ సెంటర్, 86% మంది ప్రతివాదులు సంవత్సరంలో కనీసం ఒక్కసారైనా సైబర్ దాడుల తర్వాత లేదా వినియోగదారు ఏర్పాటు చేసిన నిబంధనల ఉల్లంఘనల ఫలితంగా జరిగిన సంఘటనలను పరిష్కరించాల్సి ఉంటుందని పేర్కొన్నారు. ఈ విషయంలో, వ్యాపారంలో సమాచార భద్రతకు ప్రాధాన్యత ఇవ్వడం ఒక అవసరంగా మారింది.
ప్రస్తుతం, కార్పొరేట్ సమాచార భద్రత అనేది యాంటీవైరస్లు లేదా ఫైర్వాల్ల వంటి సాంకేతిక సాధనాల సమితి మాత్రమే కాదు, ఇది ఇప్పటికే కంపెనీ ఆస్తులను సాధారణంగా మరియు ప్రత్యేకించి సమాచారాన్ని నిర్వహించడానికి ఒక సమగ్ర విధానం. కంపెనీలు ఈ సమస్యలను భిన్నంగా చూస్తాయి. ఈ రోజు మనం అటువంటి సమస్యకు పరిష్కారంగా అంతర్జాతీయ ప్రమాణం ISO 27001 అమలు గురించి మాట్లాడాలనుకుంటున్నాము. రష్యన్ మార్కెట్లో కంపెనీల కోసం, అటువంటి సర్టిఫికేట్ ఉనికిని ఈ విషయంలో అధిక అవసరాలు కలిగి ఉన్న విదేశీ క్లయింట్లు మరియు భాగస్వాములతో పరస్పర చర్యను సులభతరం చేస్తుంది. ISO 27001 పశ్చిమ దేశాలలో విస్తృతంగా ఉపయోగించబడుతుంది మరియు సమాచార భద్రత రంగంలో అవసరాలను కవర్ చేస్తుంది, ఇది ఉపయోగించిన సాంకేతిక పరిష్కారాల ద్వారా కవర్ చేయబడాలి మరియు వ్యాపార ప్రక్రియల అభివృద్ధికి కూడా దోహదం చేస్తుంది. అందువలన, ఈ ప్రమాణం మీ పోటీ ప్రయోజనం మరియు విదేశీ కంపెనీలతో పరిచయం యొక్క స్థానంగా మారవచ్చు.
ఇన్ఫర్మేషన్ సెక్యూరిటీ మేనేజ్మెంట్ సిస్టమ్ యొక్క ఈ ధృవీకరణ (ఇకపై ISMSగా సూచించబడుతుంది) ISMS రూపకల్పనకు ఉత్తమమైన పద్ధతులను సేకరించింది మరియు ముఖ్యంగా, సిస్టమ్ పనితీరును నిర్ధారించడానికి నియంత్రణ సాధనాలను ఎంచుకునే అవకాశం, సాంకేతిక భద్రతా మద్దతు అవసరాలు మరియు కూడా అందించబడుతుంది. సంస్థలో సిబ్బంది నిర్వహణ ప్రక్రియ కోసం. అన్ని తరువాత, సాంకేతిక వైఫల్యాలు సమస్యలో భాగం మాత్రమే అని అర్థం చేసుకోవడం అవసరం. సమాచార భద్రత విషయాలలో, మానవ కారకం భారీ పాత్ర పోషిస్తుంది మరియు దానిని తొలగించడం లేదా తగ్గించడం చాలా కష్టం.
మీ కంపెనీ ISO 27001 సర్టిఫికేట్ పొందాలని చూస్తున్నట్లయితే, మీరు దీన్ని చేయడానికి సులభమైన మార్గాన్ని కనుగొనడానికి ఇప్పటికే ప్రయత్నించి ఉండవచ్చు. మేము మిమ్మల్ని నిరాశపరచాలి: ఇక్కడ సులభమైన మార్గాలు లేవు. అయితే, అంతర్జాతీయ సమాచార భద్రతా అవసరాల కోసం సంస్థను సిద్ధం చేయడంలో సహాయపడే కొన్ని దశలు ఉన్నాయి:
1. నిర్వహణ నుండి మద్దతు పొందండి
ఇది స్పష్టంగా ఉందని మీరు అనుకోవచ్చు, కానీ ఆచరణలో ఈ పాయింట్ తరచుగా విస్మరించబడుతుంది. అంతేకాకుండా, ISO 27001 అమలు ప్రాజెక్టులు తరచుగా విఫలం కావడానికి ఇది ప్రధాన కారణాలలో ఒకటి. ప్రామాణిక అమలు ప్రాజెక్ట్ యొక్క ప్రాముఖ్యతను అర్థం చేసుకోకుండా, నిర్వహణ తగినంత మానవ వనరులను లేదా ధృవీకరణ కోసం తగినంత బడ్జెట్ను అందించదు.
