Путь к ISO 27001 (Часть 1)
Многие организации осознали ценность получения аккредитации ISO27001. Многие дисциплины, описанные в сертификации, и методологии, которые должны быть приняты для получения этой аккредитации, помогают обеспечить безопасность компаний. В этой статье мы рассмотрим, что представляет собой эта сертификация, а в следующих статьях мы рассмотрим стратегии безопасности, которые помогут получить и поддерживать сертификацию.
Введение
ISO27001 — это стандарт безопасности, разработанный для предоставления модели создания, внедрения, эксплуатации, мониторинга и обслуживания системы управления информационной безопасностью. Он широко признан самым высоким стандартом безопасности в отрасли для проверки эффективности общего отношения организации к безопасности.
Сертификация ISO27001 направлена на облегчение проблем, с которыми сталкиваются организации в отношении ИТ-безопасности. Вот некоторые из проблем, с которыми мы сталкиваемся:
- Риск потери данных из-за ошибки или злонамеренных обстоятельств
- Соблюдение нормативных требований в отношении безопасности данных
- Достижение приемлемого базового уровня безопасности
- Защита для защиты периметра, а также внутренняя утечка
- Проверка со стороны аудиторов
- Проблемы и требования безопасности в отношении сотрудников, процессов и технологий в организации
Сертификация ISO27001 требует, чтобы организации были компетентны в четырех областях управления безопасностью, в том числе:
- Идентификация и оценка активов
- Оценка рисков и управление рисками
- Критерии приемлемости риска
- Постоянное совершенствование и поддержка программы безопасности организации
Преимущества сертификации ISO27001
- Демонстрирует компетентность в области безопасности
- Помогает соответствовать нормативным и нормативным требованиям
- Обеспечивает уверенность клиентов в управлении рисками
- Сохраняет конфиденциальную информацию в безопасности
- Обеспечивает безопасный обмен информацией
- Обеспечивает компании конкурентное преимущество
- Улучшение удержания клиентов за счет удовлетворения требованиям безопасности
- Подверженность риску снижается и контролируется
- Более низкие затраты из-за снижения риска
- Последовательность в предоставлении продуктов и услуг
- Защищает активы компании, акционеров и директоров
Процесс сертификации
Шаг 1: Планирование и инициация
Проведите исследование
Очень важно, чтобы вы ознакомились со стандартом ISO27001. Изучите, из чего состоит сертификация, процесс и узнайте о различных органах сертификации на выбор.
Ресурсы и бюджет проекта
Определите ресурсы и бюджет, необходимые для достижения цели. Было бы полезно провести первоначальный анализ для выявления любых ограничений, которые могут повлиять на требуемые ресурсы или бюджет.
Получите одобрение и поддержку руководства
Чтобы процесс работал эффективно, крайне важно, чтобы руководство полностью поддерживало решение и предлагало свою полную поддержку и одобрение. Достигая поддержки высшего руководства, это усиливает стремление компании следовать передовым методам, тем самым поощряя всех в организации работать для достижения одной цели.
Зарегистрируйтесь в выбранном вами органе по сертификации
После того, как все будут готовы и воодушевлены перспективами, можно будет сделать первые шаги к процессу сертификации. Заявка на регистрацию в выбранном органе по сертификации должна быть заполнена и возвращена в орган по сертификации для рассмотрения, который затем проинформирует организацию о своем решении, как только будет удовлетворен.
Шаг 2: Создайте проектную команду
Выберите представителя руководства ISO и создайте команду проекта
Назначьте ответственных и знающих людей для управления, представления и аудита проекта. Организуйте команду для запуска проекта под руководством руководителя группы. Выбранные лица должны иметь достаточные знания требований ISO и понимать средства контроля и этапы, необходимые для достижения аккредитации. Команда должна хорошо работать вместе для достижения одной цели.
Роль руководства
- Принимайте стратегические решения по внедрению
- Утвердить и распределить бюджет
- Обеспечение ресурсов для управления, разработки, внедрения и поддержания сертификации
- Убедитесь, что обучение доступно для персонала, и что персонал компетентен в отношении сертификационных требований.
Роль представителя
- Руководство и контроль задач, связанных с сертификацией
- Обеспечение выполнения задач
- Регулярно пересматривайте систему управления информационной безопасностью (ISMS), чтобы быть в курсе последних событий.
Роль внутреннего аудитора
- Оценка и оценка СМИБ
Шаг 3: Определите область действия Системы управления информационной безопасностью (ISMS)
Понимание бизнес-функции
Чтобы иметь возможность определить область применения СМИБ, важно, чтобы команда понимала бизнес. Важно хорошо понимать следующее:
- Что такое бизнес-функция, определяющая основные процессы, вспомогательные процессы и отношения внутри бизнеса.
