Co je shoda s normou ISO 27001? Základní tipy a postřehy

Mezinárodní organizace pro normalizaci (ISO) je globální orgán, který shromažďuje a spravuje různé standardy pro různé obory. V dnešním světě, kdy je tolik průmyslových odvětví závislých na internetu a digitálních sítích, je stále větší důraz kladen na technologické části norem ISO.

Zejména norma ISO 27001 je navržena tak, aby fungovala jako rámec pro systém řízení bezpečnosti informací organizace (ISMS). To zahrnuje všechny zásady a procesy související s tím, jak jsou data kontrolována a používána. ISO 27001 nepožaduje konkrétní nástroje, řešení nebo metody, ale místo toho funguje jako kontrolní seznam dodržování předpisů. V tomto článku se budeme zabývat tím, jak certifikace ISO 27001 funguje a proč by to přineslo hodnotu vaší organizaci.

Získejte základní verzi zdarma Průvodce dodržováním předpisů a předpisů o ochraně osobních údajů v USA

  • Jak se stát certifikovaným ISO 27001
  • Standardy souladu s normou ISO 27001
  • Kontroly auditu souladu s normou ISO 27001
  • Jak udržovat soulad s normou ISO 27001
  • Časté dotazy o shodě s normou ISO 27001 + Zdroje

Úvod do ISO 27001

ISO poprvé vydalo svoji rodinu standardů v roce 2005 a od té doby pravidelně aktualizoval různé zásady. Pro ISO 27001 byly poslední hlavní změny zavedeny v roce 2013. Vlastnictví ISO 27001 je ve skutečnosti sdíleno mezi ISO a Mezinárodní elektrotechnickou komisí (IEC), což je švýcarský organizační orgán, který se zaměřuje především na elektronické systémy.

ílem ISO 27001 je poskytnout rámec standardů pro to, jak by moderní organizace měla spravovat své informace a data. Řízení rizik je klíčovou součástí ISO 27001 a zajišťuje, aby společnost nebo nezisková organizace pochopila, kde jsou jejich silné a slabé stránky. Zralost ISO je známkou bezpečné a spolehlivé organizace, které lze důvěřovat s daty.

Společnosti všech velikostí si musí uvědomit důležitost kybernetické bezpečnosti, ale jednoduché vytvoření skupiny zabezpečení IT v organizaci není dost na zajištění integrity dat. ISMS je kritickým nástrojem, zejména pro skupiny, které jsou rozloženy na více místech nebo v různých zemích, protože pokrývá všechny end-to-end procesy související s bezpečností.

ISMS (systém pro správu zabezpečení informací) by měl existovat jako živý soubor dokumentace v organizaci za účelem řízení rizik. Před desítkami let společnosti skutečně tiskly ISMS a distribuovaly je zaměstnancům pro jejich povědomí. Dnes by měl být ISMS uložen online na bezpečném místě, obvykle v systému pro správu znalostí. Zaměstnanci musí mít možnost kdykoli se obrátit na ISMS a být upozorněni, když bude provedena změna. Při získávání certifikace ISO 27001 je ISMS hlavním referenčním materiálem používaným ke stanovení úrovně shody vaší organizace.

ISO 27001 může sloužit jako vodítko pro každou skupinu nebo entitu, která se snaží zlepšit svou informační bezpečnost metody nebo zásady. Pro ty organizace, které chtějí být v této oblasti nejlepší ve své třídě, je konečným cílem certifikace ISO 27001. Plná shoda znamená, že váš ISMS byl považován za dodržování všech osvědčených postupů v oblasti kybernetické bezpečnosti za účelem ochrany vaší organizace před hrozbami, jako je ransomware.

V určitých průmyslových odvětvích, která zpracovávají velmi citlivou klasifikaci dat, včetně lékařských a finanční pole, certifikace ISO 27001 je požadavkem na dodavatele a další třetí strany. Nástroje jako Varonis Data Classification Engine mohou pomoci tyto kritické datové sady identifikovat. Bez ohledu na to, v jakém odvětví se vaše firma zabývá, může být shoda s normou ISO 27001 obrovskou výhrou. Certifikace konkrétně prokáže zákazníkům, vládám a regulačním orgánům, že vaše organizace je zabezpečená a důvěryhodná. To posílí vaši reputaci na trhu a pomůže vám vyhnout se finančním škodám nebo pokutám za narušení dat nebo bezpečnostní incidenty.

Co se stane, pokud nebudete dodržovat normu ISO 27001? Pokud vaše organizace již dříve obdržela certifikaci, můžete být vystaveni riziku neúspěchu v budoucím auditu a ztrátě označení souladu. Může vám také bránit v podnikání v určitých zeměpisných oblastech.

