Скачать или смотреть ISO 27001 Приложение A 8.34 Защита при аудите: простое объяснение — руководство для начинающих

В этом руководстве для начинающих по разделу 8.34 «Защита при аудите» Приложения A стандарта ISO 27001 ведущий аудитор ISO 27001 Стюарт Баркер и его команда подробно расскажут вам, что это такое, как это внедрить и как пройти аудит. Бесплатное обучение по ISO 27001.

✅ Полный набор инструментов ISO 27001 - https://hightable.io/iso-27001-toolki...

Одобренный аудиторами набор инструментов для гарантированного соответствия стандарту ISO 27001.

Читайте полную статью: ISO 27001:2022 Приложение A 8.34 Защита информационных систем во время аудита: объяснение - https://hightable.io/iso27001-annex-a...

Обеспечение безопасности ваших систем во время аудита

Давайте поговорим о безопасности. Это ключевая часть вашей работы. Но мы часто упускаем из виду один момент. Как защитить ваши системы во время проверки? Мы называем эту проверку аудитом. Звучит просто. Но все может быстро пойти не так, если вы не будете осторожны.

Вот план на сегодня. Сначала мы рассмотрим странную проблему. Я называю ее «аудиторским парадоксом». Затем мы рассмотрим способ ее решения. Это контроль A.8.34. После этого мы рассмотрим простой план. Я покажу вам три ошибки, которых следует избегать. Наконец, я поделюсь быстрым способом, как это сделать легко.


Парадокс аудита

Давайте рассмотрим эту странную идею. Аудит призван обеспечить вашу безопасность. Но может ли он подвергнуть вас риску? Да, может.

Подумайте об этом. Может ли проверка безопасности остановить вашу работу? Речь идёт не только о документации. Плохой аудит может навредить вашему бизнесу.

Эти риски реальны. Тестирование может сломать ваш веб-сайт. Аудитор может увидеть ваши секреты. Вы можете потерять деньги. Вы можете потерять доверие. Итак, как же нам оставаться в безопасности?

Простое решение

Ответ кроется в правилах ISO 27001. Рассмотрим контроль A.8.34. Его цель проста: обеспечить безопасность ваших систем и данных во время их тестирования.

Всё сводится к двум вещам:

1. Хорошо планируйте.

2. Согласуйте правила.

Если вы это сделаете, вы будете в безопасности. Речь идёт не о сокрытии чего-либо, а о разумном подходе. Вы должны найти слабые места, не создавая новых.

Ваш 4-шаговый план

Как это сделать? Неважно, большая у вас компания или маленькая. Просто следуйте этим четырем шагам.

1. Спланируйте. Запишите, что вы будете делать.

2. Ограничьте доступ. Разрешите им просматривать, но не трогать. Лучше всего — доступ только для чтения.

3. Проверьте их оборудование. Просканируйте ноутбук аудитора, прежде чем он подключится к вашей сети.

4. Используйте тестовые данные. По возможности не допускайте их к вашим рабочим системам.

Это зависит от того, кто вы.

Небольшие компании: Защитите свой список клиентов.

Технологические стартапы: Защитите свой код. Используйте тестовую зону.

Фирмы, занимающиеся ИИ: Скройте свои реальные данные. Используйте вместо них фиктивные данные.

Три ошибки, которых следует избегать

Я видел, как многие фирмы делают это. Я часто вижу одни и те же три ошибки. Они могут навредить вашей безопасности.

1. Слепое подключение. Не позволяйте аудитору просто подключать свой ноутбук. Это большой риск. Вы должны сначала проверить их устройство. Сделайте это строгим правилом.

2. Соглашение на словах. Не ограничивайтесь устными договоренностями. Устные соглашения расплывчаты. Они создают риски. Запишите объем работ. Обе стороны должны сначала подписать его.

3. Передача прав. Не предоставляйте постороннему лицу полные административные права. Это очень рискованно. Просто не делайте этого. Если это необходимо, пусть ваши сотрудники набирают текст, пока аудитор наблюдает.

#iso27001 #iso27001certification