Ce este conformitatea ISO 27001? Sfaturi și informații esențiale

Organizația Internațională pentru Standardizare (ISO) este un organism global care colectează și gestionează diferite standarde pentru diferite discipline. În lumea de astăzi, cu atâtea industrii care se bazează acum pe internet și rețelele digitale, se pune tot mai mult accent pe porțiunile tehnologice ale standardelor ISO.

În special, standardul ISO 27001 este conceput pentru a funcționa ca cadru pentru sistemul de management al securității informațiilor (ISMS) al unei organizații. Aceasta include toate politicile și procesele relevante pentru modul în care datele sunt controlate și utilizate. ISO 27001 nu impune instrumente, soluții sau metode specifice, ci funcționează în schimb ca o listă de verificare a conformității. În acest articol, vom analiza modul în care funcționează certificarea ISO 27001 și de ce ar aduce valoare organizației dvs.

Obțineți esențialul gratuit Ghid de conformitate și reglementări privind protecția datelor din SUA

  • Cum să deveniți certificat ISO 27001
  • Standarde de conformitate ISO 27001
  • Controale de audit de conformitate ISO 27001
  • Cum să menținem conformitatea ISO 27001
  • Întrebări frecvente + Resurse ISO 27001 de conformitate ISO

Introducere în ISO 27001

ISO și-a lansat prima dată familia de standarde în 2005 și de atunci a a făcut periodic actualizări ale diferitelor politici. Pentru ISO 27001, cele mai recente modificări majore au fost introduse în 2013. Proprietatea ISO 27001 este de fapt împărtășită între ISO și Comisia Electrotehnică Internațională (IEC), care este un organism elvețian care se concentrează în principal pe sistemele electronice.

Scopul ISO 27001 este de a oferi un cadru de standarde pentru modul în care o organizație modernă ar trebui să își gestioneze informațiile și datele. Gestionarea riscurilor este o parte esențială a ISO 27001, asigurându-se că o companie sau organizație non-profit înțelege unde se află punctele forte și punctele lor slabe. Maturitatea ISO este un semn al unei organizații sigure și fiabile, care poate avea încredere în date.

Companiile de toate dimensiunile trebuie să recunoască importanța securității cibernetice, dar simpla înființare a unui grup de securitate IT în cadrul organizației nu este suficient pentru a asigura integritatea datelor. Un ISMS este un instrument esențial, în special pentru grupurile care sunt răspândite în mai multe locații sau țări, întrucât acoperă toate procesele end-to-end legate de securitate.

Un ISMS (sistem de management al securității informațiilor) ar trebui să existe ca un set viu de documentație în cadrul unei organizații în scopul gestionării riscurilor. Cu câteva decenii în urmă, companiile ar fi tipărit efectiv ISMS și le vor distribui angajaților pentru conștientizare. Astăzi, un ISMS ar trebui să fie stocat online într-o locație sigură, de obicei un sistem de gestionare a cunoștințelor. Angajații trebuie să poată să se refere la ISMS în orice moment și să fie avertizați atunci când este implementată o modificare. Atunci când căutați certificarea ISO 27001, ISMS este principalul material de referință utilizat pentru a determina nivelul de conformitate al organizației dvs.

ISO 27001 poate servi drept ghid pentru orice grup sau entitate care dorește să își îmbunătățească securitatea informațiilor. metode sau politici. Pentru acele organizații care doresc să fie cele mai bune din acest domeniu, certificarea ISO 27001 este obiectivul final. Conformitate completă înseamnă că ISMS-ul dvs. a fost considerat ca urmând toate cele mai bune practici în domeniul securității cibernetice pentru a vă proteja organizația de amenințări precum ransomware-ul.

