Pubblicato il 6 dicembre 2016 da Karen Walsh • 2 minuti di lettura
Il Framework ISO è uno dei le basi della sicurezza delle informazioni e dei suoi controlli. Mentre molti manager si concentrano sui computer e sui loro controlli, i principi di gestione del rischio nella ISO 27001 stanno cambiando il modo in cui devi affrontare la conformità. Questa focalizzazione sul lato tecnologico può spesso portare a un divario di conformità. Nuovo al compito di gestire il software di conformità ISO? Di seguito è riportata una conoscenza di base della ISO 27001 e alcuni suggerimenti per ottenere la conformità.
Che cos’è la ISO 27001?
Gli ISO sono standard concordati a livello internazionale per la sicurezza delle informazioni. ISO 27001 crea una serie di regole che danno ai manager passaggi discreti da seguire. Questi passaggi organizzano i loro sistemi informativi e garantiscono la conformità della sicurezza continua. Poiché le ISO non sono regolamentate da una singola entità governativa, le aziende scelgono specificamente di impegnarsi nella conformità e nella certificazione per rafforzare i propri standard di sicurezza. Queste azioni sono importanti perché aiutano ad aumentare la fiducia dei clienti.
L’Organizzazione internazionale per gli standard (o “ISO”) ha sviluppato la / e la definisce come una “famiglia di standard che aiuteranno la tua organizzazione a gestire la sicurezza di risorse come come informazioni finanziarie, proprietà intellettuale, dettagli sui dipendenti o informazioni a te affidate da terzi. ” In altre parole, ISO 27001 non copre solo le informazioni interne di una società, ma copre anche i fornitori di terze parti. Poiché ISO 27001 è un documento vivente, si evolve continuamente per soddisfare le nuove esigenze di informazione. Questi aggiornamenti forniscono una guida continua per soddisfare i continui problemi di sicurezza.
Perché ISO 27001?
La maggior parte delle aziende utilizza processi e procedure per creare coerenza e contrastare i cambiamenti di gestione e personale. Tuttavia, con questa definizione ampia, molte organizzazioni potrebbero sentirsi sopraffatte all’idea di intraprendere il processo di certificazione. Anthony Jones di IS Partners, LLC osserva che solo circa un terzo delle aziende consapevoli dello standard sceglie di adottarlo. La certificazione ISO è un processo lungo e dettagliato. Tuttavia, il costo del processo di certificazione in termini di tempo ed energia continui è pari o inferiore a quello della non conformità.
Per i CISO, una certificazione ISO fornisce principalmente un vantaggio di un monitoraggio continuamente aggiornato. Piuttosto che dover cercare le informazioni da soli, i CISO ottengono notifiche aggiornate delle modifiche dal proprio organismo di certificazione. Inoltre, i passaggi per la certificazione e le revisioni di audit di conformità richiedono valutazioni del rischio. Queste concentrano la gestione sul trattamento del rischio documentato anziché sul rischio percepito.
Perché non ISO 270001?
Una certificazione ISO 27001 richiede molte informazioni, tempo, impegno e manodopera. Molti CISO temono che il fallimento di un audit ISO 27001 comporti la perdita della fiducia dei clienti. Tuttavia, indipendentemente dal fatto che un’azienda richieda formalmente la certificazione ISO, spesso utilizza molti degli stessi processi e procedure. Le aziende seguono questi protocolli perché l’industria li riconosce come standard.
To ISO or Not To ISO? Questa è la domanda
Molti responsabili della conformità collegano la conformità ISO 27001 con l’aspetto del naso rugoso che spesso accompagna un vecchio sandwich al tonno. Questo perché questi manager hanno un modo stantio e obsoleto di gestire un audit ISO. Fortunatamente per i team di conformità, ora è il momento di ripensare a come farlo. Una certificazione ISO non deve essere dolorosa da ottenere. Con il software e il processo di audit ISO appropriati, i team di conformità possono ora ottenere una certificazione ISO e proteggere sia l’azienda che il cliente a lungo termine.