ווי צו גרייטן זיך פֿאַר אַן ינערלעך ISO 27001 קאָנטראָלירן - די פּערספּעקטיוו פון די אַודיטי

הקדמה

אַלע אַדאַץ אַרייַנציען בייַ מינדסטער איין אָדיטאָר (מאל מער ווי איין, מיט דער מענטש אין באַשולדיקונג קאַמאַנלי באקאנט ווי דער פירן אַדאַטערז) און בייַ מינדסטער איין אַדדיטער. די ראָלע פון ​​די אַודיטיז איז צו מיטאַרבעטן מיט די קאָנטראָלירן מאַנשאַפֿט צו:

• נאַוויגירן דורך די פאַרשידענע ISMS דאָקומענטן און סיסטעמען
• דיסקוטירן און שטימען אויף די יפעקטיוונאַס פון די טיילן פון די ISMS איז אַודיטעד
• צושטעלן זאָגן ווו דארף פון די יסמס אַפּעריישאַנז (טיפּיקלי רעקאָרדס)
• דערקלערן די הינטערגרונט טראכטן און געשעפט קאָנטעקסט צו די קאָנטראָלירן

דער פאָקוס פון דעם שטיק איז צו קוקן אין דער צוגרייטונג פֿאַר ינערלעך אַדאַץ פֿון דער פּערספּעקטיוו פון די אַודיטי

וואָס איז אַן ISO 27001 ינערלעך קאָנטראָלירן

אינערלעכער אַדאַץ פון ISO 27001 אַרוישעלפן אָרגאַנאַזיישאַנז צו ענשור אַז זייער רעקווירעמענץ און די פארלאנגט דורך די סטאַנדאַרט זענען באגעגנט. די ISO 27001 ינערלעך קאָנטראָלירן איז פירסטלי דער פּראָצעס פון דיטערמאַנינג אויב אַ פירמע האט די נייטיק פּראָוסידזשערז, פּראַסעסאַז, פּראָטאָקאָלס און מענטשן צו באַשיצן זייַן אינפֿאָרמאַציע און זייַן אינפֿאָרמאַציע פאַרוואַלטונג סיסטעמען קעגן די ISO 27001 נאָרמאַל. צווייטנס, די קאָנטראָלירן וועט פּרובירן, דורך דורכקוק פון דאָקומענטן און רעקאָרדס און מיט די הילף פון די אַודיטי, צי די פאַרשידן ISMS קאַמפּאָונאַנץ דורכפירן ווי דיזיינד און נאָכגיין די רעקווירעמענץ (קוקן פֿאַר די וואָרט "וועט") פון די ISO נאָרמאַל.

וואָס טאָן מיר דאַרפֿן ISO 27001 ינערלעך אַדאַץ?

עטלעכע דריווערס מאַכן קאַנדאַקטינג ינערלעך אַדאַץ קאַמפּאַלסערי. פּונקט 9.2 פון ISO 27001 מאַנדייץ אַז אַדאַץ זענען דורכגעקאָכט אין "פּלאַננעד ינטערוואַלז". רובֿ קאָמפּאַניעס זענען געטריבן צו באַפרייַען פאַקטיש ווערט פון זייער ISMS, און שפּיץ פאַרוואַלטונג פירט דעם סטראַטידזשיק קאַוואָנע. ינערלעך אַדאַץ זענען דעריבער געזען און געוויינט ווי אַ קריטיש געשעפט פֿאַרבעסערונג געצייַג.

אָנפירן אַן אינערלעכער קאָנטראָלירן ינשורז אַז די פּראָוסידזשערז פון אַ פירמע זענען דורכגעקאָכט לויט צו פּלאַן. positive און נעגאַטיוו באַמערקונגען פון אַ פּרויעקט ינערלעך קאָנטראָלירן איז ינוואַליאַבאַל צו פֿאַרבעסערן דיין אָרגאַנאַזיישאַנז 'אינפֿאָרמאַציע פאַרוואַלטונג פּראַסעסאַז.

