ISO 27001 רעקווירעמענץ

1. פאַרנעם

די ISO 27001 סטאַנדאַרט קאָווערס פאַרשידן אַספּעקץ פון אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג, אַרייַנגערעכנט די פאַרלייגן, ימפּלאַמענטיישאַן, וישאַלט און קעסיידערדיק פֿאַרבעסערונג פון אַן ISMS אין דעם קאָנטעקסט פון אַן אָרגאַניזאַציע. דער סטאַנדאַרט איז אָנווענדלעך צו אָרגאַנאַזיישאַנז פון אַלע טייפּס, סיזעס און נאַטור.

די רעקווירעמענץ שטעלן אין די ISO 27001 נאָרמאַל זענען דיזיינד צו ענשור אַז אָרגאַנאַזיישאַנז האָבן צונעמען מיטלען צו באַשיצן זייער אינפֿאָרמאַציע אַסעץ. די באדערפענישן דעקן אַ ברייט קייט פון געביטן.

2. נאָרמאַטיווע רעפערענסעס

ISO 27001 זיך איז באזירט אויף אַ ריזיקירן פאַרוואַלטונג צוגאַנג און גיט אַ פריימווערק פֿאַר אָרגאַנאַזיישאַנז צו גרינדן, ינסטרומענט, טייַנען און קעסיידער פֿאַרבעסערן אַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS). די נאָרמאַטיווע באַווייַזן אין ISO 27001 אַרייַננעמען עטלעכע אנדערע ISO / IEC סטאַנדאַרדס וואָס צושטעלן גיידאַנס פֿאַר פאַרשידן אַספּעקץ פון אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג. די אַרייַננעמען:

• ISO/IEC 27000: דער סטאַנדאַרט איז אַ נאָרמאַל רעפֿערענץ אין ISO 27001 און דינען ווי אַן איבערבליק און וואָקאַבולאַרי פֿאַר אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעמען. עס דיפיינז שליסל טערמינען און קאַנסעפּס געניצט איבער די ISO 27000 משפּחה פון דאָקומענטן און אַוטליינז די פאַרנעם און אַבדזשעקטיווז פון יעדער מיטגליד פון דער משפּחה.
• ISO/IEC 27002: אויך באקאנט ווי די קאָוד פון פּראַקטיס פֿאַר אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט, דער סטאַנדאַרט גיט גיידאַנס פֿאַר די סעלעקציע און ימפּלאַמענטיישאַן פון זיכערהייט קאָנטראָלס. עס אָפפערס אַ פולשטענדיק גאַנג פון בעסטער פּראַקטיסיז פֿאַר אָרגאַנאַזיישאַנז צו באַשיצן זייער אינפֿאָרמאַציע אַסעץ און פירן זיכערהייט ריסקס יפעקטיוולי.
• ISO / IEC 27005: דער סטאַנדאַרט פאָוקיסיז אויף ריזיקירן פאַרוואַלטונג און גיט גיידאַנס פֿאַר די ריזיקירן אַסעסמאַנט פּראָצעס און ריזיקירן באַהאַנדלונג. עס העלפּס אָרגאַנאַזיישאַנז ידענטיפיצירן און אַססעסס אינפֿאָרמאַציע זיכערהייט ריסקס, און אַנטוויקלען צונעמען ריזיקירן באַהאַנדלונג פּלאַנז צו פאַרמינערן די ריסקס.
• ISO/IEC 27006: דער סטאַנדאַרט גיט גיידאַנס פֿאַר די סערטאַפאַקיישאַן פּראָצעס פֿאַר אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעמען. עס אַוטליינז די רעקווירעמענץ פֿאַר סערטאַפאַקיישאַן ללבער און אַדאַטערז צו אַססעסס און באַווייַזן די העסקעם פון די אָרגאַנאַזיישאַנז מיט ISO 27001.
• ISO/IEC 27007: די גיידליינז זענען ספּאַסיפיקלי דיזיינד פֿאַר אַדאַטינג אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעמען. זיי צושטעלן גיידאַנס אויף די קאָנטראָלירן פּראָצעס, אַרייַנגערעכנט פּלאַנירונג, קאַנדאַקטינג און ריפּאָרטינג אויף אַדאַץ, צו ענשור אַז די ISMS פון אַן אָרגאַניזאַציע איז יפעקטיוולי ימפּלאַמענאַד און מיינטיינד.
• ISO/IEC 27008: די גיידליינז פאָקוס אויף די פאַרוואַלטונג פון אינפֿאָרמאַציע זיכערהייט. זיי צושטעלן גיידאַנס אויף גרינדן, ימפּלאַמענינג, מיינטיינינג און קעסיידער ימפּרוווינג די פאַרוואַלטונג סיסטעם פֿאַר אינפֿאָרמאַציע זיכערהייט אין אַן אָרגאַניזאַציע.

