W naszym świecie utowarowionych danych standardy cyberbezpieczeństwa muszą być niebotyczne i ostre jak brzytwa. Większość firm, nawet jeśli nie jest bezpośrednio związana z technologią, w końcu będzie musiała przepasać się od wewnątrz.

Ponad dziesięć lat temu Międzynarodowa Organizacja Normalizacyjna przyjęła specyfikację zwaną ISO 27001. Więc co to właściwie jest? Co audyt ISO 27001 może nam powiedzieć o wewnętrznych machinacjach organizacji? A jak decydujesz, czy Twoja firma powinna zostać poddana audytowi?

Co to jest system zarządzania bezpieczeństwem informacji (ISMS)?

System Zarządzania Bezpieczeństwem Informacji (SZBI) jest główną linią obrony organizacji przed: naruszenia danych i inne rodzaje cyberzagrożeń z zewnątrz.

Skuteczny SZBI zapewnia, że ​​chronione informacje pozostają poufne i bezpieczne, wierne źródłu i dostępne dla osób, które mają upoważnienie do pracy z nimi.

Częstym błędem jest założenie, że ISMS jest niczym więcej niż firewallem lub innymi technicznymi środkami ochrony. Zamiast tego w pełni zintegrowany SZBI jest tak samo obecny w kulturze firmy, jak iw każdym pracowniku, inżynierze czy innym. Wykracza daleko poza dział IT.

instagram viewer

Zakres tego systemu to nie tylko oficjalna polityka i procedura, ale także zdolność zespołu do zarządzania i udoskonalania systemu. Najważniejsze jest wykonanie i sposób, w jaki protokół jest faktycznie stosowany.

Wiąże się to z przyjęciem długoterminowego podejścia do zarządzania ryzykiem i jego ograniczania. Dyrektorzy firmy muszą być dokładnie zaznajomieni z wszelkimi zagrożeniami związanymi z branżą, w której pracują. Uzbrojeni w tę wiedzę będą w stanie odpowiednio zbudować wokół siebie mury.

Czym dokładnie jest ISO 27001?

W 2005 roku Międzynarodowa Organizacja Normalizacyjna (ISO) i Międzynarodowa Organizacja Elektrotechniczna Komisja (IEC) odnowiła BS 7799, standard zarządzania bezpieczeństwem ustanowiony po raz pierwszy przez Grupę BSI 10 lat poprzednio.

Obecnie oficjalnie znany jako ISO/IEC 27001:2005, ISO 27001 jest międzynarodowym standardem zgodności przyznawanym firmom, które są wzorem w zarządzaniu bezpieczeństwem informacji.

Zasadniczo jest to rygorystyczny zbiór standardów, przeciwko którym system zarządzania bezpieczeństwem informacji firmy może się sprzeciwić. Ramy te umożliwiają audytorom następnie ocenę trwałości systemu jako całości. Firmy mogą zdecydować się na audyt, gdy chcą zapewnić swoich klientów i klientów, że ich dane są bezpieczne w ich murach.

W tym zbiorze postanowień znajdują się: specyfikacje dotyczące polityki bezpieczeństwa, aktywów klasyfikacja, bezpieczeństwo środowiskowe, zarządzanie siecią, utrzymanie systemu i ciągłość działania planowanie.

ISO skondensowało wszystkie te aspekty z oryginalnej karty BSI, destylując je do wersji, którą rozpoznajemy dzisiaj.

Zagłębianie się w politykę

Co dokładnie podlega ocenie, gdy firma przechodzi audyt ISO 27001?

Celem normy jest sformalizowanie skutecznej i bezpiecznej polityki informacyjnej na arenie międzynarodowej. Zachęca do aktywnej postawy, która ma na celu uniknięcie kłopotów, zanim się pojawią.

ISO podkreśla trzy ważne aspekty bezpiecznego SZBI:

1. Stała analiza i uznanie ryzyka: obejmuje to zarówno obecne zagrożenia, jak i zagrożenia, które mogą pojawić się w przyszłości.

2. Solidny i bezpieczny system: obejmuje to system w postaci, w jakiej istnieje w sensie technicznym, a także wszelkie zabezpieczenia, których organizacja używa do ochrony przed wyżej wymienionymi zagrożeniami. Wyglądają one bardzo różnie, w zależności od firmy i branży.

3. Oddany zespół liderów: będą to ludzie faktycznie wprowadzający kontrole do pracy w obronie organizacji. System jest tak skuteczny, jak osoby pracujące u steru.