2. ధృవీకరణ తయారీ ప్రణాళికను అభివృద్ధి చేయండి
ISO 27001 సర్టిఫికేషన్ కోసం సిద్ధమవడం అనేది అనేక రకాలైన పనిని కలిగి ఉన్న సంక్లిష్టమైన పని, పెద్ద సంఖ్యలో వ్యక్తుల ప్రమేయం అవసరం మరియు చాలా నెలలు (లేదా సంవత్సరాలు కూడా) పట్టవచ్చు. అందువల్ల, ఒక వివరణాత్మక ప్రాజెక్ట్ ప్రణాళికను రూపొందించడం చాలా ముఖ్యం: ఖచ్చితంగా నిర్వచించబడిన పనులకు వనరులు, సమయం మరియు వ్యక్తుల ప్రమేయాన్ని కేటాయించండి మరియు గడువుకు అనుగుణంగా పర్యవేక్షించండి - లేకపోతే మీరు పనిని ఎప్పటికీ పూర్తి చేయలేరు.
3. ధృవీకరణ చుట్టుకొలతను నిర్వచించండి
మీరు విభిన్న కార్యకలాపాలతో కూడిన పెద్ద సంస్థను కలిగి ఉంటే, కంపెనీ వ్యాపారంలో కొంత భాగాన్ని మాత్రమే ISO 27001కి ధృవీకరించడం అర్ధవంతం కావచ్చు, ఇది మీ ప్రాజెక్ట్ యొక్క ప్రమాదాన్ని అలాగే దాని సమయం మరియు ఖర్చును గణనీయంగా తగ్గిస్తుంది.
4. సమాచార భద్రతా విధానాన్ని అభివృద్ధి చేయండి
ముఖ్యమైన పత్రాలలో ఒకటి కంపెనీ సమాచార భద్రతా విధానం. ఇది మీ కంపెనీ యొక్క సమాచార భద్రతా లక్ష్యాలను మరియు సమాచార భద్రత నిర్వహణ యొక్క ప్రాథమిక సూత్రాలను ప్రతిబింబించాలి, దీనిని ఉద్యోగులందరూ తప్పనిసరిగా అనుసరించాలి. ఈ పత్రం యొక్క ఉద్దేశ్యం సమాచార భద్రత రంగంలో కంపెనీ మేనేజ్మెంట్ ఏమి సాధించాలనుకుంటుందో, అలాగే ఇది ఎలా అమలు చేయబడుతుందో మరియు నియంత్రించబడుతుందో నిర్ణయించడం.
5. రిస్క్ అసెస్మెంట్ మెథడాలజీని నిర్వచించండి
రిస్క్ అసెస్మెంట్ మరియు మేనేజ్మెంట్ కోసం నియమాలను నిర్వచించడం చాలా కష్టమైన పనులలో ఒకటి. ఏ నష్టాలను కంపెనీ ఆమోదయోగ్యమైనదిగా పరిగణించవచ్చో అర్థం చేసుకోవడం ముఖ్యం మరియు వాటిని తగ్గించడానికి తక్షణ చర్య అవసరం. ఈ నియమాలు లేకుండా, ISMS పనిచేయదు.
అదే సమయంలో, నష్టాలను తగ్గించడానికి తీసుకున్న చర్యల యొక్క సమర్ధతను గుర్తుంచుకోవడం విలువ. కానీ మీరు ఆప్టిమైజేషన్ ప్రక్రియతో చాలా దూరంగా ఉండకూడదు, ఎందుకంటే అవి పెద్ద సమయం లేదా ఆర్థిక వ్యయాలను కూడా కలిగి ఉంటాయి లేదా అసాధ్యం కావచ్చు. ప్రమాద తగ్గింపు చర్యలను అభివృద్ధి చేస్తున్నప్పుడు మీరు "కనీస సమృద్ధి" సూత్రాన్ని ఉపయోగించాలని మేము సిఫార్సు చేస్తున్నాము.
6. ఆమోదించబడిన పద్దతి ప్రకారం నష్టాలను నిర్వహించండి
తదుపరి దశ రిస్క్ మేనేజ్మెంట్ మెథడాలజీ యొక్క స్థిరమైన అప్లికేషన్, అంటే వాటి అంచనా మరియు ప్రాసెసింగ్. ఈ ప్రక్రియ చాలా జాగ్రత్తగా క్రమం తప్పకుండా నిర్వహించబడాలి. సమాచార భద్రతా ప్రమాద రిజిస్టర్ను తాజాగా ఉంచడం ద్వారా, మీరు కంపెనీ వనరులను సమర్థవంతంగా కేటాయించగలరు మరియు తీవ్రమైన సంఘటనలను నిరోధించగలరు.