די חילוק צווישן פונדרויסנדיק און ינערלעך ISO 27001 אַדאַץ

די פונדרויסנדיק קאָנטראָלירן פּראָצעס איז יסענשאַלי די זעלבע ווי די ינערלעך קאָנטראָלירן פּראַסעסאַז, אָבער וואָס זיי לעסאָף האָבן אין פּראָסט איז דער ציל איז צו דערגרייכן און טייַנען ISO 27001 סערטאַפאַקיישאַן. טיפּיקאַללי, סערטאַפייד ללבער דורכפירן פונדרויסנדיק אַדאַץ ניצן פאַכמאַן אַדאַטערז. בשעת די קאָנטראָלירן פּראַסעסאַז זענען בייסיקלי די זעלבע, פונדרויסנדיק אַדאַץ טענד צו זיין מער פאָרמאַל און סטראַקטשערד ווי ינערלעך אַדאַץ.

פֿאַר רעפֿערענץ, דאָ איז אַ שנעל קיצער פון פאַרשידענע קאָנטראָלירן טייפּס

דריט-פּאַרטיי אַדאַץ

דאָס איז ווען אן אנדער אָרגאַניזאַציע אַדאַץ דיין אָרגאַניזאַציע - דער קלאָר ווי דער טאָג ביישפּיל איז אַז דיין ISMS איז אַודיטעד דורך דיין אויסדערוויילטע סערטאַפאַקיישאַן גוף - קאַמאַנלי באקאנט ווי אַ 'פונדרויסנדיק קאָנטראָלירן'.

צווייטע פּאַרטיי אַדאַץ

דאָס קען זיין ינווערד צו דיין אָרגאַניזאַציע (אַ קונה אַדאַץ איר) אָדער אַוטווערד פון דיין אָרגאַניזאַציע (למשל, איר קאָנטראָלירן אַ פּראָספּעקטיוו אָדער קראַנט סאַפּלייער).

ערשטער-פּאַרטיי אַדאַץ

ערשטער-פּאַרטיי אַדאַץ זענען ווען אַן אָרגאַניזאַציע אַדאַץ זיך - דאָס איז, אַן ינערלעך קאָנטראָלירן.

דיפיינינג די קאָנטראָלירן

צו באַקומען די מאַקסימום ווערט פון דיין קאָנטראָלירן, איר מוזן פּרעדעפינירן די קאָנטראָלירן פּאַראַמעטערס. דאָס כולל די פאַרנעם, קרייטיריאַ און אָביעקטיוו פון די קאָנטראָלירן. די אָביעקטיוו פון די קאָנטראָלירן איז דער ציל אָדער ציל פון די קאָנטראָלירן. די קאָנטראָלירן פאַרנעם יידענאַפייד וואָס אַקטיוויטעטן און רעקאָרדס זענען אונטערטעניק צו קאָנטראָלירן. די קאָנטראָלירן קריטעריאַ באשטייט פון פּאַלאַסיז, ​​​​פּראָוסידזשערז און רעקווירעמענץ וואָס די קאָנטראָלירן איז יגזאַמאַנד קעגן, אין דעם פאַל, די ISO 27001: 2013 נאָרמאַל.

די וויכטיקייט פון ISO 27001 קאָנטראָלירן צוגרייטונג

אויב עס איז איין סכוירע וואָס מיר אַלע וואָלט ווי מער, עס איז צייט. ווי בנימין פרענקלין האט אמאל געזאגט: 'פעלן צו גרייטן, איז זיך גרייטן צו דורכפאלן'. איך בין זיכער אַז ער האָט נישט רעפעררעד צו ISO 27001 אַדאַץ אין דער צייט, אָבער די שייכות נאָך יגזיסץ. אַ קאָנטראָלירן פון דיין גאנצע אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם, אַרייַנגערעכנט זייַן טעקנאַלאַדזשיז, פּראַסעסאַז און פּראָוסידזשערז און מענטשן, וועט כּמעט זיכער זיין טשאַלאַנדזשינג.

די מער ברייט און מער קאָמפּליצירט די אָרגאַניזאַציע, די מער מסתּמא קאָנטראָלירן פיינדינגז וועט פאַרהאַלטן סערטאַפאַקיישאַן. אָבער, עס זענען סטעפּס איר קענען נעמען אין שטייַגן צו מאַכן דיין קאָנטראָלירן מער עפעקטיוו און ווייניקער פון אַ אָרדעאַל. פאַרזיכערן אַז איר קלייַבן אַלע די נייטיק דאָקומענטן אין שטייַגן פון די קאָנטראָלירן צו באַווייַזן דיין העסקעם השתדלות. דערצו, מאַכן זיכער אַז איר פֿאַרשטיין די רעקווירעמענץ פון די באַטייַטיק סטאַנדאַרט געביטן וואָס זענען אונטערטעניק צו קאָנטראָלירן. צום סוף, מאַכן זיכער אַז איר זענט דערהייַנטיקט מיט אַלע די קעסיידערדיק אַרבעט געביטן אַזאַ ווי קערעקטיוו אַקשאַנז, פאַרוואַלטונג באריכטן און די קאָנטראָלירן פּראָגראַם; די זענען זייער מסתּמא צו זיין אָפּגעשטעלט ווי אַ טייל פון די ינערלעך קאָנטראָלירן.

