Co to jest zgodność z ISO 27001? Najważniejsze wskazówki i spostrzeżenia

Międzynarodowa Organizacja Normalizacyjna (ISO) to globalna organizacja, która gromadzi i zarządza różnymi normami dla różnych dyscyplin. W dzisiejszym świecie, w którym tak wiele branż jest obecnie uzależnionych od Internetu i sieci cyfrowych, coraz większy nacisk kładzie się na części technologiczne norm ISO.

W szczególności norma ISO 27001 została zaprojektowana tak, aby funkcjonować jako ramy dla systemu zarządzania bezpieczeństwem informacji (SZBI) organizacji. Obejmuje to wszystkie zasady i procesy związane ze sposobem kontrolowania i wykorzystywania danych. ISO 27001 nie narzuca określonych narzędzi, rozwiązań ani metod, ale funkcjonuje jako lista kontrolna zgodności. W tym artykule omówimy, jak działa certyfikacja ISO 27001 i dlaczego może przynieść wartość Twojej organizacji.

Uzyskaj bezpłatny Essential Przewodnik po zgodności z przepisami i przepisami dotyczącymi ochrony danych w USA

  • Jak uzyskać certyfikat ISO 27001
  • Zgodność ze standardami ISO 27001
  • Kontrola zgodności z ISO 27001
  • Jak zachować zgodność z ISO 27001
  • Zgodność z ISO 27001 – często zadawane pytania + zasoby

Wprowadzenie do ISO 27001

ISO po raz pierwszy wydało swoją rodzinę standardów w 2005 roku i od tego czasu dokonywał okresowych aktualizacji różnych zasad. W przypadku ISO 27001 ostatnie główne zmiany zostały wprowadzone w 2013 r. Prawo własności ISO 27001 jest w rzeczywistości dzielone między ISO i Międzynarodową Komisję Elektrotechniczną (IEC), która jest szwajcarską organizacją skupiającą się głównie na systemach elektronicznych.

Celem ISO 27001 jest zapewnienie ram norm dotyczących tego, jak nowoczesna organizacja powinna zarządzać swoimi informacjami i danymi. Zarządzanie ryzykiem jest kluczową częścią ISO 27001, zapewniając, że firma lub organizacja non-profit rozumie, jakie są ich mocne i słabe strony. Dojrzałość ISO jest oznaką bezpiecznej, niezawodnej organizacji, której można zaufać w kwestii danych.

Firmy każdej wielkości muszą zdawać sobie sprawę z wagi cyberbezpieczeństwa, ale samo utworzenie grupy bezpieczeństwa IT w organizacji nie jest wystarczy, aby zapewnić integralność danych. SZBI jest narzędziem krytycznym, zwłaszcza dla grup rozproszonych w wielu lokalizacjach lub krajach, ponieważ obejmuje wszystkie kompleksowe procesy związane z bezpieczeństwem.

Powinien istnieć ISMS (system zarządzania bezpieczeństwem informacji) jako żywy zbiór dokumentacji w organizacji do celów zarządzania ryzykiem. Dziesiątki lat temu firmy faktycznie drukowały ISMS i rozpowszechniały go wśród pracowników dla ich świadomości. Obecnie ISMS powinien być przechowywany online w bezpiecznym miejscu, zwykle w systemie zarządzania wiedzą. Pracownicy muszą mieć możliwość odniesienia się do SZBI w dowolnym momencie i być powiadamiani o wprowadzeniu zmiany. W przypadku ubiegania się o certyfikat ISO 27001, SZBI jest głównym materiałem odniesienia używanym do określenia poziomu zgodności w organizacji.

ISO 27001 może służyć jako wskazówka dla każdej grupy lub podmiotu, który chce poprawić bezpieczeństwo informacji metody lub zasady. Dla organizacji, które chcą być najlepsze w swojej klasie w tej dziedzinie, ostatecznym celem jest certyfikacja ISO 27001. Pełna zgodność oznacza, że Twój system ISMS został uznany za zgodny ze wszystkimi najlepszymi praktykami w dziedzinie cyberbezpieczeństwa w celu ochrony Twojej organizacji przed zagrożeniami, takimi jak oprogramowanie ransomware.

