ระบบการจัดการความปลอดภัยของข้อมูลสมัยใหม่คืออะไร การจัดการความปลอดภัยของข้อมูล

ในโลกของเทคโนโลยีสารสนเทศ ประเด็นของการประกันความสมบูรณ์ ความน่าเชื่อถือ และการรักษาความลับของข้อมูลกลายเป็นเรื่องสำคัญ ดังนั้นการตระหนักถึงความจำเป็นของระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ในองค์กรจึงเป็นการตัดสินใจเชิงกลยุทธ์

ได้รับการพัฒนาสำหรับการสร้าง การนำไปปฏิบัติ การบำรุงรักษา และการปรับปรุงอย่างต่อเนื่องของ ISMS ในองค์กร นอกจากนี้ ด้วยการใช้มาตรฐานนี้ ความสามารถขององค์กรในการตอบสนองข้อกำหนดด้านความปลอดภัยข้อมูลของตนเองจะปรากฏแก่พันธมิตรภายนอก บทความนี้จะกล่าวถึงข้อกำหนดหลักของมาตรฐานและหารือเกี่ยวกับโครงสร้างของมาตรฐาน

ธุรกิจของคุณก็จะไปถึง ระดับใหม่คุณภาพหากคุณได้รับใบรับรอง ISO ที่ถูกต้องตามกฎหมายด้วยความช่วยเหลือจากผู้เชี่ยวชาญที่มีประสบการณ์

วัตถุประสงค์หลักของมาตรฐาน ISO 27001

ก่อนที่จะอธิบายโครงสร้างของมาตรฐาน เราจะสรุปวัตถุประสงค์หลักและพิจารณาประวัติความเป็นมาของการปรากฏตัวของมาตรฐานในรัสเซีย

วัตถุประสงค์ของมาตรฐาน:

  • การสร้างข้อกำหนดที่เป็นเอกภาพสำหรับทุกองค์กรสำหรับการสร้าง การนำไปปฏิบัติ และปรับปรุง ISMS
  • สร้างความมั่นใจในการมีปฏิสัมพันธ์ระหว่างผู้บริหารระดับสูงและพนักงาน
  • การรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูล

นอกจากนี้ ข้อกำหนดที่กำหนดโดยมาตรฐานนั้นเป็นข้อกำหนดทั่วไปและมีวัตถุประสงค์เพื่อนำไปใช้โดยองค์กรใดๆ โดยไม่คำนึงถึงประเภท ขนาด หรือลักษณะขององค์กร

ประวัติความเป็นมาของมาตรฐาน:

  • ในปี 1995 British Standards Institution (BSI) ได้นำรหัสการจัดการความปลอดภัยของข้อมูลมาใช้เป็นมาตรฐานแห่งชาติของสหราชอาณาจักร และจดทะเบียนเป็น BS 7799 - ส่วนที่ 1
  • ในปี 1998 BSI ได้เผยแพร่มาตรฐาน BS7799-2 ซึ่งประกอบด้วยสองส่วน โดยส่วนหนึ่งประกอบด้วยหลักปฏิบัติ และอีกส่วนหนึ่งเป็นข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูล
  • ในระหว่างการแก้ไขครั้งต่อๆ ไป ส่วนแรกได้รับการเผยแพร่เป็น BS 7799:1999 ส่วนที่ 1 ในปี 1999 มาตรฐานเวอร์ชันนี้ได้ถูกถ่ายโอนไปยัง องค์การระหว่างประเทศตามใบรับรอง
  • เอกสารนี้ได้รับการอนุมัติในปี 2000 เป็น มาตรฐานสากล ISO/IEC 17799:2000 (บี 7799-1:2000) เวอร์ชันล่าสุดมาตรฐานนี้ซึ่งนำมาใช้ในปี 2548 คือ ISO/IEC 17799:2005
  • ในเดือนกันยายน พ.ศ. 2545 ส่วนที่สองของ BS 7799 ซึ่งเป็นข้อกำหนดระบบการจัดการความปลอดภัยของข้อมูลมีผลบังคับใช้ ส่วนที่สองของ BS 7799 ได้รับการแก้ไขในปี 2545 และเมื่อปลายปี 2548 ISO ก็ได้นำมาใช้เป็นมาตรฐานสากล ISO/IEC 27001:2005 เทคโนโลยีสารสนเทศ - เทคนิคด้านความปลอดภัย - ระบบการจัดการความปลอดภัยของข้อมูล - ข้อกำหนด
  • ในปี พ.ศ. 2548 มาตรฐาน ISO/IEC 17799 ได้รวมอยู่ในมาตรฐานชุดที่ 27 และได้รับ หมายเลขใหม่- ISO/IEC 27002:2005.
  • เมื่อวันที่ 25 กันยายน 2013 มาตรฐาน ISO/IEC 27001:2013 “Information Security Management Systems” ที่ได้รับการปรับปรุง ความต้องการ". ปัจจุบันการรับรององค์กรดำเนินการตามมาตรฐานเวอร์ชันนี้

โครงสร้างของมาตรฐาน

ข้อดีประการหนึ่งของมาตรฐานนี้คือความคล้ายคลึงกันของโครงสร้างกับ ISO 9001 เนื่องจากมีส่วนหัวย่อยที่เหมือนกัน ข้อความที่เหมือนกัน ข้อกำหนดทั่วไปและคำจำกัดความพื้นฐาน สถานการณ์นี้ช่วยให้คุณประหยัดเวลาและเงิน เนื่องจากเอกสารบางส่วนได้รับการพัฒนาแล้วในระหว่างการรับรอง ISO 9001

หากเราพูดถึงโครงสร้างของมาตรฐาน รายการข้อกำหนดสำหรับ ISMS ที่จำเป็นสำหรับการรับรองและประกอบด้วยส่วนต่างๆ ต่อไปนี้:

ส่วนหลักภาคผนวก ก
0. บทนำ ก.5 นโยบายการรักษาความปลอดภัยของข้อมูล
1. ขอบเขตการใช้งาน ก.6 องค์กรความมั่นคงปลอดภัยสารสนเทศ
2. การอ้างอิงเชิงบรรทัดฐาน ก.7 ความปลอดภัย ทรัพยากรมนุษย์(พนักงาน)
3. ข้อกำหนดและคำจำกัดความ ก.8 การจัดการสินทรัพย์
4. บริบทองค์กร ก.9 การควบคุมการเข้าถึง
5. ความเป็นผู้นำ ก.10 วิทยาการเข้ารหัสลับ
6. การวางแผน ก.11 ความมั่นคงทางกายภาพและสิ่งแวดล้อม
7. การสนับสนุน ก.12 ความมั่นคงในการปฏิบัติการ
8. การดำเนินงาน (Operation) ก.13 ความปลอดภัยในการสื่อสาร
9. การประเมิน (Measurement) การปฏิบัติงาน ก.14 การได้มา การพัฒนา และการบำรุงรักษา ระบบสารสนเทศ
10. การปรับปรุง (การปรับปรุง) ก.15 ความสัมพันธ์กับซัพพลายเออร์
ก.16 การจัดการเหตุการณ์
ก.17 ความต่อเนื่องทางธุรกิจ
ก.18 การปฏิบัติตามกฎหมาย

ข้อกำหนดของ "ภาคผนวก A" มีผลบังคับใช้ แต่มาตรฐานอนุญาตให้คุณยกเว้นพื้นที่ที่ไม่สามารถนำไปใช้กับองค์กรได้

เมื่อนำมาตรฐานไปใช้ในองค์กรเพื่อการรับรองเพิ่มเติม ควรจำไว้ว่าไม่อนุญาตให้มีข้อยกเว้นสำหรับข้อกำหนดที่กำหนดไว้ในส่วนที่ 4 - 10

เริ่มจากส่วนที่ 4 - บริบทองค์กร

บริบทองค์กร

ในส่วนนี้ มาตรฐานกำหนดให้องค์กรต้องระบุภายนอกและ ปัญหาภายในที่มีความสำคัญสัมพันธ์กับวัตถุประสงค์ และส่งผลต่อความสามารถของ ISMS ในการบรรลุผลตามที่ตั้งใจไว้ สิ่งนี้ควรคำนึงถึงข้อกำหนดทางกฎหมายและข้อบังคับและภาระผูกพันตามสัญญาที่เกี่ยวข้องกับความปลอดภัยของข้อมูล องค์กรยังต้องกำหนดและจัดทำเอกสารขอบเขตและการบังคับใช้ของ ISMS เพื่อกำหนดขอบเขต

