如今,公司信息安全(以下簡稱“IS”)問題是世界上最相關的問題之一。 這並不奇怪,因為在許多國家/地區,對存儲和處理個人數據的組織的要求越來越嚴格。 目前,俄羅斯立法要求很大一部分文件流以紙質形式保存。 與此同時,數字化趨勢顯而易見:許多公司已經以數字格式和紙質文檔的形式存儲了大量機密信息。
根據結果 根據反惡意軟件分析中心的調查,86% 的受訪者表示,在這一年中,他們必須至少解決一次網絡攻擊或用戶違反既定法規導致的事件。 對此,企業對信息安全的優先關注已成為必然。
目前,企業信息安全不僅僅是防病毒或防火牆等技術手段的複雜,它已經是處理公司資產和信息的綜合方法。 公司有不同的方法來解決這些問題。 今天我們想談談國際標準ISO 27001的實施作為解決這一問題的方法。 對於俄羅斯市場的公司來說,此類證書的存在簡化了與對此有高要求的外國客戶和合作夥伴的互動。 ISO 27001 在西方廣泛使用,涵蓋了所使用的技術解決方案必須涵蓋的信息安全要求,並幫助構建業務流程。 因此,這個標準可以成為您的競爭優勢以及與外國公司的接觸點。
信息安全管理體系(以下簡稱“ISMS”)的認證收集了設計 ISMS 的最佳實踐,重要的是,提供了選擇控制措施的可能性,以確保系統的運行、技術安全的要求,甚至是公司的人事管理流程。 畢竟,有必要了解技術故障只是問題的一部分。 在信息安全問題上,人的因素發揮著巨大的作用,而人的因素更難以排除或最小化。
如果您的公司即將獲得 ISO 27001 認證,那麼您可能已經嘗試過尋找一種簡單的方法來實現這一目標。 我們將不得不讓您失望:這裡沒有簡單的方法。 然而,有一些步驟可以幫助組織做好滿足國際信息安全要求的準備:
1.獲得管理層的支持
你可能認為這是顯而易見的,但在實踐中這一點常常被忽視。 而且,這也是實施 ISO 27001 的項目經常失敗的主要原因之一。 如果不了解實施該標準的項目的重要性,管理層就不會為認證提供足夠的人力資源或足夠的預算。
2. 制定認證準備計劃
準備 ISO 27001 認證是一項複雜的任務,包括許多不同類型的工作,需要大量人員的參與,並且可能需要數月(甚至數年)的時間。 因此,制定詳細的項目計劃非常重要:為嚴格定義的任務分配資源、時間和人員參與,並監控最後期限的遵守情況 - 否則您可能永遠無法完成工作。
3.確定認證範圍
如果您擁有一個從事多元化活動的大型組織,那麼僅對公司的部分業務進行 ISO 27001 認證可能是有意義的,這將顯著降低項目的風險以及時間和成本。
4. 制定信息安全政策
最重要的文件之一是公司的信息安全政策。 它應反映貴公司在信息安全領域的目標以及信息安全管理的基本原則,所有員工都必須遵守。 本文件的目的是定義公司管理層希望在信息安全領域實現什麼目標,以及如何實施和控制。
5. 定義風險評估方法
最困難的任務之一是定義評估和管理風險的規則。 重要的是要了解公司認為哪些風險可以接受,哪些風險需要立即採取行動來減輕風險。 如果沒有這些規則,ISMS 將無法發揮作用。
與此同時,值得記住的是,為降低風險而採取的已製定措施是否充分。 但您不應該對優化過程過於得意忘形,因為除其他外,它們需要大量的時間或財務成本,或者可能根本不可能。 我們建議您在製定風險緩解措施時採用“最低充足性”原則。
6. 根據批准的方法管理風險
下一階段是風險管理方法的一致應用,即評估和處理。 這個過程必須非常小心地定期進行。 通過及時更新信息安全風險登記冊,您可以有效地分配公司資源並預防嚴重事件。
7. 規劃風險處理
超過貴公司可接受水平的風險應納入風險處理計劃。 應記錄旨在降低風險的行動以及負責人和時間。
8. 填寫適用性聲明
這是認證機構在審核期間將檢查的關鍵文件。 它應該描述哪些信息安全控制適用於您公司的運營。
9. 確定如何衡量信息安全控制的有效性
任何行動都必須有導致實現既定目標的結果。 因此,明確定義衡量整個信息安全管理體系和適用性附件中選定的每個控制機制目標實現情況的參數非常重要。
10. 實施信息安全控制
只有在實施了前面的所有步驟之後,您才需要開始實施適用性附錄中的適用信息安全控制措施。 當然,這裡最大的挑戰是在組織的許多流程中實施全新的做事方式。 人們通常會抵制新的政策和程序,所以請注意下一點。
11.實施員工培訓計劃
如果您的員工不了解項目的重要性並且不按照信息安全策略行事,那麼上述所有要點都將毫無意義。 如果您希望您的員工遵守所有新規則,您首先需要向人們解釋為什麼需要這些規則,然後提供 ISMS 培訓,強調員工在日常工作中應考慮的所有重要政策。 缺乏員工培訓是 ISO 27001 項目失敗的一個常見原因。
12. 維護 ISMS 流程
在此階段,ISO 27001 已成為您組織中的日常工作。 為了確認信息安全控制措施符合標準,審核員需要提供記錄——控制措施實際運行的證據。 但首先也是最重要的是,記錄應幫助您跟踪您的員工(和供應商)是否按照批准的規則執行任務。
13. 監控 ISMS
您的 ISMS 會發生什麼情況? 您有多少起事件,它們是什麼類型? 所有程序是否都得到正確遵守? 帶著這些問題,您應該檢查公司是否正在實現其信息安全目標。 如果沒有,您必須制定計劃來糾正這種情況。
14. 對 ISMS 進行內部審核
內部審計的目的是揭示公司實際流程與批准的信息系統政策之間的差異。 在大多數情況下,這是對員工遵守規則情況的測試。 這是非常重要的一點,因為如果你不控制員工的工作,組織可能會受到損害(有意或無意)。 但這裡的重點不是要找到肇事者並對不遵守政策的人進行紀律處分,而是要糾正這種情況並防止未來出現問題。
15、組織管理評審
管理層不必設置防火牆,但他們確實需要了解 ISMS 中發生的情況,例如,他們是否履行了所有職責以及 ISMS 是否達到了預期結果。 在此基礎上,管理層應做出關鍵決策來改進 ISMS 和內部業務流程。
16. 引入糾正和預防措施體系
與任何標準一樣,ISO 27001 要求“持續改進”:系統地糾正和預防信息安全管理體系中的不一致之處。 糾正和預防措施可以糾正不合格情況並防止其在未來再次發生。
總之,我想說,獲得認證實際上比各種來源中描述的要困難得多。 證實的事實是,僅在今天的俄羅斯 已獲得合規認證。 同時,它也是國外最流行的標準之一,滿足了信息安全領域不斷增長的業務需求。 這種實施需求不僅是由於威脅類型的增長和復雜化,也是由於法律的要求,以及需要對其數據保持完全保密的客戶。
儘管 ISMS 認證並不是一件容易的事,但只要滿足國際標準 ISO/IEC 27001 的要求,就可以在全球市場上獲得巨大的競爭優勢。 我們希望我們的文章能讓您初步了解公司準備認證的關鍵階段。
來源: www.habr.com