如今,公司的信息安全(以下简称IS)问题已成为世界上最相关的问题之一。 这不足为奇,因为在许多国家/地区,对存储和处理个人数据的组织的要求越来越严格。 目前,俄罗斯法律要求维护大量文书工作。 同时,数字化趋势十分明显:许多公司已经以数字格式和纸质文档的形式存储了大量机密信息。
根据反恶意软件分析中心的一项
调查 ,有86%的受访者表示,他们必须解决网络攻击后或由于用户至少每年一次违反既定规则而导致的事件。 在这方面,业务中对信息安全的优先关注已经成为必要。
目前,公司信息安全不仅是诸如杀毒软件或防火墙之类的复杂技术手段,而且已经是一种整体上管理公司资产特别是信息的集成方法。 公司采用不同的方法来解决这些问题。 今天,我们要谈谈国际标准ISO 27001的实施,以解决此类问题。 对于在俄罗斯市场上的公司,此类证书的存在简化了与对此问题有较高要求的外国客户和合作伙伴的互动。 ISO 27001在西方国家广泛使用,涵盖了信息安全领域的要求,这些要求应包含在所使用的技术解决方案中,并有助于建立业务流程。 因此,该标准可以成为您的竞争优势和与外国公司的联系点。
信息安全管理系统(以下简称ISMS)的这项认证收集了设计ISMS的最佳实践,并且重要的是为选择管理工具以确保系统的功能,技术安全的要求甚至公司的人员管理过程提供了可能性。 毕竟,您需要了解技术故障只是问题的一部分。 在信息安全方面,人为因素起着巨大的作用,要消除或最小化它要困难得多。
如果您的公司要通过ISO 27001认证,那么您可能已经尝试找到一种简便的方法来进行认证。 我们将不得不让您失望:没有简单的方法。 但是,某些步骤可以帮助组织为满足国际信息安全要求做准备:
1.获得管理支持您可能认为这很明显,但实际上,这一点经常被忽略。 此外,这是实施ISO 27001的项目经常失败的主要原因之一。 如果不了解标准实施项目的重要性,管理层将无法提供足够的人力资源或足够的认证预算。
2.制定认证准备计划根据ISO 27001进行认证的准备工作是一项复杂的任务,其中包括各种类型的工作,需要大量人员的参与,并且可能持续数月(甚至数年)。 因此,制定详细的项目计划非常重要:分配资源,时间和人员来严格定义任务,并监视截止日期的遵守情况-否则您可能永远无法完成工作。
3.定义认证范围如果您的组织规模很大,且活动多种多样,那么按照ISO 27001认证只是公司业务的一部分,这很有意义,这将显着降低项目的风险以及时间和成本。
4.制定信息安全政策公司的信息安全政策是最重要的文件之一。 它应反映贵公司在信息安全领域的目标和信息安全管理的基本原则,所有员工必须遵守这些原则。 本文档的目的是确定公司管理层在信息安全领域中想要实现的目标,以及如何实现和控制该目标。
5.定义风险评估方法最困难的任务之一是确定评估和管理风险的规则。 重要的是要了解公司可能认为哪些风险可以接受,哪些风险需要立即采取行动以降低。 没有这些规则,ISMS将无法工作。
同时,值得记住的是,为减少风险所采取的措施是否足够。 但是不要因为优化过程而太过费劲,因为它们尤其会带来大量的时间或财务成本,或者根本就是不可行的。 我们建议您在制定降低风险的措施时使用“最低限度”原则。
6.根据批准的方法管理风险下一阶段是风险管理方法论的一致应用,即其评估和处理。 此过程应定期认真进行。 通过使IS风险登记册保持最新状态,您可以有效地分配公司资源并防止发生严重事件。
7.计划风险处理超出贵公司可接受水平的风险应包括在风险处理计划中。 它应包含旨在降低风险的措施,以及应对这些风险和措施承担责任的人员。
8.填写适用规则这是关键文件,审核过程中将由认证机构的专家进行研究。 它应描述信息安全领域中的哪些控制机制适用于您公司的活动。
9.确定如何衡量IS控制的有效性。任何行动都应导致达成既定目标的结果。 因此,重要的是要清楚地确定将通过哪些参数来衡量整个IS管理系统以及适用性附录中每个所选控制机制的目标实现情况。
10.实施IS管理工具并且只有在执行完所有前面的步骤之后,才有必要从“适用性附录”开始实施适用的IS管理工具。 当然,这里最大的困难将是在组织的许多流程中引入全新的操作流程。 人们通常会抵制新的政策和程序,因此请注意下一段。
11.介绍员工培训计划如果您的员工不了解项目的重要性并且不按照IS政策行事,则上述所有要点将毫无意义。 如果您希望员工遵守所有新规则,则首先需要向人们解释为什么有必要这样做,然后进行ISMS培训,强调员工在日常工作中应考虑的所有重要政策。 根据ISO 27001,缺乏人员培训是导致项目失败的常见原因。
12.支持ISMS流程此时,ISO 27001已成为您的日常工作。 为了确认按照该标准实施的IS管理工具,审核员将需要提供记录-控制机制实际工作的证据。 但最重要的是,记录应有助于您跟踪员工(和供应商)是否按照批准的规则执行任务。
13.监视ISMS您的ISMS会怎样? 您有多少事件,它们是什么样的事件? 所有程序是否正确执行? 遇到这些问题,您应该检查公司是否正在实现其信息安全目标。 如果没有,您应该制定补救计划。
14.进行ISMS内部审核内部审核的目的是确定公司的实际流程与批准的IS政策之间的不一致之处。 在大多数情况下,这是对您的员工如何遵守规则的测试。 这是非常重要的一点,因为如果您不控制员工的工作,则组织可能会遭受损害(有意或无意)。 但是,这里的任务不是寻找肇事者并对不遵守政策的行为给予纪律处分,而是要纠正这种情况并防止将来出现问题。
15.组织管理评审管理人员不应配置防火墙,但应了解ISMS中正在发生的情况:例如,它们是否正在履行所有职责以及ISMS是否达到目标结果。 基于此,管理层应做出关键决策以改善ISMS和内部业务流程。
16.引入纠正和预防措施系统像任何标准ISO 27001一样,都需要“持续改进”:系统地纠正和防止信息安全管理系统中的不一致之处。 借助纠正和预防措施,有可能纠正差异并防止将来再次出现。
总而言之,我想说的是,认证实际上比各种来源中描述的要困难得多。 事实证明,今天在俄罗斯只有
78家公司通过了合规认证。 同时,在国外,它是满足信息安全领域业务增长需求的最受欢迎的标准之一。 实施的这种要求不仅是由于威胁类型的增长和复杂化,还因为法律要求以及需要维护其数据的完全机密性的客户。
尽管对ISMS进行认证并不是一件容易的事,但满足国际标准ISO / IEC 27001的要求却可以在全球市场上带来巨大的竞争优势。 我们希望我们的文章对准备公司进行认证的关键步骤有一个初步的了解。