Jak zapewnić, aby ta relacja zaufania trwała w interesie obu stron? Przede wszystkim oferując konkurencyjne produkty i usługi pod względem jakości i ceny oraz zapewniając terminową i spersonalizowaną pomoc i wsparcie przed i po przejęciu. Ale często zapomina się o jeszcze jednym elemencie: w erze procesów cyfrowych niezbędne jest, aby firma dostarczająca zagwarantowała bezpieczeństwo informacji i danych traktaty: aspekt, który staje się kluczowy dla osób pracujących w dziedzinie usług IT.
Dlatego są tak ważne zarządzanie bezpieczeństwem informacji oraz związana z tym norma: UNI CEI ISO / IEC 27001, napisane w 2005 i poprawione w 2013 (włoska wersja to 2014).
Ryzyko skompromitowania informacji i danych jest dziś rzeczywiście bardzo wysokie: wystarczy pomyśleć o codziennych wiadomościach na temat włamań, naruszeń prywatności i praktyk phishingowych. Według raportu Clusit (skomentowanego tutaj przez Tech Economy), 2016 był najgorszym rokiem w historii jeśli chodzi o wzrost liczby ataków cybernetycznych, w szczególności w sektorach dystrybucji na dużą skalę (+ 70% w porównaniu do poprzedniego roku) i bankach (+ 64%). Całkowita liczba działań związanych z cyberprzestępczością wzrosła o 9,8%. 22% firm zgłasza również utratę klientów z powodu tych przestępczych działań, a 29% straciło udziały w przychodach (prawie 3 na 10). I nie tylko umyślne działania powinny zwrócić uwagę firm na bezpieczeństwo komputerów. W rzeczywistości, jeśli weźmiemy pod uwagę pewne zdarzenia o wiele bardziej typowe w życiu firmy, zdajemy sobie sprawę z ryzyka, że działają nasze informacje cyfrowe: wahania napięcia energetycznego, awarie struktury IT, wypadki fizyczne w pomieszczeniach ...
Następnie ci, którzy wdrażają procedury zapobiegawcze, zabezpieczają swoją działalność i organizacji, których dane dotyczą.
Najbardziej ostrożne firmy chronią siebie i swoich klientów, certyfikując się zgodnie ze standardem UNI CEIISO / IEC 27001: 2014: celem jest określenie wymagań dla „ustanawiać, wdrażać, utrzymywać i stale ulepszać system zarządzania bezpieczeństwem informacji w kontekście organizacji „, 27001 jest częścią rodziny norm UNI CEI ISO / IEC 27000: zestawu norm, opublikowanych wspólnie przez Międzynarodową Organizację Normalizacyjną (ISO) i Międzynarodową Komisję Elektrotechniczną (IEC), które dotyczą systemu zarządzania bezpieczeństwem informacja.
Certyfikacja zgodnie z UNI CEI ISO / IEC 27001 nie jest obowiązkiem, ale z pewnością firma podążająca tą ścieżką oferuje nadwyżkę bezpieczeństwa dla siebie i swoich klientów. Proces certyfikacji może nastąpić organizacje ze wszystkich sektorów produktów i wszystkich rozmiarów.
UNI CEI ISO/IEC 27001 defiprzede wszystkim seria Wymagania jakie organizacja musi posiadać, aby uzyskać certyfikat: są to celowo ogólne parametry (jak zobaczymy w ich sformułowaniu) właśnie po to, aby umożliwić wszystkim sektorom obniżenie ogólnych zasad w ich własnym kontekście biznesowym.
Koncentruje się nauprzednia identyfikacja potencjalnych zagrożeń istotne informacje przechowywane i wykorzystywane w organizacji, a następnie na defia system zarządzania bezpieczeństwem informacji (System zarządzania bezpieczeństwem informacji po angielsku ISMS). Jednak zadanie firm nie kończy się tutaj.
W rzeczywistości standard UNI CEI ISO / IEC 27001 jest zgodny z logiką PDCA (Zaplanuj - Wykonaj - Sprawdź - Działaj): dlatego nie jest to liniowe zarządzanie ryzykiem, ale cykliczne z punktu widzenia ciągłe doskonalenie procesu. Oznacza to, że o godz defiokreślenie powagi zagrożeń i ich traktowanie, a następnie monitorowanie skuteczności ustalonego systemu i jego re-defipoprzez analizę i przegląd pozyskanych danych. I tak dalej.