3. תּנאָים און דעפיניטיאָנס

די טערמינען און דעפֿיניציע אָפּטיילונג דינען דעם ציל צו צושטעלן אַ פּראָסט פארשטאנד און שפּראַך פֿאַר אַלע פּאַרטיעס ינוואַלווד אין די ימפּלאַמענטיישאַן פון די סטאַנדאַרט.

4. קאָנטעקסט פון דער אָרגאַניזאַציע

4.1 - פארשטאנד פון דער אָרגאַניזאַציע און זיין קאָנטעקסט

ISO 27001 רעקווירעמענץ 4.1 איז אַימעד צו ענשור אַז אָרגאַנאַזיישאַנז האָבן אַ פולשטענדיק פארשטאנד פון זייער ינערלעך און פונדרויסנדיק סוויווע צו יפעקטיוולי פירן זייער אינפֿאָרמאַציע זיכערהייט ריסקס.

דאָס ינוואַלווז ידענטיפיצירן און אַססעסס די סיבות וואָס קענען פּראַל די אָרגאַניזאַציע ס פיייקייט צו דערגרייכן זייַן אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז.

דורך פארשטאנד פון זייער ינערלעך און פונדרויסנדיק קאָנטעקסט, אָרגאַנאַזיישאַנז קענען ידענטיפיצירן און אַססעסס די ריסקס פֿאַרבונדן מיט זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם.

דאָס ינייבאַלז זיי צו אַנטוויקלען אַ טיילערד און עפעקטיוו סיסטעם וואָס מיטאַגייץ די יידענאַפייד ריסקס און ינשורז העסקעם מיט אָנווענדלעך געזעצן און רעגיאַליישאַנז.

4.2 - פארשטאנד די באדערפענישן און עקספּעקטיישאַנז פון אינטערעסירט פּאַרטיעס

ISO 27001 רעקווירעמענץ 4.2 איז פֿאַר אָרגאַנאַזיישאַנז צו ידענטיפיצירן און באַגרייַפן די באדערפענישן און עקספּעקטיישאַנז פון זייער סטייקכאָולדערז. דאָס כולל קאַסטאַמערז, סאַפּלייערז, עמפּלוייז, שערכאָולדערז און אנדערע אינטערעסירט פּאַרטיעס.

דער ציל איז צו ענשור אַז די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) פון דער אָרגאַניזאַציע טרעפן די באדערפענישן פון די פּאַרטיעס.

צו מקיים דעם פאָדערונג, אָרגאַנאַזיישאַנז מוזן ערשטער ידענטיפיצירן זייער סטייקכאָולדערז און פֿאַרשטיין זייער ספּעציפיש באדערפענישן און עקספּעקטיישאַנז.

דאָס ינוואַלווז קאַנסידערינג לעגאַל און רעגולאַטאָרי רעקווירעמענץ, קאַנטראַקטשואַל אַבלאַגיישאַנז און אנדערע פונדרויסנדיק און ינערלעך ישוז וואָס זענען באַטייַטיק צו די אָרגאַניזאַציע 'ס ציל און ווירקן זייַן פיייקייט צו דערגרייכן די בדעה רעזולטאַט פון זייַן ISMS.

4.3 - דיטערמאַנינג די פאַרנעם פון די אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם

ISO 27001 רעקווירעמענץ 4.3 דיפיינז די באַונדריז און מאָס פון די אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם (ISMS) פון דער אָרגאַניזאַציע.

דאָס ינוואַלווז ידענטיפיצירן און דאַקיומענטינג די אינפֿאָרמאַציע אַסעץ, פּראַסעסאַז, פּראָוסידזשערז, מענטשן, סיסטעמען און נעטוואָרקס וואָס זענען אַרייַנגערעכנט אין די פאַרנעם פון די ISMS.

