Bu titiz standartlar koleksiyonu, denetçilerin bir şirketin güvenliğini değerlendirmelerini sağlar. İşte bilmeniz gereken her şey.
Metalaştırılmış veri dünyamızda, siber güvenlik standartlarının gökyüzü yüksek ve keskin olması gerekir. Çoğu şirket, hemen teknoloji ile ilgili olmasa bile, sonunda kendilerini içeriden kuşatma ihtiyacı ile karşı karşıya kalacaktır.
On yıldan fazla bir süre önce, Uluslararası Standartlar Örgütü ISO 27001 adlı bir şartnameyi kabul etti. Peki tam olarak nedir? ISO 27001 denetimi, bir kuruluşun iç işleyişleri hakkında bize ne söyleyebilir? Ve şirketinizin denetlenip denetlenmeyeceğine nasıl karar veriyorsunuz?
Bilgi Güvenliği Yönetim Sistemi (ISMS) nedir?
Bir Bilgi Güvenliği Yönetim Sistemi (ISMS), bir kuruluşun veri ihlallerine ve dışarıdan gelen diğer siber tehditlere karşı ana savunma hattıdır.
Etkili bir ISMS, korunan bilgilerin gizli ve güvenli kalmasını, kaynağa sadık kalmasını ve onunla çalışma iznine sahip kişilerin erişebilmesini sağlar.
Yaygın bir hata, bir ISMS'NİN bir güvenlik duvarından veya diğer teknik koruma araçlarından daha fazla olmadığını varsaymaktır. Bunun yerine, tam entegre bir ISMS, şirket kültüründe ve her çalışan, mühendis veya başka bir şekilde mevcuttur. BT Departmanının çok ötesine geçiyor.
Sadece resmi politika ve prosedürden daha fazlası, bu sistemin kapsamı aynı zamanda ekibin sistemi yönetme ve iyileştirme yeteneğini de içerir. Yürütme ve protokolün gerçekte uygulanma şekli her şeyden önemlidir.
Bu, risk yönetimi ve azaltma için uzun vadeli bir yaklaşım benimsemeyi içerir. Bir şirketin müdürleri, özellikle çalıştıkları sektörle ilgili risklere yakından aşina olmalıdır. Bu anlayışla donanmış, buna göre kendi etrafında duvarlar inşa edebilecekler.
ISO 27001 tam olarak nedir?
2005 yılında, Uluslararası Standardizasyon Örgütü (ISO) ve uluslararası elektroteknik Komisyonu (IEC), ilk olarak 10 yıl önce BSI Grubu tarafından kurulan bir güvenlik yönetimi standardı olan BS 7799'u yeniledi.
Şimdi resmi olarak ISO/IEC 27001:2005 olarak bilinen ISO 27001, bilgi güvenliği yönetiminde örnek teşkil eden şirketlere verilen uluslararası bir uyumluluk standardıdır.
Esasen, bir şirketin Bilgi Güvenliği Yönetim Sisteminin karşı tutulabileceği titiz bir standartlar topluluğudur. Bu çerçeve, denetçilerin daha sonra sistemin bir bütün olarak dayanıklılığını değerlendirmelerini sağlar. Şirketler, müşterilerine ve müşterilerine verilerinin duvarlarında güvende olduğuna dair güvence vermek istediklerinde bir denetim yapmayı seçebilirler.
Bu hükümler koleksiyonuna şunlar dahildir: güvenlik politikası, varlık Sınıflandırması, çevre güvenliği, ağ yönetimi, sistem bakımı ve iş sürekliliği planlaması ile ilgili Özellikler.
ISO, tüm bu yönleri orijinal BSI tüzüğünden yoğunlaştırdı ve bunları bugün tanıdığımız versiyona damıttı.
Politikayı kazmak
Bir şirket ISO 27001 denetimine tabi tutulduğunda tam olarak ne değerlendirilir?
Standardın amacı, uluslararası düzeyde etkili ve güvenli bilgi politikasını resmileştirmektir. Bu, gerçekleşmeden önce beladan kaçınmaya çalışan proaktif bir duruşu teşvik eder.
