Publikováno 6. prosince 2016 Karen Walshovou • 2 min. Čtení
ISO Framework je jedním z základy informační bezpečnosti a jejích ovládacích prvků. Zatímco mnoho manažerů se zaměřuje na počítače a jejich ovládací prvky, principy řízení rizik v ISO 27001 mění způsob, jakým potřebujete přistupovat k dodržování předpisů. Toto zaměření na technologickou stránku může často vést k rozdílu v dodržování předpisů. Jste v úkolu správy softwaru pro dodržování norem ISO noví? Níže je základní porozumění ISO 27001 a několik tipů k dosažení souladu.
Co je ISO 27001?
ISO jsou mezinárodně dohodnuty na standardech pro informační bezpečnost. ISO 27001 vytváří soubor pravidel, která manažerům dávají diskrétní kroky, které je třeba dodržovat. Tyto kroky organizují jejich informační systémy a zajišťují trvalou bezpečnost. Jelikož ISO nejsou regulovány jediným vládním subjektem, podniky se konkrétně rozhodly zapojit se do dodržování předpisů a certifikace s cílem posílit své bezpečnostní standardy. Tyto akce jsou důležité, protože pomáhají zvyšovat důvěru zákazníků.
Mezinárodní organizace pro standardy (nebo „ISO“) vyvinula / a definuje ji jako „rodina standardů pomůže vaší organizaci spravovat zabezpečení aktiv, jako je jako finanční informace, duševní vlastnictví, údaje o zaměstnancích nebo informace, které vám byly svěřeny třetími stranami. “ Jinými slovy, ISO 27001 se nevztahuje pouze na interní informace společnosti, ale také na poskytovatele třetích stran. Jelikož je ISO 27001 živým dokumentem, neustále se vyvíjí, aby vyhovoval novým informačním potřebám. Tyto aktualizace poskytují průběžné pokyny k řešení pokračujících obav o zabezpečení.
Proč ISO 27001?
Většina společností používá procesy a postupy k vytváření konzistence a proti změnám v řízení a personálním zabezpečení. Díky této široké definici se však může mnoho organizací cítit ohromeno myšlenkou zahájit proces certifikace. Anthony Jones ze společnosti IS Partners, LLC konstatuje, že se jej rozhodla přijmout pouze zhruba jedna třetina společností, které o standardu vědí. Certifikace ISO je dlouhý a podrobný proces. Náklady na proces certifikace, pokud jde o průběžný čas a energii, se však rovnají nebo jsou nižší než nedodržování předpisů.
Certifikace ISO poskytuje pro CISO přednost především průběžně aktualizované monitorování. Místo toho, aby CISO musely tyto informace vyhledávat samy, dostávají od svého certifikačního orgánu aktualizovaná oznámení o změnách. Kroky certifikace a kontroly dodržování předpisů navíc vyžadují posouzení rizik. Tyto se zaměřují na dokumentované zacházení s rizikem místo vnímaného rizika.
Proč ne ISO 270001?
Certifikace ISO 27001 vyžaduje spoustu informací, času, úsilí a pracovní síly. Mnoho CISO se obává, že selhání auditu ISO 27001 bude mít za následek ztrátu důvěry zákazníků. Bez ohledu na to, zda podnik formálně požádá o certifikaci ISO, často používá mnoho stejných procesů a postupů. Společnosti tyto protokoly dodržují, protože průmysl je uznává jako standardy.
ISO nebo ne ISO? To je otázka
Mnoho správců shody spojuje shodu s normou ISO 27001 se vzhledem vrásčitého nosu, který často doprovází starý sendvič s tuňáky. Je to proto, že tito manažeři mají zastaralý a zastaralý způsob řízení auditu ISO. Naštěstí pro týmy zabývající se dodržováním předpisů je nyní čas přehodnotit, jak se to dělá. Certifikace ISO nemusí být bolestivá. Se správným softwarem a postupem pro audit ISO mohou týmy zabývající se dodržováním předpisů nyní dosáhnout certifikace ISO a dlouhodobě chránit podnik i zákazníka.