Clever Geek Handbook

5 مراحل من الاعتماد الحتمي لشهادة ISO / IEC 27001. صفقة

المرحلة الثالثة من الاستجابة العاطفية للتغيير هي المساومة. بعد أن تعاملنا مع عنصر الغضب والعاطفة لدينا ، بدأنا نفكر في ما يجب فعله حقًا لكي يعمل كل شيء لصالحنا. حان الوقت لدراسة المعيار بمزيد من التفصيل ، وتطبيقه على وضعنا الحالي وتكييف متطلباته لشركتنا. هنا كان من المهم القيام بـ "القليل من الدم" مع تلبية متطلبات المعيار. يجب أن تكون أي تغييرات كافية - أي بما يتناسب مع المخاطر المقابلة. يجب ألا تتجاوز تكلفة الحماية الضرر المحتمل من تحقيق المخاطر.



صورة



في هذا المسار ، كان علينا حل العديد من الأسئلة التي لم نواجهها من قبل:



اختيار أداة للعمل في مكتبة السياسات



السؤال الأول (الذي يبدو بسيطًا جدًا) الذي واجهناه هو مكان إنشاء وكيفية تخزين جميع المستندات اللازمة لنظام إدارة أمن المعلومات؟ لقد كان من الأهمية بمكان بالنسبة لنا الحفاظ على إصدار المستندات وأن نكون قادرين على "التراجع" عن نسخة السياسة لعدة مراجعات. بعد مراجعة العروض في السوق ، استقرنا على Confluence wiki - ونستخدمه حتى يومنا هذا.



يمكننا استخدام git كنظام إصدار (التحكم في الإصدار) ، ولكن لراحة المستخدمين ، اخترنا حل البوابة (Confluence). تمكنا من قصر أنفسنا على الإصدار المجاني (حتى 10 مستخدمين مصرح لهم): لم نعد بحاجة إلى المزيد ، حيث يمكن للمستخدمين غير المصرح لهم عرض المكتبة.



إعداد خطة التنفيذ



لم نطبق هنا أي طرق إبداعية - لقد طلبنا ببساطة من مستشارنا قائمة بالسياسات الضرورية ، وعيننا أشخاصًا مسؤولين عن كتاباتهم وموافقتهم ، ووضعنا التواريخ الرئيسية وجعلناها جميعًا على شكل مخطط جانت (الذي تم تحميله أيضًا إلى Confluence).



تقييم مخاطر الشركة



من الواضح أنه من أجل اختيار وسائل الحماية ، كنا بحاجة إلى تقييم المخاطر (من أجل إنفاق الموارد فقط عند الحاجة إليها حقًا). للقيام بذلك ، أنشأنا قائمة بأصول الشركة التي نخطط لحمايتها - تضمنت كل من الأصول المادية (محطات العمل ، والخوادم ، والمستندات الورقية ، وما إلى ذلك) وغير الملموسة (معلومات العميل في شكل إلكتروني وكلمات مرور وما إلى ذلك) ).



بمساعدة فريق من الخبراء ، تم تعيين قيمة محددة لكل أصل. علاوة على ذلك ، قمنا بربط كل أصل واحد أو عدة مخاطر قد يتعرض لها هذا الأصل (على سبيل المثال ، قد تتم سرقة المستندات الورقية أو إتلافها ، وما إلى ذلك). ثم قمنا بتقييم أهمية كل خطر كمنتج من معلمتين: احتمالية الخطر وأهمية عواقب تحقيق المخاطر.



بعد تصنيف المخاطر إلى مجموعات ، فهمنا أي منهم يجب أن نعمل معه في المقام الأول:







1. الثغرات في معرفة الموظفين



كان الخطر الأكثر شيوعًا هو العامل البشري. بالإضافة إلى ذلك ، تم اعتمادنا لأول مرة ، لذلك كان لدينا سؤال عن تعليم أساسيات أمن المعلومات. بعد أن قمنا بالفعل بتطوير البرنامج ، واجهنا مشكلة أتمتة هذه العملية والتحكم في المعرفة المتبقية. نتيجة لذلك ، بدأنا في استخدام نظام الاختبار الذي قمنا ببنائه في بوابة شركتنا.



