В этом эпизоде: ведущий аудитор Стюарт Баркер и его команда подробно разбирают пункт 5.5 «Контакты с органами власти» приложения A стандарта ISO 27001. В подкасте рассматривается, что это такое, почему это важно и как добиться соответствия требованиям.
✅ Полный набор инструментов ISO 27001 - https://hightable.io/iso-27001-toolki...
Одобренный аудиторами набор инструментов для гарантированного соответствия стандарту ISO 27001.
Читайте полную статью: Полное руководство по пункту 5.5 «Контакты с органами власти» приложения A стандарта ISO 27001 - https://hightable.io/iso-27001-annex-...
ISO 27001 Приложение A 5.5: Контакт с органами власти
Здесь мы рассматриваем правило безопасности, которое часто вызывает у людей закатывание глаз. Оно кажется слишком простым. Некоторые называют его «очевидным».
Вы можете спросить: «Зачем мне письменный порядок для вызова полиции? Зачем мне записывать номер энергетической компании?»
Речь идёт о стандарте ISO 27001, Приложение A, пункт 5.5: «Контакт с органами власти». Звучит как здравый смысл. Но если вы готовитесь к аудиту, это ловушка. Многие команды терпят здесь неудачу, потому что упускают из виду детали.
Больше, чем просто список телефонов
Правило гласит, что вы должны «установить и поддерживать контакт с соответствующими органами». Но что означает «соответствующие»?
Цель состоит в том, чтобы иметь чёткий план. Вы хотите перейти от «я, наверное, позвоню кому-нибудь» к чёткому, письменному процессу. Это охватывает четыре основные области:
Превентивная: У вас есть контакты наготове до того, как начнётся проблема. Вам не придётся лихорадочно искать номер, пока всё горит.
Корректирующая: Звонок нужному человеку часто является первым шагом к решению проблемы. Это может быть звонок в полицию, чтобы вернуть украденные вещи.
Управление: Это доказывает, что вы знаете свои юридические обязанности. Это показывает вашу подотчетность.
Устойчивость: Это помогает вам восстановиться. Если отключат электричество, вам нужен быстрый способ связаться с энергокомпанией, чтобы узнать, когда оно снова включится.
Аудитор не спрашивает, достаточно ли вы умны, чтобы позвонить за помощью. Он спрашивает: «Записан ли этот процесс? Является ли он частью вашего основного плана?»
Как это сделать правильно
Итак, как убедиться, что вы пройдете проверку? Вам нужно записать пять конкретных пунктов. Если вы пропустите хотя бы один, вы можете провалить проверку.
Определите органы власти: Кто к вам относится? Посмотрите на ваше местоположение, вашу отрасль и ваши данные.
Определите триггеры: Когда вы им звоните? Что должно произойти, чтобы вы ответили на звонок?
Подробно опишите отчетность: Как вы сообщаете им о нарушении безопасности? Есть ли у них веб-портал?
Знайте ожидания: Чего они от вас хотят? Должны ли вы сообщить им в течение 72 часов? Вам необходимо знать это до начала кризиса.
Интегрируйте это: включите эти шаги в свой основной план управления инцидентами. Это не может быть просто стикер на столе.
Кто является уполномоченным органом?
Большинство людей думают о полиции или пожарной службе. Но список гораздо шире.
Юридические и регулирующие органы: если вы работаете с персональными данными, вы должны указать свой орган по защите данных. В Великобритании это ICO. В США это может быть государственный регулятор.
Отраслевые организации: если вы работаете в оборонной или авиационной отрасли, у вас есть определенные ведомства, с которыми вы должны связаться.
Коммунальные службы: это жизненно важно. Вам нужны номера телефонов ваших поставщиков электроэнергии, воды и интернета. Если интернет-соединение прервано, вам нужен процесс для быстрой связи с ними.
Вам не нужно придумывать новый способ связи с ними. Просто запишите их правила. Если полиция хочет, чтобы вы использовали веб-сайт, запишите адрес веб-сайта.
Аудит: прохождение теста
Что проверяет аудитор? Они проверяют три вещи:
Документированный список: Это доказывает, что вы продумали, кому звонить.
Документированный процесс: Они хотят видеть это в вашем плане действий в чрезвычайных ситуациях.
Доказательство обязательного контакта: Это самое важное.
Вам не нужно звонить в пожарную службу каждый месяц, чтобы доказать, что вы можете это сделать. Но если закон требует регистрации в органе по защите данных, вы должны предоставить доказательство этой регистрации. Если вы этого не сделаете, вы провалите проверку.
Три самые распространенные ошибки
Вот наиболее распространенные способы, которыми организации не проходят этот контроль:
Ошибка 1: Отсутствие регистрации. Если вы работаете с персональными данными, но не зарегистрировались в органе по защите данных, вы нарушаете закон. Аудитор сразу это заметит.
Ошибка 2: Отсутствие письменного списка. Вам может показаться, что это очевидно, но если вы не запишете это, это не будет считаться. Вам нужен список, охватывающий всех, включая финансовые и медицинские учреждения.
Ошибка 3: Плохой контроль документации. Если ваш список ...
Информация по комментариям в разработке