דער פאַרנעם זאָל ענקאַמפּאַס אַלע די אינפֿאָרמאַציע אַסעץ פון דער אָרגאַניזאַציע, ביידע גשמיות און דיגיטאַל, ווי געזונט ווי די פּראַסעסאַז און פּראָוסידזשערז געניצט צו פירן זיי.

4.4 - אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם

ISO 27001 רעקווירעמענץ 4.4 אַוטליינז די נייטיק עלעמענטן פֿאַר גרינדן, ימפּלאַמענינג, מיינטיינינג און קעסיידער ימפּרוווינג אַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS).

די ISMS איז דיזיינד צו ענשור די זיכערהייט פון אינפֿאָרמאַציע און דאַטן, ווי געזונט ווי צו באַשיצן די רעכט און פרייהייט פון מענטשן.

ISO 27001 גיט אַ פולשטענדיק גאַנג פון רעקווירעמענץ פֿאַר גרינדן און מיינטיינינג אַן עפעקטיוו ISMS וואָס פּראַטעקץ די קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוויילאַבילאַטי פון אינפֿאָרמאַציע.

5. פירערשאַפט

5.1 - פירערשאַפט & היסכייַוועס

ISO 27001 רעקווירעמענץ 5.1 דערקלערט אַז די שפּיץ פאַרוואַלטונג פון דער אָרגאַניזאַציע מוזן באַווייַזן פירערשאַפט און היסכייַוועס צו די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS). דאָס ינקלודז עטלעכע שליסל ריספּאַנסאַבילאַטיז.

פאַרוואַלטונג מוזן מאָניטאָר און אָפּשאַצן די ISMS צו ענשור זייַן יפעקטיוונאַס. דאָס ינוואַלווז אָנפירן ינערלעך אַדאַץ און נעמען נייטיק קערעקטיוו אַקשאַנז צו אַדרעס קיין יידענאַפייד וויקנאַסאַז אָדער ניט-קאַנפאָרמאַטיז.

5.2 - אינפֿאָרמאַציע זיכערהייט פּאָליטיק

ISO 27001 רעקווירעמענץ 5.2 ריקווייערז אָרגאַנאַזיישאַנז צו האָבן אַן אינפֿאָרמאַציע זיכערהייט פּאָליטיק וואָס איז באוויליקט דורך שפּיץ פאַרוואַלטונג.

די פּאָליטיק סערוועס ווי אַ גיידליינז פֿאַר אָנפירונג די אינפֿאָרמאַציע זיכערהייט פון דער אָרגאַניזאַציע און זאָל באַטראַכטן פאַרשידן סיבות אַזאַ ווי געשעפט סטראַטעגיע, רעגיאַליישאַנז, געסעצ - געבונג, און קראַנט און פּראַדזשעקטאַד אינפֿאָרמאַציע זיכערהייט ריסקס און טרעץ.

עס זאָל דעקן געביטן אַזאַ ווי אינפֿאָרמאַציע אַריבערפירן, זיכער קאַנפיגיעריישאַן און האַנדלינג פון באַניצער ענדפּוינט דעוויסעס, נעטוואָרקינג זיכערהייט, אינפֿאָרמאַציע זיכערהייט אינצידענט פאַרוואַלטונג, באַקאַפּ, קריפּטאָגראַפי און שליסל פאַרוואַלטונג, אינפֿאָרמאַציע קלאַסאַפאַקיישאַן און האַנדלינג, פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז און זיכער אַנטוויקלונג.

5.3 - אָרגאַנאַזיישאַנאַל ראָלעס, ריספּאַנסאַבילאַטיז און אויטאריטעטן

ISO 27001 רעקווירעמענץ 5.3 אַוטליינז די פאָדערונג פֿאַר אָרגאַנאַזיישאַנז צו דעפינירן און אַלאַקייט ראָלעס, ריספּאַנסאַבילאַטיז און אויטאריטעטן שייַכות צו אינפֿאָרמאַציע זיכערהייט.

דאָס איז קריטיש פֿאַר ינשורינג אַז אַלע מענטשן און גרופּעס אין דער אָרגאַניזאַציע זענען אַווער פון זייער ספּעציפיש ראָלעס און ריספּאַנסאַבילאַטיז אין גרוס צו אינפֿאָרמאַציע זיכערהייט.

