ISO 27001 spus de compania care o deține

Ce este mai exact sistemul certificat de securitate a informațiilor ISO 27001 și ce standarde trebuie îndeplinite pentru a-l obține? Aduce într-adevăr valoare reală pieței informației și de ce acordă atât de multă importanță instituțiilor financiare cele mai mari, precum băncile?

(Date transparente) (6 noiembrie 2020)

Sistemul de management al securității informațiilor ISO 27001 standard

Bucură-te de Datele transparente al patrulea audit succesiv ISO 27001, dezvăluim câteva secrete majore și minore ale acestui standard internațional:

  • Ce este ISO / IEC 27001 și cine a stabilit-o
  • De ce se spune că aduce valoare pe piața informațiilor
  • De ce merită verificat indiferent dacă compania care ne furnizează date sau procesează datele noastre le are
  • TOP ISO 27001 Q & A pentru com panici care se întreabă dacă să-l obțină (printre altele, care este cea mai dificilă parte a întregului proces de certificare)
  • 4 pași cheie ai întregului proces de solicitare a unui ISO 27001 certificat .

Ce este mai exact sistemul de management al securității informațiilor certificate ISO / IEC 27001?

În general, Sistemul de management al securității informațiilor (ISMS) conform standardului internațional ISO / IEC 27001 este un set de reguli care definesc introducerea și îmbunătățirea unui sistem de identificare a riscului evaluat independent și a unui sistem de securitate precis într-o companie în toate domeniile de activitate .

Acest certificat internațional, respectat la nivel global și cerințele pentru obținerea acestuia au fost stabilite de Organizația Internațională de Standardizare (ISO), care este în prezent cea mai mare organizație neguvernamentală din lume care stabilește standarde de afaceri și Comisia Electrotehnică Internațională (IEC), care este cea mai cunoscută organizație globală de dezvoltare a standardelor tehnologice. Standardele pregătite de aceste organisme constituie baza standardelor naționale și referința pentru contractele și ofertele internaționale.

Respectarea standardului ISO / IEC 27001 se dovedește a fi cea mai înaltă protecția tuturor datelor comerciale și confidențiale, reducând astfel riscul accesului neautorizat la acestea.

Obținerea acestui certificat se situează pe lângă cele mai mari companii din lume piaţă. Aceasta este o distincție specială, deoarece există încă puține companii care se ocupă cu furnizarea de informații economice și de afaceri sau cu implementarea instrumentelor care sprijină analiza informațiilor pentru întreprinderi care se pot lăuda cu îndeplinirea acestui standard.

Ce valoare are ISO 27001 aduce pe piața informațiilor?

Când ne gândim să ne susținem propria afacere cu informații de afaceri externe, ceea ce luăm în considerare în primul rând este actualitatea și credibilitatea acesteia. Nimeni nu are nevoie de informații învechite, deoarece există o versiune mai nouă, modificată. Presupuneri, opinii, date nesigure nu sunt ceva pe care dorim să ne bazăm deciziile.

Dacă luăm în considerare cu atenție procedura de achiziționare a informațiilor despre companie, vom ajunge rapid la o altă concluzie – nu este important doar ceea ce cumpărăm, ci și de la cine. Cum sunt stocate informațiile, cine are acces la acestea și cum sunt protejate împotriva acestora scurgerile nedorite sunt la fel de importante. Să ne amintim, de exemplu, încălcarea datelor cu caracter personal din acest an a datelor personale ale clienților Zoom.

Să spunem din nou:

cine cumpărăm informații din chestiuni.

Acesta este unul dintre motivele pentru care cele mai puternice instituții, precum băncile, decid să coopereze numai cu întreprinderi certificate de standardul ISO / IEC 27001.

ISO 27001 din perspectiva companiei care o are: TOP Q & A

Ce înseamnă în practică obținerea certificării ISO / IEC 27001? Cum afectează operațiunile comerciale?

Însuși procesul de obținere a conformității cu standardul aduce o valoare considerabilă proceselor interne ale companiei, misiunii și obiectivelor sale – permite organizarea practicilor aplicate și susține dezvoltarea a bunelor obiceiuri de a avea grijă de securitatea informațiilor de către angajații companiei la toate nivelurile.

