az információbiztonsági megsértésekkel most az új normális, a biztonsági csapatok kénytelenek külön intézkedéseket tenni a káros megsértés kockázatának csökkentése érdekében. Az ISO 27001 hatékony módja az ilyen kockázatok csökkentésének.
ebben a blogban elmagyarázzuk, hogyan szerezheti be az ISO 27001 tanúsítványt, és megnézzük a tanúsítási folyamatot.
Prepare
Ismerje meg az ISO 27001-et
a szabvány olvasása kiváló hátteret nyújt az ISO 27001-hez és annak követelményeihez. Számos módja van annak, hogy fejlessze magát az ISO 27001-ről:
- olvassa el az ingyenes fehér könyvet a szabványról
- olvassa el az informatikai irányítás ingyenes információit az ISO 27001-ről és a kezdésről
- vásárolja meg a szabvány másolatát (ez nem szabadon elérhető)
- érdemes részt venni egy bevezető online ISO 27001 alapítványi tanfolyamon
nevezzen ki egy ISO 27001 bajnokot
az ISO 27001-be való betekintés hasznos módja annak, hogy megismerkedjen a tanúsítási folyamattal, de valódi szakértőre van szüksége a folyamat befejezéséhez.
ez lehet valaki a szervezeten belül, vagy egy harmadik fél, aki kezeli a folyamatot. Akárhogy is, tapasztalattal kell rendelkezniük az ISMS (információbiztonsági irányítási rendszer) megvalósításában, és meg kell érteniük, hogyan kell végrehajtani annak követelményeit a szervezeten belül.
ha nem rendelkezik belső szakértelemmel, érdemes beiratkoznia az ISO 27001 online vezető Implementer tanfolyamra.
biztonságos felsővezetői támogatás
egyetlen projekt sem lehet sikeres a buy-in és a szervezet vezetésének támogatása nélkül.
a gap elemzés, amely magában foglalja az összes meglévő információbiztonsági rendszer átfogó felülvizsgálatát az ISO/IEC 27001:2013 követelményeinek megfelelően, jó kiindulási pontot jelent.
az alapos hiányelemzésnek ideális esetben tartalmaznia kell az ajánlott intézkedések prioritási tervét és további útmutatást az ISMS hatóköréhez.
a hiányelemzés eredményei az ISO 27001 megvalósításának erős üzleti esetének kidolgozásához nyújthatók.
a kontextus, a hatókör és a célkitűzések meghatározása
alapvető fontosságú a projekt és az ISMS célkitűzéseinek meghatározása a kezdetektől fogva, beleértve a projekt költségeit és időkeretét. Meg kell fontolnia, hogy külső támogatást fog-e igénybe venni egy tanácsadótól, vagy rendelkezik-e a szükséges házon belüli szakértelemmel.
érdemes fenntartani az irányítást a teljes projekt felett, miközben a projekt kritikus szakaszaiban egy dedikált online mentor segítségére támaszkodik.
az online mentor használata segít abban, hogy a projekt a pályán maradjon, miközben megtakarítja a teljes munkaidős tanácsadók használatával járó költségeket a projekt időtartama alatt.
ki kell dolgoznia az ISMS hatókörét is, amely kiterjedhet az egész szervezetre, vagy csak egy adott osztályra vagy földrajzi helyre.
a hatókör meghatározásakor figyelembe kell venni a szervezeti környezetet, valamint az érdekelt felek (érdekeltek, alkalmazottak, kormány, szabályozók stb.).
a’Context’ olyan belső és külső tényezőket vesz figyelembe, amelyek befolyásolhatják a szervezet információbiztonságát. Olyan szempontokat tartalmaz, mint a szervezeti kultúra, a kockázatelfogadási kritériumok, a meglévő rendszerek, folyamatok stb.
(tekintsünk egy all-inclusive Do It Yourself csomagot, amely öt napos strukturált tanácsadást tartalmaz az eszközök, a képzés és a szoftverek mellett).
irányítási keret létrehozása
az irányítási keretrendszer leírja azokat a folyamatokat, amelyeket a szervezetnek követnie kell az ISO27001 végrehajtási céljainak eléréséhez.
ezek a folyamatok magukban foglalják az ISMS elszámoltathatóságának érvényesítését, a tevékenységek ütemezését és a rendszeres auditálást a folyamatos fejlesztés ciklusának támogatása érdekében.
kockázatértékelés elvégzése
míg az ISO 27001 nem ír elő egyedi kockázatértékelési módszertant, megköveteli, hogy a kockázatértékelés formális folyamat legyen.
ez azt jelenti, hogy a folyamatot meg kell tervezni, és az adatokat, elemzéseket és eredményeket rögzíteni kell.
a kockázatértékelés elvégzése előtt meg kell határoznia az alapszintű biztonsági kritériumokat. Ez a szervezet üzleti, jogi és szabályozási követelményeire, valamint az információbiztonsággal kapcsolatos szerződéses kötelezettségeire vonatkozik.
a vsrisk Cloud, a legegyszerűbb és leghatékonyabb kockázatértékelési szoftver biztosítja az ISO 27001-nek megfelelő kockázatértékelés elvégzéséhez szükséges keretet és erőforrásokat.
ellenőrzések végrehajtása a kockázatok csökkentése érdekében
a vonatkozó kockázatok azonosítása után a szervezetnek el kell döntenie, hogy kezeli, tolerálja, megszünteti vagy átadja-e a kockázatokat.
alapvető fontosságú a kockázati válaszokkal kapcsolatos döntések dokumentálása, mivel a könyvvizsgáló a regisztrációs (tanúsítási) audit során felül kívánja vizsgálni azokat.
a SoA (alkalmazhatósági nyilatkozat) és az RTP (kockázatkezelési terv) két kötelező jelentés, amelyeket a kockázatértékelés bizonyítékaként kell benyújtani.
magatartási képzés
a szabvány előírja, hogy a személyzet tudatossági programjait kezdeményezni kell az információbiztonsággal kapcsolatos tudatosság növelése érdekében az egész szervezetben.