ภาวะผู้นำ

ผู้บริหารระดับสูงควรแสดงให้เห็นถึงความเป็นผู้นำและความมุ่งมั่นต่อระบบการจัดการความปลอดภัยของข้อมูล เช่น ทำให้มั่นใจว่านโยบายความปลอดภัยของข้อมูลและวัตถุประสงค์ด้านความปลอดภัยของข้อมูลได้รับการกำหนดและสอดคล้องกับกลยุทธ์ขององค์กร นอกจากนี้ ผู้บริหารระดับสูงต้องแน่ใจว่ามีการจัดหาทรัพยากรที่จำเป็นทั้งหมดสำหรับ ISMS กล่าวอีกนัยหนึ่ง พนักงานควรชัดเจนว่าฝ่ายบริหารเกี่ยวข้องกับปัญหาความปลอดภัยของข้อมูล

นโยบายการรักษาความปลอดภัยของข้อมูลจะต้องมีการจัดทำเป็นเอกสารและสื่อสารกับพนักงาน เอกสารนี้คล้ายกับนโยบายคุณภาพ ISO 9001 จะต้องสอดคล้องกับวัตถุประสงค์ขององค์กรและรวมถึงวัตถุประสงค์ด้านความปลอดภัยของข้อมูล คงจะดีถ้าสิ่งเหล่านี้เป็นเป้าหมายที่แท้จริง เช่น การรักษาความลับและความสมบูรณ์ของข้อมูล

ฝ่ายบริหารยังคาดหวังที่จะแจกจ่ายหน้าที่และความรับผิดชอบที่เกี่ยวข้องกับความปลอดภัยของข้อมูลให้กับพนักงาน

การวางแผน

ในส่วนนี้ เรามาถึงขั้นตอนแรกของหลักการจัดการ PDCA (แผน - ทำ - ตรวจสอบ - ดำเนินการ) - วางแผน ทำ ตรวจสอบ ดำเนินการ

เมื่อวางแผนระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ องค์กรควรคำนึงถึงประเด็นที่กล่าวถึงในข้อ 4 และระบุความเสี่ยงและโอกาสที่อาจเกิดขึ้นซึ่งจำเป็นต้องนำมาพิจารณาเพื่อให้แน่ใจว่า ISMS สามารถบรรลุผลตามที่ตั้งใจไว้ ป้องกันผลกระทบที่ไม่พึงประสงค์ และ บรรลุการปรับปรุงอย่างต่อเนื่อง

เมื่อวางแผนวิธีการบรรลุวัตถุประสงค์ด้านความปลอดภัยของข้อมูล องค์กรต้องกำหนด:

  • จะทำอะไร;
  • ต้องใช้ทรัพยากรอะไรบ้าง
  • ใครจะเป็นผู้รับผิดชอบ
  • เมื่อจะบรรลุเป้าหมาย
  • ผลลัพธ์จะได้รับการประเมินอย่างไร

นอกจากนี้ องค์กรต้องรักษาวัตถุประสงค์ด้านความปลอดภัยของข้อมูลให้เป็นเอกสารข้อมูล

ความปลอดภัย

องค์กรต้องระบุและจัดหาทรัพยากรที่จำเป็นในการพัฒนา นำไปใช้ บำรุงรักษา และปรับปรุง ISMS อย่างต่อเนื่อง ซึ่งรวมถึงบุคลากรและเอกสารประกอบ ในด้านบุคลากร องค์กรคาดหวังที่จะคัดเลือกพนักงานที่มีคุณสมบัติและมีความสามารถในด้านความปลอดภัยของข้อมูล คุณสมบัติของพนักงานจะต้องได้รับการยืนยันด้วยใบรับรอง อนุปริญญา ฯลฯ คุณสามารถจ้างผู้เชี่ยวชาญจากภายนอกภายใต้สัญญาหรือฝึกอบรมพนักงานของคุณเองได้ ในส่วนของเอกสารนั้นควรประกอบด้วย:

  • เอกสารข้อมูลที่กำหนดโดยมาตรฐาน
  • เอกสารข้อมูลที่กำหนดโดยองค์กรว่ามีความจำเป็นเพื่อรับรองประสิทธิผลของระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ

ข้อมูลเอกสารที่กำหนดโดย ISMS และมาตรฐานจะต้องได้รับการควบคุมเพื่อให้แน่ใจว่า:

  • เข้าถึงได้และเหมาะสมกับการใช้งานทุกที่และทุกเวลาที่ต้องการ และ
  • ได้รับการคุ้มครองอย่างเพียงพอ (เช่น จากการสูญเสียการรักษาความลับ การใช้ในทางที่ผิด หรือการสูญเสียความซื่อสัตย์)

การดำเนินการ

ในส่วนนี้กล่าวถึงขั้นตอนที่สองของหลักการจัดการ PDCA - ความจำเป็นสำหรับองค์กรในการจัดการกระบวนการเพื่อให้มั่นใจว่ามีการปฏิบัติตามข้อกำหนด และดำเนินการตามที่ระบุไว้ในส่วนการวางแผน นอกจากนี้ยังระบุด้วยว่าองค์กรควรทำการประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลตามช่วงเวลาที่วางแผนไว้หรือเมื่อมีการเสนอหรือเกิดการเปลี่ยนแปลงที่สำคัญ องค์กรต้องเก็บรักษาผลการประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลไว้เป็นเอกสารข้อมูล

การประเมินผลการปฏิบัติงาน

ขั้นตอนที่สามคือการตรวจสอบ องค์กรต้องประเมินการดำเนินงานและประสิทธิผลของ ISMS เช่น ควรดำเนินการตรวจสอบภายในเพื่อรับข้อมูลเกี่ยวกับ

  1. ระบบการจัดการความปลอดภัยของข้อมูลเป็นไปตามข้อกำหนดหรือไม่
    • ข้อกำหนดขององค์กรสำหรับระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ
    • ข้อกำหนดของมาตรฐาน
  2. ว่าระบบการจัดการความปลอดภัยของข้อมูลได้รับการติดตั้งและทำงานอย่างมีประสิทธิภาพ

แน่นอนว่าควรมีการวางแผนขอบเขตและระยะเวลาในการตรวจสอบไว้ล่วงหน้า ผลลัพธ์ทั้งหมดจะต้องได้รับการจัดทำเป็นเอกสารและเก็บรักษาไว้

การปรับปรุง

สาระสำคัญของส่วนนี้คือการกำหนดแนวทางปฏิบัติเมื่อมีการระบุความไม่เป็นไปตามข้อกำหนด องค์กรจำเป็นต้องแก้ไขความคลาดเคลื่อน ผลที่ตามมา และดำเนินการวิเคราะห์สถานการณ์เพื่อไม่ให้เกิดเหตุการณ์เช่นนี้ขึ้นในอนาคต ความไม่สอดคล้องและการดำเนินการแก้ไขทั้งหมดจะต้องได้รับการบันทึกไว้

นี่เป็นการสรุปส่วนหลักของมาตรฐาน ภาคผนวก A ให้ข้อกำหนดเฉพาะเจาะจงมากขึ้นที่องค์กรต้องปฏิบัติตาม ตัวอย่างเช่นในแง่ของการควบคุมการเข้าถึงให้ใช้ อุปกรณ์เคลื่อนที่และสื่อบันทึกข้อมูล

ประโยชน์ของการดำเนินการและการรับรองมาตรฐาน ISO 27001

  • การเพิ่มสถานะขององค์กรและตามความไว้วางใจของคู่ค้า
  • เพิ่มความมั่นคงในการทำงานขององค์กร
  • เพิ่มระดับการป้องกันภัยคุกคามความปลอดภัยของข้อมูล
  • สร้างความมั่นใจในระดับที่จำเป็นของการรักษาความลับของข้อมูลของผู้มีส่วนได้เสีย
  • ขยายการมีส่วนร่วมขององค์กรในสัญญาขนาดใหญ่

ข้อได้เปรียบทางเศรษฐกิจคือ:

  • การยืนยันที่เป็นอิสระจากหน่วยรับรองว่าองค์กรมีความปลอดภัยของข้อมูลในระดับสูงควบคุมโดยบุคลากรที่มีความสามารถ
  • หลักฐานการปฏิบัติตามกฎหมายและข้อบังคับที่เกี่ยวข้อง (การปฏิบัติตามระบบข้อกำหนดบังคับ)
  • การสาธิตระบบการจัดการระดับสูงเพื่อให้แน่ใจว่ามีการบริการที่เหมาะสมแก่ลูกค้าและหุ้นส่วนขององค์กร
  • การสาธิตการดำเนินการตรวจสอบระบบการจัดการ การประเมินประสิทธิภาพ และการปรับปรุงอย่างต่อเนื่อง

