די ISO 27001:2013 אינערלעכער קאָנטראָלירן: סימפּליפיעד
אינהאַלט פון אינהאַלט:
- 1) וואָס איז דער ציל פון די אינערלעכער קאָנטראָלירן פֿאַר ISO 27001?
- 2) ווו און וואָס זאָל איר קאָנטראָלירן אין דיין אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם?
- 3) ווי צו קאָנטראָלירן אויף 3 פּראַגמאַטיק און פּשוט לעוועלס
- 4) ווי צו פּלאַן פֿאַר די ISO 27001 קאָנטראָלירן פּראָגראַם
- 5) ווי פיל דעטאַל זאָל איר אַרייַננעמען אין אַן ISO 27001 קאָנטראָלירן געניטונג?
- 6) וואָס טוט די ISO זאָגן וועגן אַדאַץ און אַדאַטינג פֿאַר ISO 27001?
- 7) זאָל איר נעמען אַ פירן אַודיטאָר קורס צו העלפן מיט ISO 27001?
א קשיא אָפט געפרעגט דורך מענטשן וואָס זענען נייַ צו אינפֿאָרמאַציע זיכערהייט is "ווי טאָן איך פאַרענדיקן אַן ינערלעך קאָנטראָלירן פון מיין יסמס? ".
געגעבן די אָפטקייַט פון די ונטערטעניק קומען אַרויף, מיר געבויט דעם ענטפער אין אונדזער ווירטואַל קאָוטש דינסט פֿאַר יסאָ קסנומקס. מיר אויך געדאַנק עס וואָלט זיין נוציק צו טיילן עטלעכע פון אונדזער גיידאַנס און יידיאַז אויף ווי איר קענען נעמען אַ פּראַגמאַטיק געשעפט-געפירט צוגאַנג צו דערגרייכן דעם ציל.
וואָס איז דער ציל פון די אינערלעכער קאָנטראָלירן פֿאַר ISO 27001?
דער ציל פון די ינערלעך קאָנטראָלירן אין אָפּטיילונג 9 פון די פאַרוואַלטונג באדערפענישן פֿאַר יסאָ קסנומקס: קסנומקס איז פאָרשטעלונג אפשאצונג. 9.2 זאגט אַז די אָרגאַניזאַציע וועט דורכפירן ינערלעך אַדאַץ אין פּלאַננעד ינטערוואַלז צו צושטעלן אינפֿאָרמאַציע אויף צי די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם:
1) קאַנפאָרמז צו
1.1) די אייגענע רעקווירעמענץ פון דער אָרגאַניזאַציע פֿאַר זייַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם; און
1.2) די באדערפענישן פון דעם אינטערנאַציאָנאַלער סטאַנדאַרד;
2) איז יפעקטיוולי ימפּלאַמענאַד און מיינטיינד
3) פּלאַן, ינסטרומענט און האַלטן אַן קאָנטראָלירן פּראָגראַם
4) דעפינירן די קאָנטראָלירן קרייטיריאַ און פאַרנעם פֿאַר יעדער קאָנטראָלירן
5) אויסקלייַבן אַדאַטערז וואָס וועלן זיין אָביעקטיוו און ימפּאַרשאַל
6) ענשור אַז אַדאַץ זענען געמאלדן צו באַטייַטיק פאַרוואַלטונג
7 ) ריטיין דאַקיאַמענטאַד אינפֿאָרמאַציע ווי זאָגן
אין קיצער, די ינערלעך קאָנטראָלירן איז איינער פון די ינישאַטיווז וואָס דעמאַנסטרייץ דיין יסמס קענען זיין טראַסטיד און איז פּערפאָרמינג ווי דערוואַרט.
די ISO 27001 סטאַנדאַרט איז ינקעראַדזשינג איר צו לויפן די ISMS צו טרעפן דיין געשעפט אַבדזשעקטיווז, פאַרנעם, ינערלעך און פונדרויסנדיק ישוז, אאז"ו ו. ווי אַזאַ איר אויך ווילן צו ענשור אַז ינערלעך אַדאַץ זענען געפירט אין דעם נוסח וואָס ריפלעקס דיין געשעפט און זייַן ריסקס, בשעת איר באַטראַכטן די קולטור און רעסורסן איר האָבן אין פּלאַץ.
ווו און וואָס זאָל איר קאָנטראָלירן אין דיין אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם?
