די לעצט גייד צו ISO 27001

פארוואס טאָן איר דאַרפֿן ISO 27001?

ISO 27001:2022 סערטאַפאַקיישאַן אַשורז קאַסטאַמערז, פּאַרטנערס און אנדערע סטייקכאָולדערז אַז דיין פירמע 'ס אינפֿאָרמאַציע זיכערהייט ינפראַסטראַקטשער טרעפן זייער עקספּעקטיישאַנז.

ISO 27001 איז אַן ינטערנאַשאַנאַלי דערקענט בעסטער פּראַקטיס פריימווערק פֿאַר אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) און איינער פון די מערסט פאָלקס אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סטאַנדאַרדס ווערלדווייד.

די פּרייַז פון נישט האָבן אַן עפעקטיוו אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם קענען זיין הויך - ביידע פאַנאַנשאַלי און ריפּיאַטיישאַנאַלי. דער סטאַנדאַרד איז אַ קריטיש קאָמפּאָנענט אין די אינפֿאָרמאַציע זיכערהייט ריזיקירן פאַרוואַלטונג פּראָצעס פון קיין אָרגאַניזאַציע, און עס איז געווארן אַ יקערדיק טייל פון פילע אָרגאַנאַזיישאַנז 'עס גאַווערנאַנס, ריזיקירן און העסקעם (GRC) מגילה.

די בענעפיץ פון ISO 27001

1) ISO 27001 וועט העלפֿן איר רעדוצירן אינפֿאָרמאַציע זיכערהייט און פּריוואַטקייט ריסקס

אינפֿאָרמאַציע זיכערהייט ריסקס זענען קעסיידער גראָוינג. ניו דאַטן בריטשיז מאַכן די כעדליינז יעדער טאָג. אַזוי מער און מער אָרגאַנאַזיישאַנז פאַרשטיין אַז נעבעך ינפאָסעק קענען זיין טייַער, צי עס פירט צו בריטשיז פון זייער אייגענע אָדער קאַנפאַדענשאַל אינפֿאָרמאַציע פון ​​זייער קאַסטאַמערז.

אַז ס וואָס פילע אָרגאַנאַזיישאַנז שאַפֿן זייער אייגענע ISO 27001-סערטאַפייד אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם אָדער ISMS ס.

אַן עפעקטיוו ISMS וועט העלפֿן איר טרעפן אַלע דיין אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז און צושטעלן אנדערע בענעפיץ.

און יעדער וואָג און טיפּ פון אָרגאַניזאַציע, פֿון רעגירונג יידזשאַנסיז צו געשעפט קאָמפּאַניעס, קענען נוצן ISO 27001 צו שאַפֿן אַן ISMS.

עטלעכע פון ​​די ISO 27001 רעקווירעמענץ אויך מקיים די העסקעם פון GDPR און דאַטאַ פּראַטעקשאַן אקט, און לעגאַל און רעגולאַטאָרי אַבלאַגיישאַנז, וואָס געבן פיל מער אינפֿאָרמאַציע פארזיכערונג קוילעלדיק. די ימפּלאַמענטיישאַן פון ISO 27001 וועט ווייַזן רעגולאַטאָרי אויטאריטעטן אַז דיין אָרגאַניזאַציע נעמט די זיכערהייט פון אינפֿאָרמאַציע וואָס זי האלט עמעס און, נאָך יידענאַפייד די ריסקס, טאָן ווי פיל ווי מעגלעך צו אַדרעס זיי.

דיין ריזיקירן פאַרוואַלטונג פּראָצעס וועט זיין געזונט און גרינג צו באַווייַזן. און עס איז אויך אַ ויסגעצייכנט גייטוויי צו אנדערע ISO פאַרוואַלטונג סיסטעם סטאַנדאַרדס.

2) ISO 27001 מיטל שפּאָרן צייט און געלט

פארוואס פאַרברענגען אַ פּלאַץ פון געלט סאַלווינג אַ פּראָבלעם (למשל, אָנווער פון קונה אינפֿאָרמאַציע, ריזיקירן אַסעסמאַנץ, געשעפט קאַנטיניויישאַן פאַרוואַלטונג) אין אַ קריזיס ווען עס קאָס אַ בראָכצאָל צו צוגרייטן פֿאַר עס אין שטייַגן? מיט אַן ISO 27001-סערטאַפייד אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם, איר וועט האָבן אַלע דיין אינפֿאָרמאַציע זיכערהייט אינצידענט פאַרוואַלטונג פּלאַנז און סיסטעמען גרייט. דאָס איז די מערסט פּרייַז-עפעקטיוו וועג צו באַשיצן / בעכעסקעם דיין אינפֿאָרמאַציע אַסעץ זיכער.

איר וועט באַזע דיין ריזיקירן פאַרוואַלטונג פּלאַנז אויף אַ שטאַרק, גרונטיק ריזיקירן אַסעסמאַנט. אָנגאָינג ינערלעך אַדאַץ וועט ענשור דיין ISMS טרעפן די טאָמיד-יוואַלווינג סאַקאָנע פון ​​דיגיטאַל פאַרברעכן מיט נייַע זיכערהייט טעקניקס און אינפֿאָרמאַציע זיכערהייט קאָנטראָלס. און מיט אונדזער הילף, איר קענען מעסטן די ROI אויף דיין אינפֿאָרמאַציע זיכערהייט ריזיקירן פאַרוואַלטונג ינוועסמאַנט.

