שפרינג צו דער טעמע
וואָס טוט פּונקט 6.1 אַרייַנציען?
דאַקיומענטינג מיט קלעריטי אין די באַשרייַבונג, און דעמאַנסטרייטינג ווי איר שעפּן ריזיקירן אונטער ISO 27001 איז יקערדיק פֿאַר אַ פרייַ סערטאַפאַקיישאַן פֿאַר ISO 27001 און די לויפן פון אַ געראָטן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS).
פּונקט 6.1.1 - אַלגעמיינע אַספּעקץ אין פּלאַנירונג אַרום ריזיקירן פֿאַר ISO 27001
אין דעם פונט, איר זאָל קוקן צוריק צו דיין פריער אַרבעט אין סעקשאַנז 4 און 5 - ספּעציעל 4.1, 4.2, 4.3 און אָפּטיילונג 5 פון ISO 27001. פריער ישוז, אינטערעסירט פּאַרטיעס און פאַרנעם צו:
- ענשור אַז די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם קענען דערגרייכן די בדעה רעזולטאטן
- 'פאַרמיידן אָדער רעדוצירן די ונדעסירעד יפעקץ'
- 'דערגרייכן קעסיידערדיק פֿאַרבעסערונג'.
די אָרגאַניזאַציע מוזן האָבן פּלאַנז אין פּלאַץ וואָס דעקן די אַקשאַנז וואָס זי וועט נעמען צו ידענטיפיצירן, אַססעסס און מייַכל די ריסקס און אַפּערטונאַטיז און ווי עס וועט ויסשטימען און ינסטרומענט די אַקשאַנז אין זייַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם פּראַסעסאַז. דאָס זאָל אַרייַננעמען ווי זיי וועלן אָפּשאַצן די יפעקטיוונאַס פון די אַקשאַנז און מאָניטאָר זיי איבער צייַט.
דאָס איז גאַנץ פּשוט צו דאַקיומענטירן דעם פּראָצעס פֿאַר ריזיקירן לעגיטימאַציע, אַססעססמענט און באַהאַנדלונג, און ווייַזן אַז עס אַרבעט אין פיר מיט פאַרוואַלטונג פון יעדער ריזיקירן, יידילי צו ווייַזן אַז עס איז טאָלעראַטעד (למשל נאָך אַנעקס א קאָנטראָלס זענען געווענדט), טערמאַנייטיד אָדער טאָמער טראַנספערד. צו אנדערע פארטייען.
ISO 27001 ברייקס די פאָדערונג צו ריזיקירן פאַרוואַלטונג אויך אין מער טיף. אין אַדישאַן, עס זענען אנדערע ריזיקירן אָריענטיד סטאַנדאַרדס ווי ISO 31000 צו לערנען פון, ווו די פּרינסאַפּאַלז פֿאַר ISO 27001 ריזיקירן פּלאַנירונג האָבן סטימד פון.
פּונקט 6.1.2 - אינפֿאָרמאַציע זיכערהייט ריזיקירן אַססעססמענט פֿאַר ISO 27001
די ISO 27001 סטאַנדאַרט ריקווייערז אַן אָרגאַניזאַציע צו פאַרלייגן און טייַנען אינפֿאָרמאַציע זיכערהייט ריזיקירן אַסעסמאַנט פּראַסעסאַז וואָס אַרייַננעמען די קרייטיריאַ פֿאַר אַקסעפּטאַנס און אַסעסמאַנט פון ריזיקירן. עס אויך סטיפּיאַלייץ אַז קיין אַסעסמאַנץ זאָל זיין קאָנסיסטענט, גילטיק און פּראָדוצירן 'פאַרגלייַכלעך רעזולטאַטן.'
דאָס מיינט קלאר דיסקרייבינג דעם צוגאַנג וואָס איז גענומען און מיטל פּראָדוצירן אַ ריזיקירן מעטאַדאַלאַדזשי - מיר האָבן געשריבן מער וועגן דעוועלאָפּינג דעם דאָ.
אָרגאַנאַזיישאַנז מוזן צולייגן די אַסעסמאַנט פּראַסעסאַז צו ידענטיפיצירן ריסקס פֿאַרבונדן מיט די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוויילאַבילאַטי (CIA) פון די אינפֿאָרמאַציע אַסעץ אין די דיפיינד פאַרנעם פון די ISMS.
רובֿ יסאָ סערטאַפייד אַדאַטערז וועט דערוואַרטן אַז מעטאַדאַלאַדזשי צו גיין ווייַטער פון פּשוט ליקעליהאָאָד און פּראַל דיסקריפּשאַנז, צו דערקלערן וואָס כאַפּאַנז (זאָגן) ווען אַ קאָנפליקט אַקערז צווישן איין ריזיקירן (למשל אַוויילאַבילאַטי באזירט) און אנדערן (למשל קאַנפאַדענשיאַלאַטי באזירט).
ריסקס דאַרפֿן צו זיין אַסיינד צו ריזיקירן אָונערז אין דער אָרגאַניזאַציע וואָס וועט באַשליסן די מדרגה פון ריזיקירן, אַססעסס די פּאָטענציעל קאַנסאַקווענסאַז אויב די ריזיקירן מאַטיריאַלייז, צוזאַמען מיט "רעאַליסטיש ליקעליהאָאָד פון די פּאַסירונג פון די ריזיקירן".
אַמאָל עוואַלואַטעד די ריזיקירן מוזן זיין פּרייאָראַטייזד פֿאַר ריזיקירן באַהאַנדלונג און דאַן געראטן אין לויט מיט די דאַקיומענטאַד מעטאַדאַלאַדזשי.
פּונקט 6.1.3 - באַהאַנדלונג פון אינפֿאָרמאַציע זיכערהייט ריזיקירן פֿאַר ISO 27001
איר זענט געריכט צו אויסקלייַבן צונעמען ריזיקירן באַהאַנדלונג אָפּציעס באזירט אויף די ריזיקירן אַסעסמאַנט רעזולטאַטן, למשל, באַהאַנדלונג מיט אַנעקס א קאָנטראָלס, פאַרענדיקן, אַריבערפירן אָדער טאָמער מייַכל אויף אן אנדער וועג. די ISO 27001 סטאַנדאַרט הערות אַז אַנעקס א אויך ינקלודז די קאָנטראָל אַבדזשעקטיווז אָבער אַז די ליסטעד קאָנטראָלס זענען 'ניט יגזאָסטיוו' און נאָך קאָנטראָלס קען זיין דארף.
טיפּיקאַללי, די אַנעקס א קאָנטראָלס זענען געניצט אַליין אין קלענערער אָרגאַנאַזיישאַנז כאָטש עס איז פּאַסיק צו פּלאַן אָדער ידענטיפיצירן די קאָנטראָלס פֿון קיין מקור. אין דעם וועג, אָנפירונג קייפל זיכערהייט סטאַנדאַרדס קען מיינען אַז איר צולייגן קאָנטראָלס, למשל, פֿון אנדערע סטאַנדאַרדס אַזאַ ווי NIST אָדער SOC2 לויט די Trust Services Criteria פּרינסאַפּאַלז.
אויב אַודיטעד דורך אַן אומאָפּהענגיק אָדיטאָר פֿאַר ISO 27001, עס איז פיל זינען צו פאָקוס אויף די אַנעקס א קאָנטראָלס, ווייַל זיי וועלן וויסן די.
אויב איר דאַרפֿן צו טרעפן ספּעציפיש סטאַנדאַרדס פֿאַר אַ קונה, למשל DSPT פֿאַר געזונט אין די וק NHS, עס איז זינען צו אויך מאַפּע די ריזיקירן באַהאַנדלונג צו יענע און געבן די קונה בטחון אַז דיין אינפֿאָרמאַציע פארזיכערונג איז געזונט און טרעפן זייער אינטערעסן.
אַסיינד ריזיקירן אָונערז פירן זייער ריזיקירן באַהאַנדלונג פּלאַנז (אָדער דעלאַגייט צו מענטשן צו טאָן דאָס פֿאַר זיי) און לעסאָף מאַכן די באַשלוס צו אָננעמען קיין ריזידזשואַל אינפֿאָרמאַציע זיכערהייט ריסקס - נאָך אַלע, עס איז נישט זינען צו שטענדיק פאַרענדיקן אַריבערפירן אָדער פאָרזעצן צו ינוועסטירן אין פאַרוואַלטונג פון אַ ריזיקירן.
עס איז נייטיק צו פּראָדוצירן אַ סטאַטעמענט פון אַפּפּליאַביליטי וואָס כּולל די קאָנטראָלס וואָס די אָרגאַניזאַציע האט דימד נייטיק צוזאַמען מיט די טערעץ פֿאַר ינקלוזשאַנז, צי זיי זענען ימפּלאַמענאַד אָדער נישט, און די טערעץ פֿאַר יקסקלוזשאַנז פון קאָנטראָלס פון אַנעקס א.