W niektórych branżach, które obsługują bardzo wrażliwe klasyfikacje danych, w tym medyczne i w dziedzinie finansów, dostawcy i inne strony trzecie muszą posiadać certyfikat ISO 27001. Narzędzia takie jak Varonis Data Classification Engine mogą pomóc w identyfikacji tych krytycznych zestawów danych. Ale niezależnie od branży, w której działa Twoja firma, wykazanie zgodności z normą ISO 27001 może być ogromną wygraną. W szczególności certyfikacja udowodni klientom, rządom i organom regulacyjnym, że Twoja organizacja jest bezpieczna i godna zaufania. Poprawi to Twoją reputację na rynku i pomoże Ci uniknąć szkód finansowych lub kar wynikających z naruszenia bezpieczeństwa danych lub incydentów związanych z bezpieczeństwem.

Co się stanie, jeśli nie będziesz przestrzegać normy ISO 27001? Jeśli Twoja organizacja otrzymała wcześniej certyfikat, możesz być narażony na niepowodzenie w przyszłym audycie i utratę statusu zgodności. Może to również uniemożliwić prowadzenie działalności w określonych obszarach geograficznych.

Jak uzyskać certyfikat ISO 27001

Uzyskanie certyfikatu ISO 27001 to zazwyczaj wieloletni proces, który wymaga znacznego zaangażowania zarówno wewnętrznych, jak i zewnętrznych interesariuszy. Nie jest to tak proste, jak wypełnienie listy kontrolnej i przesłanie jej do zatwierdzenia. Przed nawet rozważeniem ubiegania się o certyfikację, musisz upewnić się, że Twój ISMS jest w pełni dojrzały i obejmuje wszystkie potencjalne obszary ryzyka technologicznego.

Proces certyfikacji ISO 27001 jest zazwyczaj podzielony na trzy etapy:

  1. Organizacja zatrudnia jednostkę certyfikującą, która następnie przeprowadza podstawowy przegląd SZBI w celu wyszukania głównych formularze dokumentacji.
  2. Jednostka certyfikująca przeprowadza bardziej dogłębny audyt, w ramach którego poszczególne elementy ISO 27001 są sprawdzane pod kątem zgodności z SZBI organizacji. Należy wykazać dowody, że zasady i procedury są odpowiednio przestrzegane. Audytor wiodący jest odpowiedzialny za określenie, czy uzyskano certyfikat, czy nie.
  3. Audyty uzupełniające są planowane między jednostką certyfikującą a organizacją w celu zapewnienia kontroli zgodności.

Jakie są normy ISO 27001?

Przed przystąpieniem do próby certyfikacji ISO 27001 wszyscy kluczowi interesariusze w organizacji powinni dokładnie zapoznać się ze sposobem organizacji i stosowania normy. ISO 27001 jest podzielone na 12 oddzielnych sekcji:

  1. Wprowadzenie – opisuje, czym jest bezpieczeństwo informacji i dlaczego organizacja powinna zarządzać ryzykiem.
  2. Zakres – obejmuje wysokie wymagania dotyczące SZBI do stosowania we wszystkich typach lub organizacjach.
  3. Odniesienia do norm – wyjaśnia związek między normami ISO 27000 i 27001.
  4. Terminy i definicje – obejmuje złożoną terminologię używaną w normie .
  5. Kontekst organizacji – wyjaśnia, jacy interesariusze powinni być zaangażowani w tworzenie i utrzymywanie SZBI.
  6. Przywództwo – opisuje, w jaki sposób liderzy w organizacji powinni stosować zasady i procedury SZBI .
  7. Planowanie – obejmuje zarys planowania zarządzania ryzykiem w całej organizacji.
  8. Wsparcie – opisuje, jak zwiększyć świadomość na temat bezpieczeństwa informacji i przypisać obowiązki.
  9. Operation – opisuje, jak należy zarządzać ryzykiem i jak dokumentować sh powinna być przeprowadzona w celu spełnienia standardów audytu.
  10. Ocena wydajności – zawiera wytyczne dotyczące monitorowania i mierzenia wydajności SZBI.
  11. Doskonalenie – wyjaśnia, w jaki sposób SZBI powinien być stale aktualizowany i ulepszone, szczególnie po audytach.
  12. Cele i kontrole referencyjne – zawiera załącznik wyszczególniający poszczególne elementy audytu.

