I vår värld av kommodifierade data måste cybersäkerhetsstandarder vara skyhöga och knivskarpa. De flesta företag, även om de inte är tekniskt relaterade, kommer så småningom att stöta på behovet av att binda sig inifrån.

För mer än ett decennium sedan antog Internationella standardiseringsorganisationen en specifikation som heter ISO 27001. Så vad är det exakt? Vad kan en ISO 27001-revision berätta om en organisations inre bearbetning? Och hur bestämmer du om ditt företag ska granskas?

Vad är ett ISMS (Information Security Management System)?

Ett informationssäkerhetshanteringssystem (ISMS) är en organisations huvudförsvar mot dataintrång och andra typer av cyberhot från utsidan.

Ett effektivt ISMS säkerställer att informationen som skyddas förblir konfidentiell och säker, trogen mot källan och tillgänglig för de människor som har tillstånd att arbeta med den.

Ett vanligt misstag är att anta att ett ISMS inte utgör mer än en brandvägg eller annat tekniskt skydd. Istället är ett helt integrerat ISMS lika närvarande i företagets kultur och hos varje anställd, ingenjör eller annat. Det går långt utöver IT-avdelningen.

instagram viewer

Mer än bara officiell policy och procedur inkluderar omfattningen av detta system också teamets förmåga att hantera och förfina systemet. Utförande och hur protokollet faktiskt tillämpas är av största vikt.

Detta innebär att man tar ett långsiktigt förhållningssätt till riskhantering och riskreducering. Ett företags rektorer måste vara väl förtrogna med alla risker som är förknippade med branschen som de arbetar specifikt med. Beväpnad med denna insikt kommer de att kunna bygga väggarna runt sig i enlighet med detta.

Vad är ISO 27001, exakt?

2005, International Organization for Standardization (ISO) och International Electrotechnical Kommissionen (IEC) moderniserade BS 7799, en säkerhetshanteringsstandard som först upprättades av BSI-gruppen i tio år tidigare.

Nu officiellt känd som ISO / IEC 27001: 2005, är ISO 27001 en internationell standard för efterlevnad som tilldelas företag som är exemplariska i informationssäkerhetshantering.

I grund och botten är det en rigorös samling av standarder som ett företags informationssäkerhetshanteringssystem kan hållas emot. Detta ramverk gör det möjligt för revisorer att sedan utvärdera systemets uthållighet som helhet. Företag kan välja att göra en granskning när de vill försäkra sina kunder och kunder att deras data är säkra inom deras murar.

Inkluderat i denna samling av bestämmelser är: specifikationer angående säkerhetspolicy, tillgång klassificering, miljösäkerhet, nätverkshantering, systemunderhåll och företagskontinuitet planera.

ISO kondenserade alla dessa aspekter från den ursprungliga BSI-stadgan och destillerade dem till den version som vi känner igen idag.

Gräva in i policyn

Vad utvärderas exakt när ett företag genomgår en ISO 27001-granskning?

Standardens mål är att formalisera effektiv och säker informationspolicy internationellt. Det stimulerar en proaktiv hållning, en som försöker undvika problem innan det händer.

ISO betonar tre viktiga aspekter av en säker ISMS:

1. Konstant analys och erkännande av risk: detta inkluderar både aktuella risker och risker som kan presentera sig i framtiden.

2. Ett robust och säkert system: detta inkluderar systemet så som det existerar i teknisk mening, liksom alla säkerhetskontroller som organisationen använder för att skydda sig mot ovannämnda risker. Dessa kommer att se väldigt olika ut, beroende på företag och bransch.

3. Ett hängivet team av ledare: det här är de människor som faktiskt sätter kontroller för att försvara organisationen. Systemet är bara lika effektivt som de som arbetar vid rodret.

Analys av dessa tre viktiga bidragande faktorer hjälper revisorn att måla en mer fullständig bild av ett visst företags förmåga att fungera säkert. Hållbarhet gynnas framför ett ISMS som endast bygger på brute teknisk kraft.

Relaterad: Hur man hindrar anställda från att stjäla företagsdata när de lämnar

Det finns ett viktigt mänskligt element som måste vara närvarande. Det sätt som människor inom företaget utövar kontroll över sina data och deras ISMS hålls framför allt annat. Dessa kontroller är det som faktiskt håller data säkra.

Vad är bilaga A till ISO 27001?

Specifika exempel på "kontroller" beror på branschen. Bilaga A till ISO 27001 erbjuder företag 114 officiellt erkända sätt att kontrollera säkerheten i deras verksamhet.

Dessa kontroller faller i en av fjorton klassificeringar:

A.5—Informations- och säkerhetspolicyer: de institutionaliserade policyer och rutiner som ett företag följer.

A.6—Organisation av informationssäkerhet: ansvarsuppdrag inom organisationen med avseende på ISMS-ramen och dess genomförande. Innehållet här, konstigt nog, är också policy som styr distansarbete och användning av enheter inom företaget.

A.7—Human Resource Security: gäller ombordstigning, ombordstigning och att anställda byter roller inom organisationen. Screeningsstandarder och bästa praxis inom utbildning beskrivs också här.

A.8—Kapitalförvaltning: innebär att data hanteras. Tillgångar måste inventeras, underhållas och hållas privata, även i flera avdelningar. Äganderätten till varje tillgång måste fastställas tydligt. denna klausul rekommenderar att företag utarbetar en policy för "acceptabel användning" som är specifik för deras bransch.