דער דאָקומענט עמפאַסייזיז די נויט פֿאַר סעגרעגאַציע פון ​​דוטיז, טייַטש אַז פאַרשידענע מענטשן אָדער גרופּעס זאָל זיין פאַראַנטוואָרטלעך פֿאַר פאַרשידענע אַספּעקץ פון אינפֿאָרמאַציע זיכערהייט.

דאָס העלפּס צו פאַרמייַדן קיין איין מענטש פון יבעריק קאָנטראָל איבער די אינפֿאָרמאַציע זיכערהייט פון דער אָרגאַניזאַציע. דערצו, דער דאָקומענט ריקווייערז אָרגאַנאַזיישאַנז צו ענשור אַז פּערסאַנעל איז אַדאַקוואַטלי טריינד און האָבן די נויטיק סקילז צו מקיים זייער ראָלעס און ריספּאַנסאַבילאַטיז.

6. פּלאַנירונג

6.1 - אַקשאַנז צו אַדרעס ריסקס און אַפּערטונאַטיז

ISO 27001 רעקווירעמענץ 6.1 איז פאָוקיסט אויף ינשורינג אַז אָרגאַנאַזיישאַנז ידענטיפיצירן, אַססעסס, מייַכל און מאָניטאָר אינפֿאָרמאַציע זיכערהייט ריסקס און אַפּערטונאַטיז.

דאָס ינוואַלווז אַ סיסטעמאַטיש צוגאַנג צו אָנפירן ריסקס און נעמען צונעמען אַקשאַנז צו פאַרמינערן זיי.

די פאָדערונג עמפאַסייזיז די וויכטיקייט פון אַ פּראָואַקטיוו און פולשטענדיק צוגאַנג צו אָנפירונג אינפֿאָרמאַציע זיכערהייט ריסקס אין סדר צו באַשיצן פערזענלעכע דאַטן און ענשור די אָרנטלעכקייַט און אַוויילאַבילאַטי פון אינפֿאָרמאַציע סיסטעמען.

6.2 - אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז און פּלאַנירונג צו דערגרייכן זיי

ISO 27001 רעקווירעמענץ 6.2 ריקווייערז אָרגאַנאַזיישאַנז צו פאַרלייגן אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז און אַנטוויקלען אַ פּלאַן צו דערגרייכן זיי.

די אַבדזשעקטיווז זאָל זיין ספּעציפיש, מעזשעראַבאַל, אַטשיוואַבאַל, באַטייַטיק און צייט-געבונדן (SMART), און זאָל זיין גלייך מיט די קוילעלדיק געשעפט אַבדזשעקטיווז פון דער אָרגאַניזאַציע. דער פּלאַן זאָל ויסשליסן די סטעפּס, רעסורסן און טיימליין דארף צו דערגרייכן די געוואלט גאָולז.

רעגולער אָפּשאַצונג פון אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז און פּלאַנז איז נייטיק צו ענשור זייער שייכות און יפעקטיוונאַס. קיין ענדערונגען אין דער אָרגאַניזאַציע זאָל זיין קאַנסידערד און ינקאָרפּערייטיד אין די פּלאַנז ווי דארף.

קסנומקס. סופּפּאָרט

7.1 - רעסאָורסעס

ISO 27001 רעקווירעמענץ 7.1 ינשורז אַז אַן אָרגאַניזאַציע האט די נייטיק רעסורסן צו האַלטן די זיכערהייט פון זייַן אינפֿאָרמאַציע סיסטעמען.

דאָס כולל ידענטיפיצירן און דאַקיומענטינג די פּערסאַנעל, ייַזנוואַרג, ווייכווארג און אנדערע רעסורסן דארף פֿאַר אינפֿאָרמאַציע זיכערהייט.

די אָרגאַניזאַציע מוזן ענשור אַז די רעסורסן זענען בנימצא און צוטריטלעך ווען דארף.

ווי פריער דיסקרייבד מיט רעקווירעמענט 5.3, ISO 27001 טוט נישט אַקטשאַוואַלי מאַנדאַט אַז די ISMS מוזן זיין סטאַפט מיט פול צייט רעסורסן, נאָר אַז די ראָלעס, ריספּאַנסאַבילאַטיז און אויטאריטעטן זענען קלאר דיפיינד און אָונד - אַסומינג אַז די רעכט מדרגה פון מיטל וועט זיין געווענדט ווי פארלאנגט.

7.2 - קאַמפּאַטינס

ISO/IEC 27001 רעקווירעמענץ 7.2 אַוטליינז ווי די אָרגאַניזאַציע וועט ענשור אַז עס האט:

• באשלאסן די קאַמפּאַטינס פון די מענטשן וואָס טאָן די אַרבעט אויף די ISMS וואָס קען ווירקן זייַן פאָרשטעלונג.
• מענטשן וואָס זענען דימד קאָמפּעטענט אויף דער באזע פון ​​די באַטייַטיק בילדונג, טריינינג אָדער דערפאַרונג.
• ווען פארלאנגט, גענומען קאַמף צו קריגן די נייטיק קאַמפּאַטינס און עוואַלואַטעד די יפעקטיוונאַס פון די אַקשאַנז.
• ריטיינד זאָגן פון די אויבן פֿאַר קאָנטראָלירן צוועקן.

דורך ינשורינג אַז פּערסאַנעל איז קאָמפּעטענט, אָרגאַנאַזיישאַנז קענען יפעקטיוולי פירן זייער אינפֿאָרמאַציע זיכערהייט פאָרשטעלונג און באַשיצן פערזענלעכע דאַטן.

לייענען מער וועגן 7.2

7.3 - וויסיקייַט

ISO 27001 רעקווירעמענץ 7.3 זאגט אַז אָרגאַנאַזיישאַנז מוזן ענשור אַז אַלע פּערסאַנעל זענען אַווער פון די וויכטיקייט פון אינפֿאָרמאַציע זיכערהייט און זייער ראָלעס און ריספּאַנסאַבילאַטיז צו האַלטן עס.

דאָס ינקלודז פּראַוויידינג טריינינג און בילדונג אויף אינפֿאָרמאַציע זיכערהייט טעמעס, ינשורינג פּערסאַנעל פֿאַרשטיין די אָרגאַניזאַציע ס זיכערהייט פּאַלאַסיז און פּראָוסידזשערז, און די קאַנסאַקווענסאַז פון ניט נאָכפאָלגן זיי.

ISO 27001 זוכט באַשטעטיקונג אַז די מענטשן וואָס טאָן די אַרבעט זענען אַווער פון:

• די אינפֿאָרמאַציע זיכערהייט פּאָליטיק.
• זייער צושטייַער צו די יפעקטיוונאַס פון די ISMS אַרייַנגערעכנט בענעפיץ פון זייַן ימפּרוווד פאָרשטעלונג.
• וואָס כאַפּאַנז ווען די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם איז נישט קאַנפאָרם צו זיין רעקווירעמענץ.

דורך ינשורינג אַז פּערסאַנעל איז קאָמפּעטענט, אָרגאַנאַזיישאַנז קענען יפעקטיוולי פירן זייער אינפֿאָרמאַציע זיכערהייט פאָרשטעלונג און באַשיצן פערזענלעכע דאַטן.

לייענען מער וועגן 7.3

7.4 - קאָמוניקאַציע

ISO 27001 רעקווירעמענץ 7.4 פאָוקיסיז אויף די נויט פֿאַר אָרגאַנאַזיישאַנז צו פאַרלייגן עפעקטיוו קאָמוניקאַציע פּראַקטיסיז צו ענשור אַז אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז זענען באגעגנט. דאָס כולל קאָמוניקאַציע מיט באַטייַטיק סטייקכאָולדערז, די קאַמישאַנער אין די געשעעניש פון אַ פערזענלעכע דאַטן בריטש, און צווישן אַלע ינוואַלווד פּאַרטיעס.

ISO 27001 פאָדערונג 7.4 איז קוקן פֿאַר די פאלגענדע:

• וואָס צו יבערגעבן וועגן די ISMS.
• ווען דאָס וועט זיין קאַמיונאַקייטיד.
• ווער וועט זיין אַ טייל פון דער קאָמוניקאַציע.
• ווער טוט די קאָמוניקאַציע.
• ווי דאָס אַלץ כאַפּאַנז, ד"ה וואָס סיסטעמען און פּראַסעסאַז וועט זיין געוויינט צו באַווייַזן אַז עס כאַפּאַנז און איז עפעקטיוו

7.5 - דאַקיומענטאַד אינפֿאָרמאַציע

ISO 27001 רעקווירעמענץ 7.5 פֿאַר ISO 27001 בעטן איר צו באַשרייַבן דיין אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם און דערנאָך באַווייַזן ווי די בדעה רעזולטאטן זענען אַטשיווד פֿאַר דער אָרגאַניזאַציע.

עס איז ינקרעדאַבלי וויכטיק אַז אַלץ שייַכות צו די ISMS איז דאַקיומענטאַד און געזונט מיינטיינד, גרינג צו געפֿינען אויב די אָרגאַניזאַציע וויל צו דערגרייכן אַן אומאָפּהענגיק ISO 27001 סערטאַפאַקיישאַן פון אַ גוף ווי UKAS.

ISO סערטאַפייד אַדאַטערז נעמען גרויס בטחון פון גוט כאַוסקיפּינג און וישאַלט פון אַ געזונט סטראַקטשערד אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם.

8. אָפּעראַציע

8.1 - אַפּעריישאַנאַל פּלאַנירונג & קאָנטראָל

ISO 27001 רעקווירעמענץ 8.1 איז פאָוקיסט אויף ינשורינג די זיכערהייט פון אַן אָרגאַניזאַציע אינפֿאָרמאַציע דורך פּלאַנירונג און קאַנטראָולינג זייַן אַפּעריישאַנז.

דאָס ינוואַלווז ידענטיפיצירן און אַססעסס ריסקס פֿאַרבונדן מיט די אַפּעריישאַנז פון דער אָרגאַניזאַציע און ימפּלאַמענינג צונעמען זיכערהייט קאָנטראָלס צו פאַרמינערן די ריסקס.

די אָרגאַניזאַציע מוזן אויך אַנטוויקלען און ינסטרומענט פּאַלאַסיז און פּראָוסידזשערז צו באַשיצן זייַן אינפֿאָרמאַציע פון ​​אַנאָטערייזד אַקסעס, נוצן, אַנטפּלעקונג, מאָדיפיקאַטיאָן אָדער צעשטערונג.

די פאָדערונג איז זייער גרינג צו באַווייַזן זאָגן קעגן אויב די אָרגאַניזאַציע האט שוין 'געוויזן זייַן ווערקינגז'. אין דעוועלאָפּינג די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם צו נאָכקומען מיט רעקווירעמענץ 6.1, 6.2 און ספּעציעל 7.5 ווו די גאנצע ISMS איז געזונט סטראַקטשערד און דאַקיומענטאַד, דאָס אויך אַטשיווז 8.1 אין דער זעלביקער צייט.

8.2 - אינפֿאָרמאַציע זיכערהייט ריזיקירן אַססעססמענט

ISO 27001 רעקווירעמענץ 8.2 ריקווייערז אָרגאַנאַזיישאַנז צו דורכפירן אַן אינפֿאָרמאַציע זיכערהייט ריסק אַססעססמענט (ISRA) אין פּלאַננעד ינטערוואַלז אָדער ווען באַטייַטיק ענדערונגען פּאַסירן.

דער ציל פון דעם פאָדערונג איז צו ענשור אַז אָרגאַנאַזיישאַנז זענען אַווער פון פּאָטענציעל ריסקס צו זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם און קענען נעמען נייטיק סטעפּס צו פאַרמינערן זיי.

דער פּראָצעס ינוואַלווז ידענטיפיצירן, אַססעסס און אָנפירונג ריסקס צו די אינפֿאָרמאַציע אַסעץ פון דער אָרגאַניזאַציע. דאָס כולל אַנאַלייזינג די אינפֿאָרמאַציע אַסעץ פון דער אָרגאַניזאַציע, ידענטיפיצירן טרעץ און וואַלנעראַביליטיז פֿאַרבונדן מיט די אַסעץ, און עוואַלואַטינג די פּאָטענציעל פּראַל פון אַ זיכערהייט בריטש.

