2016年12月6日発行KarenWalsh•2分読む
ISOフレームワークは次のいずれかです。情報セキュリティとその制御の基本。多くの管理者はコンピューターとその制御に重点を置いていますが、ISO 27001のリスク管理の原則により、コンプライアンスへの取り組み方が変わりつつあります。テクノロジー側へのこの焦点は、多くの場合、コンプライアンスのギャップにつながる可能性があります。 ISOコンプライアンスソフトウェアを管理するタスクは初めてですか?以下は、ISO27001の基本的な理解とコンプライアンスを達成するためのヒントです。
ISO27001とは何ですか?
ISOは、情報セキュリティの基準について国際的に合意されています。 ISO 27001は、管理者が従うべき個別の手順を提供する一連のルールを作成します。これらの手順により、情報システムが整理され、継続的なセキュリティコンプライアンスが確保されます。 ISOは単一の政府機関によって規制されていないため、企業はセキュリティ基準を強化するためにコンプライアンスと認証に従事することを特に選択します。これらのアクションは、顧客の信頼を高めるのに役立つため重要です。
国際標準化機構(または「ISO」)は/を開発し、「標準のファミリーは、組織がそのような資産のセキュリティを管理するのに役立ちます」と定義しています。財務情報、知的財産、従業員の詳細、または第三者からあなたに委託された情報として。」つまり、ISO 27001は企業の内部情報だけでなく、サードパーティのプロバイダーも対象としています。 ISO 27001は生きたドキュメントであるため、新しい情報のニーズに対応するために絶えず進化しています。これらの更新は、継続的なセキュリティの懸念に対応するための継続的なガイダンスを提供します。
ISO27001を選択する理由
ほとんどの企業は、プロセスと手順を使用して一貫性を確立し、管理と人員の変更に対抗します。ただし、この広い定義では、多くの組織が認証プロセスに着手するという考えに圧倒されていると感じるかもしれません。 IS Partners、LLCのAnthony Jonesは、標準を認識している企業の約3分の1だけがそれを採用することを選択していると述べています。 ISO認証は長く詳細なプロセスです。ただし、継続的な時間とエネルギーに関する認証プロセスのコストは、準拠していないことと同じかそれ以下です。
CISOの場合、ISO認証は主に継続的に更新される監視の利点を提供します。 CISOは、自分で情報を探す必要はなく、認証機関から変更の更新通知を取得します。さらに、認証へのステップとコンプライアンス監査レビューにはリスク評価が必要です。これらは、認識されたリスクではなく、文書化されたリスク処理に重点を置いた管理です。
ISO 270001ではないのはなぜですか?
ISO 27001認定には、多くの情報、時間、労力、および人的資源が必要です。多くのCISOは、ISO27001監査に失敗すると顧客の信頼が失われることを恐れています。ただし、企業が正式にISO認証を申請するかどうかに関係なく、多くの場合、同じプロセスと手順の多くを使用します。業界がこれらのプロトコルを標準として認識しているため、企業はこれらのプロトコルに従います。
ISOに準拠するか、ISOに準拠しないか。それが質問です
多くのコンプライアンスマネージャーは、ISO 27001コンプライアンスを、古いツナサンドイッチによく見られるしわの寄った鼻の外観に結び付けています。これは、これらのマネージャーがISO監査を管理するための古くて時代遅れの方法を持っているためです。コンプライアンスチームにとって幸いなことに、今こそこれがどのように行われるかを再考するときです。 ISO認証を取得するのに苦労する必要はありません。適切なISO監査ソフトウェアとプロセスにより、コンプライアンスチームはISO認証を取得し、ビジネスと顧客の両方を長期的に保護できるようになりました。