Mis on ISO 27001 audit ja kas minu ettevõttel on seda vaja?

Meie pakendatud andmete maailmas peavad küberturvalisuse standardid olema taevani ja teravalt teravad. Enamik ettevõtteid, isegi kui need pole kohe seotud tehnikaga, satuvad lõpuks vajadusse end seestpoolt ümbritseda.

Üle kümne aasta tagasi võttis Rahvusvaheline Standardiorganisatsioon vastu spetsifikatsiooni nimega ISO 27001. Mis see siis täpselt on? Mida võib ISO 27001 audit meile öelda organisatsiooni sisemiste mahhinatsioonide kohta? Ja kuidas otsustate, kas teie ettevõtet tuleks auditeerida?

Mis on infoturbehaldussüsteem (ISMS)?

Infoturbe juhtimissüsteem (ISMS) on organisatsiooni peamine kaitseliin andmete rikkumine ja muud tüüpi küberohud väljastpoolt.

Efektiivne ISMS tagab, et kaitstav teave jääb konfidentsiaalseks ja turvaliseks, ustavaks allikale ja juurdepääsetavaks inimestele, kellel on selleks volitusi.

Levinud viga on eeldada, et ISMS on ainult tulemüür või muu tehniline kaitsevahend. Selle asemel on täielikult integreeritud ISMS sama, mis ettevõtte kultuuris ja igal töötajal, inseneril või muul viisil olemas. See läheb kaugelt üle IT-osakonna.

Selle süsteemi ulatus hõlmab lisaks ametlikule poliitikale ja protseduuridele ka meeskonna võimet süsteemi hallata ja täiustada. Esmatähtis on täitmine ja viis, kuidas protokolli tegelikult rakendatakse.

See hõlmab pikaajalist lähenemist riskijuhtimisele ja maandamisele. Ettevõtte juhid peavad olema põhjalikult kursis kõigi riskidega, mis on seotud selle valdkonnaga, milles nad töötavad. Selle teadmisega relvastatud, saavad nad vastavalt sellele müürid enda ümber ehitada.

Mis on täpselt ISO 27001?

2005. aastal Rahvusvaheline Standardiorganisatsioon (ISO) ja Rahvusvaheline Elektrotehnika Komisjon (IEC) uuendas turvasüsteemi standardit BS 7799, mille BSI kontsern kehtestas esmakordselt 10 aastat varem.

Nüüd ametlikult tuntud kui ISO / IEC 27001: 2005, ISO 27001 on rahvusvaheline vastavuse standard, mis antakse ettevõtetele, kes on eeskujulikud infoturbehalduses.

Põhimõtteliselt on see range standardite kogu, mille vastu saab ettevõtte infoturbehaldussüsteemi vastu hoida. See raamistik võimaldab audiitoritel seejärel hinnata süsteemi kui terviku visadust. Ettevõtted võivad valida auditi, kui nad soovivad oma klientidele ja klientidele kinnitada, et nende andmed on nende seintes ohutud.

Sellesse eraldiste kogumisse kuuluvad: turbepoliitika spetsifikatsioonid, vara klassifikatsioon, keskkonna turvalisus, võrgu haldamine, süsteemi hooldus ja tegevuse järjepidevus planeerimine.

ISO koondas kõik need tahud algsest BSI põhikirjast, destilleerides need versiooniks, mida me täna tunneme.

Poliitikasse kaevamine

Mida täpselt hinnatakse, kui ettevõte läbib ISO 27001 auditi?

Standardi eesmärk on rahvusvaheliselt vormistada tõhus ja turvaline teabepoliitika. See stimuleerib ennetavat hoiakut, mis püüab probleeme enne nende tekkimist vältida.

ISO rõhutab turvalise ISMS-i kolme olulist aspekti:

1. Püsiv analüüs ja riski tunnistamine: see hõlmab nii praeguseid riske kui ka riske, mis võivad end tulevikus esile tuua.

2. Tugev ja turvaline süsteem: see hõlmab nii süsteemi, nagu see on tehnilises mõttes olemas, kui ka mis tahes turvakontrolli, mida organisatsioon kasutab enda kaitsmiseks ülalnimetatud riskide eest. Need näevad välja väga erinevad, sõltuvalt ettevõttest ja tööstusharust.

