ปัจจุบัน ปัญหาด้านความปลอดภัยของข้อมูล (ต่อไปนี้ - IS) ของบริษัทต่างๆ ถือเป็นประเด็นที่เกี่ยวข้องมากที่สุดในโลก และนี่ก็ไม่น่าแปลกใจ เพราะในหลายประเทศมีข้อกำหนดที่เข้มงวดมากขึ้นสำหรับองค์กรที่เก็บและประมวลผลข้อมูลส่วนบุคคล ในปัจจุบัน กฎหมายของรัสเซียกำหนดให้สัดส่วนสำคัญของการไหลของเอกสารต้องคงอยู่ในรูปแบบกระดาษ ในขณะเดียวกัน แนวโน้มสู่การเปลี่ยนผ่านสู่ดิจิทัลก็เห็นได้ชัดเจน: หลายบริษัทจัดเก็บข้อมูลที่เป็นความลับจำนวนมากอยู่แล้วทั้งในรูปแบบดิจิทัลและในรูปแบบเอกสารกระดาษ
ตามผลลัพธ์
ปัจจุบัน การรักษาความปลอดภัยของข้อมูลองค์กรไม่ได้เป็นเพียงชุดของวิธีการทางเทคนิค เช่น โปรแกรมป้องกันไวรัสหรือไฟร์วอลล์เท่านั้น แต่ยังเป็นแนวทางบูรณาการในการจัดการทรัพย์สินของบริษัทโดยทั่วไปและข้อมูลโดยเฉพาะอยู่แล้ว บริษัทต่างๆ มีแนวทางที่แตกต่างกันในการแก้ไขปัญหาเหล่านี้ วันนี้เราอยากจะพูดถึงการนำมาตรฐานสากล ISO 27001 ไปใช้เพื่อแก้ปัญหาดังกล่าว สำหรับบริษัทในตลาดรัสเซีย การมีใบรับรองดังกล่าวจะช่วยลดความยุ่งยากในการโต้ตอบกับลูกค้าและหุ้นส่วนชาวต่างชาติที่มีความต้องการสูงในเรื่องนี้ ISO 27001 มีการใช้กันอย่างแพร่หลายในโลกตะวันตก และครอบคลุมข้อกำหนดด้านความปลอดภัยของข้อมูลที่ต้องครอบคลุมโดยโซลูชันทางเทคนิคที่ใช้ ตลอดจนช่วยสร้างกระบวนการทางธุรกิจ ดังนั้นมาตรฐานนี้สามารถกลายเป็นข้อได้เปรียบในการแข่งขันของคุณและเป็นจุดติดต่อกับบริษัทต่างประเทศได้
การรับรองระบบการจัดการความปลอดภัยของข้อมูล (ต่อไปนี้ - ISMS) ได้รวบรวมแนวทางปฏิบัติที่ดีที่สุดในการออกแบบ ISMS และที่สำคัญคือให้ความเป็นไปได้ในการเลือกการควบคุมเพื่อให้แน่ใจว่าการทำงานของระบบข้อกำหนดสำหรับความปลอดภัยทางเทคโนโลยีและแม้แต่สำหรับ กระบวนการบริหารงานบุคคลในบริษัท ท้ายที่สุด จำเป็นต้องเข้าใจว่าความล้มเหลวทางเทคนิคเป็นเพียงส่วนหนึ่งของปัญหาเท่านั้น ในเรื่องความปลอดภัยของข้อมูล ปัจจัยด้านมนุษย์มีบทบาทอย่างมาก ซึ่งยากต่อการยกเว้นหรือย่อให้เหลือน้อยที่สุด
หากบริษัทของคุณกำลังจะได้รับการรับรองมาตรฐาน ISO 27001 คุณอาจได้ลองหาวิธีง่ายๆ ไปแล้ว เราจะต้องทำให้คุณผิดหวัง: ไม่มีวิธีง่าย ๆ ที่นี่ อย่างไรก็ตาม มีขั้นตอนบางอย่างที่จะช่วยเตรียมองค์กรสำหรับข้อกำหนดด้านความปลอดภัยข้อมูลระหว่างประเทศ:
