ISO 27001 fortalt af det firma, der ejer det

Hvad er ISO 27001 Certified Information Security Management System præcist, og hvilke standarder skal overholdes for at opnå det? Bringer det virkelig reel værdi til informationsmarkedet, og hvorfor lægger de største finansielle institutioner, såsom banker, så meget vægt på det?

(Transparent Data) (6. nov. 2020)

ISO 27001 Information Security Management System standard

Nyder Transparent Data s fjerde successive ISO 27001-revision afslører vi nogle store og mindre hemmeligheder i denne internationale standard:

  • Hvad ISO / IEC 27001 er og hvem etablerede det
  • Hvorfor siges det at bringe værdi til informationsmarkedet
  • Hvorfor er det værd at tjekke om det firma, der giver os data eller behandler vores data, har det
  • TOP ISO 27001 Q & A til com virksomheder, der spekulerer på, om de skal få det (blandt andet hvad er den sværeste del af hele certificeringsprocessen)
  • 4 nøgletrin i hele processen med at ansøge om et ISO 27001 certifikat .

Hvad er ISO / IEC 27001-certificeret informationssikkerhedsstyringssystem præcist?

Generelt set Information Security Management System (ISMS), der er i overensstemmelse med den internationale ISO / IEC 27001-standard, er et sæt regler, der definerer introduktion og forbedring af et uafhængigt vurderet risikoidentifikationssystem og et præcist sikkerhedssystem i en virksomhed inden for alle aktivitetsområder .

Dette internationale, globalt respekterede certifikat og kravene til at opnå det er oprettet af International Organization for Standardization (ISO), som er i øjeblikket verdens største ikke-statslige organisation, der etablerer forretningsstandarder, og Den Internationale Elektrotekniske Kommission (IEC), som er den mest kendte globale organisation for udvikling af teknologistandarder. Standarderne udarbejdet af disse organer danner grundlaget for nationale standarder og referencen for internationale kontrakter og udbud.

At opfylde ISO / IEC 27001-standarden viser sig at være den højeste beskyttelse af alle forretnings- og fortrolige data og dermed minimerer risikoen for uautoriseret adgang til dem.

At opnå dette certifikat rangerer ud for de største virksomheder på verdensplan marked. Dette er en særlig skelnen, fordi der stadig er få virksomheder, der beskæftiger sig med levering af økonomisk og forretningsinformation eller implementering af værktøjer, der understøtter analysen af ​​information til virksomheder, kan prale af at opfylde denne standard.

Hvilken værdi betyder ISO 27001 bringe til informationsmarkedet?

Når vi tænker på at støtte vores egen forretning med ekstern virksomhedsinformation, er det først og fremmest, at vi tager højde for dens aktualitet og troværdighed. Ingen har brug for forældede oplysninger, da der findes en nyere, ændret version af den. Gætninger, meninger, upålidelige data er ikke noget, vi vil basere vores beslutninger på.

Hvis vi nøje overvejer proceduren for køb af virksomhedsoplysninger, vil vi kom hurtigt til endnu en konklusion – det er ikke kun vigtigt, hvad vi køber, men også fra hvem. Hvordan oplysninger gemmes, hvem der har adgang til dem, og hvordan de beskyttes mod uønsket lækage er lige så vigtig. Lad os f.eks. Huske dette års høje profilbrud på personoplysninger om Zooms kunder.

Lad os sige det igen:

hvem vi køber information fra sager.

Dette er en af ​​grundene til, at de mest magtfulde institutioner, såsom banker, beslutter kun at samarbejde med virksomheder, der er certificeret efter ISO / IEC 27001-standarden.

ISO 27001 fra perspektivet for det firma, der har det: TOP Q & A

Hvad betyder opnåelse af ISO / IEC 27001-certificering i praksis? Hvordan påvirker det forretningsdrift?

Selve processen med at opnå overholdelse af standarden bringer betydelig værdi til virksomhedens interne processer, dets mission og mål – det giver mulighed for at organisere den anvendte praksis og understøtter udviklingen af gode vaner med at tage sig af informationssikkerhed af virksomhedens medarbejdere på alle niveauer.

