Az árukra osztott adatok világában a kiberbiztonsági előírásoknak égig és borotvaélesnek kell lenniük. A legtöbb vállalatnak, még ha nem is azonnal kapcsolódik a technológiához, végül is szükség lesz arra, hogy belülről övezze magát.

Több mint egy évtizeddel ezelőtt a Nemzetközi Szabványügyi Szervezet elfogadta az ISO 27001 elnevezésű specifikációt. Szóval mi is ez pontosan? Mit árulhat el nekünk az ISO 27001 audit a szervezet belső machinációiról? És hogyan dönti el, hogy cégét ellenőrizni kell-e?

Mi az információbiztonsági kezelő rendszer (ISMS)?

Az információbiztonsági irányító rendszer (ISMS) a szervezet fő védelmi vonala adatsértések és más típusú számítógépes fenyegetések kívülről.

A hatékony ISMS biztosítja, hogy a védett információk bizalmasak és biztonságosak maradjanak, hűek legyenek a forráshoz, és hozzáférhetők legyenek azok számára, akik rendelkeznek engedéllyel az együttműködésre.

Gyakori hiba az a feltételezés, hogy az ISMS nem több, mint egy tűzfal vagy más védelmi technikai eszköz. Ehelyett egy teljesen integrált ISMS ugyanúgy jelen van a vállalat kultúrájában és minden alkalmazottban, mérnökben vagy más módon. Messze túlmutat az informatikai részlegen.

Ez a rendszer nem csupán hivatalos irányelvek és eljárások, hanem a csapat képessége a rendszer kezelésére és finomítására is. A végrehajtás és a protokoll tényleges alkalmazása a legfontosabb.

Ez magában foglalja a kockázatkezelés és mérséklés hosszú távú megközelítését. A vállalat igazgatóinak alaposan ismerniük kell az iparral kapcsolatos kockázatokat, amelyekben kifejezetten dolgoznak. Ezzel a belátással felfegyverkezve ennek megfelelően meg tudják majd építeni a falakat maguk körül.

Mi az az ISO 27001, pontosan?

2005-ben a Nemzetközi Szabványügyi Szervezet (ISO) és a Nemzetközi Elektrotechnikai A Bizottság (IEC) megújította a BS 7799-et, amely a BSI Csoport által először 10 évre bevezetett biztonsági menedzsment-szabvány korábban.

A hivatalosan ISO / IEC 27001: 2005 néven ismert ISO 27001 a megfelelőség nemzetközi szabványa, amelyet azoknak a vállalatoknak ítélnek oda, akik példamutatóak az információbiztonság kezelésében.

Lényegében szigorú szabványgyűjtemény, amely ellen a vállalat információbiztonsági irányítási rendszere szembeszállhat. Ez a keret lehetővé teszi az auditorok számára, hogy ezután értékeljék a rendszer egészének szívósságát. A vállalatok dönthetnek úgy, hogy auditálnak, amikor meg akarják nyugtatni ügyfeleiket és ügyfeleiket, hogy az adataik biztonságban vannak a falukon belül.

Ebbe a tartalékgyűjteménybe a következők tartoznak: a biztonságpolitikára, az eszközre vonatkozó előírások osztályozás, környezeti biztonság, hálózatkezelés, rendszerfenntartás és üzletmenet folytonosság tervezés.

Az ISO összesítette ezeket a szempontokat az eredeti BSI alapító okiratból, és beillesztette azokat a ma ismert változatba.

Belemerül a házirendbe

Pontosan mit értékelnek, amikor egy vállalat ISO 27001 auditon megy keresztül?

A szabvány célja a hatékony és biztonságos információs politika nemzetközi formalizálása. Ösztönzi a proaktív álláspontot, amely arra törekszik, hogy elkerülje a bajt, mielőtt megtörténne.

Az ISO a biztonságos ISMS három fontos szempontját hangsúlyozza:

1. Folyamatos elemzés és a kockázat tudomásul vétele: ez magában foglalja mind a jelenlegi, mind a jövőben jelentkező kockázatokat.

2. Robusztus és biztonságos rendszer: ez magában foglalja a rendszert, amint az technikai értelemben létezik, valamint minden olyan biztonsági ellenőrzést, amelyet a szervezet a fent említett kockázatokkal szemben megvéd. Ezek nagyon különbözőek lesznek, a vállalattól és az iparágtól függően.

3. Elkötelezett vezetői csapat: ezek azok az emberek lesznek, akik valóban ellenőrzést gyakorolnak a szervezet védelmében. A rendszer csak annyira hatékony, mint az élen dolgozók.

