Q:
Come diventiamo ISO 27001
La mia risposta:?
Oggi, la maggior parte delle organizzazioni decidono di diventare ISO 27001 certificata dalla pressione da parte dei clienti o del mercato o hanno a che fare con i clienti “importanti” e vogliono dimostrare che sono in grado di gestire le informazioni. Sempre più spesso ci sono requisiti di RFQ, quando si tratta di appalti pubblici e il rispetto della normativa, ad esempio HIPPA. Questi tipi di requisiti non andrà via e possono diventare sempre più importante. La certificazione ISO 27001 risponde a queste domande con il minimo sforzo.
ISO 27001 è uno standard del sistema di gestione per il controllo della sicurezza delle informazioni è necessario definire e documentare procedure e processi “garantire” la gestione delle informazioni.
Quando si lavora in ISO 27001, molte organizzazioni si affacciano sulla parte del sistema di gestione e di concentrarsi sul rafforzamento della sicurezza delle informazioni. Questo è un errore. La verità è che ISO 27001 non richiede alcuna particolare la sicurezza tecnica o le prestazioni di sicurezza delle informazioni. Teoricamente si potrebbe avere molto scarsa sicurezza delle informazioni e ancora ottenere la certificazione ISO 27001.
Management dovrebbero sarà disposto a fare ISO 27001, in quanto dà loro una comprensione oggettiva della prospettiva Sicurezza delle informazioni, senza impegnarsi a spendere quantità non specificate di denaro per la sicurezza.
Informazioni di sicurezza personale dovrebbero essere disposti a fare la ISO 27001, come la consapevolezza dell’importanza della sicurezza delle informazioni si estende e chiaramente assegnare la responsabilità ultima per la gestione dell’organizzazione.
È la certificazione dopo una verifica di successo da parte di un organismo di certificazione accreditato. Al fine di soddisfare la revisione deve scrivere le procedure e definire i processi che descrivono il vostro approccio a condurre una valutazione del rischio di sicurezza delle informazioni. Ci sono altre regole che forniscono informazioni su come fare una valutazione del rischio, ma se non avete intenzione di investire in uno strumento di valutazione del rischio basata su computer, Excel fornisce un eccellente meccanismo. Microsoft ha anche uno strumento di valutazione del rischio che potrebbe essere utilizzato, ma l’enfasi è su “keep it simple”.
Il processo di valutazione dei rischi deve essere globale e includere criteri per il calcolo del rischio e un ciclo di rivalutazione, una volta che hanno preso misure correttive.
Alcuni altri processi devono essere in atto, come pure, tra un processo formale per affrontare gli incidenti di sicurezza (o quasi) si verificano, una procedura di riesame e generare una dichiarazione di applicabilità (definizione del controlli di sicurezza sono applicabili e spiegare), piani di emergenza e di un processo di avere contatti e la conoscenza della normativa di sicurezza delle informazioni.
Inoltre, è necessario tutti i processi di supporto e le procedure in atto per assicurarsi che il sistema rimane gestione efficace tra cui il controllo dei documenti, il controllo record, riesame della direzione, definizione degli obiettivi, formazione, audit interno e le azioni correttive e preventive.
Tutti questi processi e le procedure di lavoro da una gestione globale e coerente sistema assicura la consapevolezza, la responsabilità e il controllo sulla sicurezza delle informazioni.
Nonostante concentrandosi su controlli di sicurezza è sbagliato (sia dal punto di vista della gestione e certificazione), che non può essere ignorato. Ci sono circa 173 requisiti di controllo identificate sicurezza delle informazioni a ISO 27001 (e ampliato in ISO 27002) la gestione dei controlli di accesso fisico Problemi di risorse umane (ad esempio contratti di lavoro) per controlla lo sviluppo di software di rete e controlli tecnici operativi per la pianificazione legale e contingenza. Tali requisiti devono essere rivisti e resi decisioni consapevoli su come verranno applicate (o non). Tutti questi pareri e le decisioni devono essere registrati e tracciabile.
No controllo individuale (o gruppo di controllo) sono obbligatori, a condizione che la gestione assume alcuna responsabilità per i rischi residui esistenti. In pratica, il sistema di controllo di sicurezza delle informazioni deve essere “adeguato” o è probabile un organismo di certificazione auditor di certificazione deve consigliare a disagio. Una volta che tutto è in funzione di una valutazione di certificazione deve essere completato.