- Определить бизнес-деятельность и услуги как внутренние, так и внешние
- Изучите документацию, которая уже существует в организации.
Определение области
Ваш объем зависит от требований и возможностей компании. Некоторым организациям может быть сложнее внедрить стандарт во всей организации, поэтому организации могут захотеть быть избирательными при определении области действия и, возможно, ограничить ее только определенными отделами внутри организации. Масштаб важен, поскольку он будет определять части организации, которые должны быть охвачены СМИБ. Объем должен определять местоположение, активы и технологии, которые должны быть включены.
Шаг 4: Анализ пробелов и оценка рисков безопасности
Проведите оценку рисков, чтобы определить области, в которых возможность угрозы может поставить под угрозу конфиденциальность, целостность и доступность информации. Анализ должен включать физические объекты и здания, бизнес-процессы, инфраструктуру информационных систем, ресурсы и активы, а также людей в организации. Делая это, вы можете оценить эффективность существующих средств контроля.
Оценка риска должна включать:
- идентификация активов
- идентификация угроз
- идентификация существующих средств контроля
- определение и анализ существующего уровня риска за счет использования средств безопасности и формирования отчетов
- определение приемлемого уровня риска
- определение возможных вариантов контроля для ограничения областей риска
Инвентаризация информационных активов
Убедитесь, что правильно записали все активы. Не забудьте также включить интеллектуальные и общие активы.
Шаг 5: Разработка документации СМИБ
ISO27001 требует обширной документации. Требуемая документация включает политики, стандарты и процедуры, обеспечивающие соблюдение бизнесом требований ISO27001 компетентным и достижимым образом. Документация является очень важной частью процесса сертификации ISO27001, поскольку она формирует критерии, по которым организация оценивается для соответствия стандарту ISO.
Шаги документации включают в себя:
- Обзор существующей и разработка структуры СМИБ
- разработать документацию по структуре СМИБ
- разработать политику СМИБ
- разработать руководство по СМИБ
- разработка процедур и руководств
Важно, чтобы вы написали соответствующую документацию для нужд организации и убедились, что вы применяете то, что задокументировано, на практике. В процессе сертификации документация будет проверена на соответствие стандарту ISO, после чего деятельность организации будет проверена как на соответствие стандарту ISO, так и на соответствие вашей собственной документации.
Обязательно просматривайте свою документацию на протяжении всего процесса, чтобы убедиться, что ничего не упущено.
Чтобы пройти первый этап аудита (Проверка документов) и перейти ко второму аудиту, вам необходимо правильно задокументировать следующее:
- Область применения СМИБ
- Политика и цели СМИБ
- Методология оценки рисков
- Отчет об оценке рисков
- Заявление о применимости
- План обработки рисков
- Процедуры управления документацией
- Процедуры измерения эффективности средств контроля
- Корректирующие и предупреждающие действия
- Документация по внутреннему аудиту
- Документация по рассмотрению руководством
- Элементы управления для управления записями
Требуемые записи:
- Записи, относящиеся к эффективности и производительности СМИБ
- Записи управленческих решений
- Записи о значительных инцидентах безопасности
- Записи об обучении, навыках, опыте и квалификации
- Результаты внутреннего аудита
- Результаты анализа со стороны руководства
- Результаты корректирующих действий
- Результаты профилактических мероприятий
Если это применимо к вашему предприятию, предоставьте документацию для:
- Инвентаризация активов
- Политика информационной безопасности
- Допустимое использование активов
- Роли и обязанности сотрудников
- Процедуры операции обработки информации
- Политика контроля доступа
- Журналы активности пользователей
- Список законодательных, нормативных и договорных требований
Другая документация (не обязательная), если вы реализуете эти элементы управления:
- Изменение политики управления
- Политика резервного копирования
- Политика утилизации и уничтожения
- Политика обмена информацией
- Политика паролей
- Политика «Чистый стол и чистый экран»
- Политика использования сетевых сервисов
- Политика в отношении мобильных компьютеров и удаленной работы
- Используйте собственную политику для устройств
- Процедура управления инцидентами
Вывод
Преимущества сертификации по ISO 27001 намного перевешивают то, что было упомянуто в этой статье, реальная ценность заключается в сочетании всех частей аккредитации, а также в развитии и поддержании уровня, требуемого аккредитацией. Очень многие организации стремятся получить сертификацию только потому, что им это необходимо, и в конечном итоге сертифицируют с большими затратами, но мало что делают для внутренних процессов и состояния безопасности организации. Руководство, предоставляемое аккредитацией, предназначено для улучшения и поддержания высокого уровня безопасности.