Jak se stát certifikovaným ISO 27001

Získání certifikace ISO 27001 je obvykle víceletý proces, který vyžaduje významné zapojení interních i externích zúčastněných stran. Není to tak jednoduché jako vyplnit kontrolní seznam a odeslat jej ke schválení. Než začnete uvažovat o žádosti o certifikaci, musíte se ujistit, že váš ISMS je plně vyspělý a pokrývá všechny potenciální oblasti technologického rizika.

Proces certifikace ISO 27001 je obvykle rozdělen do tří fází:

  1. Organizace najme certifikační orgán, který poté provede základní kontrolu ISMS a hledá hlavní formy dokumentace.
  2. Certifikační orgán provádí podrobnější audit, kde jsou jednotlivé komponenty ISO 27001 kontrolovány podle ISMS organizace. Je třeba prokázat, že zásady a postupy jsou náležitě dodržovány. Hlavní auditor je odpovědný za určení, zda je certifikace získávána či nikoli.
  3. Následné audity jsou naplánovány mezi certifikačním orgánem a organizací, aby bylo zajištěno, že bude dodržována kontrola.

Co jsou normy ISO 27001?

Před zahájením pokusu o certifikaci ISO 27001 by se všechny klíčové zúčastněné strany v organizaci měly velmi dobře seznámit s tím, jak je standard uspořádán a používán. ISO 27001 je rozdělena do 12 samostatných částí:

  1. Úvod – popisuje, co je bezpečnost informací a proč by organizace měla řídit rizika.
  2. Rozsah – pokrývá požadavky na vysoké úrovni pro ISMS platí pro všechny typy nebo organizace.
  3. Normativní odkazy – vysvětluje vztah mezi normami ISO 27000 a 27001.
  4. Termíny a definice – zahrnuje komplexní terminologii používanou v rámci normy .
  5. Kontext organizace – vysvětluje, jaké zúčastněné strany by se měly podílet na vytváření a údržbě ISMS.
  6. Vedení – popisuje, jak by se vedoucí v organizaci měli zavázat k zásadám a postupům ISMS. .
  7. Plánování – zahrnuje nástin toho, jak by mělo být plánování rizik plánováno v celé organizaci.
  8. Podpora – popisuje, jak zvýšit povědomí o bezpečnosti informací a rozdělit odpovědnosti.
  9. Provoz – popisuje způsob řízení rizik a dokumentaci sh lze provádět za účelem splnění auditorských standardů.
  10. Hodnocení výkonu – poskytuje pokyny, jak sledovat a měřit výkon ISMS.
  11. Vylepšení – vysvětluje, jak by měl být ISMS neustále aktualizován a vylepšeno, zejména po auditech.
  12. Referenční kontrolní cíle a kontroly – poskytuje přílohu s podrobnostmi o jednotlivých prvcích auditu.

Co jsou auditní kontroly podle ISO 27001?

Dokumentace k ISO 27001 rozděluje osvědčené postupy na 14 samostatných ovládacích prvků. Certifikační audity se budou vztahovat na kontroly každého z nich při kontrolách souladu. Zde je stručné shrnutí každé části standardu a toho, jak se promítne do auditu v reálném životě:

  1. Zásady zabezpečení informací – zahrnuje způsob, jakým by měly být zásady psány v ISMS a kontrolovány z hlediska souladu . Auditoři budou zkoumat, jak jsou vaše postupy pravidelně dokumentovány a kontrolovány.
  2. Organizace informační bezpečnosti – popisuje, které části organizace by měly být odpovědné za jaké úkoly a akce. Auditoři očekávají, že uvidí jasný organizační diagram s odpovědností na vysoké úrovni podle rolí.
  3. Zabezpečení lidských zdrojů – zahrnuje, jak by měli být zaměstnanci informováni o kybernetické bezpečnosti při nástupu, odchodu nebo změně pozice. Auditoři budou chtít vidět jasně definované postupy pro připojení a odpojení, pokud jde o bezpečnost informací.
  4. Správa aktiv – popisuje procesy spojené se správou datových aktiv a způsob, jakým by měly být chráněny a zabezpečeny. Auditoři zkontrolují, jak vaše organizace sleduje hardware, software a databáze. Důkazy by měly zahrnovat všechny běžné nástroje nebo metody, které používáte k zajištění integrity dat.
  5. Řízení přístupu – poskytuje návod, jak by měl být přístup zaměstnanců omezen na různé typy dat. Auditorům bude třeba podrobně vysvětlit, jak jsou nastavena přístupová oprávnění a kdo je odpovědný za jejich správu.
  6. Kryptografie – zahrnuje osvědčené postupy šifrování. Auditoři vyhledají části vašeho systému, které zpracovávají citlivá data a typ použitého šifrování, například DES, RSA nebo AES.
  7. Fyzické a environmentální zabezpečení – popisuje procesy pro zabezpečení budov a vnitřního vybavení. Auditoři zkontrolují všechny chyby zabezpečení na fyzickém webu, včetně toho, jak je povolen přístup do kanceláří a datových center.
  8. Operations Security – poskytuje pokyny, jak bezpečně shromažďovat a ukládat data, což je proces, který převzal nové naléhavost díky přijetí obecného nařízení o ochraně údajů (GDPR) v roce 2018. Auditoři požádají, aby viděli důkazy o tokech dat a vysvětlení, kde jsou informace uloženy.
  9. Zabezpečení komunikace – zahrnuje zabezpečení všech přenosů v rámci síť organizace. Auditoři očekávají, že uvidí přehled o tom, jaké komunikační systémy se používají, například e-mail nebo videokonference, a jak jsou jejich data zabezpečena.
  10. Akvizice, vývoj a údržba systému – podrobně popisuje procesy pro správu systémů v zabezpečeném prostředí. Auditoři budou potřebovat důkazy o tom, že všechny nové systémy zavedené do organizace jsou udržovány na vysokých standardech zabezpečení.
  11. Dodavatelské vztahy – popisuje, jak by měla organizace interagovat s třetími stranami a zároveň zajistit bezpečnost. Auditoři zkontrolují veškeré smlouvy s externími subjekty, které mohou mít přístup k citlivým údajům.
  12. Správa bezpečnostních incidentů – popisuje nejlepší postupy, jak reagovat na bezpečnostní problémy. Auditoři mohou požádat o provedení protipožárního cvičení, aby zjistili, jak je v organizaci zacházeno se správou incidentů. To je místo, kde se hodí software jako SIEM pro detekci a kategorizaci abnormálního chování systému.
  13. Aspekty informační bezpečnosti řízení kontinuity podnikání – pokrývá, jak by se mělo řešit narušení podnikání a zásadní změny. Auditoři mohou představovat řadu teoretických narušení a budou očekávat, že ISMS pokryje kroky nezbytné k jejich zotavení.
  14. Shoda – určuje, jaké vládní nebo průmyslové předpisy jsou pro organizaci relevantní, například ITAR. Auditoři budou chtít vidět důkazy o úplném souladu s předpisy v jakékoli oblasti, kde podniká.

Jednou chybou, kterou mnoho organizací dělá, je umístění všech odpovědností za certifikaci ISO na místní IT tým. Ačkoli je informační technologie jádrem ISO 27001, procesy a postupy musí být sdíleny všemi částmi organizace. Tento koncept je jádrem myšlenky přechodu devops na devsecops.

Při přípravě na certifikační audit ISO 27001 se doporučuje vyhledat pomoc od externí skupiny se zkušenostmi s dodržováním předpisů. Například skupina Varonis získala úplnou certifikaci ISO 27001 a může kandidátům pomoci připravit požadované důkazy, které budou použity při auditech. Varonis také nabízí softwarová řešení, jako je Datalert, která pomáhá zavést ISMS organizace do praxe.

Tipy k udržení souladu s normou ISO 27001

Získání počáteční certifikace ISO 27001 je pouze prvním krokem k plné kompatibilitě. Udržování vysokých standardů a osvědčených postupů je pro organizace často výzvou, protože zaměstnanci mají po dokončení auditu tendenci ztrácet pečlivost. Je odpovědností vedení zajistit, aby se tak nestalo.

Vzhledem k tomu, jak často se do společnosti připojují noví zaměstnanci, by organizace měla pořádat čtvrtletní školení, aby všichni členové rozuměli ISMS a jak je používán. Stávající zaměstnanci by měli být povinni absolvovat roční test, který posiluje základní cíle normy ISO 27001.

Aby zůstali v souladu, musí organizace provádět vlastní interní audity ISO 27001 jednou za tři roky. Odborníci na kybernetickou bezpečnost to doporučují provádět každoročně, aby se posílily postupy řízení rizik a hledaly mezery nebo nedostatky. Produkty jako Dat Výhodou od společnosti Varonis mohou pomoci zefektivnit proces auditu z hlediska dat.

