Julkaistu 6. joulukuuta 2016, kirjoittanut Karen Walsh • 2 min luettu
ISO-kehys on yksi tietoturvan ja sen valvonnan perusteet. Vaikka monet johtajat keskittyvät tietokoneisiin ja niiden hallintalaitteisiin, ISO 27001 -standardin riskienhallintaperiaatteet muuttavat tapaa, jolla sinun on lähestyttävä vaatimustenmukaisuutta. Tämä keskittyminen teknologiapuolelle voi usein johtaa vaatimustenmukaisuuden puutteeseen. Oletko uusi ISO-yhteensopivuusohjelmiston hallinta? Alla on perustiedot ISO 27001: stä ja vinkkejä vaatimustenmukaisuuden saavuttamiseen.
Mikä on ISO 27001?
ISO: t ovat kansainvälisesti sopineet tietoturvastandardeista. ISO 27001 luo joukon sääntöjä, jotka antavat johtajille erillisiä vaiheita noudatettavaksi. Nämä vaiheet järjestävät tietojärjestelmänsä ja varmistavat jatkuvan tietoturvan noudattamisen. Koska ISO: ta ei säännellä yksi valtion yksikkö, yritykset valitsevat nimenomaan sitoutumisen vaatimustenmukaisuuteen ja sertifiointiin vahvistamaan turvallisuusstandardejaan. Nämä toimet ovat tärkeitä, koska ne lisäävät asiakkaiden luottamusta.
Kansainvälinen standardointijärjestö (tai ”ISO”) on kehittänyt / ja määrittelee sen ”standardiperheeksi, joka auttaa organisaatiotasi hallitsemaan esimerkiksi taloudellisia tietoja, immateriaalioikeuksia, työntekijän tietoja tai kolmansien osapuolten sinulle antamia tietoja. ” Toisin sanoen, ISO 27001 ei koske pelkästään yrityksen sisäisiä tietoja, vaan myös kolmansia osapuolia. Koska ISO 27001 on elävä asiakirja, sitä kehitetään jatkuvasti vastaamaan uusiin tietotarpeisiin. Nämä päivitykset tarjoavat jatkuvaa ohjausta vastaamaan jatkuviin tietoturvaongelmiin.
Miksi ISO 27001?
Suurin osa yrityksistä käyttää prosesseja ja menettelyjä johdonmukaisuuden luomiseksi sekä hallinnan ja henkilöstön muutosten torjumiseksi. Tämän laajan määritelmän avulla monet organisaatiot saattavat kuitenkin tuntua ylikuormitetulta ajatukselle aloittaa sertifiointiprosessi. Anthony Jones IS Partners, LLC: stä huomauttaa, että vain noin kolmasosa standardista tietoisista yrityksistä päättää ottaa sen käyttöön. ISO-sertifikaatti on pitkä ja yksityiskohtainen prosessi. Sertifiointiprosessin kustannukset meneillään olevan ajan ja energian suhteen ovat kuitenkin yhtä suuret tai pienemmät kuin noudattamatta jättäminen.
CISO-organisaatioille ISO-sertifikaatti tarjoaa ensisijaisen edun jatkuvasti päivitetystä seurannasta. Sen sijaan, että CISO: t tarvitsevat tietoja itse, ne saavat päivitetyt ilmoitukset muutoksista sertifiointielimeltään. Lisäksi sertifioinnin vaiheet ja vaatimustenmukaisuuden tarkastukset edellyttävät riskinarviointia. Nämä keskittyvät dokumentoituun riskinkäsittelyyn havaitun riskin sijaan.
Miksi ei ISO 270001?
ISO 27001 -sertifikaatti vaatii paljon tietoa, aikaa, vaivaa ja työvoimaa. Monet CISO: t pelkäävät, että epäonnistuminen ISO 27001 -tarkastuksessa johtaa asiakkaiden luottamuksen menetykseen. Huolimatta siitä, hakeeko yritys virallisesti ISO-sertifikaattia, se käyttää usein monia samoja prosesseja ja menettelyjä. Yritykset seuraavat näitä protokollia, koska teollisuus tunnustaa ne standardeiksi.
ISO: lle vai ei ISO: lle? Tämä on kysymys
Monet noudattamispäälliköt yhdistävät ISO 27001 -vaatimukset rypistyneeseen nenän ulkonäköön, joka usein liittyy vanhan tonnikalan voileipään. Tämä johtuu siitä, että näillä johtajilla on vanhentunut ja vanhentunut tapa hallita ISO-auditointia. Onneksi vaatimustenmukaisuusryhmien on nyt aika miettiä, miten tämä tehdään. ISO-sertifikaatin ei tarvitse olla tuskallista saavuttaa. Asianmukaisella ISO-tarkastusohjelmistolla ja -prosessilla vaatimustenmukaisuusryhmät voivat nyt saavuttaa ISO-sertifikaatin ja suojata sekä yritystä että asiakasta pitkällä aikavälillä.