2016. december 6-án megjelent Karen Walsh • 2 perc olvasás
Az ISO keretrendszer az egyik az információbiztonság és annak ellenőrzésének alapjai. Míg sok vezető a számítógépekre és azok vezérlésére összpontosít, az ISO 27001 szabvány szerinti kockázatkezelési elvek megváltoztatják a megfelelés megközelítésének módját. A technológiai oldalra való összpontosítás gyakran megfelelésbeli hiányosságokhoz vezethet. Új az ISO megfelelőségi szoftver kezelésének feladata? Az alábbiakban bemutatjuk az ISO 27001 alapvető ismereteit és néhány tippet a megfelelés elérése érdekében.
Mi az ISO 27001?
Az ISO-k nemzetközileg elfogadottak az információbiztonsági szabványokban. Az ISO 27001 olyan szabályrendszert hoz létre, amely a vezetőknek diszkrét lépéseket követ. Ezek a lépések rendszerezik az információs rendszereiket, és biztosítják a folyamatos biztonsági megfeleléset. Mivel az ISO-kat nem egyetlen kormányzati szervezet szabályozza, a vállalkozások kifejezetten a megfelelés és a tanúsítás mellett döntenek a biztonsági előírások megerősítése érdekében. Ezek a műveletek azért fontosak, mert hozzájárulnak az ügyfelek bizalmának növeléséhez.
A Nemzetközi Szabványügyi Szervezet (vagy “ISO”) kifejlesztette a / és “szabványcsaládként” definiálja azt, hogy a szervezete segítse a szervezetét az eszközök biztonságának pénzügyi információk, szellemi tulajdon, munkavállalói adatok vagy harmadik felek által rábízott információk. ” Más szavakkal, az ISO 27001 nem csak egy vállalat belső információira terjed ki, hanem harmadik fél szolgáltatókra is. Mivel az ISO 27001 élő dokumentum, folyamatosan fejlődik az új információs igények kielégítése érdekében. Ezek a frissítések folyamatos útmutatást nyújtanak a folyamatos biztonsági problémák megoldásához.
Miért az ISO 27001?
A legtöbb vállalat folyamatokat és eljárásokat alkalmaz a következetesség megteremtésére, valamint a menedzsment és a személyzet változásainak ellensúlyozására. Ezzel a tág fogalommeghatározással sok szervezet túlterheltnek érezheti magát a tanúsítási folyamat megkezdésének gondolatában. Anthony Jones, az IS Partners, LLC munkatársa megjegyzi, hogy a szabványt ismerő vállalatoknak csak mintegy egyharmada választja annak alkalmazását. Az ISO tanúsítás hosszú és részletes folyamat. A tanúsítási folyamat költsége azonban a folyamatos idő és energia tekintetében egyenlő vagy kevesebb, mint a nem megfelelőség.
A CISO-k számára az ISO tanúsítás elsősorban a folyamatosan frissülő ellenőrzés előnyeit nyújtja. Ahelyett, hogy egyedül kellene megkeresniük az információkat, a CISO-k frissített értesítéseket kapnak a változásokról tanúsító szervüktől. Ezenkívül a tanúsítás, valamint a megfelelőségi ellenőrzés felülvizsgálatának lépései kockázatértékelést igényelnek. Ezek a menedzsment az észlelt kockázat helyett a dokumentált kockázatkezelésre összpontosít.
Miért nem az ISO 270001?
Az ISO 27001 tanúsítás sok információt, időt, erőfeszítést és munkaerőt igényel. Sok CISO attól tart, hogy az ISO 27001-es ellenőrzés sikertelensége az ügyfelek bizalmának elvesztésével jár. Függetlenül attól, hogy egy vállalkozás hivatalosan pályázik-e ISO tanúsításra, gyakran ugyanazokat a folyamatokat és eljárásokat alkalmazza. A vállalatok követik ezeket a protokollokat, mert az ipar szabványként ismeri el őket.
ISO-nak vagy nem ISO-nak? Ez a kérdés
Sok megfelelés-menedzser összeköti az ISO 27001 szabványnak való megfelelést a ráncos orr-megjelenéssel, amely gyakran kíséri egy régi tonhal szendvicset. Ezeknek a vezetőknek ugyanis elavult és elavult módja van az ISO-audit kezelésére. A megfelelőségi csapatok szerencséjére itt az ideje, hogy újragondolják, hogyan történik ez. Az ISO tanúsításnak nem kell fájdalmasnak lennie. A megfelelő ISO audit szoftverrel és eljárással a megfelelőségi csoportok most már ISO tanúsítást szerezhetnek, és hosszú távon védhetik az üzleti életet és az ügyfeleket is.