7. ప్రమాద చికిత్సను ప్లాన్ చేయండి
మీ కంపెనీకి ఆమోదయోగ్యమైన స్థాయిని మించిన ప్రమాదాలను తప్పనిసరిగా రిస్క్ ట్రీట్మెంట్ ప్లాన్లో చేర్చాలి. ఇది ప్రమాదాలను తగ్గించడానికి ఉద్దేశించిన చర్యలను, అలాగే వాటికి బాధ్యత వహించే వ్యక్తులు మరియు గడువులను నమోదు చేయాలి.
8. వర్తించే ప్రకటనను పూర్తి చేయండి
ఇది ఆడిట్ సమయంలో ధృవీకరణ సంస్థ నుండి నిపుణులచే అధ్యయనం చేయబడే కీలక పత్రం. మీ కంపెనీ కార్యకలాపాలకు ఏ సమాచార భద్రతా నియంత్రణలు వర్తిస్తాయో ఇది వివరించాలి.
9. సమాచార భద్రతా నియంత్రణల ప్రభావం ఎలా కొలవబడుతుందో నిర్ణయించండి.
ఏ చర్య అయినా స్థాపించబడిన లక్ష్యాల నెరవేర్పుకు దారితీసే ఫలితాన్ని కలిగి ఉండాలి. అందువల్ల, లక్ష్యాల సాధన మొత్తం సమాచార భద్రతా నిర్వహణ వ్యవస్థకు మరియు వర్తించే అనుబంధం నుండి ఎంచుకున్న ప్రతి నియంత్రణ యంత్రాంగానికి ఏ పారామితుల ద్వారా కొలవబడుతుందో స్పష్టంగా నిర్వచించడం ముఖ్యం.
10. సమాచార భద్రతా నియంత్రణలను అమలు చేయండి
మరియు మునుపటి అన్ని దశలను పూర్తి చేసిన తర్వాత మాత్రమే మీరు వర్తించే అనుబంధం నుండి వర్తించే సమాచార భద్రతా నియంత్రణలను అమలు చేయడం ప్రారంభించాలి. ఇక్కడ అతిపెద్ద సవాలు, వాస్తవానికి, మీ సంస్థ యొక్క అనేక ప్రక్రియలలో పనులు చేయడానికి పూర్తిగా కొత్త మార్గాన్ని పరిచయం చేయడం. ప్రజలు కొత్త విధానాలు మరియు విధానాలను ప్రతిఘటిస్తారు, కాబట్టి తదుపరి అంశానికి శ్రద్ధ వహించండి.
11. ఉద్యోగులకు శిక్షణా కార్యక్రమాలను అమలు చేయండి
మీ ఉద్యోగులు ప్రాజెక్ట్ యొక్క ప్రాముఖ్యతను అర్థం చేసుకోకపోతే మరియు సమాచార భద్రతా విధానాలకు అనుగుణంగా వ్యవహరించకపోతే పైన వివరించిన అన్ని పాయింట్లు అర్థరహితంగా ఉంటాయి. మీ సిబ్బంది అన్ని కొత్త నియమాలకు అనుగుణంగా ఉండాలని మీరు కోరుకుంటే, మీరు ముందుగా ప్రజలకు అవి ఎందుకు అవసరమో వివరించాలి, ఆపై ISMSపై శిక్షణను అందించాలి, ఉద్యోగులు వారి రోజువారీ పనిలో తప్పనిసరిగా పరిగణనలోకి తీసుకోవలసిన అన్ని ముఖ్యమైన విధానాలను హైలైట్ చేయాలి. ISO 27001 ప్రాజెక్ట్ వైఫల్యానికి సిబ్బందికి శిక్షణ లేకపోవడం ఒక సాధారణ కారణం.
12. ISMS ప్రక్రియలను నిర్వహించండి
ఈ సమయంలో, ISO 27001 మీ సంస్థలో రోజువారీ దినచర్యగా మారుతుంది. ప్రమాణానికి అనుగుణంగా సమాచార భద్రతా నియంత్రణల అమలును నిర్ధారించడానికి, ఆడిటర్లు రికార్డులను అందించాలి - నియంత్రణల యొక్క వాస్తవ ఆపరేషన్ యొక్క సాక్ష్యం. కానీ అన్నింటికంటే, మీ ఉద్యోగులు (మరియు సరఫరాదారులు) ఆమోదించబడిన నిబంధనలకు అనుగుణంగా తమ పనులను నిర్వహిస్తున్నారో లేదో ట్రాక్ చేయడంలో రికార్డులు మీకు సహాయపడతాయి.