การรับรอง

องค์กรอาจได้รับการรับรองโดยหน่วยงานที่ได้รับการรับรองตามมาตรฐานนี้ กระบวนการรับรองประกอบด้วยสามขั้นตอน:

  • ขั้นตอนที่ 1 - การตรวจสอบโดยผู้ตรวจสอบเอกสาร ISMS ที่สำคัญเพื่อให้เป็นไปตามข้อกำหนดของมาตรฐาน - สามารถทำได้ทั้งในอาณาเขตขององค์กรและโดยการโอนเอกสารเหล่านี้ไปยังผู้ตรวจสอบภายนอก
  • ขั้นที่ 2 - การตรวจสอบโดยละเอียด รวมถึงการทดสอบมาตรการที่นำไปใช้และการประเมินประสิทธิผล รวมถึงการศึกษาเอกสารที่จำเป็นตามมาตรฐานอย่างครบถ้วน
  • ขั้นตอนที่ 3 - ดำเนินการตรวจสอบเฝ้าระวังเพื่อยืนยันว่าองค์กรที่ได้รับการรับรองมีคุณสมบัติตรงตามข้อกำหนดที่ระบุไว้ ดำเนินการเป็นระยะๆ

บรรทัดล่าง

อย่างที่คุณเห็นการใช้มาตรฐานนี้ในองค์กรจะช่วยเพิ่มระดับความปลอดภัยของข้อมูลในเชิงคุณภาพซึ่งมีค่ามากในความเป็นจริงสมัยใหม่ มาตรฐานประกอบด้วยข้อกำหนดมากมาย แต่ข้อกำหนดที่สำคัญที่สุดคือการทำตามที่เขียนไว้! หากไม่มีการนำข้อกำหนดของมาตรฐานไปใช้จริงจะกลายเป็นกระดาษเปล่าชุดหนึ่ง

ถูกต้อง บทบรรณาธิการจาก 27.12.2006

ชื่อเอกสาร"เทคโนโลยีสารสนเทศ วิธีการและวิธีการรักษาความปลอดภัย ระบบการจัดการความปลอดภัยของข้อมูล ข้อกำหนด GOST R ISO/IEC 27001-2006" (อนุมัติโดยคำสั่งของ Rostekhregulirovaniya ลงวันที่ 27 ธันวาคม 2549 N 375-st)
ประเภทเอกสารคำสั่ง, มาตรฐาน, gost, iso
การรับมอบอำนาจRostekhregulirovanie
หมายเลขเอกสารISO/IEC 27001-2006
วันที่รับ01.01.1970
วันที่แก้ไข27.12.2006
วันที่จดทะเบียนกับกระทรวงยุติธรรม01.01.1970
สถานะถูกต้อง
สิ่งตีพิมพ์
  • ในขณะที่รวมไว้ในฐานข้อมูล เอกสารดังกล่าวไม่ได้รับการเผยแพร่
นาวิเกเตอร์หมายเหตุ

"เทคโนโลยีสารสนเทศ วิธีการและวิธีการรักษาความปลอดภัย ระบบการจัดการความปลอดภัยของข้อมูล ข้อกำหนด GOST R ISO/IEC 27001-2006" (อนุมัติโดยคำสั่งของ Rostekhregulirovaniya ลงวันที่ 27 ธันวาคม 2549 N 375-st)

8. การปรับปรุงระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ

8.1. การปรับปรุงอย่างต่อเนื่อง

องค์กรจะต้องปรับปรุงประสิทธิผลของ ISMS อย่างต่อเนื่องผ่านการชี้แจงนโยบาย ISMS วัตถุประสงค์ของ ISMS การใช้ผลการตรวจสอบ การทบทวนเหตุการณ์ที่ควบคุมได้ การดำเนินการแก้ไขและป้องกัน และการใช้ผลการทบทวน ISMS ของฝ่ายบริหาร (ดูข้อ 7)

8.2. การดำเนินการแก้ไข

องค์กรต้องใช้มาตรการเพื่อขจัดสาเหตุของการไม่ปฏิบัติตามข้อกำหนด ISMS เพื่อป้องกันไม่ให้เกิดขึ้นอีก ขั้นตอนการดำเนินการแก้ไขที่ได้รับการจัดทำเป็นเอกสารจะต้องกำหนดข้อกำหนดสำหรับ:

ก) การระบุความไม่สอดคล้อง;

b) การกำหนดสาเหตุของความไม่สอดคล้อง;

C) การประเมินความจำเป็นในการดำเนินการเพื่อหลีกเลี่ยงไม่ให้ความไม่เป็นไปตามข้อกำหนดเกิดขึ้นอีก

d) การระบุและการดำเนินการแก้ไขที่จำเป็น

e) การเก็บรักษาบันทึกผลลัพธ์ของการดำเนินการ (ดู 4.3.3)

f) การทบทวนการดำเนินการแก้ไขที่ได้ดำเนินการไป

8.3. การดำเนินการป้องกัน

องค์กรต้องกำหนดการดำเนินการที่จำเป็นเพื่อขจัดสาเหตุของความไม่สอดคล้องกับข้อกำหนด ISMS ที่อาจเกิดขึ้น เพื่อป้องกันการเกิดซ้ำ การดำเนินการป้องกันจะต้องสอดคล้องกับผลที่ตามมาของปัญหาที่อาจเกิดขึ้น ขั้นตอนการดำเนินการที่เป็นเอกสารสำหรับการดำเนินการป้องกันจะต้องกำหนดข้อกำหนดสำหรับ:

ก) การระบุความไม่เป็นไปตามข้อกำหนดที่อาจเกิดขึ้นและสาเหตุ

b) การประเมินความจำเป็นในการดำเนินการเพื่อป้องกันความไม่เป็นไปตามข้อกำหนดเกิดขึ้น

c) การระบุและการดำเนินการป้องกันที่จำเป็น;

d) บันทึกผลลัพธ์ของการดำเนินการ (ดู 4.3.3)

e) การวิเคราะห์ผลลัพธ์ของการดำเนินการ

องค์กรต้องระบุการเปลี่ยนแปลงในการประเมินความเสี่ยงและกำหนดข้อกำหนดสำหรับการดำเนินการป้องกันในขณะที่ดำเนินการ ความสนใจเป็นพิเศษเพื่อเปลี่ยนแปลงตัวบ่งชี้ความเสี่ยงเชิงปริมาณอย่างมีนัยสำคัญ

ลำดับความสำคัญสำหรับการดำเนินการป้องกันควรพิจารณาจากผลการประเมินความเสี่ยง

หมายเหตุ โดยทั่วไป ค่าใช้จ่ายในการดำเนินการเพื่อป้องกันความไม่เป็นไปตามข้อกำหนดจะประหยัดกว่าการดำเนินการแก้ไข

ข้อมูลเป็นหนึ่งในทรัพยากรทางธุรกิจที่สำคัญที่สุดที่สร้างมูลค่าเพิ่มให้กับองค์กร และด้วยเหตุนี้ จึงต้องได้รับการปกป้อง จุดอ่อนด้านความปลอดภัยของข้อมูลอาจนำไปสู่ความสูญเสียทางการเงินและความเสียหายต่อการดำเนินธุรกิจ ดังนั้นในยุคของเราประเด็นของการพัฒนาระบบการจัดการความปลอดภัยของข้อมูลและการนำไปใช้ในองค์กรจึงเป็นแนวคิด

ISO 27001 ให้คำจำกัดความความปลอดภัยของข้อมูลว่า “การรักษาความลับ ความสมบูรณ์ และความพร้อมของข้อมูล นอกจากนี้ อาจรวมถึงคุณสมบัติอื่นๆ ด้วย เช่น ความถูกต้อง การไม่ปฏิเสธ และความน่าเชื่อถือ”

การรักษาความลับ – ตรวจสอบให้แน่ใจว่าข้อมูลสามารถเข้าถึงได้โดยผู้ที่มีอำนาจที่เหมาะสมเท่านั้น (ผู้ใช้ที่ได้รับอนุญาต)

ความสมบูรณ์ – รับประกันความถูกต้องและครบถ้วนของข้อมูลตลอดจนวิธีการประมวลผลข้อมูล

ความพร้อมใช้งาน – รับประกันการเข้าถึงข้อมูลสำหรับผู้ใช้ที่ได้รับอนุญาตเมื่อจำเป็น (ตามความต้องการ)

