Co je audit ISO 27001 a potřebuje ho moje společnost?

V našem světě komodifikovaných dat musí být standardy kybernetické bezpečnosti vysoké a ostré jako břitva. Většina společností, i když to není bezprostředně spojené s technologiemi, nakonec narazí na potřebu se opásat zevnitř.

Před více než deseti lety přijala Mezinárodní organizace pro standardy specifikaci nazvanou ISO 27001. Co přesně to je? Co nám může audit ISO 27001 říci o vnitřních machinacích organizace? A jak se rozhodnete, zda by měla být vaše společnost podrobena auditu?

Co je systém řízení bezpečnosti informací (ISMS)?

Systém řízení bezpečnosti informací (ISMS) je hlavní obrannou linií organizace narušení dat a další typy kybernetických hrozeb z venku.

Účinný ISMS zajišťuje, že chráněné informace zůstanou důvěrné a bezpečné, věrné zdroji a přístupné lidem, kteří mají povolení k práci s nimi.

Častou chybou je předpokládat, že ISMS nepřesahuje pouze bránu firewall nebo jiné technické prostředky ochrany. Místo toho je plně integrovaný ISMS stejně přítomen v kultuře společnosti a u každého zaměstnance, inženýra či jiného. Jde to daleko za hranice IT oddělení.

Více než pouhá oficiální politika a postup zahrnuje rozsah tohoto systému také schopnost týmu systém spravovat a vylepšovat. Provedení a způsob, jakým se protokol skutečně používá, jsou prvořadé.

To zahrnuje dlouhodobý přístup k řízení a zmírňování rizik. Ředitelé společnosti musí být důvěrně obeznámeni s jakýmikoli riziky spojenými s odvětvím, ve kterém konkrétně pracují. Vyzbrojeni tímto vhledem budou schopni odpovídajícím způsobem stavět zdi kolem sebe.

Co je to ISO 27001?

V roce 2005 Mezinárodní organizace pro normalizaci (ISO) a Mezinárodní elektrotechnická Komise (IEC) předělala BS 7799, standard správy zabezpečení, který poprvé zavedla skupina BSI 10 let dříve.

Nyní oficiálně známá jako ISO / IEC 27001: 2005, ISO 27001 je mezinárodní standard shody udělovaný společnostem, které jsou příkladem v řízení bezpečnosti informací.

V zásadě se jedná o přísnou sbírku standardů, proti kterým může být podnikový systém řízení bezpečnosti informací držen. Tento rámec umožňuje auditorům posoudit houževnatost systému jako celku. Společnosti se mohou rozhodnout pro provedení auditu, když chtějí ujistit své zákazníky a klienty, že jejich data jsou v jejich zdech v bezpečí.

Tato kolekce ustanovení zahrnuje: specifikace týkající se bezpečnostní politiky, aktiva klasifikace, environmentální bezpečnost, správa sítě, údržba systému a kontinuita podnikání plánování.

ISO zhušťovalo všechny tyto aspekty z původní charty BSI a destilovalo je do verze, kterou dnes uznáváme.

Kopání do politiky

Co přesně se hodnotí, když společnost prochází auditem ISO 27001?

Cílem standardu je formovat efektivní a bezpečnou informační politiku na mezinárodní úrovni. Podněcuje proaktivní postoj, který se snaží vyhnout problémům dříve, než k nim dojde.

ISO zdůrazňuje tři důležité aspekty bezpečného ISMS:

1. Neustálá analýza a uznání rizika: zahrnuje jak aktuální rizika, tak rizika, která se mohou v budoucnu představit.

2. Robustní a bezpečný systém: zahrnuje systém, jak existuje v technickém smyslu, stejně jako veškeré bezpečnostní kontroly, které organizace používá k ochraně před výše uvedenými riziky. Budou vypadat velmi odlišně, v závislosti na společnosti a odvětví.

3. Oddaný tým vedoucích: budou to lidé, kteří skutečně provádějí kontroly na obranu organizace. Systém je stejně účinný jako ty, které pracují u kormidla.

Analýza těchto tří klíčových faktorů přispívá k tomu, aby auditor získal ucelenější obrázek o schopnosti dané společnosti bezpečně fungovat. Udržitelnost je upřednostňována před ISMS, který se spoléhá pouze na hrubou technickou sílu.

Příbuzný: Jak zabránit zaměstnancům v krádeži firemních dat, když odcházejí

Musí existovat důležitý lidský prvek. Způsob, jakým lidé ve společnosti uplatňují kontrolu nad svými daty a jejich ISMS, je držen nade vše. Tyto ovládací prvky ve skutečnosti udržují data v bezpečí.

Co je příloha A normy ISO 27001?

Konkrétní příklady „kontrol“ závisí na odvětví. Příloha A normy ISO 27001 nabízí společnostem 114 oficiálně uznaných prostředků kontroly nad bezpečností jejich operací.

Tyto ovládací prvky spadají do jedné ze čtrnácti klasifikací:

A.5—Informační a bezpečnostní politiky: institucionalizované zásady a postupy, které společnost dodržuje.

A.6—Organizace informační bezpečnosti: rozdělení odpovědnosti v rámci organizace za rámec ISMS a jeho implementaci. Zde je kupodivu zahrnuta také politika upravující práci na dálku a internet používání zařízení v rámci společnosti.

A.7—Zabezpečení lidských zdrojů: týká se onboardingu, offboardingu a změny role zaměstnanců v organizaci. Jsou zde také uvedeny screeningové standardy a osvědčené postupy ve vzdělávání a odborné přípravě.

A.8—Správa majetku: zahrnuje zpracovávaná data. Aktiva musí být inventarizována, udržována a uchovávána v soukromí, a to i v některých případech napříč odděleními. Vlastnictví každého aktiva musí být jasně stanoveno; toto ustanovení doporučuje, aby společnosti vypracovaly „zásady přijatelného použití“ specifické pro jejich obor podnikání.