ווי צו פּראַקטאַקלי צוגרייטן פֿאַר די ינערלעך קאָנטראָלירן

ביידע דער אָדיטאָר און די אָרגאַניזאַציע מוזן זיין אַדאַקוואַטלי צוגעגרייט פֿאַר די קאָנטראָלירן. עס איז גרינג צו פאַרגעסן בשעת סטרעסינג וועגן דיין דאַקיומענטיישאַן אַז עס זענען פילע פּראַקטיש טינגז וואָס איר קען דאַרפֿן צו זיין גרייט פֿאַר. איידער די קאָנטראָלירן (זאָגן צוויי וואָכן פריער), עס איז יוזשאַוואַלי אַ גוט געדאַנק צו ענשור אַז אַלע באַטייַטיק פּאַלאַסיז / פּראָוסידזשערז / סיסטעמען / רעקאָרדס / קאָנטראָלס זענען ווי דערהייַנטיקט ווי מעגלעך מיט פּאַסיק האַסקאָמע קאָנטראָלירן טריילז אין פּלאַץ. אויב איר באַטראַכטן עס צונעמען, איר קענט ווידער לייענען דיין באַטייַטיק פּאַלאַסיז, ​​​​פּראָצעס און פּראָוסידזשערז צו שייַעך-באקאנט זיך מיט און אפֿשר איבערבליק איידער די קאָנטראָלירן אויב איר געפֿינען עס פּאַסיק. נאָך לייענען דעם דאָקומענט, עס וועט נישט יבערראַשן איר אַז איר קען דאַרפֿן צו פּראָדוצירן דאַקיומענטיישאַן אין די קאָנטראָלירן. ווי אַ רעזולטאַט, עס איז מיסטאָמע אַ גוטע געדאַנק צו ענשור אַז איר האָבן די דאַקיומענטיישאַן פֿאַר די קאָנטראָלירן, אָדער אין מינדסטער איר זאָל וויסן ווי צו אַקסעס עס. סקריינג אַרום איר זוכט פֿאַר זאכן לעצטע מינוט וועט נאָר וויסט דיין צייט און די אַדאַטערז; צוטריט און רעשוס זאָל זיין אויסגעשטעלט אין שטייַגן. איר זאָל ענשור אַלע די נייטיק זיכערהייט פּערמישאַנז, אַזאַ ווי אַקסעס צו די סערווער צימער אָדער אַ שליסל קאָרט צו די ווערכאַוס. סימילאַרלי, איר קען דאַרפֿן צו מאַכן ספּעציעל עריינדזשמאַנץ פריער, ווי קערן אַוועק אַ שרעק אָדער טעמפּערעראַלי אָפּשטעלן פּראָדוקציע.

דערצו, איר קען דאַרפֿן PPE פֿאַר די אַדאַטער אין פאַל פון ויסשטעלן צו אַ געפערלעך סוויווע, אַזאַ ווי אַ זיכערקייַט העלם אָדער אפילו אָווועראָלז. דאָס איז ספּעציעל וויכטיק ווייַל דורכפאַל צו צולייגן דעם איז מסתּמא צו פירן צו דער אַודיטאָר נישט מקיים זייער פליכט. פּונקט אַזוי, עס קען זיין אַ ספּעציפיש אָפּטיילונג אָדער מענטש וואָס וועט זיין אַודיטעד, אַזאַ ווי מענטשלעך רעסאָורסעס. איר מוזן מאַכן זיכער אַז ספּעשאַלייזד פּערסאַנעל זענען אַווער פון די קאָנטראָלירן און זענען בארעכטיגט פֿאַר די אָדיטאָר צו רעדן צו. פאַרזיכערן איר געבן דיין חברים / עמפּלוייז אַ פּלאַץ פון באַמערקן. דער קאָנטראָלירן פּלאַן וועט העלפֿן איר צו אַרבעטן אויס די עריינדזשמאַנץ.