איר וועט אויך רעדוצירן דיין פארקויפונג קאָס. קאַסטאַמערז זוכן ינקריסינגלי פארזיכערונג פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג און דאַטן שוץ קייפּאַבילאַטיז פון זייער סאַפּלייער באַציונגען. דיין פארקויפונג אָפּטיילונג וועט מיסטאָמע עדות צו די סומע און די לענג פון די 'ריקוועס פֿאַר אינפֿאָרמאַציע' זיי קעסיידער האָבן צו האַנדלען מיט ווי אַ טייל פון די פארקויפונג פּראָצעס און ווי דאָס איז גראָוינג אַלע די צייַט. האלטן ISO 27001 סערטאַפאַקיישאַן וועט מינאַמייז די דעטאַל איר דאַרפֿן צו צושטעלן, סימפּלאַפייינג און אַקסעלערייטינג דיין פארקויפונג פּראָצעס.

3) ISO 27001 בוסט אַ שעם און בויען צוטרוי אין דער אָרגאַניזאַציע

עס איז שלעכט גענוג אַז דיין אינפֿאָרמאַציע סיסטעמען זענען כאַקט און דיין קונה דאַטן יקספּאָוזד און עקספּלויטאַד. וואָס ס ערגער איז ווען נייַעס פון דעם טיפּ פון בריטש הייבט זיך פארשפרייטן. עס קענען סאַווירלי שעדיקן דיין שעם און, מיט אים, דיין דנאָ שורה. מיט אַן ISO 27001 ISMS, איר וועט האָבן דורכגעקאָכט אַ שטאַרק ריזיקירן אַסעסמאַנט און באשאפן אַ גרונטיק, פּראַקטיש ריזיקירן באַהאַנדלונג פּלאַן. אַזוי איר וועט זיין בעסער פּאַזישאַנד צו ידענטיפיצירן און פאַרמייַדן בריטש ריסקס איידער זיי פּאַסירן.

ווי פילע זאכן אין געשעפט, צוטרוי איז יקערדיק. אָבער דעמאַנסטרייטינג אַז אַן אַקרעדיטיד סערטאַפאַקיישאַן גוף האט ינדיפּענדאַנטלי אַודיטעד דיין אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעמען (ISMS) סאַלידאַפייז דעם צוטרוי. דיין קאַסטאַמערז וועלן געשווינד און לייכט זען אַז עס איז באזירט אויף ספּעציפיש סיסטעם אינזשעניריע פּרינסאַפּאַלז. זיי וועלן נישט דאַרפֿן צו נעמען די זיכערהייט פון דיין אַפּעריישאַנז אויף צוטרוי ווייַל איר וועט קענען צו באַווייַזן אַז איר האָט באגעגנט די באַטייַטיק ISO פאַרוואַלטונג סיסטעם סטאַנדאַרדס.

און אָנפירונג אינפֿאָרמאַציע זיכערהייט מיט ISO 27001 איז וועגן מער ווי בלויז פּראַטעקטינג דיין אינפֿאָרמאַציע טעכנאָלאָגיע און מינאַמייזינג דאַטן בריטשיז.

דער נאָרמאַל קענען העלפֿן איר:

• באַשיצן אַלץ פון דיין אינטעלעקטואַל פאַרמאָג פון דיין אָרגאַניזאַציע צו זיין קאַנפאַדענשאַל פינאַנציעל אינפֿאָרמאַציע.
• שטעלן דיפיינד אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז צו העלפֿן איר פירן פּראַסעסאַז, אַרייַנגערעכנט דיין אַקסעס קאָנטראָל פּאָליטיק, קאָמוניקאַציע זיכערהייט, סיסטעם אַקוואַזישאַן, אינפֿאָרמאַציע זיכערהייט אַספּעקץ פון געשעפט קאַנטיניויישאַן פּלאַנירונג און פילע אנדערע.
• פאַרזיכערן דיין אינפֿאָרמאַציע זיכערהייט אינצידענט פאַרוואַלטונג איז קערפאַלי פּלאַננעד און דעמאַנסטרייטיד עפעקטיוו אויב און ווען אַ קאָמפּראָמיס כאַפּאַנז.
• דורכפירן און אינפֿאָרמאַציע זיכערהייט ריזיקירן אַסעסמאַנט און פאַרוואַלטונג אַקטיוויטעטן קלאר, פּראַקטאַקלי און טראַנספּעראַנטלי.
• פאַרזיכערן שליסל סטייקכאָולדערז און אנדערע דריט פּאַרטיעס זענען אַווער פון, אין העסקעם מיט און, ווו נייטיק, גאָר געהאָרכיק מיט דיין ינפאָסעק מיטלען.
• טרעפן ספּעציפיש ינדאַסטרי רעגיאַליישאַנז אָדער אַפּערייטינג פּראָוסידזשערז באַשטימט דורך באַטייַטיק רעגולאַטאָרי ללבער.
• באַוואָרענען פערזענלעכע דאַטן פון דיין עמפּלוייז און קאַסטאַמערז.

ISO 27001:2022 רעקווירעמענץ און קאָנטראָלס

דעפינירט אין די ISO 27001 סטאַנדאַרט זענען צען רעקווירעמענץ, אַרייַנגערעכנט אינפֿאָרמאַציע זיכערהייט גיידליינז, רעקווירעמענץ בדעה צו באַשיצן אַן אָרגאַניזאַציע ס דאַטן אַסעץ פון אָנווער אָדער אַנאָטערייזד אַקסעס און דערקענט מיטלען צו באַווייַזן זייער היסכייַוועס צו אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג דורך סערטאַפאַקיישאַן.

רעקווירעמענץ 6.1.3 (אינפֿאָרמאַציע סעקוריטי ריסק טרעאַטמענט) דיפיינז אַנעקס א, ספּעציפיצירן קאָנטראָלס דערייווד פון ISO 27002:2022.

ISO 27001 אויך כולל אַ ריזיקירן אַסעסמאַנט פּראָצעס, אָרגאַנאַזיישאַנאַל סטרוקטור, אינפֿאָרמאַציע קלאַסאַפאַקיישאַן, אַקסעס קאָנטראָל מעקאַניזאַמז, גשמיות און טעכניש באַוואָרעניש, אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז, ​​פּראָוסידזשערז, מאָניטאָרינג און ריפּאָרטינג גיידליינז.

אַנעקס (ס) ל דערקלערט

"Annex L" דיפיינז די האַרץ רעקווירעמענץ און קעראַקטעריסטיקס פון אַ דזשאַנעריק פאַרוואַלטונג סיסטעם. דאָס איז אַ קריטיש פונט. דיין פירמע 'ס פאַרוואַלטונג סיסטעם יקסטענדז ווייַטער פון אינפֿאָרמאַציע זיכערהייט.

בשעת די פאָקוס פון ISO 27001 איז אינפֿאָרמאַציע זיכערהייט, דער סטאַנדאַרט ינטאַגרייץ מיט אנדערע ISO סטאַנדאַרדס באזירט אויף יסאָ ס אַנעקס ל, אַלאַוינג איר צו באַקענען די סטאַנדאַרדס צו אַנטוויקלען ווייַטער און פֿאַרבעסערן דיין קוילעלדיק פאַרוואַלטונג סיסטעם שפּעטער. זיי אַרייַננעמען ISO 9001 פֿאַר קוואַליטעט פאַרוואַלטונג, ISO 22301 פֿאַר געשעפט קאַנטיניויישאַן פאַרוואַלטונג, ISO 227701 פֿאַר פּריוואַטקייט שוץ און אַרויף צו 50 אנדערע ISO סטאַנדאַרדס.

כאָטש מיר זענען נישט סאַגדזשעסטינג אַז איר קוק אין די סטאַנדאַרדס פֿאַר איצט, די פונט איז אַז עס איז מעגלעך. איר האָבן אַ 'אַפּגרייד דרך' אין ISO און ISMS.online (ינטעגראַטעד מאַנאַגעמענט סיסטעם) וואָס וועט נישט דאַרפן ריווענטינג די ראָד ווען איר סטעפּינג עס אַרויף צו אן אנדער מדרגה.

ISO 27001:2013 & ISO 27001:2022 - וואָס איז די חילוק?

אין פּראַקטיש טערמינען, זייער קליין האט געביטן צווישן די 2013 און 2022 ISO 27001 אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס אַחוץ פֿאַר מינערווערטיק קאָסמעטיק פונקטן און נאָך רעקווירעמענץ (9.3.1, 9.3.2, 9.3.3) און ריווייזד אַנעקס א קאָנטראָלס לינגקט צו ISO 27002:2022 .

יבערגאַנג צו די ניו סטאַנדאַרד

אָרגאַנאַזיישאַנז וואָס האָבן שוין אַטשיווד ISO 27001 סערטאַפאַקיישאַן מוזן יבערגאַנג צו די נייַע ווערסיע ביז 31 אקטאבער 2025. די יבערגאַנג וועט דאַרפן זיי צו אָפּשאַצן און דערהייַנטיקן זייער קראַנט יסמס צו נאָכקומען מיט די נייַע רעקווירעמענץ.

איבערבליק פון ענדערונגען באַקענענ אין ISO 27001:2022

ISO 27001: 2022 ברענגט מיט זיך עטלעכע ריפיינמאַנץ און נאָך ווערדינג רעקווירעמענץ. די ענדערונגען ענשור אַז דער סטאַנדאַרט בלייבט אָנווענדלעך און דערהייַנטיקט מיט די לעצטע זיכערהייט בעסטער פּראַקטיסיז.

די נייַע ווערסיע פון ​​​​דעם סטאַנדאַרד ריקווייערז אָרגאַנאַזיישאַנז צו ענשור אַז זייער פאַרוואַלטונג סיסטעמען נאָכקומען מיט די דערהייַנטיקט רעקווירעמענץ און אָפּשאַצן קיין ענדערונגען צו די ווערדינג פון די סטאַנדאַרד צו ענשור אַז זיי פֿאַרשטיין די ימפּלאַקיישאַנז פֿאַר זייער זיכערהייט פאַרוואַלטונג סיסטעמען. דאָס כולל ענדערונגען צו די געוויינט שפּראַך, אַדזשאַסטמאַנץ צו די סטרוקטור און אינהאַלט, און די אַדישאַן פון נייַע קלאָזיז.

ריסטראַקטשערינג פון אַנעקס א קאָנטראָלס אין ISO 27001 2022

נאָך די מעלדונג פון ISO 27002:2022 אויף פעברואר 15, 2022, ISO 27001:2022 האט אַליינד זיין אַנעקס א קאָנטראָלס.

די נייַע ווערסיע פון ​​​​דעם סטאַנדאַרד איז באזירט אויף אַ קאַנדענסט גאַנג פון 93 אַנעקס א קאָנטראָלס, אַרייַנגערעכנט 11 נייַע קאָנטראָלס. א גאַנץ פון 24 קאָנטראָלס זענען מערדזשד פון צוויי, דריי אָדער מער זיכערהייט קאָנטראָלס פון די 2013 ווערסיע, און 58 קאָנטראָלס פון די ISO 27002:2013 זענען ריווייזד צו ייַנרייען זיך מיט די קראַנט סייבער זיכערהייט און אינפֿאָרמאַציע זיכערהייט סוויווע.

אָרגאַנאַזיישאַנז מוזן ענשור אַז זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם טרעפן די נייַע רעקווירעמענץ און אַז זייער יגזיסטינג קאָנטראָלס זענען קראַנט.

צו העלפן מיט דעם, ISO 27002:2022 האט געמאכט ענדערונגען צו די ווערדינג פון עטלעכע פון ​​די יגזיסטינג קאָנטראָלס און צוגעגעבן נאָך רעקווירעמענץ פֿאַר אנדערע. אַדדיטיאָנאַללי, דער סטאַנדאַרד איצט ריקווייערז אָרגאַנאַזיישאַנז צו אָפּשאַצן די פאָרשטעלונג פון זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם און די יפעקטיוונאַס פון די קאָנטראָלס.

קאָנטראָל קאַטעגאָריעס און אַטריביוץ

אַנעקס א קאָנטראָלס זענען איצט גרופּט אין גרופּע קאַטעגאָריעס:

אָרגאַנאַזיישאַנאַל
מען
פיזיש
Technological

יעדער קאָנטראָל האט אַדישנאַלי אַסיינד אַ אַטריביושאַן טאַקסאָנאָמיע. יעדער קאָנטראָל האט איצט אַ טיש מיט אַ סכום פון סאַגדזשעסטיד אַטריביוץ, און אַנעקס א פון ISO 27002:2022 גיט אַ סכום פון רעקאַמענדיד אַסאָוסייישאַנז.

די אַלאַוז איר צו געשווינד ייַנרייען דיין קאָנטראָל סעלעקציע מיט פּראָסט ינדאַסטרי שפּראַך און אינטערנאַציאָנאַלע סטאַנדאַרדס. די נוצן פון אַטריביוץ שטיצט אַרבעט פילע קאָמפּאַניעס שוין טאָן אין זייער ריזיקירן אַסעסמאַנט און סטאַטעמענט פון אַפּפּליאַביליטי (SOA).

פֿאַר בייַשפּיל, סייבערסעקוריטי קאַנסעפּס ענלעך צו NIST און CIS קאָנטראָלס קענען זיין אונטערשיידן, און די אַפּעריישאַנאַל קייפּאַבילאַטיז רילייטינג צו אנדערע סטאַנדאַרדס קענען זיין אנערקענט.

11 ניו אַנעקס א קאָנטראָלס

די 11 נייַ קאָנטראָלס פאָקוס אויף וואָלקן באַדינונגס, יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן, סאַקאָנע סייכל, פיזיש זיכערהייט מאָניטאָרינג, דאַטן מאַסקינג, אינפֿאָרמאַציע דילישאַן, דאַטן ליקאַדזש פאַרהיטונג, מאָניטאָרינג אַקטיוויטעטן, וועב פֿילטרירונג און זיכער קאָדירונג.

ניו פאָקוס אויף ריזיקירן באַהאַנדלונג פּראַסעסאַז

ISO 27001 2022 האט געשטעלט אַ גרעסערע טראָפּ אויף ריזיקירן באַהאַנדלונג פּראַסעסאַז און די נוצן פון אַנעקס א קאָנטראָלס. דער דערהייַנטיקט סטאַנדאַרד איצט ריקווייערז אָרגאַנאַזיישאַנז צו באַטראַכטן די פיר אָפּציעס פֿאַר טרעאַטינג ריסקס: מאָדיפיקאַטיאָן, ריטענשאַן, ויסמיידן און ייַנטיילונג. צוויי נאָך אָפּציעס פֿאַר באַהאַנדלונג אַפּערטונאַטיז זענען צוגעגעבן: ענכאַנסמאַנט און עקספּלויטיישאַן. דער סטאַנדאַרד אויך אַוטליינז די נויט פֿאַר אָרגאַנאַזיישאַנז צו באַטראַכטן ריזיקירן ייַנטיילונג און אַקסעפּטאַנס אין האַנדלינג אַפּערטונאַטיז.