Co to są kontrole audytu ISO 27001?

Dokumentacja ISO 27001 dzieli najlepsze praktyki na 14 oddzielnych kontroli. Audyty certyfikacyjne będą obejmowały kontrole każdego z nich podczas kontroli zgodności. Oto krótkie podsumowanie każdej części standardu i tego, jak przełoży się to na audyt w prawdziwym życiu:

  1. Polityki bezpieczeństwa informacji – obejmuje sposób, w jaki zasady powinny być zapisywane w SZBI i sprawdzane pod kątem zgodności . Audytorzy będą chcieli zobaczyć, w jaki sposób Twoje procedury są regularnie dokumentowane i przeglądane.
  2. Organizacja bezpieczeństwa informacji – opisuje, które części organizacji powinny być odpowiedzialne za jakie zadania i działania. Audytorzy będą oczekiwać przejrzystego schematu organizacyjnego z obowiązkami wysokiego szczebla opartymi na roli.
  3. Bezpieczeństwo zasobów ludzkich – obejmuje, w jaki sposób pracownicy powinni być informowani o cyberbezpieczeństwie podczas rozpoczynania, odchodzenia lub zmiany stanowiska. Audytorzy będą chcieli zobaczyć jasno zdefiniowane procedury wdrażania i rezygnacji, jeśli chodzi o bezpieczeństwo informacji.
  4. Zarządzanie zasobami – opisuje procesy związane z zarządzaniem zasobami danych oraz sposób ich ochrony i zabezpieczenia. Audytorzy sprawdzą, jak organizacja śledzi sprzęt, oprogramowanie i bazy danych. Dowody powinny obejmować wszelkie popularne narzędzia lub metody, których używasz w celu zapewnienia integralności danych.
  5. Kontrola dostępu – zawiera wskazówki dotyczące ograniczania dostępu pracowników do różnych typów danych. Audytorzy będą musieli szczegółowo wyjaśnić, w jaki sposób ustawiane są uprawnienia dostępu i kto jest odpowiedzialny za ich utrzymanie.
  6. Kryptografia – obejmuje najlepsze praktyki w zakresie szyfrowania. Audytorzy będą szukać części Twojego systemu, które obsługują wrażliwe dane i rodzaj stosowanego szyfrowania, na przykład DES, RSA lub AES.
  7. Bezpieczeństwo fizyczne i środowiskowe – opisuje procesy zabezpieczania budynków i wyposażenia wewnętrznego. Audytorzy sprawdzą wszelkie luki w fizycznej lokalizacji, w tym sposób, w jaki zezwala się na dostęp do biur i centrów danych.
  8. Bezpieczeństwo operacji – zawiera wskazówki dotyczące bezpiecznego gromadzenia i przechowywania danych, procesu, który przyjął nowy pilność dzięki przyjęciu ogólnego rozporządzenia o ochronie danych (RODO) w 2018 r. Audytorzy będą prosić o przedstawienie dowodów przepływu danych i wyjaśnień, gdzie informacje są przechowywane.
  9. Bezpieczeństwo komunikacji – obejmuje bezpieczeństwo wszystkich transmisji w sieć organizacji. Audytorzy oczekują przeglądu używanych systemów komunikacyjnych, takich jak poczta e-mail lub wideokonferencje, oraz sposobu, w jaki ich dane są zabezpieczone.
  10. Zakup, rozwój i utrzymanie systemu – zawiera szczegółowe informacje o procesach zarządzania systemami w bezpiecznym środowisku. Audytorzy będą chcieli dowodów na to, że wszelkie nowe systemy wprowadzone do organizacji są utrzymywane zgodnie z wysokimi standardami bezpieczeństwa.
  11. Relacje z dostawcami – obejmuje sposób, w jaki organizacja powinna współdziałać ze stronami trzecimi, zapewniając jednocześnie bezpieczeństwo. Audytorzy sprawdzą wszelkie umowy z podmiotami zewnętrznymi, które mogą mieć dostęp do wrażliwych danych.
  12. Zarządzanie incydentami związanymi z bezpieczeństwem informacji – opisuje najlepsze praktyki dotyczące reagowania na problemy związane z bezpieczeństwem. Audytorzy mogą poprosić o przeprowadzenie ćwiczeń przeciwpożarowych, aby zobaczyć, jak zarządza się incydentami w organizacji. W tym miejscu przydaje się oprogramowanie takie jak SIEM do wykrywania i kategoryzowania nieprawidłowego zachowania systemu.
  13. Bezpieczeństwo informacji Aspekty zarządzania ciągłością biznesową – obejmuje sposób radzenia sobie z przerwami w działalności i poważnymi zmianami. Audytorzy mogą stwarzać szereg teoretycznych zakłóceń i będą oczekiwać, że SZBI podejmie niezbędne kroki w celu ich naprawienia.
  14. Zgodność – określa, które regulacje rządowe lub branżowe są istotne dla organizacji, takie jak ITAR. Audytorzy będą chcieli zobaczyć dowody pełnej zgodności w każdym obszarze, w którym działa firma.