צום סוף, עס קען זיין עטלעכע לאָגיסטיק פּרעפּעריישאַנז וואָס איר דאַרפֿן צו מאַכן - פֿאַר בייַשפּיל, עריינדזשינג אַ פּאַסיק וואָרקספּאַסע פֿאַר די אָדיטאָר. דאָס קען זיין גענוצט צו אַרבעטן אויף די קאָנטראָלירן פיינדינגז און שרייבן. סימילאַרלי, דער אָדיטאָר קען דאַרפֿן אַן אינטערנעט פֿאַרבינדונג צו פירן עטלעכע אַספּעקץ פון די קאָנטראָלירן. דעריבער, איר מוזן אָנווייַזן זיי צו ברענגען אַ האָצפּאָט מיט זיי אויב דיין פּאָליטיק קען נישט לאָזן געסט צו פאַרבינדן די נעץ. אויף די אנדערע האַנט, אויב איר האָבן אַ גאַסט ווי-פי און פּאַראָל אין האַנט, דאָס וועט העלפֿן מאַכן די אָדיטאָר מער סטרייטפאָרווערד.

קיין צוגרייטונג איז דער בעסטער צוגרייטונג

עס קען קומען ווי אַ יבערראַשן פֿאַר איר, אָבער די ידעאַל יסמס וואָלט נישט דאַרפֿן צו גרייטן זיך פֿאַר אַ קאָנטראָלירן. א מצליח ISMS איז דערהייַנטיקט מיט די קעסיידערדיק נאָרמאַל רעקווירעמענץ אַזאַ ווי פאַרוואַלטונג באריכטן, אַדאַץ, קערעקטיוו אַקשאַנז אאז"ו ו. בעכעסקעם מיט די אַרבעט געביטן וועט בלויז דינען ווי אַ הילף צו דיין געשעפט פּראַקטיסיז ווייַל פון די קעסיידערדיק ימפּרווומאַנץ פון דיין ISMS. איידער דיין קאָנטראָלירן, עטלעכע כאַוסקיפּינג קען זיין אין סדר. אָבער, אַ סיסטעם וואָס דערמאנט איר פון די טאַסקס, אַפּקאַמינג טאַסקס, פּאָליטיק באריכטן און אנדערע קעסיידערדיק טאַסקס וועט געבן איר די בעסטער געלעגנהייט צו ויסמיידן ISO-פּאַניק. דאס איז ווו מיר קומען אין. מיר צושטעלן אַ גאַנץ פּלאַטפאָרמע פֿאַר איר צו פירן און בויען דיין ISMS. דאַנק צו אונדזער סאַלושאַנז, דיין אָרגאַניזאַציע, קאַסטאַמערז און אנדערע סטייקכאָולדערז קענען האָבן העסקעם בטחון און סערטאַפאַקיישאַן זיכערקייט. פון אינפֿאָרמאַציע זיכערהייט נאַוואַסיז צו סיזאַנד וועטעראַנס, מיר זענען געוויינט צו אַרבעטן מיט קאַסטאַמערז פון אַלע באַקגראַונדז. ווי דיין אָרגאַניזאַציע וואקסט און ענדערונגען, נייַ ינפאָסעק טרעץ זענען קעסיידער ימערדזשינג. מיר דיזיינד אונדזער פּלאַטפאָרמע צו העלפֿן איר אַדאַפּט עס צו אַלע פון ​​​​דעם און מער ווי די וועלט האלט יוואַלווינג.

פריער אַדאַץ פיינדינגז און קערעקטיוו אַקשאַנז - וועט זיי זיין אַודיטעד?

דער ציל איז צו קאָנטראָלירן די ISMS ינעווייניק קעגן ISO 27001 וואָס וועט נישט כאַפּן קיין נייַע ניט-קאַנפאָרמאַטיז. דעריבער, איר מוזן גיין אין די קאָנטראָלירן מיט די בטחון פון קאַנפאָרמאַטי. דעריבער, אַ רעצענזיע פון ​​דאַקיומענטיישאַן איז יקערדיק. מיר דאַרפֿן צו קאָנטראָלירן אַז אַלע די פּאַלאַסיז זענען דערלאנגט און באוויליקט דורך מיין פאַרוואַלטונג. אַנדערש, אַ קאַנפאָרמאַטי פֿאַר קל.5.2 קען זיין סאַקאָנע.