13. మీ ISMSని పర్యవేక్షించండి
మీ ISMSతో ఏమి జరుగుతోంది? మీకు ఎన్ని సంఘటనలు ఉన్నాయి, అవి ఏ రకం? అన్ని విధానాలు సరిగ్గా అనుసరించబడుతున్నాయా? ఈ ప్రశ్నలతో, కంపెనీ తన సమాచార భద్రతా లక్ష్యాలను చేరుతోందో లేదో మీరు తనిఖీ చేయాలి. కాకపోతే, మీరు పరిస్థితిని సరిదిద్దడానికి ఒక ప్రణాళికను రూపొందించాలి.
14. అంతర్గత ISMS ఆడిట్ నిర్వహించండి
సంస్థలోని వాస్తవ ప్రక్రియలు మరియు ఆమోదించబడిన సమాచార భద్రతా విధానాల మధ్య అసమానతలను గుర్తించడం అంతర్గత ఆడిట్ యొక్క ఉద్దేశ్యం. చాలా వరకు, ఇది మీ ఉద్యోగులు నియమాలను ఎంతవరకు అనుసరిస్తున్నారో చూడటానికి తనిఖీ చేస్తోంది. ఇది చాలా ముఖ్యమైన విషయం, ఎందుకంటే మీరు మీ సిబ్బంది పనిని నియంత్రించకపోతే, సంస్థ నష్టపోవచ్చు (ఉద్దేశపూర్వకంగా లేదా అనుకోకుండా). కానీ ఇక్కడ లక్ష్యం నేరస్థులను కనుగొనడం మరియు విధానాలను పాటించనందుకు వారిని క్రమశిక్షణ చేయడం కాదు, పరిస్థితిని సరిదిద్దడం మరియు భవిష్యత్తులో సమస్యలను నివారించడం.
15. నిర్వహణ సమీక్షను నిర్వహించండి
మేనేజ్మెంట్ మీ ఫైర్వాల్ను కాన్ఫిగర్ చేయకూడదు, కానీ ISMSలో ఏమి జరుగుతుందో వారు తెలుసుకోవాలి: ఉదాహరణకు, ప్రతి ఒక్కరూ తమ బాధ్యతలను నిర్వర్తిస్తున్నారా మరియు ISMS దాని లక్ష్య ఫలితాలను సాధిస్తుందా. దీని ఆధారంగా, ISMS మరియు అంతర్గత వ్యాపార ప్రక్రియలను మెరుగుపరచడానికి నిర్వహణ కీలక నిర్ణయాలు తీసుకోవాలి.
16. దిద్దుబాటు మరియు నివారణ చర్యల వ్యవస్థను పరిచయం చేయండి
ఏదైనా ప్రమాణం వలె, ISO 27001కి “నిరంతర మెరుగుదల” అవసరం: సమాచార భద్రతా నిర్వహణ వ్యవస్థలో క్రమబద్ధమైన దిద్దుబాటు మరియు అసమానతల నివారణ. దిద్దుబాటు మరియు నివారణ చర్యల ద్వారా, అసంబద్ధతను సరిదిద్దవచ్చు మరియు భవిష్యత్తులో పునరావృతం కాకుండా నిరోధించవచ్చు.
ముగింపులో, వాస్తవానికి, వివిధ వనరులలో వివరించిన దానికంటే సర్టిఫికేట్ పొందడం చాలా కష్టం అని నేను చెప్పాలనుకుంటున్నాను. రష్యాలో నేడు మాత్రమే ఉన్నాయనే వాస్తవం ఇది ధృవీకరించబడింది సమ్మతి కోసం ధృవీకరించబడ్డాయి. అదే సమయంలో, సమాచార భద్రత రంగంలో వ్యాపారం యొక్క పెరుగుతున్న డిమాండ్లకు అనుగుణంగా, విదేశాలలో అత్యంత ప్రజాదరణ పొందిన ప్రమాణాలలో ఇది ఒకటి. అమలు కోసం ఈ డిమాండ్ బెదిరింపుల రకాల పెరుగుదల మరియు సంక్లిష్టతకు మాత్రమే కాకుండా, చట్టం యొక్క అవసరాలకు, అలాగే వారి డేటా యొక్క పూర్తి గోప్యతను నిర్వహించాల్సిన ఖాతాదారులకు కూడా కారణం.
ISMS ధృవీకరణ అంత తేలికైన పని కానప్పటికీ, అంతర్జాతీయ ప్రమాణాల ISO/IEC 27001 యొక్క అవసరాలను తీర్చడం అనేది ప్రపంచ మార్కెట్లో తీవ్రమైన పోటీ ప్రయోజనాన్ని అందిస్తుంది. ధృవీకరణ కోసం కంపెనీని సిద్ధం చేయడంలో కీలకమైన దశల గురించి మా కథనం ప్రాథమిక అవగాహనను అందించిందని మేము ఆశిస్తున్నాము.
మూలం: www.habr.com