8.3 - אינפֿאָרמאַציע זיכערהייט ריזיקירן באַהאַנדלונג

ISO 27001 רעקווירעמענץ 8.3 אַוטליינז די פאָדערונג פֿאַר אָרגאַנאַזיישאַנז צו ידענטיפיצירן, אַססעסס און מייַכל אינפֿאָרמאַציע זיכערהייט ריסקס.

דאָס ינוואַלווז ידענטיפיצירן און אַססעסס ריסקס פֿאַרבונדן מיט די פּראַסעסינג פון פערזענלעכע דאַטן און ימפּלאַמענינג צונעמען זיכערהייט מיטלען צו פאַרמינערן די ריסקס. די מיטלען קענען אַרייַננעמען אַקסעס קאָנטראָל, ענקריפּשאַן און דאַטן באַקאַפּ.

אָרגאַנאַזיישאַנז זאָל ענשור אַז קיין ויסווייניק צוגעשטעלט פּראַסעסאַז, פּראָדוקטן אָדער באַדינונגס באַטייַטיק צו די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם זענען קאַנטראָולד. דאַקיומענטאַד אינפֿאָרמאַציע פון ​​די רעזולטאַטן פון די באַהאַנדלונג פון אינפֿאָרמאַציע זיכערהייט ריזיקירן זאָל אויך זיין ריטיינד.

9. פאָרשטעלונג עוואַלואַטיאָן

9.1 - מאָניטאָרינג, מעזשערמאַנט, אַנאַליסיס און עוואַלואַטיאָן

ISO 27001 רעקווירעמענץ 9.1 ריקווייערז אָרגאַנאַזיישאַנז צו אָפּשאַצן ווי די ISMS איז פּערפאָרמינג און קוק אין די יפעקטיוונאַס פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם.

אויב די אָרגאַניזאַציע זוכט סערטאַפאַקיישאַן פֿאַר ISO 27001, דער פרייַ אָדיטאָר ארבעטן אין אַ סערטאַפאַקיישאַן גוף פֿאַרבונדן מיט UKAS (אָדער אַ ענלעך אַקרעדיטיד גוף ינטערנאַשאַנאַלי פֿאַר ISO סערטאַפאַקיישאַן) וועט קוקן ענג אין די פאלגענדע געביטן:

• וואָס עס האט באַשלאָסן צו מאָניטאָר און מעסטן, ניט בלויז די אַבדזשעקטיווז אָבער די פּראַסעסאַז און קאָנטראָלס אויך.
• ווי עס וועט ענשור גילטיק רעזולטאַטן אין די מעסטן, מאָניטאָרינג, אַנאַליסיס און אפשאצונג.
• ווען די מעזשערמאַנט, מאָניטאָרינג, אפשאצונג און אַנאַליסיס נעמט אָרט און ווער טוט דאָס.
• ווי די רעזולטאַטן באַקומען געוויינט.

ווי אַלץ אַנדערש מיט ISO / IEC סטאַנדאַרדס אַרייַנגערעכנט ISO 27001, דאַקיומענטאַד אינפֿאָרמאַציע איז אַלע וויכטיק - אַזוי דיסקרייבינג עס און דאַן דעמאַנסטרייטינג אַז עס איז געשעעניש, איז דער שליסל צו הצלחה!

9.2 - אינערלעכער קאָנטראָלירן

רעקווירעמענץ 9.2 פון ISO 27001 זאגט אַז אַן אָרגאַניזאַציע וועט דורכפירן ינערלעך אַדאַץ מיט פּלאַננעד ינטערוואַלז צו צושטעלן אינפֿאָרמאַציע צי די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם:

• קאַנפאָרמז צו די אָרגאַניזאַציע ס אייגענע רעקווירעמענץ פֿאַר זייַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם; און טרעפן די רעקווירעמענץ פון די ISO 27001 אינטערנאַציאָנאַלע סטאַנדאַרט.
• צי די ISMS איז יפעקטיוולי ימפּלאַמענאַד און מיינטיינד.

די פאָדערונג ינשורז אַז אָרגאַנאַזיישאַנז קעסיידער אַססעסס און פֿאַרבעסערן זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם צו באַשיצן זייער אינפֿאָרמאַציע אַסעץ און טרעפן זייער זיכערהייט אַבדזשעקטיווז.