2. نقص في قوة الحوسبة الاحتياطية



تتطلب هذه المشكلة موارد مالية وبشرية كبيرة ، لذا كان من الخطأ تركها في النهاية. لقد اخترنا موقعًا لدعم خدماتنا الرئيسية: في المرحلة الأولية ، استخدمنا IaaS (البنية التحتية كخدمة) ، مما سمح لنا بسرعة وضع احتياطي الخدمات الرئيسية للشركة ووضع الميزانية ؛ في وقت لاحق قمنا بشراء معدات إضافية وقمنا بإنشاء احتياطي في مركز بيانات منفصل (موقع مشترك). وبالتالي ، تخلينا عن الحل "السحابي" لصالح مركز البيانات نظرًا لكمية البيانات الكبيرة.



3. السيطرة على "المستخدمين الفائقين" ، وكذلك على أولئك الذين يعملون مع المعلومات "الخاصة والحساسة"



وبعبارة أخرى ، كنا بحاجة إلى فرض السيطرة على المستخدمين الذين لديهم وصول واسع النطاق إلى المعلومات السرية. قمنا بحل هذه المشكلة بمساعدة نظام DLP. لقد اخترنا البرنامج المحلي StaffCop بسبب سعره المعقول والدعم الفني الجيد.



سياسات الكتابة



هنا قمنا بتوصيل جميع الموارد الممكنة:

- استخدام سياسات الشركات الأخرى الموجودة في المجال العام ؛

- طلب أمثلة على السياسات من مستشار التنفيذ لدينا ؛

- تأليف نصوص السياسات بشكل مستقل بناء على متطلبات المواصفة.
في النهاية ، كان ثالث (المسار الأكثر صعوبة) هو الأفضل. لقد استغرق الأمر وقتًا طويلاً ، ولكننا في النهاية تلقينا مستندات جيدة الصياغة ، خاصة لشركتنا. لذا عند الخروج ، حصلنا على 36 سياسة أساسية لنظام إدارة أمن المعلومات .



توزيع الأدوار



من الواضح أنه لم تكن جميع هذه السياسات ضرورية حقًا لموظفينا في عملهم اليومي. لكي لا نجبرهم على القراءة كثيرًا ، قمنا بما يلي: تم تعيين دور أو أكثر لكل موظف في ISMS. كان هناك 5 منهم في المجموع:







جميع الموظفين على الإطلاق لديهم دور واحد على الأقل - "المستخدم".



في جواز سفر كل دور ، حددنا المسؤوليات المقابلة في مجال أمن المعلومات مع إرفاق قائمة بالسياسات التي يجب على الموظف الذي له دور معين الالتزام به. أيضًا ، من أجل الراحة ، قمنا بعمل هيكل تنظيمي رسومي للشركة يشير إلى أدوار كل موظف عليها.



إشراك الزملاء



بالإضافة إلى مدير المشروع ورئيس قسم تكنولوجيا المعلومات / نظم المعلومات ، شارك مدير العمليات في الشركة في تقييم المخاطر ووصف متطلبات أصحاب المصلحة. استغرق الأمر مشاركة كبيرة من رئيس قسم الموارد البشرية - احتاجت إلى وصف دورة الحياة الكاملة للموظف في السياسة: من طلب الحصول على وظيفة شاغرة إلى الفترة التي تلي فصله. لحسن الحظ ، فهم جميع زملائنا أهمية الشهادة وذهبوا لمقابلتنا.



الجوانب التقنية



خلال عملية التحضير ، أدركنا أنه من أجل تلبية متطلبات المعيار ، نحتاج على الأقل إلى ما يلي:

  • نقل الخوادم إلى مركز بيانات خارجي ؛
  • تجهيز جميع المكاتب بنظام ACS (التحكم في الوصول ونظام الإدارة).
في المستقبل ، تمت إضافة العديد من الأشياء الأخرى إلى هاتين النقطتين: إدخال نظام منع فقدان البيانات (DLP) ، وإطلاق مركز بيانات النسخ الاحتياطي ، وإدخال إذن ثنائي العامل ، وما إلى ذلك.



وبالتالي ، من أجل تكييف متطلبات المعيار مع شركتنا ، كان علينا أن نقوم بقدر كبير من العمل.



في المواد السابقة:



5 مراحل حتمية لاعتماد شهادة ISO / IEC 27001. الرفض : مفاهيم خاطئة حول شهادة ISO 27001: 2013 ، استحسان الشهادة /

5 مراحل من حتمية شهادة ISO / IEC 27001. الغضب : من أين تبدأ؟ بيانات أولية. نفقات. اختيار مزود.


More articles:


All Articles