Pracovní skupina ISO 27001 by měla být vytvořena se zúčastněnými stranami z celé organizace. Tato skupina by se měla scházet jednou za měsíc, aby zkontrolovala jakékoli otevřené problémy a zvážila aktualizace dokumentace ISMS. Jedním z výsledků této pracovní skupiny by měl být kontrolní seznam dodržování předpisů, který je uveden zde:

  1. Získejte podporu řízení pro všechny činnosti podle ISO 27001.
  2. Soulad s normou ISO 27001 považujte za průběžný projektu.
  3. Definujte rozsah toho, jak bude ISO 27001 platit pro různé části vaší organizace.
  4. Napište a aktualizujte zásady ISMS, které na vysoké úrovni popisují vaši strategii kybernetické bezpečnosti.
  5. Definujte metodiku posuzování rizik, abyste zachytili, jak budou problémy identifikovány a řešeny.
  6. Po odhalení problémů pravidelně provádějte hodnocení a léčbu rizik.
  7. Napište prohlášení o použitelnosti a určete, které ovládací prvky ISO 27001 jsou použitelné.
  8. Vypracujte plán léčby rizik, aby všechny zúčastněné strany věděly, jak jsou hrozby zmírňovány. K dosažení tohoto úkolu může pomoci použití modelování hrozeb.
  9. Definujte měření kontrol, abyste pochopili, jak fungují osvědčené postupy ISO 27001.
  10. Implementujte všechny kontroly a povinné postupy, jak je uvedeno v ISO Standard 27001.
  11. Implementujte vzdělávací a osvětové programy pro všechny jednotlivce ve vaší organizaci, kteří mají přístup k fyzickým nebo digitálním aktivům.
  12. Provozujte ISMS jako součást každodenního života vaší organizace.
  13. Monitorujte ISMS, abyste zjistili, zda je využíván efektivně.
  14. Provádějte interní audity, abyste mohli posoudit svoji trvalou shodu.
  15. Zkontrolujte výsledky auditu s vedením.
  16. V případě potřeby proveďte nápravná nebo preventivní opatření.

Rychlý průvodce ISO 27001: Časté dotazy

Proces a rozsah certifikace ISO 27001 může být docela skličující, pojďme se proto věnovat některým běžně kladeným otázkám.

Otázka: Jaké jsou požadavky normy ISO 27001?

Odpověď: Aby organizace získala certifikaci ISO 27001, musí udržovat ISMS, který pokrývá všechny aspekty normy. Poté mohou požadovat úplný audit od certifikačního orgánu.

Otázka: Co to znamená být certifikován podle ISO 27001?

Odpověď: Chcete-li být certifikován podle ISO 27001, znamená to, že organizace úspěšně prošla externím auditem a splnila všechna kritéria souladu. To znamená, že nyní můžete inzerovat svou shodu s cílem posílit svou reputaci v oblasti kybernetické bezpečnosti.

Otázka: Jaký je nejnovější standard ISO 27001?

Odpověď: Nejnovější standard je oficiálně známý jako ISO / IEC 27001: 2013. Byla vydána v roce 2013 jako druhé oficiální vydání ISO 27001. Standard byl naposledy zkontrolován a potvrzen v roce 2019, což znamená, že nejsou vyžadovány žádné změny.

Otázka: Je ISO 27001 GDPR kompatibilní?

Odpověď: Protože ISO 27001 je hlavně rámcem pro vývoj ISMS, nebude pokrývat všechna konkrétní pravidla obecného nařízení o ochraně osobních údajů (GDPR) zavedeného Evropskou unií. Ve spojení s ISO 27701, která pokrývá vytvoření systému ochrany osobních údajů, však organizace budou schopny plně splnit požadavky stanovené v GDPR.

Otázka: Jaké jsou hlavní podobnosti nebo rozdíly mezi SOX a ISO 27001?

Odpověď: Zatímco ISO 27001 zahrnuje obecnou správu informací a dat, Sarbanes-Oxley Act (SOX) je specifický pro způsob zveřejňování finančních informací ve Spojených státech. Naštěstí pro společnosti, které mají široký rozsah správy dat, pomůže osvědčení ISO 27001 také prokázat shodu se standardy SOX.

Otázka: Jaký je účel jiných ISO?

Odpověď: ISO udržuje úplnou sadu standardů, které jsou pod ISO 27001. Tyto všechny přebírají koncepty z rámce a ponoří se do konkrétnějších pokynů, jak zavést osvědčené postupy v organizaci.

Zdroje

  • Zelená kniha o tom, jak může ISO 27001 snížit kybernetické riziko
  • Webinář o tom, jak zajistit úspěšný audit ISO 27001
  • Případové studie o shodě s ISO 27001

Bez ohledu na velikost vaší společnosti nebo odvětví, ve kterém pracujete, může být získání certifikace ISO 27001 obrovskou výhrou. Je to však náročný úkol, takže je důležité během projektu dodržování předpisů využít další zúčastněné strany a zdroje. S nástroji, jako je Varonis Edge, můžete zastavit kybernetické útoky, než se dostanou do vaší sítě, a zároveň ukázat důkazy o shodě s normou ISO 27001.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *