אַוסטראַליאַ ס דעפּאַרטמענט פון בילדונג, סקיללס און באַשעפטיקונג (DESE) באשאפן RFFR (רעכט פּאַסיק פֿאַר ריזיקירן) אין שפּעט 2019. די סערטאַפאַקיישאַן פּראָגראַם יימז צו ענשור אַז פּראַוויידערז, אַזאַ ווי בילדונגקרייז אינסטיטוציעס, טרעפן די קאַנטראַקטשואַל רעקווירעמענץ פֿאַר אינפֿאָרמאַציע זיכערהייט פון DESE.
די RFFR סכעמע יימז צו העסאָפע די באַסעלינע רעקווירעמענץ פון ISO / IEC 27001 מיט נאָך קאָנטראָלס באַשטימט דורך די אַוסטראַליאַן רעגירונג אינפֿאָרמאַציע זיכערהייט מאַנואַל (ISM) מיט די יוואַלווינג לעגאַל, זיכערהייט און טעכניש רעקווירעמענץ פֿאַר אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) פֿאַר פּראַוויידערז.
איר זאָל אויך אַנטוויקלען אַ סטאַטעמענט פון אָנווענדלעך (SoA) וואָס באַטראַכט די יינציק זיכערקייַט ריסקס און פאדערונגען פון דיין פירמע און די אָנווענדלעך פון זיכערהייט דיטיילד אין די אַוסטראַליאַן אינפֿאָרמאַציע זיכערהייט מאַנואַל. RFFR האַרץ עלעמענטן זאָל זיין גענומען אין חשבון, ווי די אַוסטראַליאַן סייבער סעקוריטי צענטער ס יקערדיק אַכט טעקניקס, דאַטן סאַווראַנטי און פּערסאַנעל זיכערהייט.
די DESE האט מאַנדייטיד אַז אָרגאַנאַזיישאַנז מוזן זיין געהאָרכיק מיט זייער אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם (ISMS) סכעמע, אַזוי זיין אנערקענט ווי אַ DESE ISMS.
אַן ISMS גיט די מכשירים איר דאַרפֿן צו באַוואָרענען און פירן די אינפֿאָרמאַציע פון דיין פירמע דורך עפעקטיוו ריזיקירן פאַרוואַלטונג.
עס ינייבאַלז העסקעם מיט פילע געזעצן, רעגיאַליישאַנז און סערטאַפאַקיישאַן סקימז און פאָוקיסיז אויף פּראַטעקטינג דריי שליסל אַספּעקץ פון אינפֿאָרמאַציע; קאַנפאַדענשיאַלאַטי, אָרנטלעכקייַט און אַוואַילאַביליטי.
ISO 27001 איז אַ גלאָובאַלי דערקענט, וניווערסאַל נאָרמאַל. עס איז געווען באשאפן צו העלפֿן אָרגאַנאַזיישאַנז באַשיצן זייער אינפֿאָרמאַציע יפישאַנטלי און סיסטעמאַטיש.
עס גיט קיין אָרגאַניזאַציע, יראַספּעקטיוו פון גרייס אָדער סעקטאָר, מיט אַ סייבער זיכערהייט פריימווערק און אַ צוגאַנג צו באַשיצן דיין מערסט וויכטיק אינפֿאָרמאַציע אַסעץ.
אונדזער ינאַגרייטיד פאַרוואַלטונג סיסטעם כולל ריזיקירן פאַרוואַלטונג מכשירים און אַ פאַר-פּאַפּיאַלייטיד ריזיקירן באַנק, וואָס אַלאַוז איר צו אַדאַפּט, אַדאַפּט און לייגן צו ISO 27001 אַנעקס א לויט דיין פירמע באדערפענישן.
