Opublikowane 6 grudnia 2016 przez Karen Walsh • 2 minuty czytania
Struktura ISO jest jedną z podstawy bezpieczeństwa informacji i jego kontroli. Podczas gdy wielu menedżerów koncentruje się na komputerach i ich elementach sterujących, zasady zarządzania ryzykiem w ISO 27001 zmieniają sposób, w jaki należy podchodzić do zgodności. Skupienie się na stronie technologii często może prowadzić do luki w zgodności. Nie masz doświadczenia z zarządzaniem oprogramowaniem zgodnym z ISO? Poniżej znajduje się podstawowe zrozumienie ISO 27001 i kilka wskazówek dotyczących osiągnięcia zgodności.
Co to jest ISO 27001?
ISO są międzynarodowymi normami dotyczącymi bezpieczeństwa informacji. ISO 27001 tworzy zestaw reguł, które dają menedżerom dyskretne kroki do przestrzegania. Te kroki porządkują ich systemy informacyjne i zapewniają stałą zgodność bezpieczeństwa. Ponieważ normy ISO nie są regulowane przez jeden podmiot rządowy, przedsiębiorstwa w szczególności decydują się na przestrzeganie i certyfikację w celu wzmocnienia swoich standardów bezpieczeństwa. Te działania są ważne, ponieważ pomagają zwiększyć zaufanie klientów.
Międzynarodowa Organizacja Normalizacyjna (lub „ISO”) opracowała / i definiuje ją jako „rodzinę norm, które pomogą Twojej organizacji w zarządzaniu bezpieczeństwem aktywów, takich jak jako informacje finansowe, własność intelektualna, dane pracowników lub informacje powierzone Ci przez strony trzecie ”. Innymi słowy, ISO 27001 obejmuje nie tylko wewnętrzne informacje korporacji, ale także dostawców zewnętrznych. Ponieważ ISO 27001 jest żywym dokumentem, nieustannie ewoluuje, aby sprostać nowym potrzebom informacyjnym. Te aktualizacje zapewniają ciągłe wskazówki, aby rozwiązywać ciągłe problemy z bezpieczeństwem.
Dlaczego ISO 27001?
Większość firm stosuje procesy i procedury w celu zapewnienia spójności i przeciwdziałania zmianom w zarządzaniu i personelu. Jednak przy tej szerokiej definicji wiele organizacji może czuć się przytłoczonych pomysłem rozpoczęcia procesu certyfikacji. Anthony Jones z IS Partners, LLC zauważa, że tylko około jedna trzecia firm znających standard decyduje się na jego przyjęcie. Certyfikacja ISO to długi i szczegółowy proces. Jednak koszt procesu certyfikacji pod względem czasu i energii jest równy lub mniejszy niż brak zgodności.
W przypadku CISO certyfikacja ISO zapewnia przede wszystkim korzyści wynikające z ciągłego aktualizowania monitorowania. Zamiast samodzielnie szukać informacji, CISO otrzymują aktualne powiadomienia o zmianach od swoich jednostek certyfikujących. Ponadto etapy certyfikacji, jak również kontrole zgodności wymagają oceny ryzyka. Zarządzanie koncentruje się na udokumentowanym postępowaniu z ryzykiem, a nie na postrzeganym ryzyku.
Dlaczego nie ISO 270001?
Certyfikacja ISO 27001 wymaga dużo informacji, czasu, wysiłku i siły roboczej. Wielu CISO obawia się, że niepowodzenie audytu ISO 27001 spowoduje utratę zaufania klientów. Jednak niezależnie od tego, czy firma formalnie składa wniosek o certyfikację ISO, często stosuje wiele takich samych procesów i procedur. Firmy stosują się do tych protokołów, ponieważ branża uznaje je za standardy.
Do ISO czy nie do ISO? Oto jest pytanie
Wielu menedżerów ds. Zgodności łączy zgodność ISO 27001 z wyglądem pomarszczonego nosa, który często towarzyszy starej kanapce z tuńczykiem. Dzieje się tak, ponieważ ci menedżerowie mają przestarzały i przestarzały sposób zarządzania audytem ISO. Na szczęście dla zespołów ds. Zgodności nadszedł czas, aby przemyśleć, jak to się robi. Uzyskanie certyfikatu ISO nie musi być bolesne. Dzięki odpowiedniemu oprogramowaniu i procesowi audytu ISO zespoły ds. Zgodności mogą teraz uzyskać certyfikat ISO i chronić zarówno firmę, jak i klienta w długim okresie.