3. Pühendunud juhtide meeskond: need saavad olema inimesed, kes tegelikkuses organisatsiooni kaitseks kontrolli kasutavad. Süsteem on ainult sama tõhus kui need, kes töötavad roolis.

Nende kolme põhiteguri analüüsimine aitab audiitoril saada terviklikuma ülevaate konkreetse ettevõtte võimest turvaliselt tegutseda. Jätkusuutlikkust eelistatakse ISMS-ile, mis tugineb ainult toorele tehnilisele jõule.

Seotud: Kuidas hoida töötajaid lahkumast ettevõtte andmete varastamise eest

On olemas oluline inimlik element, mis peab olemas olema. See, kuidas ettevõttes asuvad inimesed oma andmeid ja ISMSi üle kontrolli omavad, hoitakse ennekõike. Need juhtelemendid hoiavad andmeid tegelikult ohutuna.

Mis on ISO 27001 lisa A?

Kontrolli konkreetsed näited sõltuvad tööstusest. ISO 27001 A lisa pakub ettevõtetele 114 ametlikult tunnustatud vahendit oma tegevuse turvalisuse kontrollimiseks.

Need juhtnupud kuuluvad ühte neljateistkümnest klassifikatsioonist:

A.5—Teabe- ja turvapoliitika: institutsionaliseeritud põhimõtted ja protseduurid, mida ettevõte järgib.

A.6—Infoturbekorraldus: vastutuse määramine organisatsioonis ISMSi raamistiku ja selle rakendamise osas. Kummalisel kombel on siia lisatud ka kaugtööd ja seadmete kasutamine ettevõttes.

A.7—Inimressursside turvalisus: mured pardalemineku, pardaletuleku ja töötajate rollide vahetamise eest organisatsioonis. Siinkohal on välja toodud ka sõelumisstandardid ja parimad tavad hariduse ja koolituse alal.

A.8—Varahaldus: hõlmab töödeldavaid andmeid. Varasid tuleb inventeerida, hooldada ja hoida privaatsena, isegi mõnel juhul kogu osakonna ulatuses. Iga vara omandiõigus peab olema selgelt kindlaks määratud; selles klauslis soovitatakse ettevõtetel koostada oma tegevussuunale vastav aktsepteeritava kasutamise poliitika.

A.9—Juurdepääsukontroll: kellel on lubatud teie andmeid töödelda ja kuidas piirate juurdepääsu ainult volitatud töötajatele? See võib hõlmata tingimuslike lubade seadmist tehnilises mõttes või juurdepääsu teie ettevõtte ülikoolilinnaku lukustatud hoonetele.

A.10—Krüptograafia: tegeleb peamiselt krüpteerimise ja muude viisidega, kuidas andmeid kaitsta. Neid ennetusmeetmeid tuleb aktiivselt juhtida; ISO ei lase organisatsioonidel pidada krüptimist kõigi jaoks ühtseks lahenduseks kõigile andmeturvalisusega seotud sügavatele nüanssidele.

A.11—Füüsiline ja keskkonnaalane turvalisus: hindab tundlike andmete füüsilist turvalisust, kas tegelikus kontorihoones või väikeses konditsioneeriga ruumis, mis on täis servereid.

A.12—Operatsioonide turvalisus: millised on teie ettevõtte toimimise sise-eeskirjad? Neid protseduure selgitavaid dokumente tuleks pidevalt säilitada ja üle vaadata, et need vastaksid uutele tekkivatele ärivajadustele.

Muudatuste juhtimine, suutlikkuse juhtimine ja erinevate osakondade eraldamine kuuluvad kõik selle rubriigi alla.

A.13—Võrguturbe haldus: võrgud, mis ühendavad teie ettevõtte kõiki süsteeme, peavad olema õhutihedad ja hoolikalt hoolitsetud.

Kõikehõlmavad lahendused, nagu tulemüürid, muudetakse veelgi tõhusamaks, kui neid täiendatakse näiteks sagedaste kontrollpunktide, ametlike ülekandepoliitikate või avalike võrkude kasutamise keelamine näiteks oma ettevõtte andmete töötlemise ajal.