די ISMS.online ריזיקירן מאַפּע געצייַג גיט אַ גאַנץ שפּיץ-אַראָפּ מיינונג פון אָרגאַנאַזיישאַנאַל ריזיקירן. עס מאַפּס די ריזיקירן סיבות און אַפּערטונאַטיז אין דיין סטראַטידזשיק גאָולז און אַבדזשעקטיווז פון דיין אָרגאַניזאַציע. אַלאַוינג איר צו דורכפירן אַ גרונטיק ריס אַנאַליסיס.
דערצו, ISMS.online אַלאַוז די מאָניטאָרינג פון דיין אָרגאַניזאַציע ס אינפֿאָרמאַציע זיכערהייט ריסקס, האַלטנ זיך און ISO 27001 העסקעם. די ינטעליגענט דאַשבאָרד איז ינטואַטיוו און צוטריטלעך דורך אַ וועב בלעטערער אַזוי אַז איר קענען זען דיין אינפֿאָרמאַציע זיכערהייט סטאַטוס עניטיים און ערגעץ.
בעשאַס די RFFR ISMS סערטאַפאַקיישאַן פּראָצעס, אַדאַטערז וועט ונטערזוכן דיין סיסטעמען און שטיצן דאַקיומענטיישאַן. אזוי, אָרגאַנאַזיישאַנז מוזן טשעק אין דריי שליסל מיילסטאָונז איבער די אַקרעדאַטיישאַן פּראָצעס.
פּראָווידערס קענען נוצן די מיילסטאָונז צו באַשליסן די קראַנט סייבער זיכערהייט מדרגה פון זייער אָרגאַניזאַציע און ידענטיפיצירן געביטן פֿאַר פֿאַרבעסערונג.
פּראַוויידערז און סאַבקאַנטראַקטערז זענען קלאַסאַפייד אין קאַטעגאָריעס צו באַקומען אַקרעדאַטיישאַן מיט די רעכט פּאַסיק פֿאַר ריזיקירן (RFFR) צוגאַנג.
געפֿינען אויס וואָס קאַטעגאָריע אַפּלייז צו איר וועט מיינען איר וועט דאַרפֿן צו באַטראַכטן די פאלגענדע ריזיקירן סיבות (צווישן אנדערע):
| קאַטעגאָריע | קאַטעגאָריע קסנומקס | קאַטעגאָריע 2 א | קאַטעגאָריע 2ב |
|---|---|---|---|
| יערלעך קאַסע מאַסע | קסנומקס אָדער מער | אונטער קסנומקס | אונטער קסנומקס |
| ריזיקירן פּראָפיל | גרעסער ריזיקירן | מיטל ריזיקירן | נידעריק ריזיקירן |
| יקער פון אַקרעדאַטיישאַן | ISO 27001 קאַנפאָרמינג יסמס (אינפֿאָרמאַציע סעקוריטי מאַנאַגעמענט סיסטעם) - ינדיפּענדאַנטלי סערטאַפייד | ISO 27001 קאַנפאָרמינג יסמס - זיך אַססעססעד | פאַרוואַלטונג אַססערשאַן בריוו |
| אַקרעדאַטיישאַן וישאַלט | יערלעך סערוויילאַנס קאָנטראָלירן און טריעניאַל ריסערטאַפאַקיישאַן | יערלעך זיך-אַסעסמאַנט | יערלעך פאַרוואַלטונג באַשטעטיקן בריוו |
| מיילסטאָונז צו פאַרענדיקן | קסנומקס, קסנומקס און קסנומקס | קסנומקס און קסנומקס | קסנומקס און קסנומקס |
דער ערשטער מיילסטאָון און שריט זאָל שטענדיק זיין אַ געשעפט צייַטיקייַט אַסעסמאַנט. די אַוסטראַליאַן סיגנאַלז דירעקטאָראַטע (ASD) יקערדיק אַכט צייַטיקייַט מאָדעל דיטערמאַנז ווי דיין אָרגאַניזאַציע ניצט אינפֿאָרמאַציע און מאַנידזשיז זיכערהייט. די ערשט צייַטיקייַט פון דיין אָרגאַניזאַציע פֿאַר אינפֿאָרמאַציע זיכערהייט איז אַססעססעד קעגן די ASD Essential Eight צייַטיקייַט מאָדעל.