จัดทำรายการข้อกำหนดสำหรับระบบการจัดการความปลอดภัยของข้อมูลที่จำเป็นสำหรับการรับรอง และมาตรฐาน :2005 ทำหน้าที่เป็นแนวทางการดำเนินการที่สามารถใช้ในการออกแบบการควบคุมที่องค์กรเลือกเพื่อลดความเสี่ยงด้านความปลอดภัยของข้อมูล

ISO 27001 กำหนดกระบวนการที่ช่วยให้ธุรกิจสามารถสร้าง นำไปใช้ ทบทวน ตรวจสอบ และบำรุงรักษาระบบการจัดการความปลอดภัยของข้อมูลที่มีประสิทธิผล กำหนดข้อกำหนดสำหรับการพัฒนา การนำไปปฏิบัติ การดำเนินงาน การติดตาม การวิเคราะห์ การสนับสนุน และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูลที่เป็นเอกสารในบริบทของความเสี่ยงทางธุรกิจที่มีอยู่ขององค์กร

ข้าว. ระบบการจัดการ ISMS

  • ระบบการจัดการความปลอดภัยของข้อมูลตามมาตรฐาน ISO 27001 ช่วยให้คุณ:
  • ทำให้สินทรัพย์ข้อมูลส่วนใหญ่เข้าใจได้ง่ายขึ้นสำหรับการจัดการของบริษัท
  • ระบุภัยคุกคามด้านความปลอดภัยที่สำคัญต่อกระบวนการทางธุรกิจที่มีอยู่
  • คำนวณความเสี่ยงและตัดสินใจตามเป้าหมายทางธุรกิจของบริษัท
  • รับประกันการจัดการระบบที่มีประสิทธิภาพในสถานการณ์วิกฤติ
  • ดำเนินการตามนโยบายการรักษาความมั่นคงปลอดภัย (ค้นหาและแก้ไขจุดอ่อนในระบบการรักษาความมั่นคงปลอดภัยสารสนเทศ)
  • กำหนดความรับผิดชอบส่วนบุคคลให้ชัดเจน
  • บรรลุการลดและเพิ่มประสิทธิภาพต้นทุนการสนับสนุนระบบรักษาความปลอดภัย
  • อำนวยความสะดวกในการบูรณาการระบบย่อยด้านความปลอดภัยเข้ากับกระบวนการทางธุรกิจและบูรณาการกับ ISO 9001:2000
  • แสดงให้ลูกค้า คู่ค้า และเจ้าของธุรกิจเห็นถึงความมุ่งมั่นของคุณในเรื่องความปลอดภัยของข้อมูล
  • ได้รับการยอมรับในระดับสากลและเพิ่มอำนาจของบริษัททั้งในตลาดในประเทศและในตลาดต่างประเทศ
  • เน้นความโปร่งใสและความสะอาดของการดำเนินธุรกิจภายใต้กฎหมายผ่านการปฏิบัติตามมาตรฐาน

พร้อมด้วยระบบควบคุมคอมพิวเตอร์และ เครือข่ายคอมพิวเตอร์จ่ายตามมาตรฐาน ความสนใจอย่างมากประเด็นการพัฒนานโยบายด้านความปลอดภัย การทำงานร่วมกับบุคลากร (การจ้าง การฝึกอบรม การเลิกจ้าง) การดูแลความต่อเนื่องของกระบวนการผลิต ข้อกำหนดทางกฎหมาย

ข้อกำหนดของมาตรฐานนี้มีลักษณะทั่วไปและสามารถใช้ได้ในองค์กรต่างๆ มากมาย - ขนาดเล็ก ขนาดกลาง และขนาดใหญ่ - ภาคการตลาดและอุตสาหกรรม: การเงินและการประกันภัย โทรคมนาคม สาธารณูปโภค ฯลฯ ขายปลีกและการผลิต อุตสาหกรรมบริการต่างๆ การขนส่ง หน่วยงานราชการ และอื่นๆ อีกมากมาย

มาตรฐาน ISO 27001 สอดคล้องกับมาตรฐานระบบการจัดการคุณภาพ ISO 9001:2000 และ ISO 14001:2004 และตั้งอยู่บนหลักการพื้นฐาน นอกจากนี้ขั้นตอนบังคับของมาตรฐาน ISO 9001 ยังจำเป็นสำหรับมาตรฐาน ISO 27001 โครงสร้างของเอกสารประกอบสำหรับข้อกำหนดของ ISO 27001 นั้นคล้ายคลึงกับโครงสร้างสำหรับข้อกำหนดของ ISO 9001 ที่สุดเอกสารที่กำหนดโดย ISO 27001 อาจได้รับการพัฒนาและใช้งานภายในกรอบของ ISO 9001 แล้ว ดังนั้นหากองค์กรมีระบบการจัดการตามมาตรฐาน ISO 9001 หรือ ISO 14001 อยู่แล้ว ก็จะดีกว่าที่จะตรวจสอบให้แน่ใจ เป็นไปตามข้อกำหนดของ ISO 27001 ภายในกรอบของระบบที่มีอยู่ซึ่งหมายถึงการลดต้นทุนภายในขององค์กรอย่างมีนัยสำคัญและค่าใช้จ่ายในการดำเนินการและการรับรอง

มาตรฐาน ISO 27001:2005 ให้การรับรองระบบการจัดการความปลอดภัยของข้อมูลอย่างเป็นทางการ

การรับรองการปฏิบัติตามมาตรฐานทำให้สามารถแสดงให้เห็นได้อย่างชัดเจน พันธมิตรทางธุรกิจนักลงทุนและลูกค้าที่บริษัทได้วางการรักษาความปลอดภัยของข้อมูลไว้ในระดับสูงและได้สร้างการจัดการความปลอดภัยของข้อมูลที่มีประสิทธิภาพ

ขั้นตอนของการพัฒนาและการนำระบบการจัดการความปลอดภัยของข้อมูลไปใช้

ขั้นตอนหลักในการพัฒนาระบบการจัดการความปลอดภัยของข้อมูลสามารถแยกแยะได้ดังต่อไปนี้:

  • สินค้าคงคลังของสินทรัพย์
  • การจัดหมวดหมู่ของสินทรัพย์
  • การประเมินความปลอดภัยของระบบสารสนเทศ
  • การประเมินความเสี่ยงด้านข้อมูล
  • การจัดการความเสี่ยงด้านข้อมูล (รวมถึงการระบุมาตรการเฉพาะเพื่อปกป้องทรัพย์สินอันมีค่า)
  • การดำเนินการตามมาตรการรักษาความเสี่ยงที่เลือก
  • ติดตามการดำเนินการและประสิทธิผลของมาตรการที่เลือก
  • บทบาทของผู้บริหารบริษัทในระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ

หนึ่งในเงื่อนไขหลักสำหรับการทำงานที่มีประสิทธิภาพของระบบการจัดการความปลอดภัยของข้อมูลคือการมีส่วนร่วมของฝ่ายบริหารของ บริษัท ในกระบวนการจัดการความปลอดภัยของข้อมูล พนักงานทุกคนจะต้องเข้าใจว่าประการแรกกิจกรรมความปลอดภัยของข้อมูลทั้งหมดเริ่มต้นโดยฝ่ายบริหารและเป็นข้อบังคับสำหรับการดำเนินการ ประการที่สองฝ่ายบริหารของ บริษัท ควบคุมการทำงานของระบบการจัดการความปลอดภัยของข้อมูลเป็นการส่วนตัว ประการที่สามฝ่ายบริหารเองก็ปฏิบัติตามกฎเดียวกันเพื่อรับรองความปลอดภัยของข้อมูล เช่นเดียวกับพนักงานทุกคนของบริษัท

สินค้าคงคลังของทรัพย์สินของบริษัท

ก่อนอื่น จำเป็นต้องพิจารณาว่าอะไรเป็นทรัพย์สินที่มีค่าของบริษัทจากมุมมองด้านความปลอดภัยของข้อมูล มาตรฐาน ISO 17799 ซึ่งอธิบายรายละเอียดขั้นตอนของระบบการจัดการความปลอดภัยของข้อมูลแยกแยะสินทรัพย์ประเภทต่อไปนี้:

  • ทรัพยากรสารสนเทศ (ฐานข้อมูลและไฟล์ข้อมูล สัญญาและข้อตกลง เอกสารระบบ ข้อมูลการวิจัย เอกสาร เอกสารการฝึกอบรม ฯลฯ)
  • ซอฟต์แวร์;
  • สินทรัพย์ที่มีตัวตน (อุปกรณ์คอมพิวเตอร์ โทรคมนาคม ฯลฯ)
  • บริการ (บริการโทรคมนาคม ระบบช่วยชีวิต ฯลฯ);
  • พนักงานของบริษัท คุณสมบัติและประสบการณ์
  • ทรัพยากรที่จับต้องไม่ได้ (ชื่อเสียงและภาพลักษณ์ของบริษัท)

สินค้าคงคลังประกอบด้วยการรวบรวมรายการทรัพย์สินอันมีค่าของบริษัท

การวิพากษ์วิจารณ์สินทรัพย์ได้รับการประเมินโดยพิจารณาจากปัจจัย 3 ประการ ได้แก่ การรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน เหล่านั้น. ควรประเมินความเสียหายที่บริษัทจะได้รับหากการรักษาความลับ ความสมบูรณ์ หรือความพร้อมของสินทรัพย์ได้รับความเสียหาย

การประเมินวิกฤตสินทรัพย์สามารถทำได้ในหน่วยการเงินและระดับ

หลักการประเมินความวิกฤตของสินทรัพย์ที่ระบุแต่ละรายการ:

  • สินทรัพย์ข้อมูล (หรือประเภทของข้อมูล) ได้รับการประเมินจากมุมมองของความเสียหายที่เกิดขึ้นกับบริษัทจากการเปิดเผยข้อมูล
  • ซอฟต์แวร์ ทรัพยากรทางกายภาพ และบริการได้รับการประเมินในแง่ของความพร้อมใช้งานหรือประสิทธิภาพ
  • พนักงานของบริษัทได้รับการประเมินจากมุมมองของการรักษาความลับและความซื่อสัตย์ โดยคำนึงถึงการเข้าถึงแหล่งข้อมูลที่มีสิทธิ์ในการอ่านและแก้ไข
  • ชื่อเสียงของบริษัทได้รับการประเมินโดยเกี่ยวข้องกับแหล่งข้อมูล

การประเมินความเสี่ยงด้านข้อมูล

การประเมินความเสี่ยงด้านข้อมูลประกอบด้วยการคำนวณความเสี่ยง ซึ่งดำเนินการโดยคำนึงถึงข้อมูลเกี่ยวกับความวิกฤตของสินทรัพย์ ตลอดจนแนวโน้มที่จะเกิดช่องโหว่

ความเสี่ยงได้รับการยอมรับหากระดับความเสี่ยงถือว่ายอมรับได้ เหล่านั้น. บริษัทไม่เห็นว่าควรใช้มาตรการใดๆ ที่เกี่ยวข้องกับความเสี่ยงเหล่านี้ และพร้อมที่จะรับความเสียหาย

การหลีกเลี่ยงความเสี่ยงคือการกำจัดแหล่งที่มาของความเสี่ยงอย่างสมบูรณ์

การโอนความเสี่ยงคือการโอนความรับผิดชอบต่อความเสี่ยงไปยังบุคคลที่สาม (เช่น ผู้จำหน่ายอุปกรณ์หรือบริษัทประกันภัย) โดยไม่ขจัดแหล่งที่มาของความเสี่ยง

การลดความเสี่ยงคือการเลือกและการดำเนินการตามมาตรการเพื่อลดโอกาสที่จะเกิดอันตราย

ก่อนอื่น กระบวนการบริหารความเสี่ยงจำเป็นต้องพิจารณาว่าความเสี่ยงใดที่ต้องดำเนินการเพิ่มเติม และความเสี่ยงใดที่สามารถยอมรับได้

จากผลการประเมินความเสี่ยงและการรักษา มีการพัฒนากฎระเบียบเกี่ยวกับการบังคับใช้ . จำเป็นต้องมีเอกสารนี้จึงจะผ่านการรับรอง

ภาคผนวก A ของมาตรฐาน ISO 27001 แสดงรายการข้อกำหนดด้านความปลอดภัยทั้งหมดที่บริษัทต้องปฏิบัติตาม ดังนั้น คำชี้แจงการบังคับใช้จึงเป็นการตัดสินใจขั้นสุดท้ายเกี่ยวกับการลดความเสี่ยงด้านข้อมูลของบริษัท

ขั้นตอนการทำเอกสาร

มาตรฐานกำหนดให้ต้องมีการบันทึกมาตรการลดความเสี่ยงทั้งหมด เหล่านั้น. สำหรับ การจัดการที่มีประสิทธิภาพการรักษาความปลอดภัยของข้อมูลจำเป็นต้องมีขั้นตอนที่ได้รับการสนับสนุนจากเอกสารบางอย่าง (คำแนะนำ นโยบาย ข้อบังคับ) และต้องดำเนินการ คนบางคน- และแต่ละขั้นตอนจะต้องสะท้อนให้เห็นในเอกสารที่เหมาะสม ขั้นตอนที่จัดทำเป็นเอกสารเป็นองค์ประกอบบังคับของระบบการจัดการความปลอดภัยของข้อมูล ดังนั้นภายในกรอบของระบบการจัดการจึงจำเป็นต้องพัฒนาพื้นฐาน เอกสารกำกับดูแลอธิบายขั้นตอนทั้งหมดในด้านความปลอดภัยของข้อมูล

เอกสารหลักเกี่ยวกับการจัดการความมั่นคงปลอดภัยสารสนเทศ ได้แก่

  • นโยบายการจัดการความปลอดภัยของข้อมูล
  • นโยบายการรักษาความปลอดภัยของข้อมูล
  • วิธีการและคำแนะนำ
  • ขั้นตอนการรับรองความปลอดภัยของข้อมูลและการจัดการ
  • กฎระเบียบด้านความปลอดภัยทางกายภาพ

การฝึกอบรมพนักงานบริษัท

การฝึกอบรมพนักงานสามารถดำเนินการได้ในรูปแบบของหลักสูตรเต็มเวลาและหลักสูตรทางไปรษณีย์พร้อมการทดสอบในภายหลัง ขอแนะนำให้จัดการฝึกอบรมพนักงานโดยใช้ระบบ การเรียนรู้ทางไกลโดยภายในสามารถนำเสนอหลักสูตรต่างๆ (ทั้งสำหรับผู้ใช้และผู้เชี่ยวชาญ) วิธีการสอนโดยใช้เกม และการทดสอบ

ปัญหาหลักอาจอยู่ที่การตรวจสอบประสิทธิภาพของขั้นตอนระบบการจัดการความปลอดภัยของข้อมูล เหล่านั้น. สำหรับแต่ละขั้นตอน จำเป็นต้องพัฒนาเกณฑ์ที่ใช้ตรวจสอบประสิทธิผล และนอกจากนี้ เกณฑ์ดังกล่าวจะต้องได้รับการพัฒนาสำหรับระบบการจัดการทั้งหมดโดยรวม

เกณฑ์ในการประเมินประสิทธิผลของระบบการจัดการความปลอดภัยของข้อมูลอาจเป็นได้ เช่น การเปลี่ยนแปลงจำนวนเหตุการณ์ด้านความปลอดภัยของข้อมูล คุณสมบัติผู้ใช้ในด้านความปลอดภัยของข้อมูล เป็นต้น

การดำเนินการตามขั้นตอนระบบการจัดการความปลอดภัยของข้อมูล

ตามกฎแล้วการดำเนินการตามขั้นตอนประกอบด้วยการแจ้งพนักงานที่เกี่ยวข้องเกี่ยวกับกฎและกำหนดเวลาในการดำเนินการตามขั้นตอนการติดตามการดำเนินการตามขั้นตอนอย่างสม่ำเสมอตลอดจนการประเมินประสิทธิผลการแนะนำการดำเนินการแก้ไขและป้องกันนั่นคือการแนะนำ วงจรทั้งหมดของแบบจำลอง PDCA สำหรับแต่ละขั้นตอน

นอกจากนี้:

  • ดาวน์โหลด
  • ISO/IEC 27003:2010 -

คล่องแคล่ว

การนำแบบจำลอง PDCA มาใช้ยังสะท้อนถึงหลักการที่กำหนดไว้ในคำสั่งขององค์กรเพื่อความร่วมมือทางเศรษฐกิจและการพัฒนา (OECD) ที่ควบคุมความปลอดภัยของระบบสารสนเทศและเครือข่าย มาตรฐานนี้ให้รูปแบบที่ชัดเจนสำหรับการนำหลักการเหล่านี้ไปปฏิบัติจริง ซึ่งอนุญาตให้มีการประเมินความเสี่ยง การออกแบบ และการดำเนินการระบบรักษาความปลอดภัยข้อมูล การจัดการ และการประเมินซ้ำ