A.14—Süsteemi hankimine, arendamine ja hooldus: kui teie ettevõttel pole veel ISMS-i, selgitab see klausel, mida ideaalne süsteem tabelisse toob. See aitab teil tagada, et ISMS hõlmab kõiki teie tootmise elutsükli aspekte.

Turvalise arengu sisepoliitika annab teie inseneridele konteksti, mida nad peavad oma töö algusest peale ehitama nõuetele vastava toote.

A.15—Tarnija turbepoliitikaMilliseid ettevaatusabinõusid rakendatakse kolmandate osapoolte tarnijatega väljaspool teie ettevõtet tehes, et vältida nendega jagatud andmete lekkeid või rikkumisi?

A.16—Infoturbega seotud intsidentide haldamine: kui asjad lähevad valesti, pakub teie ettevõte tõenäoliselt mingit raamistikku, kuidas probleemist teatada, sellega tegeleda ja seda tulevikus ennetada.

ISO otsib vastusüsteeme, mis võimaldaksid ettevõttes tegutsevatel autoriteetidel tegutseda pärast ohu avastamist kiiresti ja suure eelarvamusega.

A.17—Äritegevuse järjepidevuse haldamise infoturbe aspektid: katastroofi või mõne muu ebatõenäolise juhtumi korral, mis häirib teie tegevust pöördumatult, plaan peab olema paigas, et säilitada ettevõtte heaolu ja andmed, kuni äri jätkub normaalne.

Idee on selles, et organisatsioon vajab sellistel aegadel mingit viisi turvalisuse järjepidevuse säilitamiseks.

A.18—Vastavus: lõpuks jõuame tegeliku lepingute lepinguni, mille ettevõte peab tellima, et täita ISO 27001 sertifikaadi nõudeid. Teie kohustused on sätestatud teie ees. Teil jääb üle vaid punktiirile alla kirjutada.

ISO ei nõua enam, et nõuetele vastavad ettevõtted kasutaksid ainult ülaltoodud kategooriatesse sobivaid juhtelemente. Nimekiri on suurepärane koht alustamiseks, kui hakkate siiski oma ettevõtte ISMS-i alust looma.

Seotud: Kuidas parandada oma tähelepanelikkust hea turvapraktika abil

Kas minu ettevõtet tuleks auditeerida?

See oleneb. Kui olete väga väike idufirma ja töötate valdkonnas, mis ei ole tundlik ega kõrge riskiga, võite tõenäoliselt edasi lükata, kuni teie tulevikuplaanid on kindlamad.

Hiljem, kui teie meeskond kasvab, võite sattuda ühte järgmistest kategooriatest:

• Võimalik, et teete koostööd mõne olulise kliendiga, kes palub teie ettevõttel hinnangut anda, et klient oleks teiega turvaline.
• Võiksite tulevikus minna IPO-le.
• Olete juba rikkumise ohvriks langenud ja peate oma ettevõtte andmeid haldama ja kaitsma.

Tuleviku prognoosimine ei pruugi alati lihtne olla. Isegi kui te ei näe ennast üheski ülaltoodud stsenaariumis, pole valus olla ennetav ja hakata oma režiimi lülitama mõnda ISO soovitatud tava.

Võim on teie kätes

ISMS-i ettevalmistamine auditi jaoks on sama lihtne kui hoolsuskohustuse võtmine, isegi kui töötate täna. Dokumentatsiooni tuleks alati säilitada ja arhiveerida, mis annab teile tõendeid selle kohta, et peate oma pädevusnõuetele tuginema.

See on täpselt nagu keskkoolis: teed ära kodutöö ja saad hinde. Kliendid on turvalised ja kindlad ning teie ülemus on teiega väga rahul. Need on lihtsad harjumused, mida õppida ja hoida. Te tänate ennast hiljem, kui lõikelauale mees lõpuks helistab.

Nelja parimat küberturvalisuse suundumust tuleb jälgida 2021. aastal ja pärast seda

Siin on küberrünnakud, mida peate 2021. aastal silma peal hoidma, ja kuidas vältida nende ohvriks langemist.

Loe edasi

Autori kohta