צו מאַכן עס פאַקטיש, דיין קאָנטראָלירן פּראָגראַם און פֿילאָסאָפֿיע זאָל זיין דערייווד פֿון די ישוז, די פאַרנעם, למשל לאָוקיישאַנז, דעפּטס, פּראַסעסאַז, פּראָדוקטן, עטק. דערקלערונג פון אָנווענדלעך, ריסקס און אַזוי אויף, ניט נאָר אַ טיקען קעסטל געניטונג. אָבער, איר וועט האָבן צו באַווייַזן אַז איר האָבן אַודיטעד קעגן די גאנצע סטאַנדאַרט - פאַרוואַלטונג רעקווירעמענץ און אַנעקס א קאָנטראָלס - לפּחות אַמאָל אין די 3 יאָר ISO 27001 סערטאַפאַקיישאַן ציקל, און אַז איר קענען צושטעלן מוסטער זאָגן פון קאָנטראָלס ארבעטן צו דיין באדערפענישן.
מיר האָבן געבויט אויף דעם צוגאַנג אין די נאָרמאַל קאָנטראָלירן פּראָגראַם אין ISMS.online צו העלפן ענשור אַז אַדאַץ רעפּראַזענץ וואָס די געשעפט דאַרף. אין אונדזער מיינונג, אַדאַץ מוזן זיין געשעפט-געפירט און 'פאַקטיש' פֿאַר מענטשן צו קויפן אין עס ווי אַ גילטיק ינוועסמאַנט און צו מאַכן די קאָנטראָלירן מינינגפאַל.
ווי צו קאָנטראָלירן אויף 3 פּראַגמאַטיק און פּשוט לעוועלס
לעוועל 1 - איבערבליק פון פּאַלאַסיז אין לויט מיט A.5.1.2 און A.8.1.2 פֿאַר פרייַ באריכטן
דער מדרגה איז אַ פּשוט רעצענזיע פון ווי איר 'באַשרייַבן' דיין פּאַלאַסיז און קאָנטראָלס, און ענשור אַז זיי בלייבן באַטייַטיק פֿאַר די אָרגאַניזאַציע געגעבן 4.1 - 3 און אין לויט מיט די אויבן ישוז, פּאַרטיעס, פאַרנעם, אינפֿאָרמאַציע אַסעץ, ריסקס עטק.
אין ISMS.online מיר האָבן אַרייַנגערעכנט די פּאָליטיק פֿאַר A.5.1.2 און דעוועלאָפּעד די פּלאַטפאָרמע מיט דעם אין זינען, אַזוי עס איז גרינג פֿאַר איר צו אַדאַפּט אונדזער פּאָליטיק און טאַקע 'לעבן' עס אין פיר.
דאָס איז קלאר נישט ינערלעך אַדאַטינג פֿאַר סעקטע. 9.2 אין זיך, אָבער איז אַ וויכטיק טייל פון דיין יסמס פאַרוואַלטונג צוזאמען מיט אנדערע אַספּעקץ ווי פאַרוואַלטונג באריכטן, אינצידענט טראַקינג און וועט העלפֿן צו ענשור אַז ווען איר קומען צו אָנפירן דיין פאָרמאַל ינערלעך קאָנטראָלירן איר טאָן דאָס קעגן אַ האַרט גאַנג פון פּאַלאַסיז און קאָנטראָלס וואָס זענען צונעמען פֿאַר דיין אָרגאַניזאַציע.
לעוועל 2 - ינערלעך קאָנטראָלירן פּלאַן וואָס קאַווערינג די רעקווירעמענץ און קאָנטראָלס
דאָס איז דער פארלאנגט, מער בעקאַבאָלעדיק צוגאַנג און וועט זיין דורכגעקאָכט אין די לויף פון די סערטאַפאַקיישאַן ציקל אין אַ מינימום און עס קען זיין ווערט צו באַטראַכטן קאַווערינג דעם אַניואַלי.
אונדזער קאָנטראָלירן פּרויעקט קענען ווערן גענוצט צו שטעלן די אַבדזשעקטיווז און פאַרנעם פון יעדער קאָנטראָלירן און רעקאָרדירן דיין פיינדינגז. קיין ניט-קאַנפאָרמאַנסיז וואָס זענען יידענאַפייד קענען זיין אַדרעסד אין די פֿאַרבעסערונג שפּור.
פֿאַר די אָרגאַנאַזיישאַנז וואָס ווילן צו נאָכפאָלגן אַ דריי-יאָר קאָנטראָלירן פּראָגראַם פון אַלע קאָנטראָלס, מיר האָבן אַרייַנגערעכנט אַ פריימווערק צו נאָכפאָלגן אין ISMS.online צו.
מדרגה 3 - אַ האָליסטיק צוגאַנג צו באַווייַזן די יפעקטיוונאַס
מיר אויך מוטיקן אַ מער האָליסטיק צוגאַנג צו ינערלעך אַדאַץ און האָבן געבויט אַ פּראָגראַם אין דער פּלאַטפאָרמע וואָס פאָוקיסיז אַ קאָנטראָלירן אַרום 'דעמאַנסטרייטינג' אַ ספּעציפיש טייל פון דיין ISMS פאַרנעם איז געהאָרכיק, למשל אַ אָפּטיילונג, אַ אָרט, אַ פּראָדוקט, סיסטעם אָדער אַ פּראָצעס.
דאָס גיט איר די געלעגנהייט צו קוקן ווי די געשעפט אַרבעט אין פיר, ווייַטער ינפאָסעק פּער סיי, און זען אַפּערטונאַטיז פֿאַר פֿאַרבעסערונג אָדער, טאַקע, ופדעקן ריסקס וואָס קען נישט זיין לייכט געזען דורך קוקן דורך אַ קאָנטראָל אָביעקטיוו.
דאָס אויך אַלאַוז אַן אָרגאַניזאַציע צו קאָנטראָלירן אַ גרעסערע נומער פון קאָנטראָלס אין איין גיין, אין אַ פאַרבינדן-אַרויף מאָדע.
אין אונדזער ISO 27001 ווירטואַל קאָוטש, מיר אַרייַננעמען אַ ביישפּיל צו געבן אַ טאַם פון וואָס איר קען טאָן וואָס וואָלט אילוסטרירן טייל פון דיין יסמס פאַרנעם אַרבעט געזונט און טרעפן זייַן אַבדזשעקטיווז, מיט די קאָנטראָלס ארבעטן (אָדער נישט).
ווי צו פּלאַן פֿאַר די ISO 27001 קאָנטראָלירן פּראָגראַם
עס איז נישט גרינג צו אַנטוויקלען אַ קאָנטראָלירן פּלאַן 3 יאָר אין שטייַגן פֿאַר די גאנצע סערטאַפאַקיישאַן צייַט אויב איר זענט אַ פעסט-טשאַנגינג אָרגאַניזאַציע. אויב דאָס איז דער פאַל, איר זאָל באַטראַכטן די פאַרנעם געביטן וואָס דאַרפֿן צו זיין אַודיטעד און מאַכן אַ 12-חודש פּלאַן צו טרעפן די עקספּעקטיישאַנז פון אַ פונדרויסנדיק אָדיטאָר.
דעמאָלט זיין קלאָר אַז איר וועט זיין אָנפירן פאַרוואַלטונג באריכטן אין לויט מיט סעקט. 9.3 וואָס קען ברענגען אַ ענדערונג צו דעם פּלאַן. דאָס איז אַ טייל פון וואָס 9.3 איז וועגן - זיין פּראָואַקטיוו און אויך רעאַגירן צו נייַע אינפֿאָרמאַציע וואָס אַפעקץ די ISMS.
אויב איר באַשליסן צו טוישן די קאָנטראָלירן פּלאַן, פֿאַר בייַשפּיל, ווייַל פון אַ צינגל געשעעניש וואָס דזשאַסטאַפייז עס, נאָר מאַך די קאָנטראָלירן פּלאַן און לייגן אַ טאָן אין דיין באַטייַטיק פאַרוואַלטונג אָפּשאַצונג צו באַרעכטיקן וואָס איר האָט געמאכט די ענדערונגען.
וועלכער קאָנטראָלירן צוגאַנג איר קלייַבן צו אַדאַפּט, זיין צוגעגרייט צו באַרעכטיקן, באַווייַזן און באַשיצן זייַן יפעקטיוונאַס צו אַ פונדרויסנדיק אָדיטאָר.
ווי פיל דעטאַל זאָל איר אַרייַננעמען אין אַן ISO 27001 קאָנטראָלירן געניטונג?
ווען איר באַשליסן ווי טיף איר זאָל גיין מיט דיין קאָנטראָלירן געניטונג, באַטראַכטן דעם - צי איר האָבן גענוג אינפֿאָרמאַציע צו באַווייַזן אַז איר האָט דורכגעקאָכט די קאָנטראָלירן, געלערנט פון די געניטונג, דאַקיומענטאַד עס און גענומען קיין סאַבסאַקוואַנט אַקשאַנז?
פֿון אונדזער אייגענע קולטורעלע פּערספּעקטיוו, דאָס איז אויך וועגן זיין פּיטיי, פּייפּערלאַס און דיגיטאַל, און איז פאָוקיסט אויף צו ענשור אַז מיר באַקומען די אַרבעט גוט - פייַערן הצלחה, לערנען און פֿאַרבעסערן, און רעדוצירן ריזיקירן אָן אַקיומיאַלייטיד ביוראַקראַסי אָדער פאָרעם פילונג פֿאַר די צוליב. פון עס.
אַלעמען מיט וואָס מיר גערעדט (איידער בנין ISMS.online) האט זייער אייגן וועג פון אַדאַטינג. מיר האָבן געזען עטלעכע זייער לאַנג קאָנטראָלירן ריפּאָרץ וואָס זענען ראַרעלי לייענען דורך די רעכט וילעם, וואָס אין פאַקט נאָר ווילן אַ קיצער. אַזוי, פֿאַר אונדז עס ס וועגן עווידאַנסינג, לערנען, נעמען קאַמף און מאַך קיין ימפּרווומאַנץ אין פיר, אין לויט מיט די שטרענגקייַט פון די סאַקאָנע אָדער ווערט פון די געלעגנהייט אין באַציונג צו די אנדערע געשעפט פּרייאָראַטיז.
אין ISMS.online, איר קענען טאָן דאָס אין די קאָנטראָלירן טעטיקייט זיך אָדער פאַרבינדן די פֿאַרבעסערונג אַרבעט צו אונדזער קאָררעקטיווע אַקשאַנז און ימפּרווומאַנץ שפּור פֿאַר אַליינמאַנט מיט אַלע קאָררעקטיוו אַקשאַנז און ימפּרווומאַנץ, ניט נאָר די וואָס קומען פון אַ קאָנטראָלירן.
וואָס טוט די ISO זאָגן וועגן אַדאַץ און אַדאַטינג פֿאַר ISO 27001?
אין אַדישאַן צו די רעקווירעמענץ אין ISO 27001 9.2, די אינטערנאציאנאלע ארגאניזאציע פאר סטאנדארדיזאציע (ISO) גיט די פאלגענדע סטאַנדאַרדס פֿאַר אַדאַטינג:
- יסאָ קסנומקס - פּראָווידעס גיידאַנס וועגן ווי צו קאָנטראָלירן די פאַרוואַלטונג סיסטעם (רעקווירעמענץ) עלעמענטן פון דיין ISMS און דראָז שווער פון ISO 19011 (זען ווייטער) מיט די צוגעלייגט אָביעקטיוו פון ספּעסיפיקס רילייטינג צו אַדאַטינג אַן ISMS.
- ISO TR 27008 - א טעכניש באַריכט (אלא ווי נאָרמאַל) וואָס גיט גיידאַנס פֿאַר אַדאַטינג די אינפֿאָרמאַציע זיכערהייט קאָנטראָלס געראטן דורך דיין ISMS.
- יסאָ 19011 - גיט גיידאַנס אויף אַדאַטינג אַדמיניסטראַציע סיסטעמען, אַרייַנגערעכנט די פּרינסאַפּאַלז פון אַדאַטינג, אָנפירונג אַ קאָנטראָלירן פּראָגראַם און קאַנדאַקטינג פאַרוואַלטונג סיסטעם אַדאַץ, ווי געזונט ווי גיידאַנס פֿאַר די אפשאצונג פון די קאַמפּאַטינס פון מענטשן ינוואַלווד אין די קאָנטראָלירן פּראָצעס, אַרייַנגערעכנט דער מענטש אָנפירונג די קאָנטראָלירן פּראָגראַם, אַדאַטערז און קאָנטראָלירן טימז.
- יסאָ קסנומקס & ISO 17021 - דאָס איז פֿאַר די סערטאַפאַקיישאַן ללבער וואָס פירן פונדרויסנדיק אַדאַץ. כאָטש זיי קענען צושטעלן אַ נוציק רעפֿערענץ צו פֿאַרשטיין וואָס די סערטאַפאַקיישאַן ללבער זענען קוקן פֿאַר, דיין ינערלעך קאָנטראָלירן וועט זיין זייער אַנדערש, מיט אַ אַנדערש ציל און איר זאָל נישט קוקן צו קאָנטראָלירן פּונקט די זעלבע וועג.