Jednym z błędów popełnionych przez wiele organizacji jest powierzenie wszystkim odpowiedzialnym za certyfikację ISO lokalnemu zespołowi IT. Chociaż technologia informacyjna jest rdzeniem ISO 27001, procesy i procedury muszą być wspólne dla wszystkich części organizacji. Ta koncepcja leży u podstaw idei przejścia z DevOps do Devsecops.

Przygotowując się do audytu certyfikacyjnego ISO 27001, zaleca się zwrócenie się o pomoc do zewnętrznej grupy z doświadczeniem w zakresie zgodności. Na przykład grupa Varonis uzyskała pełny certyfikat ISO 27001 i może pomóc kandydatom w przygotowaniu wymaganych dowodów do wykorzystania podczas audytów. Varonis oferuje również rozwiązania programowe, takie jak Datalert, które pomagają wdrażać ISMS organizacji w praktyce.

Wskazówki dotyczące utrzymania zgodności z ISO 27001

Uzyskanie pierwszego certyfikatu ISO 27001 to tylko pierwszy krok do uzyskania pełnej zgodności. Utrzymanie wysokich standardów i najlepszych praktyk jest często wyzwaniem dla organizacji, ponieważ po zakończeniu audytu pracownicy tracą staranność. Obowiązkiem kierownictwa jest upewnienie się, że tak się nie stanie.

Biorąc pod uwagę, jak często nowi pracownicy dołączają do firmy, organizacja powinna organizować kwartalne sesje szkoleniowe, aby wszyscy członkowie rozumieli SZBI i sposób, w jaki jest używany. Istniejący pracownicy powinni również być zobowiązani do przechodzenia corocznego testu, który wzmacnia podstawowe cele ISO 27001.

Aby zachować zgodność, organizacje muszą przeprowadzać własne audyty wewnętrzne ISO 27001 raz na trzy lata. Eksperci ds. Cyberbezpieczeństwa zalecają robienie tego co roku, aby wzmocnić praktyki zarządzania ryzykiem i szukać wszelkich luk lub niedociągnięć. Produkty takie jak Datadvantage firmy Varonis mogą pomóc usprawnić proces audytu z perspektywy danych.

Należy utworzyć grupę zadaniową ISO 27001 z interesariuszami z całej organizacji. Grupa ta powinna spotykać się co miesiąc w celu przeglądu wszelkich otwartych kwestii i rozważenia aktualizacji dokumentacji ISMS. Jednym z rezultatów tej grupy zadaniowej powinna być lista kontrolna zgodności, taka jak przedstawiona tutaj:

  1. Uzyskać wsparcie kierownictwa dla wszystkich działań ISO 27001.
  2. Traktuj zgodność z ISO 27001 jako stałą projekt.
  3. Zdefiniuj zakres zastosowania ISO 27001 w różnych częściach Twojej organizacji.
  4. Napisz i zaktualizuj politykę ISMS, która nakreśla strategię cyberbezpieczeństwa na wysokim poziomie.
  5. Zdefiniuj metodologię oceny ryzyka, aby uchwycić, w jaki sposób problemy będą identyfikowane i rozwiązywane.
  6. Regularnie przeprowadzaj ocenę ryzyka i leczenie po wykryciu problemów.
  7. Napisz Oświadczenie o zastosowaniu, aby określić, które kontrole ISO 27001 mają zastosowanie.
  8. Napisz plan postępowania z ryzykiem, aby wszyscy interesariusze wiedzieli, w jaki sposób zagrożenia są ograniczane. Korzystanie z modelowania zagrożeń może pomóc w realizacji tego zadania.
  9. Zdefiniuj pomiar środków kontroli, aby zrozumieć, jak działają najlepsze praktyki ISO 27001.
  10. Wdrażaj wszystkie kontrole i obowiązkowe procedury opisane w ISO 27001.
  11. Wdrażaj programy szkoleniowe i uświadamiające dla wszystkich osób w Twojej organizacji, które mają dostęp do zasobów fizycznych lub cyfrowych.
  12. Obsługuj SZBI jako część codziennej rutyny Twojej organizacji.
  13. Monitoruj SZBI, aby zrozumieć, czy jest używany efektywnie.
  14. Przeprowadzaj audyty wewnętrzne, aby ocenić swoją bieżącą zgodność.
  15. Przejrzyj wyniki audytu z kierownictwem.
  16. Ustaw działania korygujące lub zapobiegawcze w razie potrzeby.

Krótki przewodnik po ISO 27001: często zadawane pytania

Proces i zakres certyfikacji ISO 27001 może być dość zniechęcający, więc omówmy kilka często zadawanych pytań.

P: Jakie są wymagania ISO 27001?

O: Aby uzyskać certyfikat ISO 27001, organizacja musi utrzymywać SZBI, który obejmuje wszystkie aspekty normy. Następnie mogą zażądać pełnego audytu od jednostki certyfikującej.

P: Co to znaczy mieć certyfikat ISO 27001?

O: Posiadanie certyfikatu ISO 27001 oznacza, że organizacja pomyślnie przeszła audyt zewnętrzny i spełniła wszystkie kryteria zgodności. Oznacza to, że możesz teraz reklamować swoją zgodność, aby poprawić swoją reputację w zakresie cyberbezpieczeństwa.

P: Jaki jest najnowszy standard ISO 27001?

O: Najnowsza norma jest oficjalnie znana jako ISO / IEC 27001: 2013. Został opublikowany w 2013 r. Jako drugie oficjalne wydanie normy ISO 27001. Ostatnio standard został sprawdzony i potwierdzony w 2019 r., Co oznacza, że nie były wymagane żadne zmiany.

P: Czy jest zgodny z RODO ISO 27001?

O: Ponieważ ISO 27001 to głównie ramy dla rozwoju SZBI, nie obejmie wszystkich szczegółowych zasad Ogólnego rozporządzenia o ochronie danych (RODO) ustanowionego przez Unię Europejską. Jednak w połączeniu z normą ISO 27701, która obejmuje ustanowienie systemu ochrony danych, organizacje będą w stanie w pełni spełnić wymagania określone w RODO.

P: Jakie są główne podobieństwa lub różnice między SOX a ISO 27001?

O: Chociaż ISO 27001 obejmuje ogólne zarządzanie informacjami i danymi, ustawa Sarbanes – Oxley (SOX) określa sposób ujawniania informacji finansowych w Stanach Zjednoczonych. Na szczęście dla firm, które mają szeroki zakres zarządzania danymi, uzyskanie certyfikatu ISO 27001 pomoże również w udowodnieniu zgodności ze standardami SOX.

P: Jaki jest cel innych ISO?

Odp .: ISO utrzymuje pełny zestaw norm, które znajdują się pod ISO 27001. Wszystkie te koncepcje czerpią koncepcje z ram i zagłębiają się w bardziej szczegółowe wytyczne dotyczące wdrażania najlepszych praktyk w organizacji.

Zasoby

  • Zielona księga o tym, jak ISO 27001 może zmniejszyć ryzyko cybernetyczne
  • Seminarium internetowe o tym, jak zapewnić pomyślny audyt ISO 27001
  • Studia przypadków dotyczące zgodności z ISO 27001

Bez względu na wielkość firmy i branżę, w której pracujesz, uzyskanie certyfikatu ISO 27001 może być ogromną wygraną. Jest to jednak trudne zadanie, dlatego ważne jest, aby podczas realizacji projektu zgodności wykorzystać innych interesariuszy i zasoby. Dzięki narzędziom takim jak Varonis Edge możesz powstrzymać cyberataki, zanim dotrą one do Twojej sieci, jednocześnie przedstawiając dowody zgodności z normą ISO 27001.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *