ISO / IEC 27001認証の必然的な採用の5つの段階。バーゲン

変化に対する感情的反応の第3段階は交渉です。私たちは怒りと感情的な要素に対処した後、すべてが私たちのために機能するために本当に何をする必要があるかについて考え始めました。標準をより詳細に検討し、それを現在の状況に適用し、会社の要件を適応させる時がきました。ここで、規格の要件を満たしつつ、「小さな血」を扱うことが重要でした。すべての変更は適切である必要がありました。つまり、対応するリスクに見合ったものでした。保護のコストは、リスクの実現によって生じる可能性のある損害を超えてはなりません。



画像



この方法では、これまでに遭遇したことのない多くの質問を解決する必要がありました。



ポリシーライブラリで作業するためのツールの選択



私たちが直面した最初の(一見非常に単純な)問題は、情報セキュリティ管理システムのすべての必要なドキュメントをどこに作成し、どのように保存するかです。ドキュメントのバージョン管理を維持し、ポリシーのバージョンをいくつかのリビジョンから「ロールバック」できることが非常に重要でした。市場でのオファーを確認した後、私たちはConfluence wikiに落ち着きました-そして今日までそれを使用しています。



バージョン管理システム(バージョン管理)としてgitを使用することもできましたが、ユーザーの便宜のために、ポータルソリューション(Confluence)を選択しました。私たちは何とかして無料バージョン(最大10人の許可ユーザー)に制限しました。許可されていないユーザーがライブラリを表示できるため、これ以上は必要ありませんでした。



実装計画の準備



ここでは創造的な方法は適用していません。必要なポリシーのリストをコンサルタントに依頼し、作成と承認の責任者を任命し、主要な日付を記入し、ガントチャートの形式で作成しました(これもConfluenceにアップロードされました)。



会社のリスク評価



明らかに、保護手段を選択するために、リスクを評価する必要がありました(本当に必要な場所にのみリソースを費やすため)。これを行うために、保護する予定の企業資産のリストを作成しました。これには、物理​​的資産(ワークステーション、サーバー、紙の文書など)と無形(電子形式のクライアント情報、パスワードなど)の両方が含まれています。 )。



専門家チームの助けを借りて、各資産には特定の値が割り当てられました。さらに、この資産がさらされる可能性のある1つまたは複数のリスクを各資産に関連付けました(たとえば、紙の文書が盗まれたり、破壊されたりする可能性があります)。次に、各リスクの重要性を2つのパラメーターの積として評価しました。リスクの確率とリスク実現の結果の重要性です。



リスクがグループに分類された後、最初にどのリスクを処理する必要があるかがわかりました







。1.従業員



知識のギャップ最も一般的なリスクは人的要因でした。また、初めて認定を受けたため、情報セキュリティの基礎を教えてもらうという質問がありました。プログラムをすでに開発していたため、このプロセスを自動化し、残存知識を制御するという問題に直面しました。その結果、企業ポータルに組み込まれているテストシステムを使用し始めました。



2.バックアップコンピューティング能力の欠如



この問題は大規模な財政的および人的資源を必要としたので、最後にそれを残すことは間違っていました。主なサービスをバックアップするサイトを選択しました。最初の段階では、IaaS(サービスとしてのインフラストラクチャー)を使用しました。これにより、会社の主なサービスの予約を迅速かつ予算内で設定できました。その後、追加の機器を購入し、別のデータセンター(コロケーション)に予備を設定しました。その後、データ量が多いため、データセンターを優先して「クラウド」ソリューションを放棄しました。



3.「スーパーユーザー」のほか、「特別な機密情報」を扱うユーザーの管理



つまり、機密情報に広範囲にアクセスできるユーザーを管理する必要がありました。この問題は、DLPシステムを使用して解決しました。リーズナブルな価格と優れた技術サポートのため、私たちは国内のソフトウェアStaffCopを選びました。



ポリシーの作成



ここではすべての可能なリソースを接続しました:

-パブリックドメインで見つかった他の企業のポリシーを使用した。

-実装コンサルタントから要求されたポリシーの例。

-基準の要件に基づいて、ポリシーのテキストを個別に構成しました。
結局のところ、最も効果的に機能したのは3番目(最も困難な方法)でした。かなり長い時間がかかりましたが、最終的には、特に自社向けに、よく練られたドキュメントを受け取りました。そのため、出口では、情報セキュリティ管理システムの36の基本方針を取得しました



役割の配分



明らかに、これらのポリシーのすべてが従業員の日常業務に本当に必要なわけではありません。強制的に読み過ぎないようにするために、ISMSで各従業員に1つ以上の役割を割り当てました。全部で5つありました。







絶対にすべての従業員が少なくとも1つの役割(「ユーザー」)を持っていました。



各役割のパスポートでは、特定の役割を持つ従業員が遵守しなければならないポリシーのリストを添付して、情報セキュリティの分野での対応する責任を規定しました。また、便宜上、会社のグラフィカルな組織構造を作成し、各従業員の役割を示しています。



関係する同僚



プロジェクトマネージャーとIT / IS部門の責任者に加えて、会社のCOOがリスクの評価と関係者の要件の説明に関与しました。人事部門の責任者の重要な関与が必要でした-彼女は、欠員の申請から解雇後の期間まで、従業員のライフサイクル全体をポリシーに記述する必要がありました。幸いにも、すべての同僚が認定の重要性を理解し、私たちに会いに行きました。



技術的側面



準備プロセス中に、標準の要件を満たすためには、少なくとも次のものが必要であることに気付きました。

  • サーバーを外部のデータセンターに移動します。
  • すべてのオフィスにACS(アクセス制御および管理システム)を装備します。
将来的には、DLPシステムの導入、バックアップデータセンターの立ち上げ、2要素認証の導入など、他の多くのことがこれら2つのポイントに追加されました。



したがって、標準の要件を当社に適合させるために、かなりの量の作業を行わなければなりませんでした。



以前の資料



では、ISO / IEC 27001認証の採用の必然性の5段階。否認:ISO 27001に関する誤解:2013年の認証、認証の望ましさ/

ISO / IEC 27001認証の必然性の5段階。怒り:どこから始めますか?初期データ。費用。プロバイダーの選択。



All Articles