9.3 - פאַרוואַלטונג איבערבליק

ISO 27001 רעקווירעמענץ 9.3 ריקווייערז אָרגאַנאַזיישאַנז צו דורכפירן רעגולער פאַרוואַלטונג באריכטן צו ענשור די אָנגאָינג פּאַסיק, אַדאַקוואַסי און יפעקטיוונאַס פון זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם.

די באריכטן זאָל זיין געפירט מיט פּלאַננעד ינטערוואַלז, לפּחות אַניואַלי, און זאָל אַרייַנציען עלטער פאַרוואַלטונג אָדער אַ דעזיגנייטיד פארשטייער.

דער ציל פון די פאַרוואַלטונג אָפּשאַצונג איז צו אַססעסס די אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז, ​​​​פּראָוסידזשערז און קאָנטראָלס פון דער אָרגאַניזאַציע, ווי געזונט ווי זיין ריזיקירן אַסעסמאַנט און ריזיקירן פאַרוואַלטונג פּראַסעסאַז.

עס אויך ינוואַלווז יוואַליויישאַן פון די אָרגאַניזאַציע ס העסקעם מיט אָנווענדלעך געזעצן און רעגיאַליישאַנז.

בעשאַס די אָפּשאַצונג, די אָרגאַניזאַציע זאָל אַססעסס די יפעקטיוונאַס פון זייַן אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם און ידענטיפיצירן קיין נויטיק ענדערונגען צו ענשור העסקעם מיט די ISO 27001 נאָרמאַל. די רעצענזיע זאָל אויך באַטראַכטן די פאָרשטעלונג פון דער אָרגאַניזאַציע אין באַגעגעניש זייַן אינפֿאָרמאַציע זיכערהייט אַבדזשעקטיווז.

10. פֿאַרבעסערונג

10.1 - נאָנקאָנפאָרמיטי און קערעקטיוו קאַמף

ISO 27001 רעקווירעמענץ 10.1 זאגט אַז אָרגאַנאַזיישאַנז מוזן פאַרלייגן אַ פּראָצעס צו ידענטיפיצירן, דאָקומענט און אַדרעס קיין דיווייישאַנז פון די ISO 27001 סטאַנדאַרט, וואָס זענען ריפערד צו ווי ניט-קאַנפאָרמאַטיז.

נאָנקאָנפאָרמיטיעס קענען אַרייַננעמען פייליערז צו טרעפן די רעקווירעמענץ פון די סטאַנדאַרט, דיפישאַנסיז אין די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם, אָדער קיין אנדערע ישוז וואָס קען פירן צו אַ זיכערהייט בריטש.

ווען אַ נאָנקאָנפאָרמאַטי איז יידענאַפייד, די אָרגאַניזאַציע מוזן נעמען קערעקטיוו קאַמף צו אַדרעס עס. די קערעקטיוו קאַמף זאָל זיין צונעמען צו די שטרענגקייַט פון די ניט-קאָנפאָרמיטי און דיזיינד צו פאַרמייַדן ענלעך ישוז פון געשעעניש אין דער צוקונפֿט.

די יפעקטיוונאַס פון די קערעקטיוו קאַמף מוזן זיין ריוויוד אויף אַ רעגולער יקער צו ענשור אַז די ניט-קאָנפאָרמיטי טוט נישט ריפערד.

10.2 - קעסיידערדיק פֿאַרבעסערונג

ISO 27001 רעקווירעמענץ 10.2 זאגט אַז אָרגאַנאַזיישאַנז מוזן קעסיידער פֿאַרבעסערן זייער אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS).

דעם מיטל אַז אָרגאַנאַזיישאַנז דאַרפֿן צו קעסיידער אָפּשאַצן און דערהייַנטיקן זייער ISMS צו ענשור זייַן יפעקטיוונאַס און אַליינמאַנט מיט די אַבדזשעקטיווז, לעגאַל און רעגולאַטאָרי רעקווירעמענץ און די ISO 27001 נאָרמאַל.

דער קעסיידערדיק פֿאַרבעסערונג פּראָצעס זאָל זיין מאָניטאָרעד און ריוויוד צו ענשור זייַן יפעקטיוונאַס, און קיין נייטיק ענדערונגען זאָל זיין געמאכט צו פאַרבעסערן די פּאַסיק, אַדאַקוואַסי און יפעקטיוונאַס פון די ISMS.