Što je revizija ISO 27001 i treba li je mojoj tvrtki?

U našem svijetu komodificiranih podataka standardi kibernetičke sigurnosti moraju biti nebeski i oštri kao britva. Većina tvrtki, čak i ako nisu odmah povezane s tehnologijom, na kraju će naići na potrebu da se opasu iznutra.

Prije više od deset godina Međunarodna organizacija za standarde usvojila je specifikaciju nazvanu ISO 27001. Pa što je to točno? Što nam revizija ISO 27001 može reći o unutarnjim makinacijama organizacije? I kako odlučujete treba li revidirati vašu tvrtku?

Što je sustav upravljanja informacijskom sigurnošću (ISMS)?

Sustav upravljanja informacijskom sigurnošću (ISMS) glavna je linija obrane organizacije kršenja podataka i druge vrste cyber prijetnji izvana.

Učinkovit ISMS osigurava da informacije koje se štite ostanu povjerljive i sigurne, vjerne izvoru i dostupne ljudima koji imaju dozvolu za rad s njima.

Uobičajena pogreška je pretpostavka da ISMS ne predstavlja ništa više od vatrozida ili drugih tehničkih sredstava zaštite. Umjesto toga, potpuno integrirani ISMS jednako je prisutan u kulturi tvrtke i kod svakog zaposlenika, inženjera ili na neki drugi način. To ide daleko dalje od IT odjela.

Više od puke službene politike i postupka, opseg ovog sustava uključuje i sposobnost tima da upravlja i pročišćava sustav. Izvršenje i način na koji se protokol zapravo primjenjuje su najvažniji.

To uključuje dugoročni pristup upravljanju i ublažavanju rizika. Direktori tvrtke moraju biti izravno upoznati sa svim rizicima povezanim s industrijom u kojoj posebno rade. Naoružani tim uvidom, moći će u skladu s tim sagraditi zidove oko sebe.

Što je točno ISO 27001?

2005. Međunarodna organizacija za standardizaciju (ISO) i Međunarodna elektrotehnička Povjerenstvo (IEC) renoviralo je BS 7799, standard upravljanja zaštitom koji je BSI grupa prvi put uspostavila 10 godina prethodno.

Sada službeno poznat kao ISO / IEC 27001: 2005, ISO 27001 međunarodni je standard usklađenosti koji se dodjeljuje tvrtkama koje su uzorne u upravljanju informacijskom sigurnošću.

U osnovi, riječ je o rigoroznoj zbirci standarda protiv kojih se može upravljati sustav upravljanja informacijskom sigurnošću tvrtke. Ovaj okvir omogućuje revizorima da zatim procijene postojanost sustava u cjelini. Tvrtke mogu odabrati reviziju kada žele uvjeriti svoje kupce i klijente da su njihovi podaci sigurni u njihovim zidovima.

U ovu zbirku odredbi ulaze: specifikacije u vezi sa sigurnosnom politikom, imovina klasifikacija, zaštita okoliša, upravljanje mrežom, održavanje sustava i kontinuitet poslovanja planiranje.

ISO je sažeo sve ove aspekte iz izvorne BSI povelje, destilirajući ih u verziju koju danas prepoznajemo.

Kopanje po politici

Što se točno ocjenjuje kada tvrtka prođe reviziju ISO 27001?

Cilj je standarda međunarodno formalizirati učinkovitu i sigurnu informacijsku politiku. Potiče proaktivni stav koji nastoji izbjeći nevolje prije nego što se dogodi.

ISO naglašava tri važna aspekta sigurnog ISMS-a:

1. Stalna analiza i priznavanje rizika: to uključuje i trenutne rizike i rizike koji se mogu pojaviti u budućnosti.

2. Robustan i siguran sustav: to uključuje sustav kakav postoji u tehničkom smislu, kao i sve sigurnosne kontrole koje organizacija koristi da bi se zaštitila od gore spomenutih rizika. Izgledat će vrlo različito, ovisno o tvrtki i industriji.