E három kulcsfontosságú tényező elemzése segít a könyvvizsgálónak teljesebb képet festeni az adott vállalat biztonságos működésének képességéről. A fenntarthatóságot előnyben részesítik az ISMS-sel szemben, amely csak a nyers technikai erőre támaszkodik.

Összefüggő: Hogyan lehet megakadályozni, hogy az alkalmazottak távozáskor ellopják a vállalati adatokat

Van egy fontos emberi elem, amelynek jelen kell lennie. Az, hogy a cégen belüli emberek hogyan gyakorolják az adatok és az ISMS feletti ellenőrzést, mindenekelőtt az. Ezek a vezérlők az adatok valójában biztonságban vannak.

Mi az ISO 27001 A. melléklete?

A "kontrollok" konkrét példái az iparágtól függenek. Az ISO 27001 A. melléklete 114 hivatalosan elismert eszközt kínál a vállalatok számára a működésük biztonságának ellenőrzésére.

Ezek a vezérlők a tizennégy osztályozás egyikébe tartoznak:

A.5—Információs és biztonsági politikák: az intézményesített politikák és eljárások, amelyeket a vállalat követ.

A.6—Információbiztonság szervezése: a szervezeten belüli felelősség kiosztása az ISMS keretei és megvalósítása tekintetében. Különös módon ide tartozik a távmunkát és a eszközök használata a vállalaton belül.

A.7—Emberi erőforrások biztonsága: a beszállás, a kiszállás és az alkalmazottak szerepének megváltoztatása a szervezeten belül. Az átvilágítási szabványokat és az oktatás és képzés legjobb gyakorlatait itt is felvázoljuk.

A.8—Vagyonkezelés: magában foglalja a kezelt adatokat. Az eszközöket leltározni, karbantartani és magántulajdonban kell tartani, bizonyos esetekben akár a tanszékeken keresztül is. Az egyes eszközök tulajdonjogát világosan meg kell állapítani; ez a klauzula azt ajánlja a vállalatoknak, hogy dolgozzanak ki egy, az üzletágukra vonatkozó "elfogadható felhasználási politikát".

A.9—Hozzáférés-szabályozás: kinek szabad kezelni az adatait, és hogyan korlátozza a hozzáférést csak az arra felhatalmazott alkalmazottakra? Ez magában foglalhatja a feltételes engedély-meghatározást technikai értelemben, vagy hozzáférést a vállalat campusának lezárt épületeihez.

A.10—Titkosítás: elsősorban a titkosítással és az átvitt adatok védelmének egyéb módjaival foglalkozik. Ezeket a megelőző intézkedéseket aktívan kell irányítani; az ISO visszatartja a szervezeteket attól, hogy a titkosítást mindenki számára megfelelő megoldásnak tekinthessék az adatbiztonsággal kapcsolatos mélyen árnyalt kihívások mindegyikére.

A.11—Fizikai és környezeti biztonság: felméri a fizikai biztonságot bárhol, ahol érzékeny adatok találhatók, akár egy tényleges irodaházban, akár egy kicsi, légkondicionált, szerverekkel teli helyiségben.

A.12—Hadműveletek biztonsági biztosítása: mik a belső biztonsági szabályai, amikor a cég működését illeti? Ezeket az eljárásokat elmagyarázó dokumentációt gyakran karbantartani és felülvizsgálni kell, hogy megfeleljenek az új, felmerülő üzleti igényeknek.

A változásmenedzsment, a kapacitásmenedzsment és a különféle osztályok elkülönítése mind ebbe a fejezetbe tartozik.

A.13—Hálózati biztonság kezelése: a vállalat minden rendszerét összekötő hálózatoknak légmentesen és gondosan kell gondoskodniuk.

A mindenre kiterjedő megoldások, például a tűzfalak, még hatékonyabbá válnak, ha kiegészítik olyanokkal, mint a gyakori ellenőrzési ellenőrző pontok, formalizált átviteli házirendek, vagy a nyilvános hálózatok használatának megtiltása miközben például a vállalata adatait kezeli.

A.14—Rendszerbeszerzés, fejlesztés és karbantartás: ha cégének még nincs ISMS-je, akkor ez a záradék elmagyarázza, hogy az ideális rendszer mit hoz az asztalra. Segít abban, hogy az ISMS hatóköre lefedje a termelés életciklusának minden aspektusát.

A biztonságos fejlesztés belső politikája megadja a mérnököknek azt a kontextust, hogy a munkájuk megkezdésének napjától kezdve meg kell felelniük egy megfelelő terméknek.