צו דערגרייכן מיילסטאָון 2, איר וועט דאַרפֿן אַ קאַסטאַמייזד אינפֿאָרמאַציע זיכערהייט מאַנאַגעמענט סיסטעם אין אַדישאַן צו פול ISO 27001 העסקעם און אַקרעדאַטיישאַן.
איר וועט אויך דאַרפֿן אַ סטאַטעמענט פון אָנווענדלעך (SoA) אונטער מיילסטאָון 2. ISO 27001 פּונקט 6.1.3 באמערקט די נויט פֿאַר סאָאַ, וואָס קענען זיין לאָסלי פארשטאנען ווי אַ טשעקליסט פֿאַר די 114 זיכערהייט קאָנטראָלס דיזיינד צו אַדרעס ספּעציפיש ריסקס צו אַן אָרגאַניזאַציע.
איר מוזן באַווייַזן אַז די ISMS און ISO 27001 קאָנטראָלס (ווו אָנווענדלעך צו דער אָרגאַניזאַציע) זענען ימפּלאַמענאַד יפעקטיוולי צו פאָרן מיילסטאָון 3.
געפינען אויס ווי גרינג עס איז צו פירן דיין
העסקעם מיט RFFR אויף ISMS.online
ספר דיין דעמאָ
אַן אָרגאַניזאַציע און אַלע זייַן סאַבקאַנטראַקטערז וואָס זענען RFFR אַקרעדיטיד מוזן האַלטן זייער סערטאַפאַקיישאַן סטאַטוס דורך פאָרלייגן יערלעך ריפּאָרץ און מאָניטאָרעד פֿאַר העסקעם מיט RFFR סטאַנדאַרדס.
אַן אָרגאַניזאַציע מיט אַ יגזיסטינג אַקרעדאַטיישאַן מוזן פאַרענדיקן די יערלעך און טריעניאַל אַדאַץ לויט די דאַטעס ווען די אַקרעדאַטיישאַן איז אַוואָרדיד.
| אַקרעדאַטיישאַן טיפּ | אַננואַללי | יעדער 3 יאָר |
|---|---|---|
| סערטאַפייד יסמס (קאטעגאריע 1 פּראַוויידערז און דריט טיילווייַז באַשעפטיקונג און סקיללס סיסטעם ווענדאָרס) | סערוויילאַנס קאָנטראָלירן אָדער טוישן פון פאַרנעם קאָנטראָלירן דורך סערטאַפייינג אַססעססמענט גוף (CAB) קאַווערינג די דערהייַנטיקט סאָאַ פּראַוויידער אָדער TPES פאַרקויפער | רעסערטיפיקאַטיאָן דורך CAB (קאָנפאָרמיטי אַססעססמענט באָדיעס)
פּראַוויידער אָדער TPES פאַרקויפער רעאַקרעדאַטיישאַן דורך DESE |
| זיך-אַסעסטאַד ISMS (קאטעגאריע 2A פּראַוויידערז) | זיך-אַסעסמאַנט באַריכט (אַרייַנגערעכנט די באַשרייַבונג פון ענדערונגען זינט לעצטע באַריכט) קאַווערינג די פּראַוויידער ס דערהייַנטיקט סאָאַ
DESE באשלאסן צי איר דאַרפֿן צו אַפּסקייל צו אַ סערטאַפייד יסמס | זיך-אַסעסמאַנט באַריכט רעאַקרעדאַטיישאַן דורך DESE |
| פאַרוואַלטונג אַטעסטאַטיאָן (קאטעגאריע 2 ב פּראַוויידערז) | יערלעך מאַנאַגעמענט אַססערשאַן בריוו (אַרייַנגערעכנט באַשרייַבונג פון ענדערונגען זינט לעצטע אַטעסטאַטיאָן)
DESE באשלאסן צי איר דאַרפֿן צו אַפּסקייל צו אַ זיך-אַסעסטאַד ISMS | פאַרוואַלטונג אַססערשאַן בריוו רעאַקרעדאַטיישאַן דורך DESE |
די RFFR צוגאַנג ריקווייערז איר צו פאַרלייגן און טייַנען אַ גאַנג פון האַרץ זיכערהייט סטאַנדאַרדס צו האַלטן און פֿאַרבעסערן דיין זיכערהייט האַלטנ זיך.
די אַוסטראַליאַן יקערדיק אַכט סייבער סעקוריטי סטראַטעגיעס און האַרץ עקספּעקטיישאַנז וועט העלפֿן דיין אָרגאַניזאַציע צו שאַפֿן אַ געזונט זיכערהייט פריימווערק.
אונטער RFFR רעקווירעמענץ, איר האָבן זיכער פּראַסעסאַז איר מוזן אַדכיר צו ווען ניצן נייַע מענטשן:
אָרגאַנאַזיישאַנז מוזן ענשור אַז פיזיש זיכערהייט מיטלען מינאַמייז די ריזיקירן פון אינפֿאָרמאַציע און גשמיות אַסעץ צו זיין:
אַלע אָרגאַנאַזיישאַנז מוזן טרעפן גשמיות זיכערהייט רעקווירעמענץ. פאַסילאַטיז מוזן זיין געשעפט-קוואַליטעט און ליגן אין אַוסטראַליאַ. ארבעטן פון שטוב ריקווייערז אָרגאַנאַזיישאַנז צו ענשור אַז די היים סוויווע איז ווי זיכער ווי די אָפיס סוויווע אין פּראַטעקטינג שטעקן, פּראָגראַם דאַטן און עס ייַזנוואַרג.
אָרגאַנאַזיישאַנז מוזן ינסטרומענט זיכערהייט מיטלען צו ענשור סייבער זיכערהייט, אַרייַנגערעכנט די 'יקערדיק אַכט' סייבער זיכערהייט סטראַטעגיעס, אינפֿאָרמאַציע זיכערהייט ריזיקירן פאַרוואַלטונג, אינפֿאָרמאַציע זיכערהייט מאָניטאָרינג, אָנפירונג סייבער סעקוריטי ינסאַדאַנץ און לימיטעד אַקסעס קאָנטראָלס.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
צו העלפֿן אָרגאַנאַזיישאַנז באַקומען זייער אינפֿאָרמאַציע זיכערהייט אין סדר, די אַוסטראַליאַן סייבער סעקוריטי צענטער (ACSC) דעוועלאָפּעד די 'עססענטיאַל אַכט' סטראַטעגיעס צו העלפן באַשיצן געשעפטן.
די סייבער זיכערהייט ריזיקירן פּראָפיל פון אַן אָרגאַניזאַציע מוזן זיין באשלאסן, און פּלאַנז מוזן זיין דעוועלאָפּעד צו דערגרייכן ציל לעוועלס פֿאַר יעדער פון די יקערדיק אַכט סייבער זיכערהייט סטראַטעגיעס.
עס איז וויכטיק צו טאָן אַז די יקערדיק אַכט וועט זיין מאַנדאַטאָרי פֿאַר אַלע אַוסטראַליאַן פעדעראלע רעגירונג יידזשאַנסיז און דיפּאַרטמאַנץ.
אַנאָטערייזד מגילה זענען פּריווענטיד פון עקסאַקיוטינג אויף דיין סיסטעם דורך קאַנטראָולינג זייער דורכפירונג. דאָס פּריווענץ אומבאַקאַנט און פּאַטענטשאַלי בייזע מגילה פון עקסאַקיוטינג אויף דיין סיסטעם.
אַפּפּליקאַטיאָנס קען זיין עקספּלויטאַד צו ויספירן בייזע קאָד אויב זיי האָבן באַוווסט זיכערהייט וואַלנעראַביליטיז. בעכעסקעם דיין סוויווע זיכער ריקווייערז ניצן די לעצטע ווערסיע פון אַפּפּליקאַטיאָנס און אַפּלייינג פּאַטשאַז גלייך נאָך וואַלנעראַביליטיז האָבן שוין יידענאַפייד.
בלויז מאַקראָס פֿון טראַסטיד לאָוקיישאַנז מיט לימיטעד שרייַבן אַקסעס אָדער יענע געחתמעט מיט אַ טראַסטיד באַווייַזן וועט זיין ערלויבט צו לויפן. די סטראַטעגיע בלאַקס בייזע קאָד איבערגעגעבן דורך מיקראָסאָפט אָפפיסע מאַקראָס.
שפּירעוודיק פאַנגקשאַנאַליטי מוזן זיין פּראָטעקטעד דורך רימוווינג ומנייטיק פֿעיִקייטן אין Microsoft Office, וועב בראַוזערז און פּדף וויוערז. פלאַש, אַדווערטייזמאַנץ און ז'אבא אינהאַלט זענען פּראָסט וועהיקלעס פֿאַר דיליווערינג בייזע קאָד.
אַדמיניסטראַטאָר אַקאַונץ האָבן די שליסלען צו דיין IT ינפראַסטראַקטשער און דעריבער דאַרפן לימיטעד אַקסעס. די נומער פון אַדמיניסטראַטאָר אַקאַונץ און די פּריווילאַדזשאַז צו יעדער איינער זאָל זיין מינאַמייזד.
אָפּערייטינג סיסטעמען קען זיין קאַמפּראַמייזד דורך באַוווסט זיכערהייט וואַלנעראַביליטיז. עס איז וויכטיק צו פאַרריכטן די ישוז ווי באַלד ווי זיי זענען יידענאַפייד. איר קענען באַגרענעצן די מאָס פון סייבער זיכערהייט בריטשיז דורך ניצן די מערסט קראַנט אָפּערייטינג סיסטעמען און אַפּלייינג זיכערהייט פּאַטשאַז ווי באַלד ווי זיי זענען יידענאַפייד. ויסמיידן ניצן אַוט-פון-דאַטע אָפּערייטינג סיסטעמען.
שטאַרק באַניצער אָטענטאַקיישאַן מאכט עס מער שווער פֿאַר אַטאַקערז צו אַקסעס אינפֿאָרמאַציע און סיסטעמען. MFA ריקווייערז אַ קאָמבינאַציע פון צוויי אָדער מער סיבות, אַרייַנגערעכנט סוד אינפֿאָרמאַציע (אַזאַ ווי אַ פּאַראָל און שייַן קאָמבינאַציע), אַ דאַטן-געבונדן גשמיות מיטל (אַזאַ ווי אַ פינגערפּרינט-באזירט אָטענטאַקיישאַן אַפּ אויף אַ רעגיסטרירט סמאַרטפאָנע אָדער אַ איין מאָל SMS קאָד) , און אַ דאַטן-געבונדן פיזיש מענטש (אַזאַ ווי פאַסיאַל דערקענונג אָדער פינגערפּרינטינג).
א באַקאַפּ סטראַטעגיע איז געניצט צו ופהיטן קריטיש דאַטן און סיסטעמען. די סטראַטעגיע ינשורז אַז אינפֿאָרמאַציע קענען זיין אַקסעסט נאָך אַ סייבערסעקוריטי אינצידענט.
דאַטן, ווייכווארג און קאַנפיגיעריישאַן סעטטינגס זענען באַקט און סטאָרד סעפּעראַטלי פֿון דיין הויפּט סוויווע. די באַקאַפּס זענען רוטינלי טעסטעד צו ענשור אַז זיי קענען זיין ריקאַווערד און אַז אַלע קריטיש דאַטן זענען אַרייַנגערעכנט אין די באַקאַפּ פּראָגראַם.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
אַן אָרגאַניזאַציע מוזן אַנטוויקלען אַ פאָרמאַל צוגאַנג צו פאַרוואַלטונג פון אינפֿאָרמאַציע זיכערהייט אינצידענט וואָס אַדכירז צו די אינפֿאָרמאַציע סעקוריטי מאַנואַל (ISM) רעקאַמאַנדיישאַנז.
דער הויפּט אינפֿאָרמאַציע סעקוריטי אָפיציר פון אַן אָרגאַניזאַציע, טשיף אינפֿאָרמאַציע אָפיציר, סייבער זיכערהייט פאַכמאַן אָדער אינפֿאָרמאַציע טעכנאָלאָגיע פאַרוואַלטער קענען נוצן די ISM צו אַנטוויקלען אַ סייבער זיכערהייט פריימווערק צו באַשיצן זייער אינפֿאָרמאַציע און סיסטעמען פון סייבער טרעץ.
צונעמען אינצידענט דיטעקשאַן און ענטפער מעקאַניזאַמז זאָל זיין ימפּלאַמענאַד צו רעקאָרדירן און באַריכט סייבער ינסאַדאַנץ צו ינערלעך און פונדרויסנדיק סטייקכאָולדערז.
עס איז יקערדיק פֿאַר אָרגאַנאַזיישאַנז צו געדענקען אַז זיי בלייבן פאַראַנטוואָרטלעך פֿאַר ינשורינג אַז סאַבקאַנטראַקטערז וואָס צושטעלן סערוויסעס אויף זייער ביכאַף מקיים, אַדכיר צו און טייַנען די זיכערהייט סטאַנדאַרדס פון דער אָרגאַניזאַציע.
אַן אָרגאַניזאַציע זאָל דערקענען אַז פונדרויסנדיק פּאַרטיעס וואָס צושטעלן באַדינונגס צו אָדער אויף ביכאַף פון דער אָרגאַניזאַציע קען האָבן די פּאָטענציעל צו אַקסעס לאָקאַל, סיסטעמען אָדער אינפֿאָרמאַציע וואָס ריקווייערז שוץ. אָרגאַנאַזיישאַנז מוזן ענשור אַז RFFR זיכערהייט רעקווירעמענץ זענען אין פּלאַץ און פונקציאָנירן רעכט איבער זייער צושטעלן קייט.
יעדער פירמע וואָס ניצט אַ דריט-פּאַרטיי אַפּלאַקיישאַן אָדער וואָלקן דינסט צו פּראָצעס, קראָם אָדער פאַרשפּרייטן קאַנפאַדענשאַל דאַטן מוזן ענשור אַז די סיסטעם איז זיכער איידער איר נוצן עס. איידער ניצן קיין דריט-פּאַרטיי ווייכווארג אָדער דינסט, אָרגאַנאַזיישאַנז מוזן אַססעסס די ריזיקירן פֿאַר זיך און ינסטרומענט צונעמען זיכערהייט קאָנטראָלס.
ISMS.online קענען העלפֿן איר טרעפן דיין אָרגאַנאַזיישאַנז אינפֿאָרמאַציע זיכערהייט רעקווירעמענץ און העסקעם רעקווירעמענץ דורך העלפּינג איר מיט דיין אינפֿאָרמאַציע זיכערהייט ימפּלאַמענטיישאַן צו אַססעסס דיין זיכערהייט גאַפּס און זיכערהייט פּראַסעסאַז.
אונדזער שליסל בענעפיץ, וואָס העלפֿן איר דערגרייכן דיין RFFR ISMS גאָולז, אַרייַננעמען:
געפֿינען זיך ווי גרינג עס איז מיט ISMS.online - בוך אַ דעמאָ.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
זינט מיגרייטינג מיר האָבן שוין קענען צו רעדוצירן די צייט פארבראכט אויף אַדמיניסטראַציע.