דאָס איז אַ שיין באַטייטיק אַרבעט (מאַסיוולי סימפּלאַפייד און אָטאַמייטיד דורך ISMS.online) וואָס דעמאַנסטרייץ אַז די אָרגאַניזאַציע האט קערפאַלי געקוקט אין אַלע די געביטן אַרום די קאָנטראָלס וואָס ISO 27001 האלט צו זיין וויכטיק.
פֿאַרשטיין די סטאַטעמענט פון אָנווענדלעך פֿאַר ISO 27001
די סטאַטעמענט פון אָנווענדלעך (SOA) כּולל די נייטיק קאָנטראָלס ווי דערמאנט אויבן און די טערעץ פֿאַר זייער ינקלוזשאַן אָדער יקסקלוזשאַן. עס איז גרויס פֿאַר ינערלעך פאַרוואַלטונג און פֿאַר ייַנטיילונג מיט באַטייַטיק אינטערעסירט פּאַרטיעס. דאָס צוזאַמען מיט די זיכערהייט פּאָליטיק, פאַרנעם און באַווייַזן (אויב אַטשיווד) וועט געבן זיי אַ בעסער פארשטאנד פון ווו זייער אינטערעסן און קאַנסערנז קען זיין אין דיין אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם.
ווי צו דערגרייכן פּונקט 6.1
טיפּיקאַללי, פּלאַנירונג ווי איר וועט ידענטיפיצירן, אָפּשאַצן און מייַכל ריסקס, צו טרעפן די רעקווירעמענץ אויבן, איז איינער פון די מער צייט-קאַנסומינג עלעמענטן פון ימפּלאַמענינג דיין ISMS. עס ריקווייערז אַן אָרגאַניזאַציע צו דעפינירן אַ מעטאַדאַלאַדזשי פֿאַר די קאָנסיסטענט יוואַליויישאַן פון ריזיקירן און האַלטן קלאָר רעקאָרדס פון יעדער ריזיקירן, זייַן אַסעסמאַנט און באַהאַנדלונג פּלאַן.
דערצו, די רעקאָרדס זאָל באַווייַזן רעגולער באריכטן איבער צייַט, און זאָגן פון די באַהאַנדלונג וואָס איז פארגעקומען. דאָס וועט אַרייַננעמען וואָס פון די אַנעקס א קאָנטראָלס איר האָט שטעלן אין פּלאַץ ווי אַ טייל פון דער באַהאַנדלונג און וועט קאָרמען אין דער שאַפונג (און וישאַלט) פון די סטאַטעמענט פון אָנווענדלעך.
עס איז קיין ווונדער אַז אַלטמאָדיש ספּרעדשיט אַפּראָוטשיז קענען זיין קאָמפּליצירט און שווער צו טייַנען ווען איר גיין ווייַטער פון די זייער יקערדיק אַפּראָוטשיז צו ריזיקירן פאַרוואַלטונג (וואָס איז פארלאנגט פֿאַר ISO 27001). דאָס איז איינער פון די סיבות וואָס אָרגאַנאַזיישאַנז איצט זוכן ווייכווארג סאַלושאַנז צו פירן דעם פּראָצעס.
מאַכן עס סימפּלער מיט ISMS.online
די ISMS.online פּלאַטפאָרמע כולל אַ ריזיקירן פאַרוואַלטונג פּאָליטיק, מעטאַדאַלאַדזשי און אַ פאַר-קאַנפיגיערד אינפֿאָרמאַציע זיכערהייט ריזיקירן פאַרוואַלטונג געצייַג. מיר אויך אַרייַננעמען אַ באַנק פון פּראָסט אינפֿאָרמאַציע זיכערהייט ריסקס וואָס קענען זיין ציען אַראָפּ, צוזאַמען מיט די סאַגדזשעסטיד אַנעקס א קאָנטראָלס, שפּאָרן איר וואָכן פון אַרבעט.
צו פאַרבינדן דעם אין איין ינאַגרייטיד לייזונג צו העלפֿן איר דערגרייכן, טייַנען און פֿאַרבעסערן דיין גאַנץ ISMS איז אַ גאנץ זינען. נאָך אַלע, וואָס וויסט צייט טריינג צו בויען עס זיך ווען עס איז שוין אַ ציל-געבויט לייזונג?
קאָמפּליאַנסע טוט נישט האָבן צו זיין קאָמפּליצירט.
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ העאַדסטאַרט פון 81% פון דעם מאָמענט איר קלאָץ אויף.
כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