Fiind singurul astfel de standard, permite, de asemenea, să verifice dacă soluțiile adoptate de companie se află într-adevăr la cel mai înalt nivel sau dacă sistemul de securitate ar trebui îmbunătățit. Astfel de cunoștințe sunt întotdeauna valoroase pentru o companie orientată spre dezvoltare.

Pe plan extern, totuși, obținerea ISO 27001 deschide ușa cooperării cu cei mai exigenți clienți, cum ar fi băncile sau corporațiile globale. Cu alte cuvinte, influențează pozitiv creșterea încrederii clienților și a credibilității companiei pe piață.

Dacă valoarea standardului ISO 27001 contribuie la creșterea încrederii clienților și a credibilității companiei, de ce atât de puține companii care furnizează informații nu solicită acest certificat?

Procedura pentru obținerea ISO / IEC 27001 este lungă, complicată și necesită companiei să îndeplinească cerințe foarte precise în ceea ce privește sistemul de identificare a riscurilor și securitatea economică, informații comerciale și confidențiale. Un sistem certificat de management al securității informațiilor este asociat în mod obișnuit cu multe luni de pregătire și instruire, motiv pentru care majoritatea companiilor cred că este disponibil doar pentru cei mai mari jucători cu capital substanțial și sute de angajați.

Fie că este mic și companiile mijlocii pot obține și certificarea ISO 27001?

Da și o știm din propria noastră experiență. În Transparent Data nu avem sute de angajați și totuși am reușit să rupem stereotipul că dimensiunea contează. Suntem o casă de software de date relativ mică, dar în schimb suntem foarte agili și rapidi, prin urmare, în ciuda numărului crescut de obligații care ne-au revenit împreună cu pregătirea auditului de certificare, am parcurs întreaga procedură fără probleme.

Cât timp este validă certificarea ISO 27001?

Standardul de 3 ani, dar cel puțin o dată pe an organismul de certificare vine la companie pentru a verifica din nou atât conformitatea cu standardele ISO 27001, cât și dacă compania se străduiește cu adevărat să îmbunătățească sistemele. Spre deosebire de majoritatea celorlalte standarde, acesta este, prin urmare, unic. Lucrarea nu se termină cu obținerea ei. Trebuie să fii pregătit să-l păstrezi.

Este dificil să îndeplinești standardele internaționale de securitate pentru gestionarea informațiilor? ISO 27001 are legătură cu implementarea unor proceduri complicate?

Dacă sunteți o companie care funcționează pe piață de mulți ani și are clienți mari și pretențioși în portofoliul său, atunci majoritatea procedurilor de securitate sunt deja în practică, iar dacă nu, implementarea lor nu vă va cauza mari probleme. Cel puțin acesta a fost cazul nostru. În calitate de furnizor de date, a trebuit să ne îmbunătățim procedurile de mai multe ori sau de două ori pentru a îndeplini cerințele de securitate foarte ridicate ale instituțiilor financiare cu mult înainte de a continua cu certificarea ISO / IEC 27001. De aceea implementarea nu a fost deosebit de dificilă pentru noi.

Însă întreaga experiență s-a dovedit a fi foarte valoroasă din punctul de vedere al culturii organizaționale – am făcut deja multe lucruri înainte de ISO 27001, dar numai a le vedea scrise sub formă de cerințe ne-a făcut pe deplin conștienți de ce o facem. Ca organizație, am beneficiat cu siguranță de aceasta.

Care este cea mai dificilă parte a întregului proces de certificare ISO 27001?

Probabil că nu ar trebui să vorbim despre asta cu voce tare, dar să fim transparenți – partea cea mai dificilă este partea formală, adică o grămadă de documente care așteaptă să fie completate. Din păcate, ar trebui să rezervați câteva săptămâni pentru această activitate și să vă amintiți că fiecare schimbare în companie, chiar dacă este un fleac ca înlocuirea unui computer necesită completarea nu a unui document suplimentar, ci a unui dosar complet de documente.

Există politici specifice care definesc standardul de gestionare a securității informațiilor?