Som den eneste sådan standard tillader det også at kontrollere, om de løsninger, der er vedtaget af virksomheden, virkelig ligger på højeste niveau, eller om sikkerhedssystemet skal forbedres. Sådan viden er altid værdifuld for en udviklingsorienteret virksomhed.

Eksternt opnår dog opnåelse af ISO 27001 døren til samarbejde med de mest krævende kunder, såsom banker eller globale virksomheder. Med andre ord påvirker det positivt væksten i kundernes tillid og virksomhedens troværdighed på markedet.

Hvis værdien af ​​ISO 27001-standarden bidrager til stigningen i kundernes tillid og virksomhedens troværdighed, hvorfor gør det så små virksomheder, der leverer information, ikke ansøger om dette certifikat?

Proceduren for at opnå ISO / IEC 27001 er lang, kompliceret og kræver, at virksomheden opfylder meget nøjagtige krav til risikoidentifikationssystemet og den økonomiske sikkerhed, forretnings- og fortrolige oplysninger. Et certificeret informationssikkerhedsstyringssystem er ofte forbundet med mange måneders forberedelse og uddannelse, hvorfor de fleste virksomheder mener, at det kun er tilgængeligt for de største aktører med betydelig kapital og hundredvis af ansatte.

Uanset om det er lille og mellemstore virksomheder kan også opnå ISO 27001-certificering?

Ja, og vi kender det ud fra vores egen erfaring. I gennemsigtige data har vi ikke hundreder af medarbejdere, og det lykkedes os stadig at bryde den stereotype, som størrelsen betyder noget. Vi er et relativt lille datasoftwarehus, men til gengæld er vi meget smidige og hurtige, på trods af det øgede antal forpligtelser, der påhørte os sammen med forberedelsen til certificeringsrevisionen, gik vi igennem hele proceduren problemfrit.

Hvor længe er ISO 27001-certificering gyldig?

Standard 3 år, men mindst en gang årligt kommer certificeringsorganet til virksomheden for at kontrollere både overholdelse af ISO 27001-standarder og om virksomheden virkelig stræber efter at forbedre systemerne. I modsætning til de fleste andre standarder er denne derfor unik. Arbejdet slutter ikke med at få det. Du skal stadig være parat til at beholde det.

Er det vanskeligt at opfylde internationale sikkerhedsstandarder for informationsstyring? Er ISO 27001 relateret til implementeringen af ​​komplicerede procedurer?

Hvis du er en virksomhed, der har fungeret på markedet i mange år og har store, krævende kunder i sin portefølje, er de fleste af sikkerhedsprocedurerne allerede i praksis, og hvis ikke, vil deres implementering ikke give dig meget besvær. I det mindste var det vores sag. Som dataudbyder måtte vi forbedre vores procedurer mere end en eller to gange for at imødekomme de meget høje sikkerhedskrav hos finansielle institutioner længe før vi fortsatte med ISO / IEC 27001-certificering. Derfor var implementering ikke særlig vanskelig for os.

Hele oplevelsen viste sig imidlertid at være meget værdifuld set ud fra organisatorisk kultur – vi har allerede gjort mange ting før ISO 27001, men kun at se dem være skrevet i form af krav fik os fuldt ud opmærksom på, hvorfor vi gør det. Som organisation har vi bestemt draget fordel af det.

Hvad er den sværeste del af hele ISO 27001-certificeringsprocessen?

Vi bør sandsynligvis ikke tale om det højt, men lad os være gennemsigtige – den sværeste del er den formelle del, dvs. bunker af dokumenter, der venter på at blive udfyldt. Desværre skal du reservere et par uger til denne aktivitet og huske, at hver ændring i virksomheden, selvom det er en bagatel som udskiftning af en computer kræver ikke udfyldning af et ekstra dokument, men en fuld mappe med dokumenter.

Er der nogen specifikke politikker, der definerer standarden for styring af informationssikkerhed?