אַדדיטיאָנאַללי, עס וואָלט העלפן אויב איר געקוקט אויף די קערעקטיוו אַקשאַנז אין די ISMS; די דאַטן קענען ווערן גענוצט צו צוגרייטן פֿאַר דיין אַפּקאַמינג ינערלעך קאָנטראָלירן. די אינפֿאָרמאַציע צוגעשטעלט דורך די CA (קערעקטיוו אַקשאַנז) וועט ווייַזן איר ביז אַהער יידענאַפייד געביטן וואָס דאַרפֿן פֿאַרבעסערונג. מאל די קערעקטיוו אַקשאַנז קענען זיין פֿון אַ פאַרוואַלטונג רעצענזיע אָדער אַ ענטפער צו אַ זיכערהייט אינצידענט. אָבער, מיר וועלן פאָקוס אויף קאָררעקטיוו אַקשאַנז וואָס שטאַמען פון אַ קאָנטראָלירן. די CA ס זענען יקערדיק צו אָפּשאַצן ווייַל זיי זענען כּמעט זיכער וועט זיין אָפּגעשטעלט אין דיין קאָנטראָלירן. די פאלגענדע קאָנטראָלירן מוזן אַדרעס די אַפּערטונאַטיז פֿאַר פֿאַרבעסערונג און קיין קאַנפאָרמאַנסיז אַז סערפיסט פֿון דיין פריערדיקן קאָנטראָלירן. דאָס איז צו באַווייַזן דיין אָנגאָינג דעדיקאַציע צו קעסיידערדיק יסמס פֿאַרבעסערונג. דער טערמין 'אַדרעסירט' איז ווייג, אַזוי מיר זענען אויף האַנט צו קלאָר די טינגז. צו דערגרייכן העסקעם אין דעם געגנט, איר מוזן באַווייַזן צו די אָדיטאָר אַז איר האָט אַקטאַד אויף די רעקאַמענדיד ענדערונגען. די וועג דאָס איז געטאן איז ניצן אונדזער קערעקטיוו אַקשאַנז טראַקער און די לינגקט אַרבעט שטריך צו ווייַזן די ענדערונגען וואָס איר האָט געמאכט אין ענטפער צו דער דערגייונג. אויב איר האָט נישט אַקטאַד אויף די טריינינג, טאָן ניט פּאַניק, העסקעם איז נאָך מעגלעך. עס מוזן זיין זאָגן אַז די דערגייונג איז קאַנסידערד און איז אַקטאַד אויף. אין אַלגעמיין, נאָר דאַקיומענטינג די דערגייונג אין די CA טראַקער און באַשטעטיקן אַ רעכט דאַטע / אַסיינדע וועט זיין גענוג; עס ווייזט אַז דיין פירמע איז קאַנסידערינג דעם פאָרשלאָג און איז אין דעם פּראָצעס פון באַשליסן די ווייַטער לויף פון קאַמף. אַדדיטיאָנאַללי, אַלע אָוווערדו CA ס מוזן זיין גערעדט איידער קיין קאָנטראָלירן צו באַווייַזן די היסכייַוועס צו קעסיידערדיק פֿאַרבעסערונג פון די ISMS.

וואָס קלייַבן אונדז?

אַליאַנטיסט, די פירמע הינטער ISMS.online, איז סערטאַפייד צו ISO 27001 דורך אַ UKAS-אַקרעדיטיד סערטאַפאַקיישאַן גוף. מיר צושטעלן אונדזער קאַסטאַמערז פולשטענדיק ISO און ISMS שטיצן. באַזירט אויף דעם פּעקל זיי קלייַבן, די מדרגה פון שטיצן זיי באַקומען וועט בייַטן, אָבער פאַקטיש מענטשן וועלן שטענדיק זיין ינוואַלווד. פֿאַר מער אינפֿאָרמאַציע, טשעק אונדזער שטיצן פּאָליטיק אָדער פילן פריי צו קאָנטאַקט אונדזער שטיצן אָפּטיילונג. זיכערקייט פון העסקעם און זיכערקייט סערטאַפאַקיישאַן זענען גרינג צו דערגרייכן מיט אונדזער באַדינונגס פֿאַר דיין אָרגאַניזאַציע, קאַסטאַמערז און אנדערע סטייקכאָולדערז. מיר זענען צוגעוווינט צו אַרבעטן מיט קאַסטאַמערז אין אַלע לעוועלס, פֿון נוקאַמערז צו וועטעראַנס.