1 ข้อกำหนดอาจเป็นได้ว่าการละเมิดความปลอดภัยของข้อมูลไม่ส่งผลให้เกิดการสูญเสียทางการเงินอย่างมีนัยสำคัญต่อองค์กร และ/หรือการหยุดชะงักอย่างมีนัยสำคัญต่อการดำเนินงาน

หมายเหตุ 2 ผลลัพธ์ที่คาดหวังคือการที่องค์กรมีพนักงานที่ได้รับการฝึกอบรมมาเป็นอย่างดีเพียงพอในการดำเนินการตามขั้นตอนเพื่อลดผลกระทบด้านลบที่อาจเกิดขึ้นในกรณีที่เกิดเหตุการณ์สำคัญ เช่น การบุกรุกโดยไม่ได้รับอนุญาต (การโจมตีโดยแฮกเกอร์) ของเว็บไซต์ขององค์กรที่ผ่านนั้น ดำเนินการอีคอมเมิร์ซ

การวางแผน (การพัฒนา ISMS) การพัฒนานโยบายการกำหนดวัตถุประสงค์ กระบวนการ และขั้นตอนที่เกี่ยวข้องกับการบริหารความเสี่ยงและการปรับปรุงความมั่นคงปลอดภัยสารสนเทศเพื่อให้บรรลุผลสอดคล้องกับนโยบายและวัตถุประสงค์โดยรวมขององค์กรการนำไปปฏิบัติ (การนำไปปฏิบัติและการบำรุงรักษา ISMS) การนำไปปฏิบัติและการประยุกต์ใช้นโยบายการรักษาความปลอดภัยของข้อมูล การควบคุม กระบวนการและขั้นตอนของ ISMSการทวนสอบ (การติดตามและการวิเคราะห์ ISMS) การประเมิน รวมถึงเชิงปริมาณหากเป็นไปได้ ประสิทธิผลของกระบวนการที่ขัดต่อข้อกำหนดนโยบาย วัตถุประสงค์ด้านความปลอดภัย และประสบการณ์เชิงปฏิบัติของการดำเนินงานของ ISMS และแจ้งผู้บริหารระดับสูงถึงผลลัพธ์เพื่อการวิเคราะห์ในภายหลังการดำเนินการ (การบำรุงรักษาและปรับปรุง ISMS) การดำเนินการแก้ไขและป้องกันตามผลการตรวจสอบภายในหรือข้อมูลอื่นที่เกี่ยวข้องและการทบทวนของฝ่ายบริหารเพื่อให้บรรลุการปรับปรุง ISMS อย่างต่อเนื่อง
ตารางที่ 1

มาตรฐานนี้สอดคล้องกับมาตรฐาน “ข้อกำหนดระบบการจัดการคุณภาพ” และ “ระบบการจัดการ สิ่งแวดล้อม- ข้อกำหนดและคำแนะนำการใช้งาน" เพื่อสนับสนุนการใช้งานและการโต้ตอบที่สอดคล้องและบูรณาการกับมาตรฐานการจัดการอื่นๆ ที่เกี่ยวข้อง ดังนั้น ระบบการจัดการที่ได้รับการออกแบบมาอย่างดีระบบเดียวในองค์กรจึงสามารถตอบสนองความต้องการของมาตรฐานเหล่านี้ทั้งหมดได้

มาตรฐานนี้มีไว้สำหรับใช้โดยองค์กรที่มีรูปแบบการเป็นเจ้าของใดๆ (เช่น เชิงพาณิชย์ ภาครัฐ และ องค์กรที่ไม่แสวงหาผลกำไร- มาตรฐานนี้ระบุข้อกำหนดสำหรับการพัฒนา การนำไปปฏิบัติ การดำเนินงาน การติดตาม การวิเคราะห์ การสนับสนุน และปรับปรุงระบบการจัดการความปลอดภัยของข้อมูล (ISMS) ที่จัดทำเป็นเอกสารสำหรับความเสี่ยงทางธุรกิจทั่วไปขององค์กร นอกจากนี้ มาตรฐานยังกำหนดข้อกำหนดสำหรับการดำเนินการตามมาตรการการจัดการและการควบคุมความปลอดภัยของข้อมูลที่องค์กรหรือแผนกต่างๆ สามารถใช้ได้ตามเป้าหมายและวัตถุประสงค์ที่กำหนดไว้ในการรับรองความปลอดภัยของข้อมูล (IS)

วัตถุประสงค์ของการสร้าง ISMS คือการเลือกการควบคุมความปลอดภัยที่เหมาะสมซึ่งออกแบบมาเพื่อปกป้องทรัพย์สินข้อมูลและสร้างความมั่นใจให้กับผู้มีส่วนได้ส่วนเสีย

หมายเหตุ คำว่า "ธุรกิจ" ที่ใช้ในมาตรฐานนี้ ให้เข้าใจว่าเป็น ในความหมายกว้างๆหมายถึงกิจกรรมทั้งหมดที่เป็นพื้นฐานสำหรับวัตถุประสงค์ของการดำรงอยู่ขององค์กร

ข้อกำหนดที่กำหนดโดยมาตรฐานนี้มีวัตถุประสงค์เพื่อนำไปใช้กับทุกองค์กร โดยไม่คำนึงถึงประเภท ขนาด และขอบเขตของกิจกรรม การยกเว้นข้อกำหนดใด ๆ ที่ระบุไว้ใน

ตามข้อกำหนดของมาตรฐาน GOST R ISO/IEC 27001-2006 “เทคโนโลยีสารสนเทศ วิธีการและวิธีการรับประกันความปลอดภัย ข้อกำหนดระบบการจัดการความมั่นคงปลอดภัยสารสนเทศ” องค์กรจะต้องดำเนินการดังต่อไปนี้

    กำหนดนโยบาย ISMS ตามลักษณะธุรกิจ สถานที่ ทรัพย์สิน และเทคโนโลยีขององค์กรที่:

    • มีแนวคิดที่รวมถึงเป้าหมายทิศทางหลักและหลักการดำเนินการในด้านความปลอดภัยของข้อมูล

      คำนึงถึงข้อกำหนดทางธุรกิจ ข้อกำหนดด้านกฎระเบียบ และภาระผูกพันด้านความปลอดภัยตามสัญญา

      สอดคล้องกับเนื้อหาเชิงกลยุทธ์ของการบริหารความเสี่ยงขององค์กร ภายในกรอบที่ ISMS จะได้รับการพัฒนาและบำรุงรักษา

      กำหนดเกณฑ์การประเมินความเสี่ยง

      ได้รับการอนุมัติจากฝ่ายบริหารขององค์กร

GOST R ISO/IEC 27002

วัตถุประสงค์: ตรวจสอบให้แน่ใจว่าการรักษาความปลอดภัยของข้อมูลได้รับการจัดการและสนับสนุนโดยผู้บริหารระดับสูงตามข้อกำหนดทางธุรกิจและกฎหมายและข้อบังคับที่เกี่ยวข้อง

ผู้บริหารระดับสูงจะต้องกำหนดทิศทางนโยบายที่ชัดเจนสอดคล้องกับวัตถุประสงค์ทางธุรกิจ และแสดงให้เห็นถึงการสนับสนุนและความมุ่งมั่นต่อความปลอดภัยของข้อมูลโดยการพัฒนาและรักษานโยบายความปลอดภัยของข้อมูลภายในองค์กร

หากจำเป็นควรมีช่องทางติดต่อปัญหาด้านความปลอดภัยข้อมูลภายในองค์กรที่พนักงานที่สนใจสามารถติดต่อได้ ควรสร้างการติดต่อกับผู้เชี่ยวชาญด้านความปลอดภัยภายนอกหรือกลุ่มผู้เชี่ยวชาญ รวมถึงหน่วยงานที่เกี่ยวข้อง เพื่อติดตามแนวโน้มของอุตสาหกรรม ติดตามมาตรฐานและวิธีการประเมิน และให้แน่ใจว่ามีจุดติดต่อที่เพียงพอเมื่อจัดการกับเหตุการณ์ด้านความปลอดภัยของข้อมูล ควรสนับสนุนแนวทางการรักษาความปลอดภัยของข้อมูลแบบสหสาขาวิชาชีพ

ต้องได้รับการอนุมัติจากฝ่ายบริหาร เผยแพร่ และสื่อสารไปยังพนักงานทุกคนขององค์กรและบุคคลที่สามที่เกี่ยวข้อง

นโยบายการรักษาความปลอดภัยของข้อมูลควรกำหนดความรับผิดชอบของฝ่ายบริหารและยังสรุปแนวทางขององค์กรในการจัดการความปลอดภัยของข้อมูลด้วย เอกสารนโยบายจะต้องมีข้อกำหนดเกี่ยวกับ:

    การกำหนดความปลอดภัยของข้อมูล เป้าหมายและขอบเขตทั่วไป และการกล่าวถึงความสำคัญของความปลอดภัยในฐานะเครื่องมือในการแบ่งปันข้อมูล

    คำแถลงเจตจำนงของฝ่ายบริหารที่สนับสนุนเป้าหมายและหลักการด้านความปลอดภัยของข้อมูลที่สอดคล้องกับกลยุทธ์และวัตถุประสงค์ทางธุรกิจ

    แนวทางในการสร้างการควบคุมและการควบคุมและวัตถุประสงค์ในการใช้งาน รวมถึงกรอบการประเมินความเสี่ยงและการบริหารความเสี่ยง

    คำอธิบายโดยย่อเกี่ยวกับนโยบาย หลักการ มาตรฐาน และข้อกำหนดด้านความปลอดภัยที่สำคัญที่สุดขององค์กร เช่น:

    • การปฏิบัติตามข้อกำหนดทางกฎหมายและภาระผูกพันตามสัญญา

      ข้อกำหนดด้านความตระหนักรู้ด้านความปลอดภัย การศึกษา และการฝึกอบรม

      การจัดการความต่อเนื่องทางธุรกิจ

      ความรับผิดต่อการละเมิดนโยบายความปลอดภัยของข้อมูล

      การกำหนดความรับผิดชอบทั่วไปและความรับผิดชอบเฉพาะของพนักงานภายใต้กรอบการจัดการความปลอดภัยของข้อมูล รวมถึงการรายงานเหตุการณ์ด้านความปลอดภัย

      ลิงก์ไปยังเอกสารที่เสริมนโยบายการรักษาความปลอดภัยของข้อมูล เช่น นโยบายและขั้นตอนการรักษาความปลอดภัยของข้อมูลโดยละเอียดเพิ่มเติมสำหรับระบบข้อมูลเฉพาะ รวมถึงกฎความปลอดภัยที่ผู้ใช้ต้องปฏิบัติตาม

นโยบายการรักษาความปลอดภัยของข้อมูลนี้จะต้องสื่อสารไปยังผู้ใช้ทั่วทั้งองค์กรในลักษณะที่เกี่ยวข้อง เข้าถึงได้ และเข้าใจได้

นโยบายความปลอดภัยของข้อมูลอาจเป็นส่วนหนึ่งของเอกสารนโยบายโดยรวม หากมีการเผยแพร่นโยบายความปลอดภัยของข้อมูลภายนอกองค์กร ควรมีมาตรการเกี่ยวกับการไม่เปิดเผยข้อมูลที่ละเอียดอ่อน ข้อมูลเพิ่มเติมสามารถพบได้ใน ISO/IEC 13335-1

GOST R ISO/IEC 27003

มาตรฐาน "เทคโนโลยีสารสนเทศ GOST R ISO/IEC 27003 วิธีการและวิธีการรับประกันความปลอดภัย ระบบการจัดการความปลอดภัยของข้อมูล แนวทางการนำระบบการจัดการความปลอดภัยของข้อมูลไปใช้" แนะนำ:

ใช้เป็นข้อมูลเริ่มต้น:

    ลำดับความสำคัญขององค์กรสำหรับการพัฒนา ISMS - เป้าหมายทั่วไปและรายการข้อกำหนด

    จัดทำคำอธิบายแอปพลิเคชัน ISMS สำหรับองค์กรที่กำหนดและแผนโครงการเพื่อขออนุมัติจากฝ่ายบริหาร - การอนุมัติเบื้องต้นโดยฝ่ายบริหารของโครงการ ISMS

    รวมขอบเขตและขอบเขตทั้งหมดเพื่อให้ได้ขอบเขตและขอบเขต - ขอบเขตและขอบเขต ISMS

    การพัฒนานโยบาย ISMS และการได้รับการอนุมัติจากฝ่ายบริหาร - นโยบาย ISMS

    การกำหนดข้อกำหนดด้านความปลอดภัยของข้อมูลสำหรับกระบวนการ ISMS

    การระบุทรัพย์สินภายในขอบเขตของ ISMS

    การดำเนินการประเมินความปลอดภัยของข้อมูล

    ผลการประเมินความเสี่ยงและการเลือกวัตถุประสงค์และการควบคุม

    การพัฒนาโครงสร้างองค์กรขั้นสุดท้ายเพื่อความปลอดภัยของข้อมูล

    การพัฒนากรอบการทำงานสำหรับการจัดทำเอกสาร ISMS

ตำแหน่งเชิงกลยุทธ์ของการจัดการและการบริหารที่เกี่ยวข้องกับวัตถุประสงค์ด้านความปลอดภัยของข้อมูลที่เกี่ยวข้องกับการใช้ ISMS ควรมีการบันทึกเป็นเอกสาร

นโยบายความปลอดภัยของข้อมูลบันทึกตำแหน่งเชิงกลยุทธ์ขององค์กรเกี่ยวกับการรักษาความปลอดภัยข้อมูลทั่วทั้งองค์กร

นโยบายอยู่บนพื้นฐานของข้อมูลและความรู้ ประเด็นที่ฝ่ายบริหารระบุว่ามีความสำคัญในระหว่างการทบทวนครั้งก่อนๆ ควรทำให้มองเห็นได้ และให้ความสนใจเป็นพิเศษในนโยบายที่จะกระตุ้นและจูงใจในองค์กร สิ่งสำคัญคือต้องทราบจะเกิดอะไรขึ้นหากไม่ปฏิบัติตามนโยบายที่เลือก และเพื่อเน้นถึงผลกระทบของกฎหมายและข้อบังคับต่อองค์กรที่เป็นปัญหา

ตัวอย่างของนโยบายความปลอดภัยของข้อมูลสามารถนำมาจากหนังสืออ้างอิง อินเทอร์เน็ต ชุมชนที่น่าสนใจ และสมาคมอุตสาหกรรม ภาษาและคำแนะนำสามารถพบได้ในรายงานประจำปี เอกสารนโยบายอื่นๆ หรือเอกสารที่ฝ่ายบริหารเก็บรักษาไว้

ขอบเขตที่แท้จริงของเอกสารนโยบายอาจมีอยู่ การตีความที่แตกต่างกันและข้อกำหนด เอกสารนี้จะต้องสรุปอย่างเพียงพอเพื่อให้แน่ใจว่าพนักงานขององค์กรเข้าใจความหมายของนโยบาย นอกจากนี้จะต้องมีความชัดเจนเพียงพอเกี่ยวกับเป้าหมายที่ต้องทำให้สำเร็จเพื่อสร้างชุดกฎเกณฑ์และเป้าหมายสำหรับองค์กร

ขอบเขตและโครงสร้างของนโยบายการรักษาความปลอดภัยของข้อมูลควรสนับสนุนเอกสารที่ใช้ในขั้นตอนต่อไปของกระบวนการเพื่อแนะนำระบบการจัดการความปลอดภัยของข้อมูล

สำหรับองค์กรขนาดใหญ่ที่มีโครงสร้างที่ซับซ้อน (เช่น มีกิจกรรมที่หลากหลาย) อาจจำเป็นต้องสร้างนโยบายทั่วไปและนโยบายอื่นๆ อีกมากมาย ระดับต่ำปรับให้เข้ากับพื้นที่เฉพาะของกิจกรรม

นโยบายที่เสนอ (พร้อมหมายเลขเวอร์ชันและวันที่) ควรได้รับการตรวจสอบและกำหนดขึ้นภายในองค์กรโดยผู้จัดการฝ่ายปฏิบัติการ เมื่อจัดตั้งขึ้นในกลุ่มการจัดการหรือหน่วยงานที่คล้ายกันแล้ว ผู้จัดการฝ่ายปฏิบัติการจะอนุมัตินโยบายการรักษาความปลอดภัยของข้อมูล แล้วจึงสื่อสารให้ทุกคนในองค์กรทราบด้วยวิธีการที่เหมาะสมเพื่อให้ผู้อ่านเข้าถึงและเข้าใจได้

ผลลัพธ์คือเอกสารที่อธิบายและจัดทำนโยบาย ISMS ที่ได้รับอนุมัติจากฝ่ายบริหาร เอกสารนี้จะต้องได้รับการอนุมัติอีกครั้งในระยะต่อไปของโครงการ เนื่องจากขึ้นอยู่กับผลลัพธ์ของการประเมินความเสี่ยง

GOST R ISO/IEC 27003-2012 ภาคผนวก ง: กรอบนโยบาย

ภาคผนวกนี้ให้คำแนะนำเพิ่มเติมเกี่ยวกับการออกแบบนโยบาย รวมถึงนโยบายความปลอดภัยของข้อมูล

นโยบาย- นี่คือความตั้งใจและทิศทางทั่วไปที่ฝ่ายบริหารแสดงอย่างเป็นทางการ เนื้อหาของนโยบายจะควบคุมการดำเนินการและการตัดสินใจเกี่ยวกับเนื้อหาของนโยบาย องค์กรอาจมีนโยบายได้หลายนโยบาย หนึ่งนโยบายสำหรับแต่ละกิจกรรมที่สำคัญต่อองค์กร นโยบายบางรายการมีความเป็นอิสระจากกัน ในขณะที่นโยบายอื่นๆ มีความสัมพันธ์แบบลำดับชั้น ในพื้นที่รักษาความปลอดภัย โดยทั่วไปนโยบายจะถูกจัดระเบียบตามลำดับชั้น โดยทั่วไปแล้วนโยบายความปลอดภัยขององค์กรคือ ระดับบนสุด- ได้รับการสนับสนุนจากนโยบายที่เฉพาะเจาะจงมากขึ้น รวมถึงนโยบายความปลอดภัยของข้อมูลและนโยบายระบบการจัดการความปลอดภัยของข้อมูล ในทางกลับกัน นโยบายความปลอดภัยของข้อมูลสามารถรองรับนโยบายที่มีรายละเอียดเพิ่มเติมได้ รายการเฉพาะที่เกี่ยวข้องกับแง่มุมของความปลอดภัยของข้อมูล นโยบายเหล่านี้จำนวนมากมีการอธิบายไว้ในมาตรฐาน ISO/IEC 27002 ตัวอย่างเช่น นโยบายความปลอดภัยของข้อมูลได้รับการสนับสนุนโดยนโยบายที่เกี่ยวข้องกับการควบคุมการเข้าถึง นโยบายโต๊ะที่ชัดเจนและหน้าจอที่ชัดเจน การใช้บริการเครือข่าย และการควบคุมการเข้ารหัส ในบางกรณี คุณสามารถเปิดใช้งานระดับนโยบายเพิ่มเติมได้

ISO/I EU 27001 กำหนดให้องค์กรต้องมีนโยบาย ISMS และนโยบายความปลอดภัยของข้อมูล อย่างไรก็ตาม นี่ไม่ได้หมายความถึงความสัมพันธ์เฉพาะใดๆ ระหว่างนโยบายเหล่านี้ นโยบายเหล่านี้อาจได้รับการพัฒนาเป็นนโยบายที่เท่าเทียมกัน: นโยบาย ISMS อาจอยู่ภายใต้นโยบายความปลอดภัยของข้อมูล หรือในทางกลับกัน นโยบายความปลอดภัยของข้อมูลอาจอยู่ภายใต้นโยบาย ISMS

    เป้าหมายและวัตถุประสงค์ขององค์กร

    กลยุทธ์ที่ปรับใช้เพื่อให้บรรลุเป้าหมายเหล่านี้

    โครงสร้างและกระบวนการที่องค์กรนำมาใช้

    เป้าหมายและวัตถุประสงค์ที่เกี่ยวข้องกับเรื่องของนโยบาย

    ข้อกำหนดของนโยบายระดับสูงที่เกี่ยวข้อง

นโยบายสามารถมีโครงสร้างดังต่อไปนี้:

    สรุปนโยบาย - คำอธิบายทั่วไปหนึ่งหรือสองประโยค

    บทนำ - คำอธิบายสั้น ๆ เกี่ยวกับหัวข้อของนโยบาย

    ขอบเขต - อธิบายส่วนหรือกิจกรรมขององค์กรที่ได้รับผลกระทบจากนโยบาย หากจำเป็น ส่วนคำสั่งขอบเขตจะแสดงนโยบายอื่นๆ ที่นโยบายนี้รองรับ

    เป้าหมาย - คำอธิบายวัตถุประสงค์ของนโยบาย

    หลักการคือคำอธิบายกฎเกณฑ์ที่เกี่ยวข้องกับการกระทำและการตัดสินใจเพื่อให้บรรลุเป้าหมาย ในบางกรณีอาจเป็นประโยชน์ในการพิจารณา กระบวนการสำคัญเกี่ยวข้องกับหัวข้อของนโยบาย และกฎเกณฑ์ในการดำเนินการตามกระบวนการ

    พื้นที่รับผิดชอบ - ผู้รับผิดชอบในการดำเนินการให้เป็นไปตามข้อกำหนดของนโยบาย ในบางกรณี ข้อนี้อาจอธิบายการจัดเตรียมองค์กรตลอดจนความรับผิดชอบของบุคคลที่มีบทบาทเฉพาะ

    ผลลัพธ์หลักคือคำอธิบายผลลัพธ์ที่องค์กรได้รับหากบรรลุเป้าหมาย

    นโยบายที่เกี่ยวข้อง - คำอธิบายของนโยบายอื่นๆ ที่เกี่ยวข้องกับการบรรลุวัตถุประสงค์ โดยปกติจะให้รายละเอียดเพิ่มเติมที่เกี่ยวข้องกับแต่ละวิชา

ตัวอย่างนโยบายการรักษาความปลอดภัยของข้อมูล

ต่อไปนี้คือตัวอย่างนโยบายความปลอดภัยของข้อมูล ซึ่งแสดงโครงสร้างและเนื้อหาตัวอย่าง

นโยบายการรักษาความปลอดภัยของข้อมูล (ตัวอย่าง)

สรุปนโยบาย

ข้อมูลจะต้องได้รับการปกป้องเสมอ โดยไม่คำนึงถึงรูปแบบและวิธีการเผยแพร่ ถ่ายโอน และจัดเก็บ

การแนะนำ

ข้อมูลสามารถมีอยู่ได้หลายรูปแบบ สามารถพิมพ์หรือเขียนลงบนกระดาษเก็บไว้ใน แบบฟอร์มอิเล็กทรอนิกส์ส่งทางไปรษณีย์หรืออุปกรณ์อิเล็กทรอนิกส์ แสดงบนแผ่นฟิล์ม หรือสื่อสารด้วยวาจา

การรักษาความปลอดภัยของข้อมูลคือการปกป้องข้อมูลจากภัยคุกคามต่างๆ ซึ่งได้รับการออกแบบมาเพื่อให้กระบวนการทางธุรกิจมีความต่อเนื่อง ลดความเสี่ยงทางธุรกิจ และเพิ่มผลตอบแทนจากการลงทุนสูงสุด และรับประกันโอกาสทางธุรกิจ

ขอบเขต

นโยบายนี้เน้นย้ำนโยบายความปลอดภัยโดยรวมขององค์กร
นโยบายนี้ใช้กับพนักงานทุกคนในองค์กร

เป้าหมายความปลอดภัยของข้อมูล

    ทำความเข้าใจและจัดการความเสี่ยงด้านความปลอดภัยของข้อมูลเชิงกลยุทธ์และการปฏิบัติงานเพื่อให้องค์กรยอมรับได้

    การปกป้องความลับของข้อมูลลูกค้า การพัฒนาผลิตภัณฑ์ และแผนการตลาด

    การรักษาความสมบูรณ์ของเอกสารทางบัญชี

    ตรวจสอบให้แน่ใจว่าบริการเว็บและอินทราเน็ตที่ใช้ร่วมกันเป็นไปตามมาตรฐานการเข้าถึงที่เหมาะสม

หลักการรักษาความปลอดภัยข้อมูล

    องค์กรส่งเสริมการรับความเสี่ยงและเอาชนะความเสี่ยงที่องค์กรที่ได้รับการจัดการแบบอนุรักษ์นิยมไม่สามารถเอาชนะได้ด้วยการทำความเข้าใจ ติดตาม และจัดการความเสี่ยงต่อข้อมูลตามความจำเป็น คำอธิบายโดยละเอียดแนวทางที่ใช้ในการประเมินและรักษาความเสี่ยงมีอยู่ในนโยบาย ISMS