A.15—A szállító biztonsági házirendje: Milyen óvintézkedéseket tesz a vállalaton kívüli külső beszállítókkal való üzleti kapcsolatban a velük megosztott adatok szivárgásának vagy megsértésének megakadályozása érdekében?

A.16—Információbiztonsági események kezelése: ha a dolgok rosszra fordulnak, cége valószínűleg biztosít valamilyen keretet a probléma jelentésének, kezelésének és a jövőbeni megelőzésének módjára.

Az ISO olyan megtorló rendszereket keres, amelyek lehetővé teszik a vállalaton belüli tekintélyek számára, hogy egy fenyegetés észlelése után gyorsan és nagy előítéletekkel cselekedhessenek.

A.17—Az üzleti folyamatosság kezelésének információbiztonsági vonatkozásai: katasztrófa vagy más valószínűtlen esemény esetén, amely visszavonhatatlanul megzavarja a működését, terv szükségesnek kell lennie a vállalat jólétének és adatainak megőrzéséig, amíg az üzlet nem folytatódik Normál.

Az elképzelés az, hogy egy szervezetnek szüksége van valamilyen módon a biztonság folytonosságának megőrzésére az ilyen időkben.

A.18—Megfelelés: végül eljutunk a tényleges megállapodásokhoz, amelyeket a vállalatoknak alá kell fizetniük ahhoz, hogy megfeleljenek az ISO 27001 tanúsítás követelményeinek. Kötelezettségeit Ön előtt határozták meg. Csak annyit kell tennie, hogy aláírja a szaggatott vonalat.

Az ISO már nem követeli meg, hogy a kompatibilis vállalatok csak a fent felsorolt ​​kategóriákba illeszkedő vezérlőket alkalmazzanak. A lista remek kiindulópont, ha azonban még csak most kezded el megalapozni céged ISMS-jét.

Összefüggő: Hogyan javíthatja figyelmességét a helyes biztonsági gyakorlatokkal

A cégemet ellenőrizni kell?

Attól függ. Ha nagyon kicsi kezdő vállalkozás vagy egy olyan területen, amely nem érzékeny vagy magas kockázatú, akkor valószínűleg addig tarthat, amíg a jövőre vonatkozó tervei nem lesznek biztosabbak.

Később, a csapat növekedésével a következő kategóriák egyikébe kerülhet:

  • Lehet, hogy egy fontos ügyféllel dolgozik, aki felkéri cégét, hogy megbizonyosodjon arról, hogy biztonságban vannak-e Önnel.
  • Érdemes a jövőben IPO-ra váltani.
  • Máris egy jogsértés áldozatává vált, és újragondolnia kell a vállalat adatainak kezelését és védelmét.

A jövő előrejelzése nem mindig könnyű. Még akkor is, ha nem látja magát a fenti esetek egyikében sem, nem árt proaktívnak lenni, és elkezdeni beépíteni az ISO néhány ajánlott gyakorlatát a rendszerbe.

A hatalom a kezedben van

Az ISMS felkészítése auditra ugyanolyan egyszerű, mint a kellő gondosság figyelembevétele, még ma is. A dokumentációt mindig karbantartani és archiválni kell, amely bizonyítékot szolgáltat Önnek arra vonatkozóan, hogy alátámasztania kell kompetencia-állításait.

Pontosan olyan, mint a középiskolában: elvégzed a házi feladatot, és megkapod az osztályzatot. Az ügyfelek biztonságban és biztonságban vannak, és a főnöke nagyon elégedett veled. Ezek egyszerű tanulási és megtartási szokások. Később meg fogja köszönni magának, amikor a vágólapos férfi végre telefonál.

Email
A 4 legfontosabb kiberbiztonsági tendencia, amelyre vigyázni kell 2021-ben és azon túl

Itt vannak azok a kibertámadások, amelyekre 2021-ben szemmel kell tartanod, és hogyan kerülheted el az áldozatokat.

Olvassa el a következőt

Kapcsolódó témák
  • Biztonság
  • Számítógép biztonság
  • Adatbiztonság
A szerzőről
Emma Garofalo (31 cikk megjelent)

Emma Garofalo író jelenleg Pittsburgh-ben (Pennsylvania) él. Amikor egy jobb holnapra vágyakozva nem fáradozik az íróasztalánál, általában a kamera mögött vagy a konyhában található.

Tovább Emma Garofalo-tól

Iratkozzon fel hírlevelünkre

Csatlakozzon hírlevelünkhöz, amely műszaki tippeket, véleményeket, ingyenes e-könyveket és exkluzív ajánlatokat tartalmaz!

Még egy lépés…!

Kérjük, erősítse meg e-mail címét az imént elküldött e-mailben.

.