Publicat la 6 decembrie 2016 de Karen Walsh • 2 minute de citire
Cadrul ISO este unul dintre elementele de bază ale securității informațiilor și controalelor sale. În timp ce mulți manageri se concentrează asupra computerelor și a controalelor acestora, principiile de gestionare a riscurilor din ISO 27001 modifică modul în care trebuie să abordați conformitatea. Această concentrare pe partea tehnologică poate duce adesea la un decalaj de conformitate. Sunteți nou în sarcina de a gestiona software-ul de conformitate ISO? Mai jos este o înțelegere de bază a ISO 27001 și câteva sfaturi pentru obținerea conformității.
Ce este ISO 27001?
ISO sunt standarde convenite la nivel internațional pentru securitatea informațiilor. ISO 27001 creează un set de reguli care oferă managerilor pași discreți de urmat. Acești pași își organizează sistemele de informații și asigură respectarea continuă a securității. Deoarece ISO-urile nu sunt reglementate de o singură entitate guvernamentală, companiile aleg în mod specific să se angajeze în conformitate și certificare pentru a-și consolida standardele de securitate. Aceste acțiuni sunt importante pentru că ajută la creșterea încrederii clienților.
Organizația Internațională pentru Standarde (sau „ISO”) a dezvoltat / și o definește ca o „familie de standarde va ajuta organizația dvs. să gestioneze securitatea activelor, cum ar fi ca informații financiare, proprietate intelectuală, detalii despre angajați sau informații încredințate de terți. ” Cu alte cuvinte, ISO 27001 nu acoperă doar informațiile interne ale unei corporații, ci și furnizorii terți. Deoarece ISO 27001 este un document viu, acesta evoluează continuu pentru a răspunde noilor nevoi de informații. Aceste actualizări oferă îndrumări continue pentru a răspunde preocupărilor de securitate continue.
De ce ISO 27001?
Majoritatea companiilor utilizează procese și proceduri pentru a crea coerență și a contracara modificările de management și de personal. Cu toate acestea, cu această definiție amplă, multe organizații se pot simți copleșite de ideea de a începe procesul de certificare. Anthony Jones de la IS Partners, LLC remarcă faptul că doar aproximativ o treime dintre companiile conștiente de standard aleg să îl adopte. Certificarea ISO este un proces lung și detaliat. Cu toate acestea, costul procesului de certificare în termeni de timp și energie continuă este egal sau mai mic decât nu este conform.
Pentru CISO, o certificare ISO oferă în primul rând un avantaj al monitorizării actualizate continuu. În loc să fie nevoiți să caute singuri informațiile, CISO-urile obțin notificări actualizate de modificări de la organismul lor de certificare. Mai mult, pașii pentru certificare, precum și revizuirea auditului de conformitate necesită evaluări ale riscurilor. Acestea se concentrează pe tratarea riscului documentat în locul riscului perceput.
De ce nu ISO 270001?
O certificare ISO 27001 necesită o mulțime de informații, timp, efort și forță de muncă. Mulți CISO se tem că eșecul unui audit ISO 27001 va duce la pierderea încrederii clienților. Cu toate acestea, indiferent dacă o companie solicită formal certificarea ISO, aceasta folosește adesea multe dintre aceleași procese și proceduri. Companiile respectă aceste protocoale deoarece industria le recunoaște ca standarde.
Pentru ISO sau Nu pentru ISO? Aceasta este întrebarea
Mulți manageri de conformitate conectează conformitatea ISO 27001 cu aspectul nasului ridat care însoțește adesea un vechi sandwich de ton. Acest lucru se datorează faptului că acești manageri au un mod învechit și învechit de a gestiona un audit ISO. Din fericire pentru echipele de conformitate, este momentul să regândim cum se face acest lucru. Pentru a obține o certificare ISO nu trebuie să fie dureros. Cu software-ul și procesul de audit ISO adecvate, echipele de conformitate pot obține acum o certificare ISO și protejează atât afacerea, cât și clientul pe termen lung.