Önnek olyan politikákat kell végrehajtania, amelyek a munkavállalókat a jó szokások felé irányítják. Ez magában foglalhatja a tiszta asztali házirendet és a számítógépek zárolásának követelményét, amikor elhagyják a munkaállomásokat.
a vállalati szintű személyzet tudatosság e-learning tanfolyam a legegyszerűbb módja annak, hogy az egész filozófia mögött a szabvány, és mit kell tennie, hogy az alkalmazottak a megfelelés biztosítása érdekében.
tekintse át és frissítse a szükséges dokumentációt
dokumentáció szükséges a szükséges ISMS folyamatok, irányelvek és eljárások támogatásához.
a szabályzatok és eljárások összeállítása azonban gyakran meglehetősen fárasztó és kihívást jelentő feladat. Szerencsére az ISO 27001 szakértői által kifejlesztett dokumentációs sablonok állnak rendelkezésre a munka nagy részének elvégzéséhez.
a formázott és teljesen testreszabható sablonok szakértői útmutatásokat tartalmaznak, amelyek segítenek bármely szervezetnek megfelelni az ISO 27001 dokumentációs követelményeinek.
a szabvány legalább a következő dokumentációt igényli:
- az ISMS hatálya
- információbiztonsági politika
- információbiztonsági kockázatértékelési folyamat
- információbiztonsági kockázatkezelési folyamat
- az alkalmazhatósági nyilatkozat
- információbiztonsági célok
- a kompetencia bizonyítéka
- a szervezet által az ISMS hatékonyságához szükségesnek ítélt dokumentált információk
- operatív tervezés és ellenőrzés
- az információbiztonsági kockázatértékelés eredményei
- az információbiztonsági kockázat értékelésének eredményei
- az eredmények nyomon követésének és mérésének bizonyítéka
- dokumentált belső ellenőrzési folyamat
- az ellenőrzési programok és az ellenőrzési eredmények bizonyítéka
- a vezetői felülvizsgálatok eredményeinek bizonyítéka
- a meg nem felelések és az azt követő intézkedések jellegének bizonyítéka
- a korrekciós intézkedések eredményeinek bizonyítéka taken
mérés, monitorozás és felülvizsgálat
az ISO 27001 támogatja a folyamatos fejlesztés folyamatát. Ez megköveteli, hogy az ISMS teljesítményét folyamatosan elemezzék és felülvizsgálják a hatékonyság és a megfelelés érdekében, a meglévő folyamatok és ellenőrzések fejlesztéseinek azonosítása mellett.
belső ellenőrzés lefolytatása
az ISO/IEC 27001:2013 előírja az ISMS belső ellenőrzését tervezett időközönként. A lead audit folyamat gyakorlati ismerete szintén elengedhetetlen az ISO 27001 megfelelőség bevezetéséért és fenntartásáért felelős vezető számára.
az Online Certified ISO 27001 Lead Auditor tanfolyam megtanítja, hogyan kell megtervezni és végrehajtani egy hatékony információbiztonsági auditot az ISO 27001:2013 szerint.
azt is megtanítja, hogy vezessen egy auditorcsoportot és végezzen külső auditokat. Ha még nem választott regisztrátort, előfordulhat, hogy erre a célra megfelelő szervezetet kell választania.
regisztrációs auditokat (Akkreditált, globálisan elismert regisztráció elérése érdekében) csak az Ön országának megfelelő akkreditációs hatósága által akkreditált független regisztrátor végezhet.
regisztrációs/tanúsítási auditok
az audit első szakaszában a könyvvizsgáló megvizsgálja, hogy az Ön dokumentációja megfelel-e az ISO 27001 követelményeinek. Rámutatnak továbbá a nem megfelelőség bármely területére és az irányítási rendszer lehetséges javítására.
miután elvégezte a szükséges változtatásokat, szervezete készen áll a 2.szakasz regisztrációs auditjára.
hitelesítési audit
a második fázisú audit során a könyvvizsgáló alapos értékelést végez annak megállapítására, hogy Ön megfelel-e az ISO 27001 szabványnak.
mennyi ideig tart a tanúsítás?
az ISO 27001 bevezetési folyamata az irányítási rendszer méretétől és összetettségétől függ, de a legtöbb esetben a kis-és közepes méretű szervezetek 6-12 hónapon belül befejezhetik a folyamatot.
tanúsítási támogatás IT-irányítással USA
készen áll az ISO 27001 projekt megkezdésére? Ha igen, a megvalósítási csomagok választéka tökéletes kiindulópont.
eszközök, szoftverek, útmutatók és képesítés-alapú képzés kombinációjával, akár 40 órányi online tanácsadással, megkapja a szakértői útmutatást, amelyre szüksége van a szervezet követelményeinek teljesítéséhez.
segítenek csökkenteni az ISMS megvalósításához szükséges időt és erőfeszítést, valamint kiküszöbölik a tanácsadói munka, az utazás és a hagyományos tanácsadással kapcsolatos egyéb költségeket.
a blog egy változata eredetileg 13.március 2019-én jelent meg.