ISO, güvenli bir ISMS'NİN üç önemli yönünü vurgular:
1. Riskin sürekli analizi ve onaylanması: bu, hem mevcut riskleri hem de gelecekte ortaya çıkabilecek riskleri içerir.
2. Sağlam ve güvenli bir sistem: bu, teknik anlamda var olduğu gibi sistemi ve kuruluşun kendisini yukarıda belirtilen risklere karşı korumak için kullandığı güvenlik kontrollerini içerir. Bunlar şirkete ve sektöre bağlı olarak çok farklı görünecek.
3. Liderlerden oluşan özel bir ekip: bunlar aslında organizasyonun savunmasında çalışmak için kontroller yapan insanlar olacak. Sistem sadece dümende çalışanlar kadar etkilidir.
Bu üç önemli katkıda bulunan faktörü analiz etmek, denetçinin belirli bir şirketin güvenli bir şekilde çalışma yeteneğinin daha eksiksiz bir resmini çizmesine yardımcı olur. Sürdürülebilirlik, yalnızca kaba teknik güce dayanan bir ISMS üzerinde tercih edilir.
Mevcut olması gereken önemli bir insan unsuru var. Şirket içindeki kişilerin verileri ve ISMS'LERİ üzerinde kontrol sahibi olma şekli her şeyden önce tutulur. Bu kontroller aslında verileri güvende tutan şeydir.
ISO 27001 Ek A nedir?
Belirli "kontrol" örnekleri endüstriye bağlıdır. ISO 27001'in ek a'sı, şirketlere operasyonlarının güvenliği üzerinde resmi olarak tanınan 114 kontrol aracı sunmaktadır.
Bu kontroller on dört sınıflandırmadan birine girer:
A. 5-bilgi ve güvenlik politikaları: bir şirketin izlediği kurumsallaşmış politika ve prosedürler.
A. 6-Bilgi güvenliğinin organizasyonu: ISMS çerçevesinde kuruluş içinde sorumluluk verilmesi ve uygulanması. Burada, garip bir şekilde, tele-çalışmayı ve şirket içindeki cihazların kullanımını düzenleyen politika dayer almaktadır .
A. 7-İnsan Kaynakları güvenliği: kuruluş içindeki rolleri değiştiren çalışanlar, çalışanlar ve çalışanlar ile ilgilidir. Eğitim ve öğretimde tarama standartları ve en iyi uygulamalar da burada özetlenmiştir.
A. 8-Varlık Yönetimi: işlenen verileri içerir. Varlıklar, bazı durumlarda departman hatlarında bile envanterlenmeli, muhafaza edilmeli ve özel tutulmalıdır. Her bir varlığın mülkiyeti açıkça belirlenmelidir; bu fıkra, şirketlerin kendi iş kollarına özgü bir "Kabul Edilebilir Kullanım Politikası" hazırlamalarını önerir.
A. 9-Erişim Kontrolü: verilerinizi kimlerin kullanmasına izin verilir ve yalnızca yetkili çalışanlara erişimi nasıl sınırlarsınız? Bu, teknik anlamda koşullu izin ayarını veya şirketinizin kampüsündeki kilitli binalara erişimi içerebilir.
A. 10-kriptografi: öncelikle şifreleme ve transit verileri korumanın diğer yolları ile ilgilenir. Bu önleyici tedbirler aktif olarak yönetilmelidir; ISO, kuruluşların şifrelemeyi veri güvenliği ile ilgili derin nüanslı zorlukların hepsine tek bedene uyan bir çözüm olarak düşünmelerini engeller.
A. 11-Fiziksel ve çevresel güvenlik: gerçek bir ofis binasında veya sunucularla dolu küçük, klimalı bir odada olsun, hassas verilerin bulunduğu her yerde fiziksel güvenliği değerlendirir.
A. 12-operasyon güvenliği: şirketinizin işleyişi söz konusu olduğunda iç güvenlik kurallarınız nelerdir? Bu prosedürleri açıklayan belgeler, yeni ortaya çıkan iş ihtiyaçlarını karşılamak için sık sık korunmalı ve gözden geçirilmelidir.
Değişim yönetimi, kapasite yönetimi ve farklı bölümlerin ayrılması bu başlık altındadır.
A. 13-Ağ Güvenliği Yönetimi: şirketinizdeki her sistemi birbirine bağlayan ağların hava geçirmez ve dikkatli bir şekilde bakılması gerekir.
Güvenlik duvarları gibi Catch-all çözümleri, sık doğrulama kontrol noktaları, resmileştirilmiş aktarım politikaları gibi şeylerle desteklendiğinde veya örneğin şirketinizin verilerini işlerken genel ağların kullanımını yasaklayarak daha da etkili hale getirilir.