A.9—Řízení přístupu: kdo smí nakládat s vašimi údaji a jak omezíte přístup pouze na oprávněné zaměstnance? To může zahrnovat podmíněné nastavení oprávnění v technickém smyslu nebo přístup k uzamčeným budovám v areálu vaší společnosti.

A.10—Kryptografie: primárně se zabývá šifrováním a dalšími způsoby ochrany přenášených dat. Tato preventivní opatření musí být aktivně řízena; ISO odrazuje organizace od toho, aby považovaly šifrování za univerzální řešení pro všechny hluboce rozlišené výzvy spojené s bezpečností dat.

A.11—Fyzická a environmentální bezpečnost: hodnotí fyzické zabezpečení všude tam, kde jsou citlivá data umístěna, ať už ve skutečné kancelářské budově nebo v malé, klimatizované místnosti plné serverů.

A.12—Zabezpečení provozu: jaká jsou vaše vnitřní pravidla zabezpečení, pokud jde o chod vaší společnosti? Dokumentace vysvětlující tyto postupy by měla být udržována a často revidována, aby vyhovovala novým, nově se objevujícím obchodním potřebám.

Do tohoto záhlaví spadá správa změn, správa kapacity a oddělení různých oddělení.

A.13—Správa zabezpečení sítě: sítě, které spojují každý systém ve vaší společnosti, musí být vzduchotěsné a pečlivě pečovány.

Celosvětová řešení, jako jsou brány firewall, jsou ještě efektivnější, když jsou doplněna věcmi, jako jsou kontrolní body pro časté ověřování, formalizované zásady přenosu nebo zakazující používání veřejných sítí například při zpracování dat vaší společnosti.

A.14—Akvizice, vývoj a údržba systému: pokud vaše společnost ještě nemá zavedený ISMS, vysvětluje tato klauzule, co ke stolu přináší ideální systém. Pomůže vám zajistit, aby rozsah ISMS pokrýval všechny aspekty vašeho produkčního životního cyklu.

Interní politika bezpečného vývoje poskytuje vašim technikům kontext, který potřebují k vytvoření vyhovujícího produktu ode dne zahájení jejich práce.

A.15—Zásady zabezpečení dodavatele: Jaká preventivní opatření při obchodování s dodavateli třetích stran mimo vaši společnost zabraňují únikům nebo narušení sdílených údajů?

A.16—Správa bezpečnostních incidentů: když se něco pokazí, vaše společnost pravděpodobně poskytne rámec, jak by měl být problém hlášen, řešen a aby mu bylo v budoucnu zabráněno.

ISO hledá odvetné systémy, které umožňují, aby údaje o autoritě v rámci společnosti byly po zjištění hrozby jednat rychle a s velkými předsudky.

A.17—Aspekty informační bezpečnosti řízení kontinuity podnikání: v případě katastrofy nebo jiného nepravděpodobného incidentu, který nenávratně naruší váš provoz, plán bude muset být zavedeno, aby se zachoval blahobyt společnosti a jejích dat, dokud se podnikání neobnoví jako normální.

Myšlenka je, že organizace potřebuje nějaký způsob, jak zachovat kontinuitu zabezpečení v takových dobách.

A.18—Dodržování: konečně přicházíme ke skutečné smlouvě o dohodách, které musí společnost uzavřít, aby splnila požadavky na certifikaci ISO 27001. Vaše povinnosti jsou stanoveny před vámi. Zbývá vám jen přihlásit se tečkovanou čarou.

ISO již nevyžaduje, aby vyhovující společnosti používaly pouze ovládací prvky, které odpovídají výše uvedeným kategoriím. Seznam je skvělým místem, kde začít, pokud však právě začínáte položit základy ISMS vaší společnosti.

Příbuzný: Jak zlepšit svou všímavost pomocí dobrých bezpečnostních postupů

Měla by být moje společnost auditována?

To záleží. Pokud jste velmi malý start-up pracující v oblasti, která není citlivá nebo vysoce riziková, můžete pravděpodobně vydržet, dokud nebudou vaše plány do budoucna jistější.

Později, jak se váš tým rozrůstá, můžete se ocitnout v jedné z následujících kategorií:

• Možná pracujete s důležitým klientem, který požádá o posouzení vaší společnosti, aby se ujistil, že bude s vámi v bezpečí.
• Možná budete chtít v budoucnu přejít na IPO.
• Již jste se stali oběťmi porušení a musíte znovu promyslet způsob, jakým spravujete a chráníte data své společnosti.

Předpovědi pro budoucnost nemusí být vždy snadné. I když se v žádném z výše uvedených scénářů nevidíte, nebolí to být proaktivní a začít do svého režimu začleňovat některé doporučené postupy ISO.

Síla je ve vašich rukou

Příprava ISMS na audit je stejně snadná jako potřeba náležité péče, i když pracujete dnes. Dokumentace by měla být vždy udržována a archivována, aby vám poskytla důkazy, že budete muset zálohovat svá tvrzení o způsobilosti.

Je to jako na střední škole: uděláte si domácí úkol a dostanete známku. Zákazníci jsou v bezpečí a zdraví a váš šéf je s vámi velmi spokojený. Jedná se o jednoduché návyky, které se musíte naučit a dodržovat. Poděkujete si později, až nakonec zavolá muž se schránkou.

Nejlepší 4 trendy v kybernetické bezpečnosti, na které si musíte dávat pozor v roce 2021 a dále

Zde jsou kybernetické útoky, na které musíte dávat pozor v roce 2021, a jak se můžete vyhnout jejich oběti.

Přečtěte si další

O autorovi