א קאָנסיסטענט טעמע וואָס מיר הערן וועגן איז אַז אַדאַטערז ווילן צו זען אַז די אָרגאַניזאַציע איז לעבעדיק און ברידינג די ISMS און דאָס ינקלודז פירערשאַפט ינוואַלוומאַנט, פּראָואַקטיוו ווייַזן פון זאכן וואָס איר האָט אין ISMS.online און קענען זייער געשווינד ענטפֿערן זייער ספּעציפיש פֿראגן מיט זאָגן.
ווייל אַ סטרוקטור וואָס גייט די יסאָ קסנומקס: 2013 מעטהאָדס און לייבלינג, ווי אין ISMS.online, אויך מאכט עס גרינג פֿאַר אַדאַטערז צו נאָכפאָלגן אין זייער אייגן 'שפּראַך', און זיי קענען זען ווערסיע ענדערונגען, טימסטאַמפּט אַרבעט, קאַלאַבעריישאַנז, אַפּרווואַלז דורך פרייַ מאַנשאַפֿט מיטגלידער עטק, אַזוי עס איז אַ גרויס הילף צו די גאַנג פון טעסץ אויבן.
דאָך, איר וועט נאָך דאַרפֿן צו באַווייַזן אַז פּאַלאַסיז זענען געלעבט אין פיר אַרויס פון ISMS.online, למשל אינפֿאָרמאַציע איז באַקט אַרויף פון דיין סיסטעמען, קונה און סאַפּלייער קאַנפאַדענשיאַלאַטי אַגרימאַנץ זענען געהאלטן עטק (און דאָך איר קענען נוצן ISMS.online צו ווייַזן די סאַפּלייער. אויך אפמאך!)
זאָל איר נעמען אַ פירן אַודיטאָר קורס צו העלפן מיט ISO 27001?
אויב איר טראַכטן וועגן ונטערנעמענ זיך אַ פירן אָדיטאָר קורס, עס איז ווערט צו באַטראַכטן אַז ווען איר באַקומען טריינד דורך עמעצער וועמענס פול-צייט אַרבעט איז אַדאַטינג, זיי פאָקוס אויף טריינינג צו קאָנטראָלירן פֿון אַ פונדרויסנדיק פּערספּעקטיוו. דאָס קען זיין ווייַטער פון דיין אָרגאַניזאַציע ס רעקווירעמענץ צו נאָכקומען מיט 9.2 און קען פאַרשאַפן איר צו פאַרלירן דערזען וואָס די ברייט געשעפט אַבדזשעקטיווז זענען.
איר דאַרפֿן צו קאָנטראָלירן געזונט גענוג צו באַווייַזן דיין פירערשאַפט און דיין אינטערעסירט פּאַרטיעס (למשל אַדאַטערז) אַז די 9.2 ינערלעך קאָנטראָלירן איז עפעקטיוו ווי אַ טייל פון דיין פאָרשטעלונג אפשאצונג און אַרבעט אין פיר.
אין ISMS.online מיר האָבן פארגעלייגט אַ פּראָצעס פֿאַר אַדאַטינג אין סעקט. 9.2, און געגעבן די פּלאַץ צו צושטעלן עס וואָס איז גרינג גענוג צו אַדאַפּט אָדער אַדאַפּט צו דיין סטיל און באדערפענישן, און מיט ינערלעך מיטל קאַנסטריינץ. מיר האָבן אויך אַרייַנגערעכנט אַ פּראַגמאַטיק בייַשפּיל אין די ISO 27001 ווירטואַל קאָוטש.
אָבער, פילע קאַסטאַמערז דעפינירן זייער צוגאַנג לייכט ניצן ISMS.online און דערנאָך באַקומען אַ פּשוט ווירטואַל געזונט טשעק צוזאַמען מיט עצה, און אפילו פּראַגמאַטיק אָנגאָינג קאָנטראָלירן שטיצן, מיט אונדזער קוואַלאַפייד פירן אַודיטאָר.
ISMS.online מאכט עס פּשוט צו פאַרלייגן די רעכט קאָנטראָלירן פּראָגראַם פֿאַר איר, אָדער דורך אַדאַפּט אונדזער פאַר-געבויט מגילה אָדער געשווינד און לייכט שאַפֿן דיין אייגענע.
מיר וועלן העלפֿן איר פירן דיין אַדאַץ מער יפעקטיוולי און ויסשטימען זיי מיט אַ האָליסטיק צוגאַנג צו די ברייט יסמס.
