Az ISO 27001, amelyet a tulajdonosa cég mondott el

Mi is pontosan az ISO 27001 tanúsított információbiztonsági irányítási rendszer, és milyen szabványoknak kell megfelelni annak megszerzéséhez? Tényleg valós értéket hoz az információs piacon, és miért tulajdonítanak ekkora jelentőséget a legnagyobb pénzügyi intézmények, például a bankok?

(Átlátszó adatok) (2020. november 6.)

ISO 27001 információbiztonsági irányítási rendszer szabvány

A Átlátszó adatok negyedik egymást követő ISO 27001-es auditja során felfedjük ennek a nemzetközi szabványnak néhány kisebb-nagyobb titkát:

  • Mi az ISO / IEC 27001 és ki hozta létre
  • Miért állítólag értéket visz az információs piacra
  • Miért érdemes ellenőrizni a van-e az a cég, amely adatokat szolgáltat nekünk, vagy feldolgozza-e adatainkat
  • TOP ISO 27001 Q & A for com cégek, amelyek azon gondolkodnak, hogy megkapják-e (többek között mi a legnehezebb része a teljes tanúsítási folyamatnak)
  • Az ISO 27001 tanúsítvány .

Mi is pontosan az ISO / IEC 27001 tanúsított információbiztonsági kezelő rendszer?

Általánosságban elmondható, hogy Az információbiztonsági irányítási rendszer (ISMS), amely megfelel a nemzetközi ISO / IEC 27001 szabványnak, olyan szabálykészlet, amely meghatározza egy függetlenül értékelt kockázat-azonosító rendszer és egy pontos biztonsági rendszer bevezetését és fejlesztését a vállalatban a tevékenység minden területén .

Ezt a nemzetközi, világszerte elismert tanúsítványt és annak megszerzésére vonatkozó követelményeket a Nemzetközi Szabványügyi Szervezet (ISO) állapította meg, amely jelenleg a világ legnagyobb üzleti normákat meghatározó nem kormányzati szervezete, és a Nemzetközi Elektrotechnikai Bizottság (IEC), amely a legismertebb globális technológiai szabványok fejlesztő szervezet. Az e testületek által készített szabványok képezik a nemzeti szabványok alapját, valamint a nemzetközi szerződések és ajánlatok referenciáját.

Az ISO / IEC 27001 szabvány betartása bizonyítja a legmagasabb szintet minden üzleti és bizalmas adat védelme, és ezáltal minimalizálja az azokhoz való illetéktelen hozzáférés kockázatát.

A tanúsítvány megszerzése a világ legnagyobb vállalatai közé tartozik. piac. Ez külön megkülönböztetés, mert még mindig kevés olyan vállalat foglalkozik gazdasági és üzleti információk szolgáltatásával vagy az üzleti célú információk elemzését támogató eszközök bevezetésével, amelyek megfelelnek ennek a szabványnak.

Milyen értéket képvisel Az ISO 27001 az információs piacra?

Ha arra gondolunk, hogy saját üzleti tevékenységünket külső üzleti információkkal támogassuk, akkor elsősorban annak időszerűségét és hitelességét vesszük figyelembe. Senkinek nincs szüksége elavult információkra, mivel van egy újabb, megváltozott verziója. A találgatások, vélemények, megbízhatatlan adatok nem azok, amelyekre alapozni akarjuk a döntéseinket.

Ha alaposan átgondoljuk a vállalati információk vásárlásának eljárását, akkor gyorsan még egy következtetésre juthat – nemcsak az a fontos, hogy mit vásárolunk, hanem az is, hogy kitől. Hogyan tárolják az információkat, ki fér hozzá, és hogyan védett azok ellen a nem kívánt szivárgás ugyanolyan fontos. Emlékezzünk például a Zoom ügyfeleinek az idei személyes adatok megsértésére.

Mondjuk még egyszer:

kitől vásárolunk információkat.

Ez az egyik oka annak, hogy a legerősebb intézmények, például a bankok úgy döntenek, hogy csak az ISO / IEC 27001 szabvány szerint tanúsított vállalkozásokkal működnek együtt.

ISO 27001 from annak a vállalatnak a perspektívája, amely rendelkezik vele: TOP Q & A

Mit jelent az ISO / IEC 27001 tanúsítás megszerzése a gyakorlatban? Hogyan befolyásolja az üzleti tevékenységet?

A szabványnak való megfelelés megszerzésének folyamata önmagában is jelentős értéket képvisel a vállalat belső folyamataiban, küldetésében és céljaiban – lehetővé teszi az alkalmazott gyakorlatok megszervezését és támogatja a fejlesztést a vállalat minden szintjén alkalmazott információbiztonsággal kapcsolatos jó szokások.