אָרגאַנאַזיישאַנז זענען איצט פארלאנגט צו באַטראַכטן די קאַנסאַקווענסאַז און ליקעליהאָאָד פון אינפֿאָרמאַציע זיכערהייט ריסקס און די פּאָטענציעל ריוואָרדז פון אַפּערטונאַטיז ווען אַססעססינג ריזיקירן. די ינטערנאַטיאָנאַל סטאַנדאַרד אויך ינקעראַדזשאַז אָרגאַנאַזיישאַנז צו נעמען ריסקס אויב די פּאָטענציעל ריוואָרדז זענען מער באַטייטיק ווי די פּאָטענציעל לאָססעס.

קוילעלדיק, די נייַע פאָקוס אויף ריזיקירן באַהאַנדלונג פּראַסעסאַז אין ISO 27001 2022 גיט אָרגאַנאַזיישאַנז אַ גרעסערע פארשטאנד פון אַססעסס און טרעאַטינג ריסקס צו מינאַמייז די פּאָטענציעל פֿאַר שאָדן.

אפשאצונג פון דריטע פארטייען

אָרגאַנאַזיישאַנז מוזן ענשור אַז דריט פּאַרטיעס קענען צושטעלן טויגן ריזיקירן פאַרוואַלטונג מיטלען, אַרייַנגערעכנט אָבער ניט לימיטעד צו זיכערהייט, פּריוואַטקייט, העסקעם און אַוויילאַבילאַטי. דריטע פּאַרטיעס מוזן זיין אַווער פון די פּאַלאַסיז, ​​​​פּראָוסידזשערז און סטאַנדאַרדס פון דער אָרגאַניזאַציע און נאָכקומען מיט זיי.

אָרגאַנאַזיישאַנז זאָל דורכפירן פּעריאָדיש באריכטן און אַדאַץ צו ענשור דריט-פּאַרטיי העסקעם מיט זיכערהייט פּאַלאַסיז. זיי זאָל אויך האָבן אַ פּראָצעס פֿאַר ריפּאָרטינג און ריספּאַנדינג צו זיכערהייט ינסאַדאַנץ ריזאַלטינג פון די אַקטיוויטעטן פון דריט פּאַרטיעס.

אָרגאַנאַזיישאַנז מוזן ענשור אַז אַלע דאַטן און אינפֿאָרמאַציע אַסעץ אונטער זייער קאָנטראָל זענען סיקיורלי אומגעקערט אָדער דיספּאָוזד ווען טערמאַנייטינג קאַנטראַקץ אָדער באציונגען מיט דריט פּאַרטיעס.

ינסידענט לאָגינג ויספאָרשונג און רעקאָרדינג

ISO 27001 2022 באַשטעטיקט ספּעציפיש רעקווירעמענץ פֿאַר לאָגינג, ינוועסטאַגייטינג און רעקאָרדינג ינסאַדאַנץ. דאָס כולל אָרגאַנאַזיישאַנז וואָס דאַרפֿן אַ פּראָצעס פֿאַר לאָגינג זיכערהייט ינסאַדאַנץ און אַ פּראָצעדור פֿאַר ינוועסטאַגייטינג און דאַקיומענטינג די ויספאָרשונג רעזולטאַטן. עס איז וויכטיק פֿאַר אָרגאַניזאַציעס צו האָבן אַ קלאָר פּאָליטיק פֿאַר לאָגינג און ויספאָרשונג ינסאַדאַנץ, ווי אויך אַ פּראָצעס פֿאַר רעקאָרדינג די רעזולטאַטן פון די ויספאָרשונג.

די פּאָליטיק זאָל אויך דעקן די האַנדלינג פון זאָגן, די עסקאַלירונג פון ינסאַדאַנץ און די קאָמוניקאַציע פון ​​די אינצידענט צו באַטייַטיק סטייקכאָולדערז. די פּאָליטיק זאָל אויך ענשור אַז די אָרגאַניזאַציע קענען קוואַנטיפיצירן און מאָניטאָר די טייפּס, וואַליומז און קאָס פון ינסאַדאַנץ און ידענטיפיצירן קיין שטרענג אָדער ריקערינג ינסאַדאַנץ און זייער סיבות.

דאָס וועט געבן די אָרגאַניזאַציע צו דערהייַנטיקן זיין ריזיקירן אַסעסמאַנט און ינסטרומענט נאָך קאָנטראָלס צו רעדוצירן די ליקעליהאָאָד אָדער קאַנסאַקווענסאַז פון צוקונפֿט ענלעך ינסאַדאַנץ.

רעקווירעמענץ פֿאַר סאַפּלייער רעלאַטיאָנשיפּס

ISO 27001:2022 האט ינטראָודוסט נייַע רעקווירעמענץ צו ענשור אַז אָרגאַנאַזיישאַנז האָבן אַ געזונט סאַפּלייער און דריט-פּאַרטיי פאַרוואַלטונג פּראָגראַם. דאָס כולל ידענטיפיצירן און אַנאַלייזינג אַלע דריט פּאַרטיעס וואָס קען פּראַל קונה דאַטן און באַדינונגס זיכערהייט און אָנפירן אַ ריזיקירן אַסעסמאַנט פֿאַר יעדער סאַפּלייער. די העסקעם צווישן די סאַפּלייער און סערוויס שפּייַזער מוזן אויך פאַרלייגן די שייכות צווישן זיי, און רעגולער מאָניטאָרינג און באריכטן מוזן זיין דורכגעקאָכט צו אַססעסס די העסקעם.

