ДЕНЬ 30 — ISO/IEC 27001 — День тридцатый
100 дней облака на GitHub — Читайте на iCTPro.co.nz — Читайте на Dev.to
Что такое серия ISO/IEC 27000?
Популярный стандарт управления информационной безопасностью используется для обеспечения безопасности активов информационных технологий.
Применение таких стандартов помогает организации сохранить в безопасности свои активы, такие как финансовая информация, интеллектуальная собственность, данные сотрудников или информация, доверенная третьими лицами.
Он состоит из политик, процедур, руководящих принципов и ресурсов, связанных с организацией; которые управляются организацией для защиты информационных активов.
ISO/IEC 27001 — единственный стандарт из семейства ISO27000, который может быть подвергнут аудиту.
Когда вы определите назначение рисков и принятие рисков вашей организацией, это эффективно поможет в обработке и управлении рисками.
ISO/IEC 27001, Системы менеджмента информационной безопасности
-
Важно, чтобы сотрудники приняли обязательства по ISMS для каждой компании. Это поможет сотрудникам понять обязательства и ответственность, которым они должны следовать, этого можно достичь путем постоянного обучения и пересмотра.
-
Внедряйте шифрование данных. Убедитесь, что вы все документируете, ведете журналы, сигнализируете и т.д..
Все сторонние службы должны быть компетентны в вопросах безопасности. -
Необходимо учитывать любые законы, которые могут повлиять на ваш процесс, это могут быть законы об интеллектуальной собственности, в каждой стране они разные.
-
Опять же, документируйте все процессы, планы, реагирование на инциденты, поставщиков, ожидаемые риски и т.д..
- Конфиденциальность-интегрированность-доступность — это основа информационной безопасности.
Небольшая задача для вас
Что доказывает приведенное ниже уравнение?
Прокомментируйте ответ __________________________
Какие факторы влияют на вашу организацию при внедрении ISO 27001?
a) Внутренние
Сотрудники, владельцы
б) Внешние
Поставщики, правительство, регуляторы, акционеры и т.д.
в) Команда руководителей
Эта команда помогает в создании плана информационной безопасности. Распределяет роли и обязанности между людьми, способными принимать решения, которые могут помочь изменить и улучшить процесс.
г) Планирование
Это одна из важных ролей, планирование помогает понять риски и вовремя принять меры, когда риск становится реальностью. Проще говоря, как действовать при возникновении инцидента. (Все документировать).
д) Поддержка
- Предоставление ресурсов, таких как бюджеты и время для людей, организации & команды.
- Компетентность, обеспечение способности вашей команды и организации успешно или эффективно выполнять задачи.
- Осведомленность
- Документировать, документировать, документировать все
f) Эксплуатация
- Ведите документацию, чтобы продемонстрировать запланированный процесс для вашей организации и обосновать внесение изменений. Это касается и третьих сторон.
- В документах должен упоминаться рассчитанный уровень риска, а также должен быть определен коэффициент принятия риска.
- Учет рисков — внедряйте ISO 27002, Кодекс надлежащей практики для контроля информационной безопасности.
ж) Оценка эффективности
- Контролируйте, измеряйте, анализируйте и оценивайте все в вашей инфраструктуре. Документ должен содержать что, как, когда и кто. Это означает, что все мы отслеживаем, как мы отслеживаем, когда мы анализируем, и кто несет ответственность.
- Проведите внутренний аудит, он поможет понять производительность и эффективность вашей системы.
- Убедитесь, что руководство знает о данных вашего аудита.
f) Улучшение
Проводите постоянное улучшение, когда вы обнаружите, что ваша компания не соответствует стандартам, правилам или законам, вы должны принять меры по улучшению системы и технологий. Обязательно документируйте эти действия.
Области ISO 27001
Всего существует 18 областей, но аудиту подвергаются только 14.
-
Приложение A.5:Политика информационной безопасности
Приложение A.5.11: Политика информационной безопасности
Приложение A.5.1.2: Обзор политик информационной безопасности -
Приложение A.6:Организация информационной безопасности
Приложение A.6.1 отвечает за распределение ролей и обязанностей по информационной безопасности в организации.
Приложение A.6.2 рассматривает практики безопасности для мобильных гаджетов и удаленной работы. -
Приложение A.7:Безопасность человеческих ресурсов
-
Приложение A.8: Управление активами
Приложение A.8.1: идентификация информационных активов в соответствии с ISMS
Приложение A.8.2: классификация информационных активов
Приложение A.8.3: защита конфиденциальных данных от несанкционированного доступа, модификации или уничтожения -
Приложение A.9: контроль доступа
-
Приложение A.10: криптография
-
Приложение A.11: Физическая и экологическая безопасность
Приложение A.11.1: Предотвращает несанкционированный физический доступ, вмешательство, незаконное проникновение или повреждение объекта организации.
Приложение A11.2: Защищает оборудование компании от повреждения, кражи или потери. -
Приложение A.12: Операционная безопасность
-
Приложение A.13: Безопасность коммуникаций
-
Приложение A.14: Приобретение, разработка и обслуживание систем
-
Приложение A.15: Отношения с поставщиками
-
Приложение A.16: Управление инцидентами информационной безопасности
-
Приложение A.17: Аспекты информационной безопасности непрерывности бизнеса
-
Приложение A.18: Соответствие требованиям
Некоторая дополнительная информация
Словарный стандарт:
ISO/IEC 27000, Системы управления информационной безопасностью — Обзор и словарь
Стандарты требований:
ISO/IEC 27001, Системы менеджмента информационной безопасности — Требования
ISO/IEC 27006, Требования к органам, обеспечивающим аудит и сертификацию систем менеджмента информационной безопасности
ISO/IEC 27009, Отраслевое применение ISO/IEC 27001 — Требования.
Руководящие стандарты:
ISO/IEC 27002, Свод практических правил по контролю информационной безопасности
ISO/IEC 27003, Руководство по внедрению системы управления информационной безопасностью
ISO/IEC 27004, Управление информационной безопасностью — Измерение
ISO/IEC 27005, Управление рисками информационной безопасности
ISO/IEC 27007, Руководство по аудиту систем управления информационной безопасностью
ISO/IEC TR 27008, Руководство для аудиторов по контролю информационной безопасности
ISO/IEC 27013, Руководство по интегрированному внедрению ISO/IEC 27001 и ISO/IEC 20000-1
ISO/IEC 27014, Управление информационной безопасностью
ISO/IEC TR 27016, Управление информационной безопасностью — организационная экономика
Отраслевые руководящие стандарты:
ISO/IEC 27010, Управление информационной безопасностью для межсекторных и межорганизационных коммуникаций
ISO/IEC 27011, Руководство по управлению информационной безопасностью для телекоммуникационных организаций на основе ISO/IEC 27002
ISO/IEC TR 27015, Руководство по управлению информационной безопасностью для финансовых служб
ISO/IEC 27017, Свод практических правил по контролю информационной безопасности на основе ISO/IEC 27002 для облачных услуг
ISO/IEC 27018, Свод практических правил по защите персонально идентифицируемой информации (PII) в публичных облаках, выступающих в качестве обработчиков PII
ISO/IEC 27019, Руководство по управлению информационной безопасностью на основе ISO/IEC 27002 для систем управления процессами, специфичных для энергетической промышленности
✅ Присоединяйтесь ко мне в Twitter
🤝🏽 Присоединяйтесь ко мне в Linkedin
🧑🏼🤝🧑🏻 Читайте другие статьи на dev.to или iCTPro.co.nz
💻 Связь со мной на GitHub
Анувиндх Санкаравиласам