Analiza tych trzech kluczowych czynników pomaga audytorowi nakreślić pełniejszy obraz zdolności danej firmy do bezpiecznego działania. Zrównoważony rozwój jest faworyzowany nad SZBI, który opiera się wyłącznie na brutalnej sile technicznej.

Związane z: Jak powstrzymać pracowników przed kradzieżą danych firmy po ich odejściu?

Jest ważny element ludzki, który musi być obecny. Sposób, w jaki ludzie w firmie sprawują kontrolę nad swoimi danymi i SZBI, jest utrzymywany przede wszystkim. Te kontrole są tym, co faktycznie zapewnia bezpieczeństwo danych.

Co to jest załącznik A do ISO 27001?

Konkretne przykłady „kontroli” zależą od branży. Aneks A normy ISO 27001 oferuje firmom 114 oficjalnie uznanych środków kontroli bezpieczeństwa ich działalności.

Te kontrole należą do jednej z czternastu klasyfikacji:

A.5—Polityka informacyjna i bezpieczeństwa: zinstytucjonalizowane zasady i procedury przestrzegane przez firmę.

A.6—Organizacja Bezpieczeństwa Informacji: przypisanie odpowiedzialności w organizacji w odniesieniu do ram SZBI i jego wdrożenia. Co dziwne, uwzględniono tutaj również politykę dotyczącą telepracy i and korzystanie z urządzeń w firmie.

A.7—Bezpieczeństwo zasobów ludzkich: dotyczy onboardingu, offboardingu i zmiany ról pracowników w organizacji. Przedstawiono tu również standardy badań przesiewowych i najlepsze praktyki w zakresie edukacji i szkoleń.

A.8—Zarządzanie aktywami: obejmuje przetwarzane dane. Aktywa muszą być inwentaryzowane, utrzymywane i utrzymywane w tajemnicy, nawet w niektórych przypadkach między działami. Własność każdego zasobu musi być jasno określona; ta klauzula zaleca firmom sporządzenie „Polityki dopuszczalnego użytkowania” specyficznej dla ich branży.

A.9—Kontrola dostępu: kto może przetwarzać Twoje dane i jak ograniczysz dostęp tylko do upoważnionych pracowników? Może to obejmować przyznawanie warunkowych uprawnień w sensie technicznym lub dostęp do zamkniętych budynków na terenie kampusu Twojej firmy.

A.10—Kryptografia: zajmuje się przede wszystkim szyfrowaniem i innymi sposobami ochrony danych podczas przesyłania. Te środki zapobiegawcze muszą być aktywnie zarządzane; ISO odradza organizacjom traktowanie szyfrowania jako uniwersalnego rozwiązania dla wszystkich głęboko zniuansowanych wyzwań związanych z bezpieczeństwem danych.

A.11—Bezpieczeństwo fizyczne i środowiskowe: ocenia fizyczne bezpieczeństwo wszędzie tam, gdzie znajdują się wrażliwe dane, czy to w prawdziwym biurowcu, czy w małym, klimatyzowanym pomieszczeniu pełnym serwerów.

A.12—Bezpieczeństwo operacji: jakie są Twoje wewnętrzne zasady bezpieczeństwa, jeśli chodzi o funkcjonowanie Twojej firmy? Dokumentacja wyjaśniająca te procedury powinna być często utrzymywana i aktualizowana w celu spełnienia nowych, pojawiających się potrzeb biznesowych.

Zarządzanie zmianą, zarządzanie wydajnością i oddzielenie różnych działów wchodzą w zakres tej pozycji.

A.13—Zarządzanie bezpieczeństwem sieci: sieci łączące każdy system w Twojej firmie muszą być szczelne i starannie doglądane.

Rozwiązania typu catch-all, takie jak zapory ogniowe, są jeszcze bardziej skuteczne, gdy zostaną uzupełnione o takie elementy, jak częste punkty kontrolne weryfikacyjne, sformalizowane zasady transferu lub przez zakaz korzystania z sieci publicznych np. podczas obsługi danych Twojej firmy.

A.14—Pozyskiwanie, rozwój i konserwacja systemu: jeśli Twoja firma nie ma jeszcze SZBI, ta klauzula wyjaśnia, co wnosi idealny system. Pomaga upewnić się, że zakres SZBI obejmuje każdy aspekt cyklu produkcyjnego.

Wewnętrzna polityka bezpiecznego rozwoju zapewnia inżynierom kontekst, którego potrzebują do zbudowania zgodnego produktu od dnia rozpoczęcia pracy.