1. รับการสนับสนุนจากฝ่ายบริหาร
คุณอาจคิดว่าสิ่งนี้ชัดเจน แต่ในทางปฏิบัติมักมองข้ามประเด็นนี้ ยิ่งไปกว่านั้น นี่เป็นหนึ่งในสาเหตุหลักที่ทำให้โครงการต่างๆ ที่ใช้ ISO 27001 มักจะล้มเหลว หากไม่เข้าใจถึงความสำคัญของโครงการที่จะนำมาตรฐานไปใช้ ฝ่ายบริหารจะไม่สามารถจัดหาทรัพยากรบุคคลเพียงพอหรืองบประมาณเพียงพอสำหรับการรับรอง
2. จัดทำแผนการเตรียมการรับรอง
การเตรียมการรับรอง ISO 27001 เป็นงานที่ซับซ้อนซึ่งประกอบด้วยงานประเภทต่างๆ มากมาย ซึ่งต้องอาศัยคนจำนวนมาก และอาจใช้เวลานานหลายเดือน (หรือหลายปี) ดังนั้นจึงเป็นเรื่องสำคัญมากที่จะต้องจัดทำแผนโครงการโดยละเอียด: จัดสรรทรัพยากร เวลา และการมีส่วนร่วมของผู้คนเพื่องานที่กำหนดไว้อย่างเคร่งครัด และติดตามการปฏิบัติตามกำหนดเวลา มิฉะนั้น คุณจะทำงานไม่เสร็จไม่ได้
3. กำหนดขอบเขตการรับรอง
หากคุณมีองค์กรขนาดใหญ่ที่มีกิจกรรมที่หลากหลาย การรับรองมาตรฐาน ISO 27001 ของธุรกิจของบริษัทเพียงบางส่วนก็สมเหตุสมผล ซึ่งจะช่วยลดความเสี่ยงในโครงการของคุณอย่างมาก รวมถึงเวลาและต้นทุนด้วย
4. พัฒนานโยบายการรักษาความมั่นคงปลอดภัยสารสนเทศ
เอกสารที่สำคัญที่สุดประการหนึ่งคือนโยบายการรักษาความปลอดภัยของข้อมูลของบริษัท ควรสะท้อนถึงเป้าหมายของบริษัทของคุณในด้านการรักษาความปลอดภัยข้อมูลและหลักการพื้นฐานของการจัดการความปลอดภัยของข้อมูลซึ่งพนักงานทุกคนจะต้องปฏิบัติตาม วัตถุประสงค์ของเอกสารนี้คือเพื่อกำหนดสิ่งที่ฝ่ายบริหารของบริษัทต้องการบรรลุในด้านความปลอดภัยของข้อมูล รวมถึงวิธีดำเนินการและควบคุมสิ่งนี้
5. กำหนดวิธีการประเมินความเสี่ยง
งานที่ยากที่สุดประการหนึ่งคือการกำหนดกฎเกณฑ์ในการประเมินและจัดการความเสี่ยง สิ่งสำคัญคือต้องเข้าใจว่าความเสี่ยงใดที่บริษัทสามารถพิจารณาว่ายอมรับได้ และความเสี่ยงใดต้องดำเนินการทันทีเพื่อลดความเสี่ยง หากไม่มีกฎเหล่านี้ ISMS จะไม่ทำงาน
ในขณะเดียวกันก็ควรจดจำความเพียงพอของมาตรการที่พัฒนาขึ้นเพื่อลดความเสี่ยง แต่คุณไม่ควรดำเนินการตามกระบวนการเพิ่มประสิทธิภาพจนเกินไป เนื่องจากสิ่งเหล่านี้นำมาซึ่งเวลาจำนวนมากหรือต้นทุนทางการเงิน หรืออาจเป็นไปไม่ได้เลย เราขอแนะนำให้คุณใช้หลักการ "ความเพียงพอขั้นต่ำ" เมื่อพัฒนามาตรการลดความเสี่ยง
6. บริหารความเสี่ยงตามวิธีการที่ได้รับอนุมัติ