În anumite industrii care gestionează clasificări foarte sensibile ale datelor, inclusiv cele medicale și domeniile financiare, certificarea ISO 27001 este o cerință pentru furnizori și alte terțe părți. Instrumente precum Varonis Data Classification Engine pot ajuta la identificarea acestor seturi de date critice. Dar, indiferent în ce industrie se află afacerea dvs., arătarea conformității ISO 27001 poate fi un câștig uriaș. Mai exact, certificarea va dovedi clienților, guvernelor și organismelor de reglementare că organizația dvs. este sigură și de încredere. Acest lucru vă va spori reputația pe piață și vă va ajuta să evitați daune financiare sau penalități cauzate de încălcarea datelor sau incidente de securitate.

Ce se întâmplă dacă nu respectați ISO 27001? Dacă organizația dvs. a primit anterior o certificare, ați putea fi expus riscului de a nu reuși un audit viitor și de a vă pierde denumirea de conformitate. De asemenea, vă poate împiedica să vă desfășurați activitatea în anumite zone geografice.

Cum să deveniți certificat ISO 27001

Primirea unei certificări ISO 27001 este de obicei un proces multianual care necesită o implicare semnificativă atât din partea părților interesate interne, cât și din cele externe. Nu este la fel de simplu ca completarea unei liste de verificare și trimiterea acesteia spre aprobare. Înainte chiar de a lua în considerare solicitarea certificării, trebuie să vă asigurați că ISMS este complet matur și acoperă toate domeniile potențiale de risc tehnologic.

Procesul de certificare ISO 27001 este de obicei împărțit în trei etape:

  1. Organizația angajează un organism de certificare care apoi efectuează o revizuire de bază a ISMS pentru a căuta principalele forme de documentare.
  2. Organismul de certificare efectuează un audit mai aprofundat în cazul în care componentele individuale ale ISO 27001 sunt verificate în raport cu ISMS-ul organizației. Trebuie arătate dovezi că politicile și procedurile sunt urmate în mod corespunzător. Auditorul principal este responsabil pentru stabilirea dacă certificatul este obținut sau nu.
  3. Auditurile de urmărire sunt programate între organismul de certificare și organizație pentru a se asigura că respectarea conformității este controlată.

Ce sunt standardele ISO 27001?

Înainte de a începe o încercare de certificare ISO 27001, toate părțile interesate cheie dintr-o organizație ar trebui să devină foarte familiarizate cu modul în care standardul este aranjat și utilizat. ISO 27001 este împărțit în 12 secțiuni separate:

  1. Introducere – descrie ce este securitatea informațiilor și de ce o organizație ar trebui să gestioneze riscurile.
  2. Domeniu de aplicare – acoperă cerințele la nivel înalt pentru o ISMS se aplică tuturor tipurilor sau organizațiilor.
  3. Referințe normative – explică relația dintre standardele ISO 27000 și 27001.
  4. Termeni și definiții – acoperă terminologia complexă care este utilizată în cadrul standardului .
  5. Contextul organizației – explică ce părți interesate ar trebui să fie implicate în crearea și întreținerea ISMS.
  6. Leadership – descrie modul în care liderii din cadrul organizației ar trebui să se angajeze în politicile și procedurile ISMS. .
  7. Planificare – acoperă o schiță a modului în care ar trebui planificată gestionarea riscurilor în întreaga organizație.
  8. Asistență – descrie modul de sensibilizare cu privire la securitatea informațiilor și atribuirea responsabilităților. li> Operațiune – acoperă modul în care ar trebui gestionate riscurile și modul în care documentația este necesară Ar trebui efectuată pentru a respecta standardele de audit.
  9. Evaluarea performanței – oferă îndrumări cu privire la modul de monitorizare și măsurare a performanței ISMS.
  10. Îmbunătățire – explică modul în care ISMS ar trebui să fie actualizat continuu și îmbunătățit, în special în urma auditurilor.
  11. Obiective și controale de control de referință – oferă o anexă care detaliază elementele individuale ale unui audit.

Ce sunt controalele de audit ISO 27001?

Documentația pentru ISO 27001 împarte cele mai bune practici în 14 controale separate. Auditurile de certificare vor acoperi controalele de la fiecare în timpul verificărilor de conformitate. Iată un scurt rezumat al fiecărei părți a standardului și modul în care acesta se va traduce într-un audit din viața reală:

  1. Politici de securitate a informațiilor – acoperă modul în care politicile ar trebui să fie scrise în ISMS și revizuite pentru conformitate . Auditorii vor căuta să documenteze și să revizuiască procedurile dvs. în mod regulat.
  2. Organizarea securității informațiilor – descrie ce părți ale unei organizații ar trebui să fie responsabile pentru ce sarcini și acțiuni. Auditorii se vor aștepta să vadă o organigramă clară cu responsabilități la nivel înalt bazate pe rol.
  3. Securitatea resurselor umane – acoperă modul în care angajații ar trebui să fie informați despre securitatea cibernetică atunci când încep, părăsesc sau schimbă poziția. Auditorii vor dori să vadă proceduri clar definite pentru integrare și extindere atunci când vine vorba de securitatea informațiilor.
  4. Gestionarea activelor – descrie procesele implicate în gestionarea activelor de date și modul în care acestea ar trebui protejate și securizate. Auditorii vor verifica cum organizația dvs. ține evidența hardware-ului, software-ului și bazelor de date. Dovezile ar trebui să includă orice instrumente sau metode comune pe care le utilizați pentru a asigura integritatea datelor.
  5. Control acces – oferă îndrumări cu privire la modul în care accesul angajaților ar trebui să fie limitat la diferite tipuri de date. Auditorilor va trebui să li se ofere o explicație detaliată a modului în care sunt stabilite privilegiile de acces și cine este responsabil pentru menținerea acestora.
  6. Criptografie – acoperă cele mai bune practici în criptare. Auditorii vor căuta părți ale sistemului dvs. care gestionează date sensibile și tipul de criptare utilizat, cum ar fi DES, RSA sau AES.
  7. Securitate fizică și de mediu – descrie procesele de securizare a clădirilor și a echipamentelor interne. Auditorii vor verifica dacă există vulnerabilități pe site-ul fizic, inclusiv modul în care este permis accesul la birouri și centre de date.
  8. Securitatea operațiunilor – oferă îndrumări cu privire la modul de colectare și stocare a datelor în siguranță, proces care a luat noi urgență datorită adoptării Regulamentului general privind protecția datelor (GDPR) în 2018. Auditorii vor cere să vadă dovezi ale fluxurilor de date și explicații despre locul în care sunt stocate informațiile.
  9. Securitatea comunicațiilor – acoperă securitatea tuturor transmisiilor din rețeaua unei organizații. Auditorii se vor aștepta să vadă o privire de ansamblu asupra sistemelor de comunicații utilizate, cum ar fi e-mailul sau videoconferința, și modul în care datele lor sunt păstrate în siguranță.
  10. Achiziționarea, dezvoltarea și întreținerea sistemului – detaliază procesele de gestionare a sistemelor într-un mediu sigur. Auditorii vor dori dovezi că orice sistem nou introdus în organizație este menținut la standarde ridicate de securitate.
  11. Relații cu furnizorii – acoperă modul în care o organizație ar trebui să interacționeze cu terți, asigurând în același timp securitatea. Auditorii vor examina orice contracte cu entități externe care ar putea avea acces la date sensibile.
  12. Gestionarea incidentelor de securitate a informațiilor – descrie cele mai bune practici pentru a răspunde la problemele de securitate. Auditorii pot cere să efectueze un exercițiu de incendiu pentru a vedea cum este gestionată gestionarea incidentelor în cadrul organizației. Aici este util să aveți software precum SIEM pentru a detecta și clasifica comportamentul anormal al sistemului.
  13. Aspecte privind securitatea informațiilor privind gestionarea continuității activității – acoperă modul în care ar trebui tratate întreruperile și modificările majore ale afacerii. Auditorii pot prezenta o serie de perturbări teoretice și se vor aștepta ca ISMS să acopere etapele necesare pentru a se recupera de la acestea.
  14. Conformitate – identifică ce reglementări guvernamentale sau industriale sunt relevante pentru organizație, cum ar fi ITAR. Auditorii vor dori să vadă dovezi ale conformității depline pentru orice domeniu în care afacerea își desfășoară activitatea.

O greșeală pe care o fac multe organizații este plasarea tuturor responsabilităților pentru certificarea ISO în echipa IT locală. Deși tehnologia informației se află în centrul ISO 27001, procesele și procedurile trebuie să fie partajate de toate părțile organizației. Acest concept stă la baza ideii de tranziție devops la devsecops.

Atunci când vă pregătiți pentru un audit de certificare ISO 27001, este recomandat să solicitați asistență de la un grup extern cu experiență de conformitate. De exemplu, grupul Varonis a obținut certificarea ISO 27001 completă și poate ajuta candidații să pregătească dovezile necesare pentru a fi utilizate în timpul auditurilor. Varonis oferă, de asemenea, soluții software, cum ar fi Datalert, pentru a ajuta la punerea în practică a ISMS a unei organizații.

Sfaturi pentru menținerea conformității ISO 27001

Obținerea unei certificări inițiale ISO 27001 este doar primul pas pentru a fi pe deplin conform. Menținerea standardelor înalte și a celor mai bune practici este adesea o provocare pentru organizații, deoarece angajații tind să își piardă diligența după finalizarea auditului. Este responsabilitatea conducerii să se asigure că acest lucru nu se întâmplă.

Având în vedere cât de des se angajează noi angajați într-o companie, organizația ar trebui să organizeze sesiuni de instruire trimestriale, astfel încât toți membrii să înțeleagă ISMS și modul în care este utilizat. De asemenea, angajaților existenți li se va cere să treacă un test anual care să consolideze obiectivele fundamentale ale ISO 27001.

Pentru a rămâne conforme, organizațiile trebuie să efectueze propriile audituri interne ISO 27001 o dată la trei ani. Experții în securitate cibernetică recomandă să o facă anual, astfel încât să consolideze practicile de gestionare a riscurilor și să caute eventualele lacune sau deficiențe. Produse precum Datadvantage de la Varonis pot ajuta la eficientizarea procesului de audit dintr-o perspectivă de date.

Ar trebui să se formeze un grup de lucru ISO 27001 cu părțile interesate din întreaga organizație. Acest grup ar trebui să se întâlnească lunar pentru a examina orice probleme deschise și pentru a lua în considerare actualizările la documentația ISMS. Un rezultat al acestei grupuri de lucru ar trebui să fie o listă de verificare a conformității, precum cea prezentată aici:

  1. Obțineți asistență de gestionare pentru toate activitățile ISO 27001.
  2. Tratați conformitatea ISO 27001 ca pe o activitate continuă proiect.
  3. Definiți domeniul de aplicare a modului în care ISO 27001 se va aplica diferitelor părți ale organizației dvs.
  4. Scrieți și actualizați politica ISMS, care prezintă strategia dvs. de securitate cibernetică la un nivel înalt.
  5. Definiți metodologia de evaluare a riscurilor pentru a surprinde modul în care problemele vor fi identificate și gestionate.
  6. Efectuați evaluarea și tratarea riscurilor în mod regulat după ce problemele au fost descoperite.
  7. Scrieți o declarație de aplicabilitate pentru a determina ce controale ISO 27001 sunt aplicabile.
  8. Scrieți un plan de tratare a riscurilor, astfel încât toate părțile interesate să știe cum amenințările sunt atenuate. Folosirea modelării amenințărilor poate ajuta la realizarea acestei sarcini.
  9. Definiți măsurarea controalelor pentru a înțelege cum funcționează cele mai bune practici ISO 27001.
  10. Implementați toate controalele și procedurile obligatorii așa cum sunt prezentate în ISO Standard 27001.
  11. Implementați programe de instruire și conștientizare pentru toate persoanele din organizația dvs. care au acces la active fizice sau digitale.
  12. Operați ISMS ca parte a rutinei zilnice a organizației dvs.
  13. Monitorizați ISMS pentru a înțelege dacă acesta este utilizat în mod eficient.
  14. Rulați audituri interne pentru a evalua conformitatea dvs. continuă.
  15. Revedeți rezultatele auditului împreună cu managementul.
  16. Setați acțiuni corective sau preventive atunci când este necesar.

