В этом эпизоде: ведущий аудитор Стюарт Баркер и его команда подробно разбирают раздел 5.36 Приложения A стандарта ISO 27001 «Соответствие политикам, правилам и стандартам информационной безопасности». В подкасте рассматривается, что это такое, почему это важно и как добиться соответствия.
✅ Полный набор инструментов ISO 27001 - https://hightable.io/iso-27001-toolki...
Одобренный аудиторами набор инструментов для гарантированного соответствия стандарту ISO 27001.
Читайте полную статью: ISO 27001 Приложение A 5.36 Соответствие политикам, правилам и стандартам информационной безопасности: полное руководство - https://hightable.io/iso-27001-annex-...
Вот главный вопрос: действительно ли эта папка что-то делает? Или это просто «пустышка»?
Настоящая проверка безопасности — это не бумага, на которой она написана. Это то, действительно ли вы следуете этим правилам. Это подводит нас к важной части ISO 27001. Она называется Приложение A 5.36.
Что такое Приложение A 5.36?
Название — «Соответствие политикам, правилам и стандартам информационной безопасности». Звучит просто. Конечно, вы должны следовать своим собственным правилам! Но стандарт делает это конкретным требованием не просто так. Это доказывает, что ваша система жива и работает.
Ваша цель — перейти от письменных правил к живой привычке обеспечения безопасности. A5.36 заставляет вас доказать, что ваши усилия:
Подходящие
Адекватные
Эффективные
Вы должны убедиться, что соблюдаете каждую определенную вами политику. И вы должны часто это пересматривать. Это не разовая процедура. Это цикл. Если вы не проверяете правила, люди перестают их соблюдать.
Зачем это нужно?
Вы можете спросить: «Зачем нам специальное правило только для проверки соответствия?»
Ответ — проверка. Политики — это всего лишь статичная бумага, пока вы их не протестируете. Мир быстро меняется. Правило, которое вы написали три года назад о мобильных телефонах, сегодня может быть бесполезным. A5.36 просит вас проверить, работает ли это правило до сих пор.
Это превентивный контроль. Его цель — предотвратить проблемы до того, как они возникнут. Он выявляет ошибки до того, как они превратятся в реальное нарушение. Это как проверка здоровья вашего бизнеса.
Как это сделать?
Это может показаться сложной работой. Вам не хочется тратить всё своё время на формальности. С чего же начать?
Составьте план: Вам нужен процесс для проведения проверок. Старайтесь проверять всю систему хотя бы раз в год.
Кто проверяет?: Это самое интересное. В отличие от других аудитов, вам не всегда нужен сторонний наблюдатель. Менеджер может проверить свою команду. Вам просто нужно быть честным и записывать свои выводы.
Используйте технологии: Вам не нужны бумажные контрольные списки. Вы можете использовать программное обеспечение. Если на вашей панели управления отображается, что ваш антивирус работает, это считается! Это делает проверку быстрой и простой.
Что делать, если вы обнаружили проблему?
Если вы обнаружили пробел, не паникуйте. В этом и суть!
Когда вы обнаруживаете, что правило не соблюдается, исправьте это. Запишите это в журнал корректирующих действий. Это доказывает, что ваша система работает, потому что вы находите и исправляете проблемы.
Когда следует проводить проверку?
Ежегодная проверка — это базовый уровень. Но мир не стоит на месте целый год. Необходимо проверять соответствие требованиям при любых изменениях.
Остерегайтесь следующих факторов:
Новые законы: Если вступает в силу новый закон о конфиденциальности, проверьте свои правила в этот день.
Новые технологии: Если вы переходите с серверов в облако, ваши старые правила перестанут действовать. Вам необходимо проверить новые правила для облака.
Новые местоположения: Если вы начинаете вести бизнес в новой стране, вам придется соблюдать новые законы.
Преимущества
Если вы все сделаете правильно, вы получите больше, чем просто сертификат.
Лучшая безопасность: Вы обнаружите уязвимости раньше хакеров.
Меньший риск: Вы устраните мелкие проблемы до того, как они станут серьезными.
Доверие: В случае утечки данных вы сможете доказать, что делали все возможное. Это поможет улучшить вашу репутацию.
Нужна помощь?
Создать все с нуля сложно. Вам понадобятся шаблоны, отчеты и руководства. Вот тут-то и пригодится High Table.
Они предлагают набор инструментов ISO 27001, разработанный Стюартом Баркером, экспертом-аудитором. Он разработал систему, которая, как он знает, пройдет аудит. Этот набор инструментов предоставляет вам:
Документы: Все необходимые политики и шаблоны.
Руководства по аудиту: Пошаговые инструкции о том, что проверять и как это документировать.
Он превращает сложную задачу в простой процесс.
Урок: Если вы не проверяете свои правила, ваша безопасность потерпит неудачу. Стандарт A5.36 обеспечивает вашу безопасность в меняющемся мире.
#iso27001 #iso27001certification
Информация по комментариям в разработке