ขั้นตอนต่อไปคือการประยุกต์ใช้วิธีการบริหารความเสี่ยงที่สอดคล้องกัน นั่นคือ การประเมินและการประมวลผล กระบวนการนี้จะต้องดำเนินการเป็นประจำด้วยความระมัดระวังเป็นอย่างยิ่ง ด้วยการรักษาการลงทะเบียนความเสี่ยงด้านความปลอดภัยของข้อมูลให้ทันสมัย คุณสามารถจัดสรรทรัพยากรของบริษัทได้อย่างมีประสิทธิภาพและป้องกันเหตุการณ์ร้ายแรง
7. วางแผนการรักษาความเสี่ยงของคุณ
ความเสี่ยงที่เกินระดับที่บริษัทของคุณควรยอมรับได้ควรรวมอยู่ในแผนการรักษาความเสี่ยง ควรบันทึกการดำเนินการที่มีจุดมุ่งหมายเพื่อลดความเสี่ยงตลอดจนบุคคลที่รับผิดชอบและระยะเวลา
8. กรอกคำชี้แจงการบังคับใช้
นี่เป็นเอกสารสำคัญที่จะถูกตรวจสอบโดยหน่วยงานรับรองในระหว่างการตรวจสอบ ควรอธิบายว่าการควบคุมความปลอดภัยของข้อมูลแบบใดที่นำไปใช้กับการดำเนินงานของบริษัทของคุณ
9. กำหนดวิธีการวัดประสิทธิภาพของการควบคุมความปลอดภัยของข้อมูล
การกระทำใด ๆ จะต้องมีผลลัพธ์ที่นำไปสู่การบรรลุเป้าหมายที่ตั้งไว้ ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องกำหนดพารามิเตอร์ที่ชัดเจนซึ่งจะใช้วัดผลสัมฤทธิ์ของวัตถุประสงค์ทั้งสำหรับระบบการจัดการความปลอดภัยของข้อมูลทั้งหมดและสำหรับกลไกการควบคุมแต่ละกลไกที่เลือกจากภาคผนวกการบังคับใช้
10. ใช้การควบคุมความปลอดภัยของข้อมูล
และหลังจากดำเนินการตามขั้นตอนก่อนหน้าทั้งหมดแล้วเท่านั้น คุณจะต้องเริ่มดำเนินการควบคุมความปลอดภัยของข้อมูลที่เกี่ยวข้องจากภาคผนวกการบังคับใช้ แน่นอนว่าความท้าทายที่ใหญ่ที่สุดในที่นี้คือการนำวิธีการใหม่ๆ ในการทำสิ่งต่างๆ ไปใช้ในกระบวนการต่างๆ ขององค์กรของคุณ ผู้คนมักจะต่อต้านนโยบายและขั้นตอนใหม่ๆ ดังนั้นให้ใส่ใจกับประเด็นถัดไป
11. ดำเนินโครงการฝึกอบรมพนักงาน
ประเด็นทั้งหมดที่อธิบายไว้ข้างต้นจะไม่มีความหมายหากพนักงานของคุณไม่เข้าใจถึงความสำคัญของโครงการและไม่ปฏิบัติตามนโยบายความปลอดภัยของข้อมูล หากคุณต้องการให้พนักงานของคุณปฏิบัติตามกฎใหม่ทั้งหมด คุณต้องอธิบายให้ผู้คนทราบก่อนว่าเหตุใดจึงจำเป็นต้องมีพวกเขา จากนั้นจึงจัดการฝึกอบรมเกี่ยวกับ ISMS โดยเน้นย้ำถึงนโยบายสำคัญทั้งหมดที่พนักงานควรพิจารณาในการทำงานประจำวัน การขาดการฝึกอบรมพนักงานเป็นสาเหตุทั่วไปที่ทำให้โครงการ ISO 27001 ล้มเหลว
12. รักษากระบวนการ ISMS