אָרגאַנאַזיישאַנז מוזן אויך ענשור אַז סאַפּלייער זיכערהייט קאָנטראָלס זענען מיינטיינד און דערהייַנטיקט קעסיידער און אַז קונה דינסט לעוועלס און דערפאַרונג זענען נישט אַדווערסלי אַפעקטאַד. אין אַדישאַן, פערזענלעכע דאַטן מוזן זיין פּראַסעסט לויט דאַטן פּריוואַטקייט רעגיאַליישאַנז, און אַ קאָנטראָלירן פון די סאַפּלייער ס סיסטעמען, פּראַסעסאַז און קאָנטראָלס מוזן זיין דורכגעקאָכט. דורך ימפּלאַמענינג די סאַפּלייער פאַרוואַלטונג פּראָוסידזשערז, אָרגאַנאַזיישאַנז קענען ענשור אַז זיי נאָכקומען מיט ISO 27001:2022.

קלעראַפאַקיישאַן פון קאָנטראָל רעקווירעמענץ פֿאַר עקסטערנאַל צוגעשטעלט פּראַסעסאַז און פּראָדוקטן

אָרגאַנאַזיישאַנז מוזן ענשור אַז פונדרויסנדיק באַדינונגס, פּראָדוקטן און פּראַסעסאַז זענען אַפּראָופּרייטלי געראטן און קאַנטראָולד. די 2022 ווערסיע פון ​​ISO 27001 קלעראַפייז די רעקווירעמענץ פֿאַר ויסווייניק צוגעשטעלט פּראַסעסאַז און פּראָדוקטן.

אָרגאַנאַזיישאַנז מוזן פאַרלייגן דאַקיומענטאַד אַגרימאַנץ מיט פונדרויסנדיק פּראַוויידערז און ענשור אַז די אַגרימאַנץ זענען קעסיידער מאָניטאָרעד און ריוויוד. אַדדיטיאָנאַללי, אָרגאַנאַזיישאַנז מוזן האָבן אַ פּלאַן פֿאַר ריספּאַנדינג צו קיין ומפּינקטלעך אָדער דערענדיקט אינפֿאָרמאַציע צוגעשטעלט דורך פונדרויסנדיק באַדינונגס אָדער פּראָדוקטן און אַ פּראָצעדור פֿאַר האַנדלינג קיין יידענאַפייד וואַלנעראַביליטיז אין ויסווייניק געפֿינט באַדינונגס אָדער פּראָדוקטן.

אָרגאַנאַזיישאַנז מוזן אויך ענשור אַז די פֿאַרבונדן ריסקס זענען אַפּראָופּרייטלי געראטן און אַז די קאָנטראָל פון ויסווייניק צוגעשטעלט פּראַסעסאַז און פּראָדוקטן ינקלודז צונעמען מיטלען פֿאַר זיכערהייט פארזיכערונג און פאַרוואַלטונג פון ענדערונגען צו דאָקומענטן, אַגרימאַנץ און פּראָוסידזשערז.

סאַפּלייער מאַנאַגעמענט פּראָוסידזשערז

ISO 27001 2022 ינטראַדוסיז עטלעכע ענדערונגען אין ווי אָרגאַנאַזיישאַנז פירן זייער סאַפּלייער באַציונגען. די ריווייזד סטאַנדאַרד ריקווייערז אָרגאַנאַזיישאַנז צו אַנטוויקלען אַ פאָרמאַל סאַפּלייער פאַרוואַלטונג פּאָליטיק און פּראָוסידזשערז, סעגמענט זייער צושטעלן קייט אין קאַטעגאָריעס באזירט אויף די ווערט און ריזיקירן פון די שייכות, און אַנטוויקלען נאָענט ארבעטן באַציונגען מיט הויך-ווערט סאַפּלייערז:

אָרגאַנאַזיישאַנז מוזן אויך נעמען אַ ריזיקירן-באזירט צוגאַנג צו סאַפּלייער סעלעקציע און פאַרוואַלטונג, ייַנוויקלען אינפֿאָרמאַציע זיכערהייט פּאָליטיק פֿאַר סאַפּלייערז אין אַ ברייטערער שייכות פריימווערק. ISO 27001 2022 עמפאַסייזיז אָנפירונג יקט סאַפּלייערז וואָס קען דאַרפֿן עפּעס נאָך אַנשטאָט פון די נאָרמאַל צוגאַנג.
אָרגאַנאַזיישאַנז מוזן ענשור סאַפּלייער שטעקן זענען געבילדעט, אַווער פון זיכערהייט און טריינד אויף אָרגאַניזאַציע פּאַלאַסיז. רעקאָרדס פון סאַפּלייער פאַרוואַלטונג, אַרייַנגערעכנט קאַנטראַקץ, קאָנטאַקט, ינסאַדאַנץ, שייכות אַקטיוויטעטן און ריזיקירן פאַרוואַלטונג, מוזן אויך זיין געהאלטן. אַלע דעם מוזן זיין געטאן צו ענשור אַז אַן מסכים מדרגה פון אינפֿאָרמאַציע זיכערהייט און סערוויס עקספּרעס איז מיינטיינד אין לויט מיט סאַפּלייער אַגרימאַנץ.