Ez az egyetlen ilyen szabvány lehetővé teszi annak ellenőrzését is, hogy a vállalat által alkalmazott megoldások valóban a legmagasabb szinten állnak-e, vagy fejleszteni kell a biztonsági rendszert. Az ilyen ismeretek mindig értékesek egy fejlesztésorientált vállalat számára.

Külsőleg azonban az ISO 27001 megszerzése megnyitja az ajtót a legigényesebb ügyfelekkel, például bankokkal vagy globális vállalatokkal való együttműködés előtt. Más szavakkal, pozitívan befolyásolja az ügyfelek bizalmának növekedését és a vállalat piaci hitelességét.

Ha az ISO 27001 szabvány értéke hozzájárul az ügyfelek bizalmának és a vállalat hitelességének növekedéséhez, akkor miért ilyen kevés információt szolgáltató vállalat nem pályázik erre a tanúsítványra?

Az ISO / IEC 27001 megszerzésének folyamata hosszú, bonyolult, és megköveteli a vállalattól, hogy teljesítse a kockázatazonosító rendszer és a gazdasági, üzleti és bizalmas információk. A tanúsított információbiztonsági irányítási rendszer általában sok hónapos előkészítéssel és képzéssel jár, ezért a legtöbb vállalat úgy véli, hogy csak a legnagyobb, jelentős tőkével és több száz alkalmazottal rendelkező játékosok számára érhető el.

Akár kicsi, akár több a közepes méretű vállalatok is megszerezhetik az ISO 27001 tanúsítványt?

Igen, és ezt saját tapasztalatainkból tudjuk. Az Átlátszó adatokban nincs több száz alkalmazottunk, és mégis sikerült megtörnünk a méret szempontjából fontos sztereotípiát. Viszonylag kicsi adatszoftver-ház vagyunk, de cserébe nagyon mozgékonyak és gyorsak, ezért annak ellenére, hogy a tanúsítási auditra való felkészüléssel együtt ránk esett a megnövekedett számú kötelezettség, az egész eljárást simán végigcsináltuk.

Meddig érvényes az ISO 27001 tanúsítás?

Szabványos 3 év, de évente legalább egyszer a tanúsító testület eljön a céghez, hogy ellenőrizze mind az ISO 27001 szabványoknak való megfelelést, mind azt, hogy a vállalat valóban a rendszerek fejlesztésére törekszik. A legtöbb más standardtól eltérően ez az egyedi. A munka nem ér véget a megszerzésével. Még mindig fel kell készülnie a megtartására.

Nehéz megfelelni a nemzetközi információkezelési biztonsági előírásoknak? Az ISO 27001 a bonyolult eljárások megvalósításához kapcsolódik?

Ha Ön olyan vállalat, amely évek óta működik a piacon, és portfóliójában nagy, igényes ügyfelek vannak, akkor a biztonsági eljárások többsége már a gyakorlatban, és ha nem, akkor azok végrehajtása nem okoz sok gondot. Legalábbis ez volt a mi esetünk. Adatszolgáltatóként nem egyszer vagy kétszer kellett fejlesztenünk eljárásainkat, hogy megfeleljünk a pénzügyi intézmények nagyon magas biztonsági követelményeinek, jóval azelőtt, hogy folytatnánk az ISO / IEC 27001 tanúsítást. Ezért nem volt különösebben nehéz a megvalósítás számunkra.

Az egész tapasztalat azonban nagyon értékesnek bizonyult a szervezeti kultúra szempontjából – az ISO 27001 előtt már sok mindent megtettünk, de csak követelmények formájában megírva látta őket, hogy teljesen tisztában legyünk azzal, miért tesszük. Szervezetként mindenképpen profitáltunk belőle.

Mi a legnehezebb része az egész ISO 27001 tanúsítási folyamatnak?

Valószínűleg nem kellene erről hangosan beszélnünk, de legyünk átláthatóak – a legnehezebb a formális rész, vagyis a halom dokumentum, amely a kitöltésre vár. Sajnos néhány hetet el kell foglalnia erre a tevékenységre, és ne feledje, hogy a társaság minden egyes változása, még akkor is, ha olyan apróság, mint a számítógép cseréjéhez nem egy további dokumentum, hanem egy teljes dokumentummappa kitöltése szükséges.

Vannak-e olyan speciális házirendek, amelyek meghatározzák az információbiztonság kezelésének színvonalát?

A legfontosabb fejleszteni kívánt dolog az Integrated Management System Book, amely meghatározza a teljes körű kötelezettségeket, amelyeket teljesíteni kell annak érdekében, hogy megfeleljenek az ISO szabványnak. Ez tartalmazza az eljárások, utasítások, házirendek, a vállalati erőforrások és a menedzsment felelősségi táblázatok teljes listáját.