3. Predan tim vođa: to će biti ljudi koji zapravo vrše kontrolu u svrhu obrane organizacije. Sustav je jednako učinkovit kao i oni koji rade na čelu.

Analiza ova tri ključna čimbenika koji pomažu pridonose revizoru da stvori cjelovitiju sliku sposobnosti određene tvrtke da djeluje sigurno. Održivosti favorizira ISMS koji se oslanja samo na grubu tehničku silu.

Povezano: Kako spriječiti zaposlenike da kradu podatke tvrtke kad odlaze

Postoji važan ljudski element koji mora biti prisutan. Način na koji ljudi unutar tvrtke vrše kontrolu nad svojim podacima i svojim ISMS-om drži se prije svega. Te su kontrole ono što podatke zapravo štiti.

Što je Dodatak A ISO 27001?

Konkretni primjeri "kontrola" ovise o industriji. Aneks A ISO 27001 nudi tvrtkama 114 službeno priznatih načina nadzora nad sigurnošću njihovog poslovanja.

Ove kontrole spadaju u jednu od četrnaest klasifikacija:

A.5—Informacijske i sigurnosne politike: institucionalizirane politike i postupci koje tvrtka slijedi.

A.6—Organizacija informacijske sigurnosti: dodjela odgovornosti unutar organizacije s obzirom na okvir ISMS-a i njegovu provedbu. Ovdje je, neobično, također i politika koja regulira rad na daljinu i korištenje uređaja unutar tvrtke.

A.7—Sigurnost ljudskih resursa: zabrinutost za ukrcavanje, izvankrcavanje i promjenu uloga unutar organizacije. Ovdje su također navedeni standardi provjere i najbolje prakse u obrazovanju i osposobljavanju.

A.8—Upravljanje imovinom: uključuje podatke kojima se rukuje. Imovina se mora popisati, održavati i držati privatnom, čak u nekim slučajevima čak i preko odjeljenja. Vlasništvo nad svakom imovinom mora biti jasno utvrđeno; ovom se klauzulom preporučuje tvrtkama da izrade "Politiku prihvatljivog korištenja" specifičnu za njihovo poslovanje.

A.9—Kontrola pristupa: tko smije rukovati vašim podacima i kako ćete ograničiti pristup samo ovlaštenim zaposlenicima? To može uključivati ​​postavljanje uvjetnih dozvola u tehničkom smislu ili pristup zaključanim zgradama u kampusu vaše tvrtke.

A.10—Kriptografija: prvenstveno se bavi šifriranjem i drugim načinima zaštite podataka u prijenosu. Tim se preventivnim mjerama mora aktivno upravljati; ISO obeshrabruje organizacije da enkripciju smatraju jednoznačnim rješenjem svih duboko iznijansiranih izazova povezanih sa sigurnošću podataka.

A.11—Fizička sigurnost i sigurnost okoliša: procjenjuje fizičku sigurnost gdje god se nalaze osjetljivi podaci, bilo u stvarnoj poslovnoj zgradi ili u maloj, klimatiziranoj sobi punoj poslužitelja.

A.12—Obezbjeđenje bezbjednosti: koja su vaša interna pravila sigurnosti kada je u pitanju poslovanje vaše tvrtke? Dokumentaciju koja objašnjava ove postupke treba često održavati i revidirati kako bi se udovoljilo novim, novim poslovnim potrebama.

Upravljanje promjenama, upravljanje kapacitetima i razdvajanje različitih odjela spadaju u ovaj naslov.

A.13—Upravljanje mrežnom sigurnošću: mreže koje povezuju svaki sustav unutar vaše tvrtke moraju biti nepropusne i pažljivo pažene.

Rješenja koja obuhvaćaju sve, poput vatrozida, postaju još učinkovitija ako se dodaju stvarima poput čestih kontrolnih točaka za provjeru, formaliziranih pravila prijenosa ili zabranjujući upotrebu javnih mreža dok obrađujete podatke tvrtke, na primjer.