Ghid rapid ISO 27001: Întrebări frecvente

Procesul și domeniul de aplicare al certificării ISO 27001 pot fi destul de descurajante, așa că să acoperim câteva întrebări frecvente.

Î: Care sunt cerințele ISO 27001?

R: Pentru a obține o certificare ISO 27001, o organizație este obligată să mențină un ISMS care acoperă toate aspectele standardului. După aceea, aceștia pot solicita un audit complet de la un organism de certificare.

Î: Ce înseamnă să fii certificat ISO 27001?

R: A fi certificat ISO 27001 înseamnă că organizația a trecut cu succes auditul extern și a îndeplinit toate criteriile de conformitate. Aceasta înseamnă că acum puteți face publicitate conformității dvs. pentru a vă spori reputația în materie de securitate cibernetică.

Î: Care este cel mai recent standard ISO 27001?

R: Cel mai recent standard este cunoscut oficial ca ISO / IEC 27001: 2013. A fost publicat în 2013 ca a doua ediție oficială a ISO 27001. Standardul a fost revizuit și confirmat ultima dată în 2019, ceea ce înseamnă că nu au fost necesare modificări.

Î: Este conform ISO 27001 GDPR?

A: Deoarece ISO 27001 este în principal un cadru pentru dezvoltarea unui ISMS, nu va acoperi toate regulile specifice ale Regulamentului general privind protecția datelor (GDPR) instituit de Uniunea Europeană. Cu toate acestea, atunci când este asociat cu ISO 27701, care acoperă crearea unui sistem de confidențialitate a datelor, organizațiile vor putea îndeplini pe deplin cerințele specificate în GDPR.

Î: Care sunt principalele similitudini sau diferențe între SOX și ISO 27001?

A: În timp ce ISO 27001 acoperă gestionarea generală a informațiilor și datelor, Sarbanes – Oxley Act (SOX) este specifică modului în care informațiile financiare sunt divulgate în Statele Unite. Din fericire pentru companiile care au un domeniu larg de gestionare a datelor, obținerea certificării ISO 27001 va contribui, de asemenea, la dovedirea conformității cu standardele SOX.

Î: Care este scopul altor ISO?

R: ISO menține un set complet de standarde care se află sub ISO 27001. Toate acestea iau concepte din cadru și se scufundă în îndrumări mai specifice privind modul de instituire a celor mai bune practici în cadrul unei organizații.

Resurse

  • Cartea verde cu privire la modul în care ISO 27001 poate reduce riscul cibernetic
  • Webinar despre cum să asigurăm un audit ISO 27001 de succes
  • Studii de caz despre conformitatea ISO 27001

Indiferent de mărimea companiei dvs. sau în ce industrie lucrați, obținerea certificării ISO 27001 poate fi un câștig uriaș. Cu toate acestea, este o sarcină provocatoare, deci este important să valorificați alte părți interesate și resurse în timpul unui proiect de conformitate. Cu instrumente precum Varonis Edge, puteți opri atacurile cibernetice înainte ca acestea să ajungă la rețeaua dvs., arătând în același timp dovezi ale conformității ISO 27001.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *