今日、企業の情報セキュリティ(以下IS)の問題は、世界で最も重要なものの1つです。 また、これは驚くことではありません。多くの国では、個人データを保存および処理する組織の要件が厳しくなっているためです。 現在、ロシアの法律では書類のかなりの部分を保存することが義務付けられています。 同時に、デジタル化の傾向は具体的です。多くの企業はすでに、デジタル形式と紙文書の両方の形式で大量の機密情報を保存しています。
Anti-Malware Analytical Centerの調査によると、回答者の86%が、サイバー攻撃の後、またはユーザーが確立されたルールに少なくとも1年に1回違反した結果、インシデントを解決しなければならないと述べました。 この点で、情報セキュリティに対するビジネスの優先的な注意が必要になりました。
現在、企業の情報セキュリティは、ウイルス対策やファイアウォールなどの複雑な技術的手段であるだけでなく、企業全体の資産、特に情報の管理に対する包括的なアプローチです。 企業には、これらの問題を解決するためのさまざまなアプローチがあります。 今日、このような問題の解決策としての国際標準ISO 27001の実装についてお話ししたいと思います。 ロシア市場の企業にとって、このような証明書の存在は、この問題で高い要件を持っている外国の顧客やパートナーとのやり取りを簡素化します。 ISO 27001は西洋で広く使用されており、情報セキュリティの分野の要件をカバーしています。これは、使用される技術的ソリューションでカバーされるべきであり、ビジネスプロセスの構築を支援します。 したがって、この基準は競争上の優位性となり、外国企業との接点になる可能性があります。
情報セキュリティ管理システム(以下-ISMS)のこの認定は、ISMSの設計のベストプラクティスを集めており、重要なことに、システムの機能、技術的なセキュリティの要件、さらには社内の人事管理プロセスを保証する管理ツールを選択できる可能性を提供しています。 結局のところ、技術的な障害は問題の一部にすぎないことを理解する必要があります。 情報セキュリティの問題では、ヒューマンファクターが大きな役割を果たします。これは、排除または最小化することがはるかに困難です。
あなたの会社がISO 27001に基づいて認証を取得しようとしているなら、あなたはすでにこれを行う簡単な方法を見つけようとしているかもしれません。 がっかりさせる必要があります。簡単な方法はありません。 ただし、国際的な情報セキュリティ要件に組織を準備するのに役立つ特定の手順があります。
1.管理サポートを受ける
これは明白だと思うかもしれませんが、実際にはこの点はしばしば見落とされます。 さらに、これはISO 27001を実装するプロジェクトが失敗することが多い主な理由の1つです。 標準実装プロジェクトの重要性を理解しないと、経営陣は十分な量の人的資源も認証のための十分な予算も提供しません。
2.認証準備計画を作成する
ISO 27001に準拠した認証の準備は、さまざまな種類の作業を含む複雑なタスクであり、多数の人々の関与が必要であり、数か月(または数年)続くことがあります。 したがって、詳細なプロジェクト計画を作成することは非常に重要です。厳密に定義されたタスクにリソース、時間、および人員を割り当て、期限の遵守を監視します。
3.認証の境界を定義する
多様な活動を行う大規模な組織の場合、ISO 27001に従って会社のビジネスの一部のみを認定することはおそらく理にかなっています。これにより、プロジェクトのリスクとタイミングとコストが大幅に削減されます。
4.情報セキュリティポリシーを作成する
最も重要な文書の1つは、会社の情報セキュリティポリシーです。 情報セキュリティの分野における会社の目標と、すべての従業員が順守しなければならない情報セキュリティ管理の基本原則を反映する必要があります。 このドキュメントの目的は、企業の経営者が情報セキュリティの分野で何を達成したいのか、またそれをどのように実装および制御するのかを決定することです。
5.リスク評価の方法論を定義する
最も難しいタスクの1つは、リスクを評価および管理するためのルールを決定することです。 会社がそれ自体で許容できると考えるリスクと、それらを減らすために早急なアクションが必要なリスクを理解することが重要です。 これらのルールがないと、ISMSは機能しません。
同時に、リスクを軽減するために講じられた措置の妥当性を覚えておく価値があります。 しかし、最適化プロセスに夢中になりすぎないでください。これは、とりわけ、多大な時間や経済的コストを伴うか、単に実行不可能になる可能性があるためです。 リスク低減策を開発する際には、「最小充足」原則を使用することをお勧めします。
6.承認された方法論に従ってリスクを管理する
