当今,企业的信息安全(以下简称信息安全)问题是全球最紧迫的问题之一。 这并不奇怪,因为在许多国家/地区,对存储和处理个人数据的组织的要求越来越严格。 目前,俄罗斯立法要求保持很大比例的纸质文件流。 与此同时,数字化趋势显而易见:许多公司已经以数字格式和纸质文档的形式存储了大量机密信息。
根据结果 反恶意软件分析中心的数据显示,86% 的受访者表示,这一年中他们至少需要解决一次网络攻击后或因用户违反既定法规而导致的事件。 对此,优先考虑业务中的信息安全已成为必然。
目前,企业信息安全不仅仅是一套技术手段,例如防病毒或防火墙,它已经是处理企业资产和信息的综合方法。 公司以不同的方式处理这些问题。 今天我们想谈谈国际标准ISO 27001的实施作为解决这一问题的方法。 对于俄罗斯市场上的公司来说,此类证书的存在简化了与对此有高要求的外国客户和合作伙伴的互动。 ISO 27001在西方广泛使用,涵盖了信息安全领域的要求,所使用的技术解决方案应该涵盖这些要求,同时也有助于业务流程的发展。 因此,这个标准可以成为您的竞争优势以及与外国公司的接触点。
此次信息安全管理体系(以下简称ISMS)认证收集了设计ISMS的最佳实践,重要的是,提供了选择控制工具以确保系统运行的可能性、技术安全支持的要求,甚至用于公司的人事管理流程。 毕竟,有必要了解技术故障只是问题的一部分。 在信息安全问题中,人为因素起着巨大的作用,而且消除或最小化它的难度要大得多。
如果您的公司希望获得 ISO 27001 认证,那么您可能已经尝试过寻找简单的方法来实现这一目标。 我们不得不让您失望:这里没有简单的方法。 然而,有一些步骤可以帮助组织做好满足国际信息安全要求的准备:
1.获得管理层的支持
你可能认为这是显而易见的,但在实践中这一点常常被忽视。 而且,这也是ISO 27001实施项目经常失败的主要原因之一。 如果不了解标准实施项目的重要性,管理层就不会为认证提供足够的人力资源或足够的预算。
2. 制定认证准备计划
准备 ISO 27001 认证是一项复杂的任务,涉及许多不同类型的工作,需要大量人员的参与,并且可能需要数月(甚至数年)的时间。 因此,制定详细的项目计划非常重要:分配资源、时间和人员参与严格定义的任务并监控截止日期的遵守情况 - 否则您可能永远无法完成工作。
3. 定义认证范围
如果您拥有开展多元化活动的大型组织,则仅对公司的部分业务进行 ISO 27001 认证可能是有意义的,这将显着降低项目的风险以及时间和成本。
4. 制定信息安全政策
最重要的文件之一是公司的信息安全政策。 它应该反映贵公司的信息安全目标和信息安全管理的基本原则,所有员工都必须遵循。 本文件的目的是确定公司管理层希望在信息安全领域实现什么目标,以及如何实施和控制。
5. 定义风险评估方法
最困难的任务之一是定义风险评估和管理的规则。 重要的是要了解公司认为哪些风险可以接受,哪些风险需要立即采取行动来减少。 如果没有这些规则,ISMS 将无法发挥作用。
与此同时,值得记住的是,为降低风险而采取的措施是否充分。 但您不应该对优化过程过于得意忘形,因为它们也会带来大量的时间或财务成本,或者可能根本不可能。 我们建议您在制定风险降低措施时采用“最低充足性”原则。
6. 根据批准的方法管理风险
下一阶段是风险管理方法的一致应用,即评估和处理。 这个过程必须非常小心地定期进行。 通过及时更新信息安全风险登记册,您将能够有效地分配公司资源并防止严重事件。
7. 规划风险处理
超过贵公司可接受水平的风险必须包含在风险处理计划中。 它应记录旨在降低风险的行动以及负责人和最后期限。
8. 填写适用性声明
这是认证机构专家在审核期间将研究的关键文件。 它应该描述哪些信息安全控制适用于您公司的活动。
9. 确定如何衡量信息安全控制的有效性。
任何行动都必须有导致实现既定目标的结果。 因此,重要的是明确定义通过哪些参数来衡量整个信息安全管理系统和适用性附件中选定的每个控制机制的目标实现情况。
10. 实施信息安全控制
只有完成前面的所有步骤后,您才可以开始实施适用性附录中的适用信息安全控制措施。 当然,这里最大的挑战是在组织的许多流程中引入一种全新的做事方式。 人们往往会抵制新的政策和程序,所以请注意下一点。
11、实施员工培训计划
如果您的员工不了解项目的重要性并且不按照信息安全策略行事,那么上述所有要点都将毫无意义。 如果您希望您的员工遵守所有新规则,您首先需要向人们解释为什么需要这些规则,然后提供 ISMS 培训,强调员工在日常工作中必须考虑的所有重要政策。 缺乏员工培训是 ISO 27001 项目失败的一个常见原因。
12. 维护 ISMS 流程
此时,ISO 27001 已成为您组织中的日常工作。 为了确认信息安全控制措施符合标准,审核员需要提供记录 - 控制措施实际运行的证据。 但最重要的是,记录应该帮助您跟踪您的员工(和供应商)是否按照批准的规则执行任务。
13. 监控您的 ISMS
你们的 ISMS 出了什么问题? 您有多少起事件,它们是什么类型? 所有程序是否都正确遵循? 带着这些问题,您应该检查公司是否达到了其信息安全目标。 如果没有,您必须制定计划来纠正这种情况。
14. 进行内部 ISMS 审核
内部审计的目的是识别公司实际流程与批准的信息安全政策之间的不一致之处。 在大多数情况下,它会检查您的员工遵守规则的情况。 这是非常重要的一点,因为如果你不控制员工的工作,组织可能会遭受损害(有意或无意)。 但这里的目标不是找到罪魁祸首并惩罚他们不遵守政策的行为,而是纠正这种情况并防止未来出现问题。
15. 组织管理评审
管理层不应该配置您的防火墙,但他们应该知道 ISMS 中发生了什么:例如,每个人是否都履行了自己的职责以及 ISMS 是否正在实现其目标结果。 基于此,管理层必须做出关键决策来改进 ISMS 和内部业务流程。
16. 引入纠正和预防措施体系
与任何标准一样,ISO 27001 要求“持续改进”:系统地纠正和预防信息安全管理体系中的不一致之处。 通过纠正和预防措施,可以纠正不合格情况并防止将来再次发生。
总之,我想说,事实上,获得认证比各种消息来源中描述的要困难得多。 今天的俄罗斯只有 已获得合规认证。 同时,这是国外最流行的标准之一,满足了信息安全领域不断增长的业务需求。 这种实施需求不仅是由于威胁类型的增长和复杂性,也是由于立法的要求以及需要保持数据完全机密性的客户。
尽管 ISMS 认证并不是一件容易的事,但满足国际标准 ISO/IEC 27001 的要求本身就可以在全球市场上提供巨大的竞争优势。 我们希望我们的文章能让您初步了解公司准备认证的关键阶段。
来源: habr.com