אָנגעשטעלטער סייבערסעקוריטי וויסיקייַט

אָרגאַנאַזיישאַנז מוזן נעמען קאַמף צו ענשור אַז עמפּלוייז זענען אַווער פון זייער ריספּאַנסאַבילאַטיז ווען עס קומט צו סייבער זיכערהייט.

קאָמפּאַניעס זאָל פאָקוס אויף פּרעווענטינג מענטש טעות דורך ימפּאַוערינג שטעקן צו פֿאַרשטיין די וויכטיקייט פון סייבער זיכערהייט. געשעפטן זאָל אויך ינוועסטירן אין צונעמען סייבערסעקוריטי טריינינג מגילה און אַנטוויקלען קלאָר פּאַלאַסיז און פּראָוסידזשערז וואָס דעטאַל וואָס איז דערוואַרט פון עמפּלוייז.

דערצו, קאָמפּאַניעס זאָל ינקאָרפּערייט סייבער זיכערהייט אין וואָכעדיק אַפּעריישאַנז און פאַרלייגן אַ קולטור פון סייבער זיכערהייט ווו שטעקן פילן באַקוועם און ימפּאַוערד צו כאַפּן סייבער זיכערהייט ישוז. דורך גענומען די סטעפּס, אָרגאַנאַזיישאַנז קענען ענשור אַז זייער עמפּלוייז וויסן זייער ריספּאַנסאַבילאַטיז און זענען בעסער צוגעגרייט צו באַשיצן זייער דאַטן און נעטוואָרקס פון סייבער טרעץ.

פאַרלייגן קאָנטראָלס פֿאַר מענטשנרעכט ריסאָרס זיכערהייט אין ISO 27001:2022

ISO 27001 2022 האט ינטראָודוסט עטלעכע נייַע און ראַפינירט קאָנטראָלס פֿאַר מענטשנרעכט ריסאָרס זיכערהייט. דאָס כולל די נויט צו פאַרלייגן קלאָר גיידליינז פֿאַר פּערסאַנעל זיפּונג, טערמינען און באדינגונגען פון באַשעפטיקונג, אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג און דיסאַפּלאַנערי פּראַסעסאַז. עס אויך ריקווייערז אָרגאַנאַזיישאַנז צו האָבן אַ פּאָליטיק אויף ניצן קריפּטאָגראַפיק קאָנטראָלס און אַ פאָרמאַל סטאַרטער, לאָזן און מאָווער פּראָצעס.

די קאָנטראָלס זענען יקערדיק פֿאַר פּראַטעקטינג די אינטערעסן פון דער אָרגאַניזאַציע, ווייַל זיי העלפֿן צו ענשור אַז אַלע פּערסאַנעל האָבן די נויטיק זיכערהייט רעשוס און זענען אַווער פון זייער ריספּאַנסאַבילאַטיז. דערצו, זיי העלפֿן צו ענשור אַז קאַנפאַדענשאַל אינפֿאָרמאַציע איז פּראָטעקטעד פון אַנאָטערייזד אַקסעס און אַז קיין אינפֿאָרמאַציע זיכערהייט געשעענישן זענען רעפּאָרטעד און אַפּראָופּרייטלי. ימפּלאַמענטינג די אינפֿאָרמאַציע זיכערהייט קאָנטראָלס איז יקערדיק פֿאַר יעדער אָרגאַניזאַציע וואָס זוכט סערטאַפאַקיישאַן פון אַן אַקרעדיטיד סערטאַפאַקיישאַן גוף.

פארשטאנד די רעקווירעמענץ פון אינטערעסירט פּאַרטיעס

ISO 27001:2022 האט אַ ספּעציפיש פאָקוס אויף פארשטאנד די באדערפענישן און עקספּעקטיישאַנז פון אינטערעסירט פּאַרטיעס. אינטערעסירט פּאַרטיעס זענען סטייקכאָולדערז, אַזאַ ווי עמפּלוייז, שערכאָולדערז, רעגירונג יידזשאַנסיז, קלייאַנץ, מידיאַ, סאַפּלייערז און פּאַרטנערס וואָס זענען אינטערעסירט אין די אינפֿאָרמאַציע זיכערהייט און געשעפט קאַנטיניויישאַן פון דער אָרגאַניזאַציע. ידענטיפיצירן די סטייקכאָולדערז און זייער באדערפענישן איז יקערדיק צו אַנטוויקלען אַן עפעקטיוו ISMS אָדער BCMS.

א פּראָצעדור זאָל זיין געשריבן צו קלאר דעפינירן ווער איז פאַראַנטוואָרטלעך פֿאַר ידענטיפיצירן אַלע אינטערעסירט פּאַרטיעס און זייער לעגאַל, רעגולאַטאָרי, קאַנטראַקטשואַל און אנדערע רעקווירעמענץ און אינטערעסן, ווי געזונט ווי ווער איז פאַראַנטוואָרטלעך פֿאַר אַפּדייטינג די אינפֿאָרמאַציע און ווי אָפט עס זאָל זיין געטאן. אַמאָל די באדערפענישן זענען יידענאַפייד, אַסיינינג פֿאַראַנטוואָרטלעכקייט פֿאַר באַגעגעניש זיי איז יקערדיק.

ווו טאָן איך אָנהייבן מיט ISO 27001 סערטאַפאַקיישאַן?