A.14—Nabava, razvoj i održavanje sustava: ako vaša tvrtka još nema uspostavljen ISMS, ova klauzula objašnjava što idealan sustav donosi na stol. Pomaže vam da osigurate da opseg ISMS-a pokriva svaki aspekt vašeg životnog ciklusa proizvodnje.

Interna politika sigurnog razvoja daje vašim inženjerima kontekst koji im je potreban za izgradnju usklađenog proizvoda od dana početka njihovog rada.

A.15—Politika sigurnosti dobavljača: koje mjere predostrožnosti se poduzimaju pri poslovanju s dobavljačima treće strane izvan vaše tvrtke da bi se spriječilo curenje ili kršenje podataka koji se s njima dijele?

A.16—Upravljanje incidentima informacijske sigurnosti: kada stvari krenu po zlu, vaša tvrtka vjerojatno pruža neki okvir za to kako problem treba prijaviti, riješiti i spriječiti u budućnosti.

ISO traži sustave odmazde koji omogućavaju osobama vlasti u tvrtki da djeluju brzo i s velikim predrasudama nakon što se otkrije prijetnja.

A.17—Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja: u slučaju katastrofe ili nekog drugog malo vjerojatnog incidenta koji nepovratno ometa vaše poslovanje, plan morat će biti na mjestu kako bi se očuvala dobrobit tvrtke i njezini podaci dok se poslovanje ne nastavi kao normalan.

Ideja je da organizaciji treba neki način očuvanja kontinuiteta sigurnosti kroz ovakva vremena.

A.18—Usklađenost: konačno, dolazimo do stvarnog ugovora o ugovorima na koje se tvrtka mora pretplatiti kako bi udovoljila zahtjevima za certifikaciju ISO 27001. Vaše su obveze izložene pred vama. Preostaje vam samo da se potpišete isprekidanom crtom.

ISO više ne zahtijeva da sukladne tvrtke koriste samo kontrole koje se uklapaju u gore navedene kategorije. Popis je izvrsno mjesto za početak, međutim, tek započinjete postavljati temelje ISMS-a vaše tvrtke.

Povezano: Kako poboljšati pozornost s dobrom sigurnosnom praksom

Treba li revidirati moju tvrtku?

Ovisi. Ako ste vrlo mali početnik koji radi u polju koje nije osjetljivo ili visoko rizično, vjerojatno se možete zadržati dok vaši planovi za budućnost ne budu sigurniji.

Kasnije, kako vaš tim raste, mogli biste se naći u jednoj od sljedećih kategorija:

• Možda surađujete s važnim klijentom koji traži da se vaša tvrtka procijeni kako bi bila sigurna da će biti sigurna s vama.
• Možda biste u budućnosti željeli prijeći na IPO.
• Već ste postali žrtvom kršenja i morate preispitati način na koji upravljate i zaštitite podatke svoje tvrtke.

Predviđanje budućnosti možda neće uvijek biti lako. Čak i ako se ne vidite ni u jednom od gore navedenih scenarija, ne škodi biti proaktivan i početi ugrađivati ​​neke preporučene ISO prakse u svoj režim.

Moć je u vašim rukama

Priprema vašeg ISMS-a za reviziju jednostavna je kao i pažnja, čak i kao što radite danas. Dokumentaciju treba uvijek čuvati i arhivirati, pružajući vam dokaze da ćete trebati poduprijeti svoje tvrdnje o sposobnosti.

Baš je kao u srednjoj školi: radite domaću zadaću i dobivate ocjenu. Kupci su sigurni i zdravi, a vaš je šef jako zadovoljan vama. To su jednostavne navike koje treba naučiti i zadržati. Zahvalit ćete se kasnije kad napokon dođe čovjek s međuspremnikom.

4 najbolja trenda kibernetske sigurnosti na koja treba paziti 2021. i kasnije

Evo kibernetičkih napada na koje trebate pripaziti 2021. godine i kako možete izbjeći da postanu njihove žrtve.

Pročitajte Dalje

O autoru