Jeśli zrozumiana zostanie ogólna zasada i oceniona zostanie możliwość monitorowania procesu w czasie, firma poddaje sięcoroczny audyt aby uzyskać certyfikat lub odnowić go. Audyt jest przeprowadzany przez zewnętrzną jednostkę certyfikującą wybraną przez tę samą organizację, pod warunkiem że jest akredytowana i obecna w bazie danych Accredia.
Jaką metodą defizakończyć i zmierzyć ryzyko związane z bezpieczeństwem informacji, które mogą być niezbędne dla naszej firmy? Po pierwsze, bogactwo informacji musi zachować trzy cechy, aby być pewnym: poufność, uczciwość, dostępność.
Biorąc pod uwagę ogólną zasadę, każda firma będzie musiała ocenić ryzyko w odniesieniu do własnego organizacyjnego kontekstu biznesowego i zdecydować, jak je zmierzyć i potraktować je w ramach procesu zarządzania ryzykiem.
Widzieliśmy, że w erze procesów cyfrowych certyfikacja zgodnie z UNI CEI ISO / IEC 27001 jest strategicznym zasobem dla firmy i dla bezpieczeństwa jej własnych informacji, a tym bardziej dla klientów. Przekonaliśmy się, że zasady ustanowione przez prawo mają charakter ogólny, aby łatwo dostosować się do wszystkich sektorów. Dlatego, jak upewnić się, że się zastosujesz Wymagania ustalona normą? Nawet jeśli normą nie jest defiustala sztywne i jednoznaczne kryteria zarządzanie ryzykiemokreślono wymagania, które muszą mieć zastosowanie i obowiązujące w każdej firmie (które obejmują punkty tekstu 4-10):
Dalszym odniesieniem jest zatemZałącznik A, Cele kontroli i kontrole odniesienia. W tej sekcji wymieniono kontrole bezpieczeństwa, które należy wdrożyć, zaczerpnięte bezpośrednio z UNI CEI ISO/IEC 27002:2013 w rozdziałach 5-18 i które mają zostać wdrożone w firmie, która ma zostać certyfikowana. Każda kategoria kontroli zawiera: cel kontroli, który ma zostać osiągnięty, oraz kontrole, które można zastosować, aby osiągnąć ten cel. Tytułem przykładu: zapewnić wytyczne i wsparcie zarządzania w zakresie bezpieczeństwa informacji; upewnić się, że pracownicy i kontrahenci rozumieją swoją odpowiedzialność za bezpieczeństwo informacji; inwentaryzować aktywa firmy związane z informacjami e defiwyznaczyć kierownika; i tak dalej.
-
Więcej informacji na temat UNI CEN ISO / IEC 27001 można znaleźć na stronie strona Międzynarodowej Organizacji Normalizacyjnej: wydaje się, że bezpieczeństwo informacji stanowi podstawowy element wydajności firmy, a 27001 stanowi prawdziwy atut gwarantujący ciągłości działania własne i klienci.
autor Paolo Ravalli
Zasada segregacji interfejsów jest jedną z pięciu zasad SOLID projektowania obiektowego. Klasa powinna mieć…
Microsoft Excel jest narzędziem referencyjnym do analizy danych, ponieważ oferuje wiele funkcji organizowania zbiorów danych,…
Walliance, SIM i platforma wśród liderów w Europie w dziedzinie crowdfundingu nieruchomości od 2017 roku ogłasza zakończenie…
Filament to „przyspieszony” framework programistyczny Laravel, zapewniający kilka pełnych komponentów. Ma na celu uproszczenie procesu…
«Muszę wrócić, aby dokończyć moją ewolucję: przeniosę się do wnętrza komputera i stanę się czystą energią. Po osiedleniu się…
Google DeepMind wprowadza ulepszoną wersję swojego modelu sztucznej inteligencji. Nowy ulepszony model zapewnia nie tylko…
Laravel, znany ze swojej eleganckiej składni i potężnych funkcji, zapewnia również solidną podstawę architektury modułowej. Tam…
Cisco i Splunk pomagają klientom przyspieszyć podróż do Centrum Operacji Bezpieczeństwa (SOC) przyszłości dzięki…