דערגרייכן ISO 27001 סערטאַפאַקיישאַן קענען זיין קאָמפּליצירט און אָוווערוועלמינג אָבער אונדזער ISMS.online ווייכווארג ענדערונגען אַלע דעם. איצט איר האָבן פאַר-קאַנפיגיערד אינפֿאָרמאַציע זיכערהייט פראַמעוואָרקס, מכשירים און אינהאַלט צו העלפֿן איר דערגרייכן ISO 27001 הצלחה געשווינד און פשוט.

ימאַדזשאַן אויך אויב איר האָט אַ העלפּינג האַנט וואָס גיידיד איר דורך יעדער שריט פון ISO 27001, אָן די נויט פֿאַר טייַער קאַנסאַלטאַנסי פיז? אונדזער ISO 27001 ווירטואַל קאָוטש פּעקל טוט פּונקט דאָס.

איר וועט געפֿינען נוציק ווידיאס פון די וואָס זענען "לעבן" ISO 27001, צוזאַמען מיט אַן אינפֿאָרמאַציע זיכערהייט מומכע, ווי אויך פילע הינץ און עצות פֿאַר הצלחה.

אַלע איבערגעגעבן פּונקט ווו איר דאַרפֿן עס רובֿ, ין די ISMS.online פּלאַטפאָרמע אַלאַוינג איר צו אַרבעטן ווו און ווען איר ווילט, אין דיין גאַנג צו דערגרייכן דיין גאָולז.

ווי טאָן איך דערגרייכן ISO 27001?

די האַרץ רעקווירעמענץ פון די אינפֿאָרמאַציע זיכערהייט סטאַנדאַרט זענען גערעדט אין קלאָזיז 4.1 ביז 10.2, און אַנעקס א קאָנטראָלס וואָס איר קען קלייַבן צו ינסטרומענט, אונטער דיין ריזיקירן אַסעסמאַנט, ריזיקירן באַהאַנדלונג פּלאַן און אַרבעט, זענען באדעקט אין A.5.1 און 5.31 ביז 5.36 און A. 8.8 (געפונען אין די דנאָ פון דעם בלאַט).

אויב איר ווילן צו דערגרייכן ISO 27001, איר וועט זיין דערוואַרט צו טרעפן אַלע די האַרץ ISO 27001 רעקווירעמענץ. איינער פון די פונדאַמענטאַל האַרץ רעקווירעמענץ (6.1) איז צו ידענטיפיצירן, אַססעסס, אָפּשאַצן און מייַכל אינפֿאָרמאַציע זיכערהייט ריסקס. פֿון דעם ריזיקירן אַסעסמאַנט און פאַרוואַלטונג פּראָצעס, די ISMS וועט העלפֿן באַשטימען וואָס פון די ISO 27001 אַנעקס א רעפֿערענץ קאָנטראָל אַבדזשעקטיווז (אינפֿאָרמאַציע זיכערהייט קאָנטראָלס) קען זיין געווענדט צו פירן די אינפֿאָרמאַציע זיכערהייט אָריענטיד ריסקס.

עטלעכע אָרגאַנאַזיישאַנז קען נישט נעמען זייער אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם צו סערטאַפאַקיישאַן אָבער ייַנרייען זיך צו די ISO 27001 נאָרמאַל. דאָס קען זיין אָוקיי צו טרעפן ינערלעך פּרעשערז אָבער דיליווערז ווייניקער ווערט צו שליסל סטייקכאָולדערז ויסווייניק, וואָס ינקריסינגלי קוקן פֿאַר די אַשוראַנסיז אַ UKAS (אָדער ענלעך אַקרעדיטיד סערטאַפאַקיישאַן גוף) ינדיפּענדאַנטלי סערטאַפייד ISO 27001 דיליווערז.

ISO 27001 סערטאַפאַקיישאַן

פֿאַר אָרגאַנאַזיישאַנז וואָס זוכן צו באַווייַזן זייער היסכייַוועס צו אינפֿאָרמאַציע זיכערהייט, סערטאַפאַקיישאַן פון אַן אַקרעדיטיד גוף איז דער וועג צו גיין. דער פּראָצעס פון זוכן סערטאַפאַקיישאַן ריקווייערז אַ גרונטיק אָפּשאַצונג פון די יסמס פון דער אָרגאַניזאַציע און זיין פיייקייט צו נאָכקומען מיט די רעקווירעמענץ פון ISO 27001:2022.

אַן אַקרעדיטיד דריט-פּאַרטיי אָדיטאָר זאָל אָנפירן דעם סערטאַפאַקיישאַן פּראָצעס, וואָס וועט אָפּשאַצן די יסמס פון דער אָרגאַניזאַציע און אַססעסס זיין העסקעם מיט די סטאַנדאַרד. דער אָדיטאָר וועט אויך צושטעלן רעקאַמאַנדיישאַנז פֿאַר ימפּרווומאַנץ און ענשור אַז די אָרגאַניזאַציע קענען טרעפן די נייַע רעקווירעמענץ פון די סטאַנדאַרד.

אַמאָל די סערטאַפאַקיישאַן פּראָצעס איז גאַנץ, די אָרגאַניזאַציע וועט באַקומען אַ באַאַמטער באַווייַזן פון די אַקרעדיטיד גוף.