Ezután megemlítjük többek között az Információbiztonsági politikát, amely meghatározza a feldolgozással kapcsolatos felelősségek és kötelezettségek körét. személyes adatok (pl. az információbiztonsági rendszergazda, az informatikai rendszerek rendszergazdája, az integrált rendszermenedzsment képviselője és a vállalat egyéb alkalmazottai feladatai). Azt is leírja, hogy milyen adattípusokat kezelünk vállalatként, mely rendszerekben dolgozunk fel, vagy milyen adatkészleteket kezelünk.

Egyéb fő irányelvek közé tartozik például az üzletmenet-folytonosság-menedzsment, amelynek célja a munka stabilitásának garantálása az információfeldolgozás területén. Tartalmaznia kell többek között magatartási forgatókönyveket kibertámadás, rendszerhiba, áramkimaradás, tűz, katasztrófa, kulcsfontosságú alkalmazottak hiánya vagy a vállalat számára fontos vagyon elvesztése esetén.

Hogyan néz ki az ISO 27001 tanúsítvány igénylésének teljes folyamata?

Az ISO 27001 tanúsítvány igénylésének teljes folyamata négy fő lépésre osztható:

  1. Amit a legelején meg kell tennie, alapos tanulmányt kell készítenie az ISO 27001 követelményeinek alapos elemzéséről, majd elemeznie kell a vállalat által már birtokában lévő összes dokumentumot. Ha hiányosságokat vagy következetlenségeket találunk, belső irányelveinket nemzetközi szabványhoz kell igazítanunk, és új dokumentumokat kell szerkesztenünk vagy létrehoznunk.
  2. A következő lépés az összes alkalmazott és az összes vezető személyzet képzése az ISO / IEC 27001 szabvány hatályos irányelvei szerint. Ehhez meg kell természetesen megfelelő személyek kinevezése a cégbe, akik A-tól Z-ig felelősek lesznek a projektért.
  3. Csak akkor kezdheti meg a megvalósítást a szükséges biztonsági vkit törzsek, és legalább néhány hónapig „dolgozniuk” kell a vállalat természetes mindennapi környezetében , és azt, hogy valóban működnek-e, belső ellenőrzéssel kell megerősíteni, ami azt jelenti: hogy a társaságban valakinek igazolt könyvvizsgálónak kell lennie, vagy be kell szereznie a vonatkozó engedélyeket.
  4. Ha már befejeztük az összes dokumentáció létrehozását, az alkalmazottak képzését, és a gyakorlatban valóban megfelelünk a jelzett szabványoknak, csak akkor kapunk zöld utat a tanúsítvány megszerzéséhez szükséges hivatalos erőfeszítések megkezdéséhez. Ezután meg kell találnunk egy külső irányítási rendszer tanúsító testületet, és készen kell állnunk egy független külső ellenőrzésre . Csak a hivatalos értékelés után kapja meg a vállalat a tanúsítványt.

Az ISO 27001 tényleges értéke az üzleti életben (ügyfél szempontjából)

Az igazolás fontosságának ismertetése 27001 szabvány a vállalati adatok területén, összehasonlíthatjuk az üzleti információkat nyújtó vállalatokat a pénzverdékkel. Minden vállalat gazdasági információkkal látja el a piacot, vagyis aranyat. Ezek a tudatosabb vállalatok különleges óvintézkedésekkel próbálják növelni ügyfeleik és sajátjaik biztonságát, például a kötelék védelmével vagy további biztonsági zárakkal. Az ISO 27001 ebben az összehasonlításban egy speciális egység és egy 15 mm vastag lánc, három lakattal – az egyik a kombinációhoz, a másik az ujjlenyomathoz, a harmadik pedig ahhoz, amit épp reggelire ettél.

Lehet, hogy szereted is :

(

Az örökölt rendszerek problémája – a technológiai adósság ABC

„Örökölt rendszerek” – ez a név tökéletesen tükrözi elavult és problémás jellegüket. Ezek az alkalmazások és…

medium.com

) (

Hogyan kell kezelni az örökölt rendszereket? Stratégiák a technológiai adósság megszabadulásához

Új rendszer építése a semmiből, a kódok újrafeldolgozása és a kódok átírása – ez a három stratégia a…

medium.com

kiszabadulásához (

A B2B ügyfelek automatizálásának automatizálása a szabályozási adatokkal

Az üzleti ügyfelek regisztrációjának lerövidítése és felgyorsítja a beszállást? A regisztráció mely mezői …

medium.com

)