Kaip užtikrinti, kad šie pasitikėjimo santykiai tęstųsi abiejų labui? Pirmiausia siūlant konkurencingus produktus ir paslaugas kokybės ir kainos atžvilgiu bei užtikrinant savalaikę ir individualizuotą pagalbą ir palaikymą prieš ir po įsigijimo. Tačiau dažnai pamiršamas dar vienas elementas: skaitmeninių procesų eroje tiekėjui būtina garantuoti informacijos ir duomenų saugumas sutartys: aspektas, kuris tampa labai svarbus dirbantiems IT paslaugų srityje.
Štai kodėl jie yra tokie svarbūs informacijos saugumo valdymas ir su ja susijusi norma: UNI CEI ISO / IEC 27001, parašyta 2005 ir pataisyta 2013 (italų kalba yra 2014 versija).
Rizika pakenkti informacijai ir duomenims šiandien iš tiesų yra labai didelė: tik pagalvokite apie kasdienes naujienas apie įsilaužimo veiksmus, privatumo pažeidimus ir sukčiavimo praktiką. Remiantis „Clusit“ ataskaita (čia komentavo „Tech Economy“), 2016 buvo patys blogiausi metai dėl padidėjusių kibernetinių atakų, ypač didelio masto platinimo sektoriuose (+ 70%, palyginti su ankstesniais metais) ir bankuose (+ 64%). Bendra elektroninių nusikaltimų veikla būtų padidėjusi 9,8%. 22% įmonių taip pat praneša, kad dėl šios nusikalstamos veiklos prarado klientus, o 29% prarado pajamų dalis (beveik 3 10). Ir ne tik sąmoningi veiksmai turėtų atkreipti įmonių dėmesį į kompiuterių saugumą. Tiesą sakant, jei į kai kuriuos įvykius atsižvelgsime kur kas įprasčiau įmonės gyvenime, suvoksime riziką, kad sklinda mūsų skaitmeninė informacija: energijos įtampos svyravimai, IT struktūros gedimai, fizinės avarijos į patalpas ...
tada, Tie, kurie įgyvendina prevencijos procedūras, saugo savo verslą ir organizacijų, kurių duomenimis ji susijusi.
Labiausiai rūpestingos įmonės saugo save ir savo klientus, sertifikuodamos save pagal standartą UNI CEIISO / IEC 27001: 2014: siekiama pateikti reikalavimus „sukurti, įgyvendinti, prižiūrėti ir nuolat tobulinti a informacijos saugumo valdymo sistema organizacijos kontekste ", 27001 yra UNI CEI ISO / IEC 27000 standartų šeimos dalis: standartų rinkinys, kurį kartu paskelbė Tarptautinė standartizacijos organizacija (ISO) ir Tarptautinė elektrotechnikos komisija (IEC) ir kurie yra susiję su gaminio saugos valdymo sistema. informacija.
Sertifikavimas pagal UNI CEI ISO / IEC 27001 nėra įpareigojimas, tačiau neabejotinai šį kelią einanti įmonė siūlo sau ir savo klientams saugos perteklių. Galima sekti sertifikavimo procesą organizacijos iš visų produktų sektorių ir visų dydžių.
UNI CEI ISO/IEC 27001 defipirmiausia serija reikalavimai kuriuos organizacija turi turėti, kad gautų sertifikatą: tai sąmoningai bendrieji parametrai (kaip matysime jų formulavime), būtent tai, kad visi sektoriai galėtų nuleisti bendrus principus savo verslo kontekste.
Didžiausias dėmesys skiriamasišankstinis galimos rizikos nustatymas susijusią informaciją, laikomą ir naudojamą organizacijoje ir vėliau definicija a informacijos saugumo valdymo sistema (Informacijos saugumo valdymo sistema angliškai, ISMS). Tačiau įmonių užduotis čia nesibaigia.
Faktiškai UNI CEI ISO / IEC 27001 standartas atitinka logiką PDCA (Planuok - daryk - patikrink - aktas): todėl ne linijinis rizikos valdymas, bet ciklinis, žiūrint iš nuolatinis proceso tobulinimas. Tai reiškia, kad prie defirizikos rimtumo apibrėžimas ir jų gydymas, po to nustatytos sistemos veiksmingumo ir jos pakartotinio stebėjimas.defianalizuojant ir peržiūrint gautus duomenis. Ir taip toliau.