次の段階は、リスク管理方法論の一貫した適用、つまり評価と処理です。 このプロセスは、細心の注意を払って定期的に実行する必要があります。 ISリスク登録を最新の状態に保つことにより、会社のリソースを効率的に配布し、重大なインシデントを防ぐことができます。
7.リスク対応を計画する
会社の許容レベルを超えるリスクは、リスク対応計画に含める必要があります。 リスクを軽減することを目的としたアクション、およびそれらの責任と条件を含むアクションを含める必要があります。
8.適用ステートメントに記入します
これは、監査中に認証機関の専門家によって研究される重要な文書です。 情報セキュリティの分野でどのような制御メカニズムがあなたの会社の活動に適用できるかを説明する必要があります。
9. ISコントロールの有効性の測定方法を決定します。
すべてのアクションは、確立された目標の達成につながる結果を持つ必要があります。 したがって、IS管理システム全体と、Applicability Appendixから選択された各制御メカニズムの両方について、目標の達成を測定するパラメーターを明確に決定することが重要です。
10. IS管理ツールを展開する
そして、前のすべてのステップの実装後にのみ、Applicability Appendixから該当するIS管理ツールの実装を開始する必要があります。 ここでの最大の難点は、もちろん、組織の多くのプロセスにまったく新しい行動方針を導入することです。 人々は通常、新しいポリシーと手順に抵抗するため、次の段落に注意を払ってください。
11.従業員トレーニングプログラムを導入する
従業員がプロジェクトの重要性を理解しておらず、ISポリシーに従っていない場合、上記のすべてのポイントは無意味になります。 スタッフにすべての新しいルールを順守させたい場合は、まず人々に必要な理由を説明し、次にISMSトレーニングを実施して、従業員が日常業務で考慮する必要があるすべての重要なポリシーを強調する必要があります。 ISO 27001に準拠したプロジェクトの失敗の一般的な原因は、スタッフのトレーニング不足です。
12. ISMSプロセスをサポートする
この時点で、ISO 27001が日常業務になります。 規格に準拠したIS管理ツールの実装を確認するには、監査人は記録-制御メカニズムの実際の動作の証拠を提供する必要があります。 しかし何よりもまず、記録は、従業員(およびサプライヤ)が承認されたルールに従ってタスクを実行しているかどうかを追跡するのに役立ちます。
13. ISMSを監視する
ISMSで何が起こっていますか? インシデントはいくつありますか、どのようなインシデントですか? すべての手順は適切に実行されていますか? これらの質問で、会社が情報セキュリティの目標を達成しているかどうかを確認する必要があります。 そうでない場合は、改善計画を作成する必要があります。
14. ISMS内部監査を実施する
内部監査の目的は、会社の実際のプロセスと承認された情報セキュリティポリシーとの間の矛盾を識別することです。 ほとんどの場合、これは従業員が規則をどのように遵守するかのテストです。 これは非常に重要なポイントです。スタッフの作業を管理しないと、組織が破損する可能性があるためです(意図的または非意図的)。 しかし、ここでのタスクは、加害者を見つけて、ポリシーの違反に対して懲戒処分を課すことではなく、状況を修正して将来の問題を防ぐことです。
15.マネジメントレビューの整理
管理者はファイアウォールを設定するべきではありませんが、ISMSで何が起こっているかを知っている必要があります。たとえば、すべての責任を果たし、ISMSは意図した結果を達成します。 これに基づいて、経営陣は、ISMSおよび内部ビジネスプロセスを改善するための重要な決定を行う必要があります。
16.是正措置および予防措置のシステムを導入する
他の標準と同様に、ISO 27001には「継続的な改善」、つまり情報セキュリティ管理システムの一貫した修正と矛盾の防止が必要です。 是正措置と予防措置の助けを借りて、不一致を修正し、将来の再発を防ぐことができます。
結論として、実際には、認証はさまざまな情報源で説明されているよりもはるかに難しいと言いたいと思います。 確認は、ロシアでは今日、コンプライアンスの認定に合格した企業は78社のみであるという事実です。 同時に、海外では、情報セキュリティビジネスの高まる需要を満たす最も人気のある標準の1つです。 この実装の需要は、脅威の種類の増加と複雑さだけでなく、法律の要件、およびデータの完全な機密性を維持する必要がある顧客にも起因しています。
ISMSの認証は簡単な作業ではありませんが、国際規格ISO / IEC 27001の要件を満たすという事実は、グローバル市場で深刻な競争上の優位性をもたらします。 私たちの記事が、企業の認証準備の主要な段階を最初に理解したことを願っています。