A.15—Polityka bezpieczeństwa dostawcy: podczas prowadzenia interesów z zewnętrznymi dostawcami spoza Twojej firmy, jakie środki ostrożności podejmuje się, aby zapobiec wyciekom lub naruszeniom udostępnianych im danych?

A.16—Zarządzanie incydentami związanymi z bezpieczeństwem informacji: gdy coś pójdzie nie tak, Twoja firma prawdopodobnie zapewni pewne ramy dla tego, jak problem powinien być zgłaszany, rozwiązywany i zapobiegany w przyszłości.

ISO poszukuje systemów odwetowych, które umożliwią władzom w firmie szybkie działanie z dużymi uprzedzeniami po wykryciu zagrożenia.

A.17—Bezpieczeństwo informacji Aspekty zarządzania ciągłością działania: w przypadku katastrofy lub innego mało prawdopodobnego incydentu, który nieodwołalnie zakłóci Twoją działalność, plan będą musiały istnieć, aby zachować dobro firmy i jej danych do czasu wznowienia działalności, gdy normalna.

Chodzi o to, że organizacja potrzebuje jakiegoś sposobu na zachowanie ciągłości bezpieczeństwa w takich czasach.

A.18—Spełnienie: wreszcie dochodzimy do faktycznej umowy umów, którą firma musi podpisać, aby spełnić wymagania certyfikacji ISO 27001. Twoje obowiązki są przedstawione przed tobą. Wszystko, co pozostało do zrobienia, to podpisać na przerywanej linii.

ISO nie wymaga już, aby zgodne firmy stosowały tylko kontrole, które pasują do kategorii wymienionych powyżej. Lista jest świetnym miejscem do rozpoczęcia, jeśli dopiero zaczynasz kłaść podwaliny pod SZBI w swojej firmie.

Związane z: Jak poprawić swoją uważność dzięki dobrym praktykom bezpieczeństwa?

Czy moja firma powinna być audytowana?

To zależy. Jeśli jesteś bardzo małym start-upem pracującym w dziedzinie, która nie jest wrażliwa ani wysokiego ryzyka, prawdopodobnie możesz wstrzymać się, dopóki twoje plany na przyszłość nie będą bardziej pewne.

Później, w miarę rozwoju zespołu, możesz znaleźć się w jednej z następujących kategorii:

  • Być może pracujesz z ważnym klientem, który prosi o ocenę Twojej firmy, aby upewnić się, że będzie z Tobą bezpieczna.
  • W przyszłości możesz chcieć przejść na IPO.
  • Padłeś już ofiarą naruszenia i musisz przemyśleć sposób, w jaki zarządzasz i chronisz dane swojej firmy.

Prognozowanie przyszłości może nie zawsze być łatwe. Nawet jeśli nie widzisz siebie w żadnym z powyższych scenariuszy, nie zaszkodzi być proaktywnym i zacząć włączać niektóre z zalecanych przez ISO praktyk do swojego reżimu.

Moc jest w twoich rękach

Przygotowanie SZBI do audytu jest tak proste, jak dochowanie należytej staranności, nawet jeśli pracujesz dzisiaj. Dokumentacja powinna być zawsze przechowywana i archiwizowana, dostarczając dowodów, które będą potrzebne do poparcia swoich twierdzeń o kompetencjach.

To tak jak w gimnazjum: odrabiasz pracę domową i dostajesz ocenę. Klienci są bezpieczni, a Twój szef jest z Ciebie bardzo zadowolony. Są to proste nawyki, których należy się nauczyć i zachować. Podziękujesz sobie później, gdy w końcu zadzwoni mężczyzna ze schowkiem.

E-mail
4 najważniejsze trendy w cyberbezpieczeństwie, na które należy uważać w 2021 r. i później

Oto cyberataki, na które musisz zwracać uwagę w 2021 r., oraz sposoby uniknięcia ich ofiar.

Czytaj dalej

Powiązane tematy
  • Bezpieczeństwo
  • Bezpieczeństwo komputera
  • Ochrona danych
O autorze
Emma Garofalo (31 opublikowanych artykułów)

Emma Garofalo jest pisarką mieszkającą obecnie w Pittsburghu w Pensylwanii. Kiedy nie trudzi się przy biurku w poszukiwaniu lepszego jutra, zwykle można ją znaleźć za kamerą lub w kuchni.

Więcej od Emmy Garofalo

Zapisz się do naszego newslettera

Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!

Jeszcze jeden krok…!

Potwierdź swój adres e-mail w e-mailu, który właśnie do Ciebie wysłaliśmy.

.