在現今,企業資訊安全(以下簡稱IS)問題是世界上最迫切的問題之一。這並不奇怪,因為許多國家對儲存和處理個人資料的組織有越來越嚴格的要求。目前,俄羅斯法律要求保留相當一部分以紙本形式流通的文件。同時,我們也能感受到數位化的趨勢:許多公司已經以數位格式和紙本文件的形式儲存了大量的機密資訊。
根據結果 據反惡意軟體分析中心稱,86% 的受訪者表示,在一年內他們至少需要解決一次網路攻擊事件或由於用戶違反既定規定而導致的事件。由此看來,企業資訊安全的重要性已成必然。
如今,企業資訊安全不僅僅是一套技術手段,如防毒軟體或防火牆,而是處理公司資產(尤其是資訊)的綜合方法。各家公司對這些問題的處理方式各有不同。今天我們想談談實施國際標準 ISO 27001 作為解決這個問題的方法。對於在俄羅斯市場上經營的公司來說,擁有這樣的證書可以簡化與在這方面有高要求的外國客戶和合作夥伴的互動。 ISO 27001 在西方被廣泛使用,涵蓋了所使用的技術解決方案必須涵蓋的資訊安全領域的要求,同時也有助於業務流程的發展。因此,該標準可以成為您的競爭優勢和與外國公司的接觸點。
資訊安全管理系統(以下簡稱ISMS)認證匯集了ISMS設計的最佳實踐,更重要的是,它提供了選擇管理工具的可能性,以確保系統的運作、技術安全支援的要求,甚至公司的人事管理流程。畢竟,重要的是要明白技術故障只是問題的一部分。在資訊安全問題上,人為因素起著巨大的作用,而且很難消除或降低。
如果您的公司希望獲得 ISO 27001 認證,您可能已經嘗試找到簡單的方法。我們不得不讓你失望:這裡沒有簡單的方法。但是,有一些步驟可以幫助您的組織做好滿足國際資訊安全要求的準備:
1.獲得管理階層的支持
您可能認為這是顯而易見的,但在實踐中卻常常被忽略。而且,這也是ISO 27001實施專案經常失敗的主要原因之一。如果不了解標準實施專案的重要性,管理階層就不會為認證提供足夠的人力資源或足夠的預算。
2. 制定認證準備計劃
準備 ISO 27001 認證是一項複雜的任務,涉及許多不同類型的工作,需要許多人的參與,並且可能需要數月(甚至數年)的時間。這就是為什麼制定詳細的專案計劃如此重要:將資源、時間和人員分配給嚴格定義的任務,並確保按時完成 - 否則,您可能永遠無法完成工作。
3. 定義認證範圍
如果您擁有一個業務多元化的大型組織,那麼僅對部分業務進行 ISO 27001 認證可能是有意義的,這將大大降低專案的風險以及時間和成本。
4.制定資訊安全政策
最重要的文件之一是公司的《資訊安全政策》。它應該體現貴公司在資訊安全領域的目標以及資訊安全管理的基本原則,所有員工都必須遵守。本文件的目的是定義公司管理階層希望在資訊安全領域實現的目標,以及如何實施和控制這些目標。
5. 定義風險評估方法
最困難的任務之一是定義風險評估和管理的規則。重要的是了解公司認為哪些風險是可以接受的,哪些風險需要立即採取行動來降低。如果沒有這些規則,ISMS 將無法發揮作用。
同時,值得記住的是,正在製定和採取的降低風險的措施是否充分。但是您不應該過於沉迷於優化過程,因為它們也需要大量的時間或財務成本,或者可能根本無法實現。我們建議您在製定風險緩解措施時使用「最低限度充分性」原則。
6. 根據批准的方法管理風險
下一階段是持續應用風險管理方法,即風險管理的評估與處理。這個過程必須定期且非常小心地進行。透過保持資訊安全風險登記冊為最新,您可以有效地分配公司資源並防止嚴重事件的發生。
7. 規劃風險處理
超出貴公司可接受水準的風險必須納入風險處理計劃。它應該記錄旨在降低風險的行動、責任人和期限。
8. 填寫適用性聲明
這是認證機構專家在審核期間要審查的關鍵文件。它應該描述哪些資訊安全控制適用於貴公司的營運。
9. 決定如何衡量資訊安全控制的有效性
任何行動都必須有一個結果,以實現既定的目標。因此,明確定義衡量整個資訊安全管理系統和適用性附錄中選定的每個控制機制的目標實現的參數非常重要。
10.實施資訊安全控制
只有在實施了所有前面的步驟之後,您才應該開始實施適用性附錄中適用的資訊安全管理工具。當然,這裡最大的挑戰是在組織的許多流程中實施一種全新的工作方式。人們傾向於抵制新政策和新程序,因此請注意下一點。
11.實施員工培訓計劃
如果您的員工不了解專案的重要性並且不按照資訊安全政策行事,那麼上述所有要點都將毫無意義。如果您希望員工遵守所有新規則,您首先需要向人們解釋為什麼這些規則是必要的,然後進行ISMS培訓,涵蓋員工在日常工作中需要考慮的所有重要政策。缺乏員工培訓是ISO 27001專案失敗的常見原因。
12.維護ISMS流程
在此階段,ISO 27001 將成為您組織的日常工作。為了確認資訊安全控制已按照標準實施,審計人員需要提供記錄-控制實際運作的證據。但首先,記錄應該可以幫助您追蹤您的員工(和供應商)是否按照既定規則執行他們的任務。
13. 監控您的 ISMS
您的 ISMS 進度如何?您遇到了多少起事故?它們屬於什麼類型?所有程序是否都正確遵循?這些問題應該可以幫助您檢查公司是否實現了其資訊安全目標。如果沒有,您必須制定計劃來糾正這種情況。
14. 進行 ISMS 內部審核
內部稽核的目的是識別公司實際流程與資訊安全領域批准的政策之間的差異。這主要是為了測試你的員工遵守規則的程度。這一點非常重要,因為如果你不控制員工的工作,組織可能會遭受損害(有意或無意的)。但這裡的目標不是找到罪魁禍首並懲罰他們不遵守政策,而是糾正情況並防止未來出現問題。
15.組織管理評審
管理層不應該配置您的防火牆,但他們應該知道 ISMS 中發生的情況:例如,每個人是否履行了他們的職責以及 ISMS 是否實現了其目標結果。基於此,管理階層必須做出關鍵決策來改善 ISMS 和內部業務流程。
16. 引進矯正和預防措施體系
與任何標準一樣,ISO 27001 要求「持續改進」:系統性地修正和預防資訊安全管理系統中的不符合項。糾正和預防措施可以糾正不符合項並防止其將來再次發生。
總而言之,我想說,實際上,獲得認證比各種資料中描述的要困難得多。事實證明,在今天的俄羅斯,只有 已通過合規認證。同時,在國外這也是最受歡迎的標準之一,滿足了企業在資訊安全領域日益增長的需求。這種實施需求不僅是由於威脅類型的成長和複雜性,也是由於立法的要求,以及客戶需要對其資料保持完全保密的要求。
儘管 ISMS 認證並非易事,但滿足國際標準 ISO/IEC 27001 的要求這一事實本身就能在全球市場上帶來顯著的競爭優勢。我們希望我們的文章能讓您對公司準備認證的關鍵階段有基本的了解。
來源: www.habr.com