Cea mai importantă lucru care trebuie dezvoltat este Cartea sistemului de management integrat, care definește întregul domeniu al obligațiilor care trebuie îndeplinite pentru a se conforma standardului ISO. Acesta conține întreaga listă de proceduri, instrucțiuni, politici, resurse ale companiei și diagrame de responsabilitate a managementului.

În continuare avem, printre altele, Politica de securitate a informațiilor, care definește sfera responsabilităților și obligațiilor legate de prelucrare de date cu caracter personal (de exemplu, sarcinile administratorului securității informațiilor, administratorului sistemelor IT, reprezentantului managementului integrat al sistemului și altor angajați ai companiei). De asemenea, descrie ce tipuri de date gestionăm în calitate de companie, în ce sisteme sunt procesate sau ce seturi de date suntem operatorul.

Alte politici principale includ, de exemplu, politica de gestionare a continuității activității, care are ca scop garantarea stabilității muncii în domeniul prelucrării informațiilor. Acesta trebuie să includă, printre altele, scenarii de conduită în caz de atac cibernetic, defecțiuni ale sistemului, întreruperi de curent, incendii, dezastre, absența angajaților cheie sau pierderea activelor importante pentru companie.

Cum arată întregul proces de solicitare a unui certificat ISO 27001?

Întregul proces de solicitare a unui certificat ISO 27001 poate fi împărțit în 4 pași cheie:

  1. Ce trebuie să faceți la început este un studiu detaliat al cerințelor conținute în ISO 27001 și apoi analizați toate documentele pe care compania le are deja în ceea ce privește acestea. Dacă găsim deficiențe sau inconsecvențe, trebuie să ne ajustăm politicile interne la un standard internațional și să edităm sau să creăm documente noi.
  2. Următorul pas este instruirea tuturor angajaților și a întregului personal de conducere în politicile în vigoare din standardul ISO / IEC 27001. Acest lucru necesită , desigur, numirea persoanelor adecvate din companie, care vor fi responsabile pentru proiect de la A la Z.
  3. Numai atunci puteți începe implementarea sistemul de securitate necesar tulpini și trebuie să „funcționeze” în mediul natural de zi cu zi al companiei timp de cel puțin câteva luni și dacă funcționează într-adevăr ar trebui confirmat printr-un audit intern, ceea ce înseamnă că cineva din companie trebuie să fie un auditor intern certificat sau să obțină permisiunile aplicabile.
  4. Dacă am finalizat deja crearea tuturor documentelor, instruirea angajaților și, în practică, respectăm standardele indicate, abia atunci avem undă verde pentru a începe eforturile oficiale pentru a obține un certificat. Apoi, trebuie să găsim un organism de certificare a sistemelor de management extern și să fim pregătiți pentru un audit extern independent . Abia după această evaluare formală, compania primește certificatul.

Valoarea reală a ISO 27001 în afaceri (perspectiva clientului)

Pentru a explica importanța 27001 standard în domeniul datelor companiei, putem compara companiile care furnizează informații comerciale cu monete. Fiecare companie furnizează pieței informații economice, adică aur. Aceste companii mai conștiente încearcă să crească securitatea clienților lor și a propriilor lor, luând precauții speciale, cum ar fi protejarea convoiului sau încuietori de securitate suplimentare. În această comparație, ISO 27001 este o unitate specială și un lanț gros de 15 mm cu trei lacate – unul pentru combinație, celălalt pentru amprentă și al treilea pentru ceea ce tocmai ați mâncat la micul dejun.

S-ar putea să vă placă :

(

Problema sistemelor moștenite – ABC-ul datoriilor tehnologice

„Sisteme moștenite” – acest nume reflectă perfect natura lor învechită și problematică. Aceste aplicații și …

medium.com

) (

Cum să faceți față sistemelor vechi? Strategii pentru a ieși din datoria tehnologică

Construirea unui nou sistem de la zero, refactorizarea codului și rescrierea codului – acestea sunt trei strategii pentru a ieși din …

medium.com

) (

Automatizarea integrării clienților B2B cu date de reglementare

Cum se scurtează procesul de înregistrare a clienților de afaceri și accelerați integrarea? Ce câmpuri ale înregistrării …

medium.com

)