A. 14-sistem satın alma, geliştirme ve Bakım: şirketinizde zaten bir ISMS yoksa, bu fıkra ideal bir sistemin masaya ne getirdiğini açıklar. Bu, ISMS kapsamının üretim yaşam döngüsünüzün her yönünü kapsadığından emin olmanıza yardımcı olur.
İç güvenli geliştirme politikası, mühendislerinize çalışmalarının başladığı günden itibaren uyumlu bir ürün oluşturmak için ihtiyaç duydukları bağlamı sağlar.
A. 15-tedarikçi Güvenlik Politikası: şirketiniz dışındaki üçüncü taraf tedarikçilerle iş yaparken, onlarla paylaşılan verilerin sızmasını veya ihlal edilmesini önlemek için ne gibi önlemler alınır?
A. 16-Bilgi Güvenliği Olay Yönetimi: işler ters gittiğinde, şirketiniz muhtemelen sorunun gelecekte nasıl bildirilmesi, ele alınması ve önlenmesi gerektiğine dair bir çerçeve sağlar.
ISO, bir tehdit tespit edildikten sonra şirket içindeki otorite figürlerinin hızlı ve büyük önyargılarla hareket etmesini sağlayan misilleme sistemleri arar.
A. 17-iş sürekliliği yönetiminin Bilgi Güvenliği yönleri: faaliyetlerinizi geri dönülmez bir şekilde bozan bir felaket veya başka bir olası olay durumunda, iş normal şekilde devam edene kadar şirketin ve verilerinin refahını korumak için bir plan yapılması gerekecektir.
Buradaki fikir, bir kuruluşun bu gibi zamanlarda güvenliğin sürekliliğini korumanın bir yoluna ihtiyaç duymasıdır.
A. 18-uygunluk: son olarak, bir şirketin ISO 27001 sertifikası gereksinimlerini karşılamak için abone olması gereken sözleşmelerin gerçek sözleşmesine geliyoruz. Yükümlülükleriniz sizden önce ortaya konmuştur. Yapmanız gereken tek şey noktalı çizgiyi imzalamak.
ISO artık uyumlu şirketlerin yalnızca yukarıda listelenen Kategorilere uyan denetimleri kullanmasını gerektirmiyor. Bununla birlikte, şirketinizin ISM'LERİNİN temelini atmaya yeni başlıyorsanız, bu liste başlamak için harika bir yerdir.
Şirketim Denetlenmeli Mi?
Bu duruma göre değişir. Hassas veya yüksek riskli olmayan bir alanda çalışan çok küçük bir başlangıç yapıyorsanız, gelecek için planlarınız daha kesin olana kadar muhtemelen erteleyebilirsiniz.
Daha sonra, ekibiniz büyüdükçe, kendinizi aşağıdaki kategorilerden birinde bulabilirsiniz:
Şirketinizin sizinle güvende olmasını sağlamak için değerlendirilmesini isteyen önemli bir müşteriyle çalışıyor olabilirsiniz.
Gelecekte bir halka arz geçmek isteyebilirsiniz.
Zaten bir ihlalin kurbanı oldunuz ve şirketinizin verilerini nasıl yönettiğinizi ve koruduğunuzu yeniden düşünmeniz gerekiyor.
Geleceği tahmin etmek her zaman kolay olmayabilir. Yukarıdaki senaryolardan herhangi birinde kendinizi görmüyorsanız bile, proaktif olmak ve ISO'NUN önerilen uygulamalarından bazılarını rejiminize dahil etmeye başlamak zarar vermez.
Güç Senin Ellerinde
ISMS'NİZİ bir denetim için hazırlamak, bugün çalıştığınız gibi durum tespiti yapmak kadar basittir. Dokümantasyon her zaman muhafaza edilmeli ve arşivlenmeli, bu da size yetkinlik iddialarınızı yedeklemeniz gerektiğine dair kanıt sunmalıdır.
Tıpkı ortaokulda olduğu gibi: ödevini yapıyorsun ve notu alıyorsun. Müşteriler güvenli ve sağlam ve patronunuz sizinle çok mutlu. Bunlar öğrenmek ve tutmak için basit alışkanlıklardır. Daha sonra panoya sahip adam nihayet aradığında kendine teşekkür edeceksin.