ในขั้นตอนนี้ ISO 27001 จะกลายเป็นกิจวัตรประจำวันในองค์กรของคุณ เพื่อยืนยันการดำเนินการควบคุมความปลอดภัยของข้อมูลตามมาตรฐาน ผู้ตรวจสอบจะต้องจัดทำบันทึก - หลักฐานการปฏิบัติงานจริงของการควบคุม แต่ก่อนอื่น บันทึกควรช่วยให้คุณติดตามว่าพนักงานของคุณ (และซัพพลายเออร์) ปฏิบัติงานตามกฎที่ได้รับอนุมัติหรือไม่
13. ติดตาม ISMS
จะเกิดอะไรขึ้นกับ ISMS ของคุณ? คุณมีเหตุการณ์กี่เหตุการณ์ประเภทใด? มีการปฏิบัติตามขั้นตอนทั้งหมดอย่างถูกต้องหรือไม่? ด้วยคำถามเหล่านี้ คุณควรตรวจสอบว่าบริษัทบรรลุเป้าหมายด้านความปลอดภัยของข้อมูลหรือไม่ ถ้าไม่เช่นนั้นก็ต้องพัฒนาแผนแก้ไขสถานการณ์
14. ดำเนินการตรวจสอบภายในระบบ ISMS
วัตถุประสงค์ของการตรวจสอบภายในคือการเปิดเผยความแตกต่างระหว่างกระบวนการจริงในบริษัทและนโยบาย IS ที่ได้รับอนุมัติ โดยส่วนใหญ่ นี่คือการทดสอบว่าพนักงานของคุณปฏิบัติตามกฎเกณฑ์อย่างไร นี่เป็นจุดสำคัญมากเพราะถ้าคุณไม่ควบคุมการทำงานของพนักงาน องค์กรอาจได้รับความเสียหาย (โดยตั้งใจหรือไม่ตั้งใจ) แต่ประเด็นไม่ใช่เพื่อค้นหาผู้กระทำผิดและกำหนดบทลงโทษทางวินัยหากไม่ปฏิบัติตามนโยบาย แต่เพื่อแก้ไขสถานการณ์และป้องกันปัญหาในอนาคต
15. จัดให้มีการทบทวนฝ่ายบริหาร
ฝ่ายบริหารไม่จำเป็นต้องตั้งค่าไฟร์วอลล์ของคุณ แต่จำเป็นต้องรู้ว่าเกิดอะไรขึ้นใน ISMS เช่น พวกเขาปฏิบัติตามความรับผิดชอบทั้งหมดของตนหรือไม่ และ ISMS บรรลุผลตามที่ตั้งใจไว้หรือไม่ จากนี้ ฝ่ายบริหารควรทำการตัดสินใจที่สำคัญเพื่อปรับปรุง ISMS และกระบวนการทางธุรกิจภายใน
16. แนะนำระบบการดำเนินการแก้ไขและป้องกัน
เช่นเดียวกับมาตรฐานใดๆ ISO 27001 กำหนดให้มี "การปรับปรุงอย่างต่อเนื่อง": การแก้ไขและป้องกันความไม่สอดคล้องกันในระบบการจัดการความปลอดภัยของข้อมูลอย่างเป็นระบบ ด้วยการดำเนินการแก้ไขและป้องกัน คุณสามารถแก้ไขความไม่สอดคล้องและป้องกันการเกิดขึ้นอีกในอนาคต
โดยสรุป ฉันอยากจะบอกว่าจริงๆ แล้วการรับรองนั้นยากกว่าที่อธิบายไว้ในแหล่งข้อมูลต่างๆ มาก การยืนยันคือความจริงที่ว่าในรัสเซียทุกวันนี้เท่านั้น
แม้ว่าการรับรอง ISMS จะไม่ใช่เรื่องง่าย แต่การปฏิบัติตามข้อกำหนดของมาตรฐานสากล ISO/IEC 27001 ก็สามารถสร้างความได้เปรียบทางการแข่งขันอย่างจริงจังในตลาดโลกได้ เราหวังว่าบทความของเราจะให้ความเข้าใจเบื้องต้นเกี่ยวกับขั้นตอนสำคัญในการเตรียมบริษัทสำหรับการรับรอง
ที่มา: will.com