Det vigtigste ting der skal udvikles er Integrated Management System Book, der definerer hele omfanget af forpligtelser, der skal overholdes for at overholde ISO-standarden. Den indeholder hele listen over procedurer, instruktioner, politikker, virksomhedsressourcer og diagrammer over ledelsesansvar.

Dernæst har vi blandt andet Informationssikkerhedspolitikken, der definerer omfanget af ansvar og forpligtelser i forbindelse med behandlingen af personlige data (f.eks. pligter fra informationssikkerhedsadministratoren, it-systemadministratoren, integreret systemadministrationsrepræsentant og andre medarbejdere i virksomheden). Den beskriver også, hvilke typer data vi administrerer som en virksomhed, i hvilke systemer de behandles, eller hvilke datasæt vi er controller for.

Andre hovedpolitikker inkluderer f.eks. Business Continuity Management Policy, som har til formål at garantere stabiliteten i arbejdet inden for informationsbehandling. Det skal bl.a. omfatte scenarier for adfærd i tilfælde af cyberangreb, systemfejl, strømsvigt, brande, katastrofer, fravær af nøglemedarbejdere eller tab af aktiver, der er vigtige for virksomheden.

Hvordan ser hele processen med at ansøge om et ISO 27001-certifikat ud?

Hele processen med at ansøge om et ISO 27001-certifikat kan opdeles i 4 nøgletrin:

  1. Hvad du skal gøre i starten er en grundig undersøgelse af kravene i ISO 27001 og derefter analysere alle dokumenter, som virksomheden allerede har med hensyn til dem. Hvis vi finder mangler eller uoverensstemmelser, er vi nødt til at tilpasse vores interne politikker til en international standard og redigere eller oprette nye dokumenter.
  2. Det næste trin er at uddanne alle medarbejdere og hele ledelsen i de politikker, der gælder i ISO / IEC 27001-standarden. Dette kræver selvfølgelig udnævnelse af passende personer i virksomheden, der vil være ansvarlige for projektet fra A til Å.
  3. Kun så kan du begynde at implementere det nødvendige sikkerhedssystem stængler, og de skal “arbejde” i virksomhedens naturlige hverdagsliv i mindst flere måneder , og om de virkelig fungerer, skal bekræftes af en intern revision, hvilket betyder at nogen i virksomheden skal være en intern autoriseret revisor eller opnå gældende tilladelser.
  4. Hvis vi allerede har afsluttet oprettelsen af ​​al dokumentation, medarbejderuddannelse og i praksis overholder vi faktisk de angivne standarder, først da har vi grønt lys til at starte officielle bestræbelser på at opnå et certifikat. Vi er derefter nødt til at finde et eksternt styringssystemcertificeringsorgan og være klar til en uafhængig ekstern revision . Det er først efter denne formelle vurdering, at virksomheden modtager certifikatet.

Den reelle værdi af ISO 27001 i erhvervslivet (klientperspektiv)

At forklare vigtigheden af 27001 standard inden for virksomhedsdata, kan vi sammenligne virksomheder, der leverer forretningsinformation til mynter. Hver virksomhed forsyner markedet med økonomisk information, dvs. guld. Disse mere bevidste virksomheder forsøger at øge sikkerheden for deres kunder og deres egne ved at tage særlige forholdsregler, såsom at beskytte konvojen eller yderligere sikkerhedslåse. ISO 27001 i denne sammenligning er en speciel enhed og en 15 mm tyk kæde med tre hængelåse – en til kombinationen, den anden til fingeraftryk og den tredje til hvad du lige spiste til morgenmad.

:

(

Problemet med ældre systemer – ABC af teknologisk gæld

Ældre systemer – dette navn afspejler perfekt både deres forældede og problematiske karakter. Disse applikationer og…

medium.com

) (

Hvordan håndteres ældre systemer? Strategier for at komme ud af teknologisk gæld

Opbygning af et nyt system fra bunden, kodeomdannelse og omskrivning af kode – dette er tre strategier til at komme ud af…

medium.com

) (

Automatisering af B2B-kundes onboarding med reguleringsdata

Sådan forkorter du forretningskundens registreringsproces og fremskynde ombordstigning? Hvilke felter i registreringen…

medium.com

)