Jei suprantamas bendrasis principas ir įvertinama galimybė tam tikru metu stebėti procesą, įmonė pateikiametinis auditas gauti pažymėjimą arba jį atnaujinti. Auditą atlieka trečiosios šalies sertifikavimo įstaiga, kurią pasirenka ta pati organizacija, jei ji yra akredituota ir yra duomenų bazėje. Accredia.
Su kokiu metodu defibaigti ir įvertinti riziką susijusios su informacijos, kuri gali būti reikalinga mūsų įmonei, saugumu? Visų pirma, norint įsitikinti, ar gausybė informacijos turi būti trys: konfidencialumas, vientisumas, prieinamumas.
Atsižvelgiant į taisyklės bendrumą, kiekviena įmonė turės įvertinti riziką, atsižvelgdama į savo organizacinį verslo kontekstą, ir nuspręsti, kaip ją įvertinti ir traktuoti pasitelkiant rizikos valdymo procesą.
Mes matėme, kad skaitmeninių procesų epochoje sertifikavimas pagal UNI CEI ISO / IEC 27001 yra strateginis turtas įmonei ir jos pačios informacijos, o juo labiau klientų, saugumui. Matėme, kad įstatymų nustatyti principai yra bendro pobūdžio, kad juos būtų galima lengvai pritaikyti visuose sektoriuose. Todėl, kaip būtinai laikytis reikalavimai nustatytas pagal standartą? Net jei norma nėra definustato griežtus ir nedviprasmiškus kriterijus rizikos valdymas, nustatomi reikalavimai, kurie turi būti taikomi ir taikomi kiekvienoje įmonėje (apimančioje teksto taškus 4 – 10):
Kita nuoroda yra tadaA priedėlis, Kontrolės tikslai ir kontrolinės kontrolės priemonės. Šiame skyriuje išvardyti saugos kontrolės priemonės, kurios turi būti įdiegtos, tiesiogiai paimtos iš UNI CEI ISO/IEC 27002:2013 5–18 skyriuose ir turi būti įdiegtos įmonėje, kuri turi būti sertifikuota. Kiekvienoje kontrolės kategorijoje yra: kontrolės tikslas, kurį reikia pasiekti, ir kontrolės priemonės, kurios gali būti taikomos šiam tikslui pasiekti. Pavyzdžiui: teikti gaires ir valdymo paramą informacijos saugumui; užtikrinti, kad darbuotojai ir rangovai suprastų savo atsakomybę už informacijos saugumą; inventorizuoti su informacija susijusį įmonės turtą e defipaskirti vadovą; ir taip toliau.
-
Daugiau informacijos apie UNI CEN ISO / IEC 27001 galima rasti tinklalapyje Tarptautinės standartizacijos organizacijos svetainė: atrodo, kad informacijos saugumas yra pagrindinis įmonės produktyvumo elementas ir kad 27001 yra tikras turtas, garantuojantis Verslo tęstinumas savo ir klientų.
autorius Paolo Ravalli
Sąsajos atskyrimo principas yra vienas iš penkių SOLID objektinio dizaino principų. Klasėje turi būti…
„Microsoft Excel“ yra duomenų analizės priemonė, nes ji siūlo daugybę duomenų rinkinių organizavimo funkcijų,…
„Walliance“, SIM ir platforma, viena nuo 2017 m. nekilnojamojo turto sutelktinio finansavimo lyderių Europoje, skelbia baigusi…
„Filament“ yra „pagreitinta“ Laravel kūrimo sistema, teikianti kelis pilnus komponentus. Jis skirtas supaprastinti procesą…
„Turiu grįžti, kad užbaigčiau savo evoliuciją: projektuosiu save kompiuterio viduje ir tapsiu gryna energija. Kai apsigyveno…
„Google DeepMind“ pristato patobulintą dirbtinio intelekto modelio versiją. Naujasis patobulintas modelis suteikia ne tik…
Elegantiška sintaksė ir galingomis funkcijomis garsėjantis „Laravel“ taip pat suteikia tvirtą pagrindą modulinei architektūrai. Ten…
„Cisco“ ir „Splunk“ padeda klientams paspartinti jų kelionę į ateities saugos operacijų centrą (SOC) naudodami…