A.9—Åtkomstkontroll: vem har rätt att hantera dina uppgifter, och hur begränsar du tillgången till endast auktoriserade anställda? Detta kan inkludera villkorlig tillståndsinställning i teknisk mening eller tillgång till låsta byggnader på ditt företags campus.

A.10—Kryptografi: handlar främst om kryptering och andra sätt att skydda data under transport. Dessa förebyggande åtgärder måste hanteras aktivt. ISO avskräcker organisationer från att betrakta kryptering som en lösning för alla de djupt nyanserade utmaningar som är kopplade till datasäkerhet.

A.11—Fysisk och miljösäkerhet: bedömer den fysiska säkerheten för var känslig data finns, vare sig det är i en verklig kontorsbyggnad eller i ett litet, luftkonditionerat rum fullt av servrar.

A.12—Operations säkerhet: vilka är dina interna säkerhetsregler när det gäller driften av ditt företag? Dokumentation som förklarar dessa förfaranden bör upprätthållas och revideras ofta för att möta nya, framväxande affärsbehov.

Ändringshantering, kapacitetshantering och separering mellan olika avdelningar faller under denna rubrik.

A.13—Nätverkssäkerhetshantering: nätverk som ansluter varje system inom ditt företag måste vara lufttäta och noggrant omhändertagna.

Catch-all-lösningar som brandväggar görs ännu mer effektiva när de kompletteras med saker som frekventa verifieringskontroller, formaliserade överföringspolicyer eller av förbjuder användningen av offentliga nätverk medan du till exempel hanterar ditt företags data.

A.14—Systemförvärv, utveckling och underhåll: om ditt företag inte redan har ett ISMS på plats förklarar denna klausul vad ett idealiskt system ger till bordet. Det hjälper dig att se till att ISMS omfattar alla aspekter av din produktions livscykel.

En intern policy för säker utveckling ger dina ingenjörer sammanhanget att de behöver bygga en kompatibel produkt från den dag då deras arbete börjar.

A.15—Policy för leverantörer: när du gör affärer med tredjepartsleverantörer utanför ditt företag, vilka försiktighetsåtgärder vidtas för att förhindra läckage eller intrång i den information som delas med dem?

A.16—Informationssäkerhetshändelsehantering: när saker går fel ger ditt företag sannolikt en ram för hur problemet ska rapporteras, åtgärdas och förhindras i framtiden.

ISO letar efter vedergällningssystem som gör det möjligt för myndighetspersoner inom företaget att agera snabbt och med stora fördomar efter att ett hot har upptäckts.

A.17—Informationssäkerhetsaspekter av företagskontinuitetshantering: i händelse av en katastrof eller någon annan osannolik händelse som stör din verksamhet oåterkalleligt, en plan måste vara på plats för att bevara företagets välbefinnande och dess uppgifter tills verksamheten återupptas som vanligt.

Tanken är att en organisation behöver något sätt att bevara säkerhetens kontinuitet genom tider som dessa.

A.18—Överensstämmelse: slutligen kommer vi till det faktiska avtalet om avtal som ett företag måste teckna för att uppfylla kraven för ISO 27001-certifiering. Dina skyldigheter anges framför dig. Allt som återstår för dig att göra är att logga på den streckade linjen.

ISO kräver inte längre att kompatibla företag endast använder kontroller som passar in i kategorierna ovan. Listan är dock ett utmärkt ställe att börja om du bara börjar lägga grunden för ditt företags ISMS.

Relaterad: Hur du kan förbättra din mindfulness med god säkerhetspraxis

Ska mitt företag granskas?

Det beror på. Om du är ett mycket litet företag som arbetar inom ett område som inte är känsligt eller högrisk, kan du förmodligen hålla ut tills dina framtidsplaner är mer säkra.

Senare, när ditt team växer, kan du befinna dig i en av följande kategorier:

  • Du kanske arbetar med en viktig kund som ber ditt företag att bedömas för att säkerställa att de är säkra hos dig.
  • Du kanske vill gå över till en börsintroduktion i framtiden.
  • Du har redan blivit offer för ett brott och måste tänka om hur du hanterar och skyddar ditt företags data.

Prognoser för framtiden kanske inte alltid är enkla. Även om du inte ser dig själv i något av ovanstående scenarier skadar det inte att vara proaktiv och att börja integrera några av ISO: s rekommenderade metoder i din regim.

Kraften ligger i dina händer

Att förbereda ditt ISMS för en granskning är lika enkelt som att göra due diligence, även som du arbetar idag. Dokumentation bör alltid underhållas och arkiveras, vilket ger dig bevis för att du behöver säkerhetskopiera dina krav på kompetens.

Det är precis som i gymnasiet: du gör läxorna och får betyget. Kunderna är säkra och sunda, och din chef är mycket nöjd med dig. Det här är enkla vanor att lära sig och behålla. Du kommer att tacka dig själv senare när mannen med ett urklipp äntligen kommer och ringer.

E-post
De 4 bästa cybersäkerhetstrenderna att se upp för 2021 och därefter

Här är de cyberattacker du behöver hålla ett öga på 2021 och hur du kan undvika att bli offer för dem.

Läs Nästa

Relaterade ämnen
  • säkerhet
  • Datorsäkerhet
  • Datasäkerhet
Om författaren
Emma Garofalo (31 artiklar publicerade)

Emma Garofalo är författare som för närvarande är baserad i Pittsburgh, Pennsylvania. När hon inte sliter sig vid skrivbordet för att få en bättre morgondag kan hon vanligtvis hittas bakom kameran eller i köket.

Mer från Emma Garofalo

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Ett steg till…!

Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.

.