在这条道路上,我们必须解决许多以前从未遇到过的问题:
选择用于处理策略库的工具
我们面临的第一个(看似非常简单)的问题是在哪里创建以及如何存储信息安全管理系统的所有必要文档?对于我们而言,保留文档的版本控制并能够“回滚”该策略的版本至多个修订版非常重要。在查看了市场上的报价之后,我们选择了Confluence Wiki-至今仍在使用它。
我们可以将git用作版本控制系统(版本控制),但是为了方便用户,我们选择了门户解决方案(Confluence)。我们设法将自己限制为免费版本(最多10个授权用户):我们再也不需要了,因为未经授权的用户可以查看该库。
制定实施计划
在这里,我们没有采用任何创造性的方法-我们只是向我们的顾问索要必要的政策清单,任命负责人进行书面和批准,写下关键日期并以甘特图的形式列出所有内容(也已上传到Confluence)。
公司风险评估
显然,为了选择保护手段,我们需要评估风险(以便仅在真正需要的地方花费资源)。为此,我们创建了一份计划保护的公司资产清单-其中包括有形资产(工作站,服务器,纸质文档等)和无形资产(电子形式的客户信息,密码等)。 )。
在专家团队的帮助下,为每个资产分配了特定的价值。此外,我们将每个资产可能面临的一项或多项风险(例如,纸质文件可能被盗,毁坏等)与每个资产相关联。然后,我们将每个风险的重要性评估为两个参数的乘积:风险的概率和风险实现后果的重要性。
将风险分为几类后,我们首先了解到应该使用哪种风险:
1.员工知识上的差距
最常见的风险是人为因素。另外,我们是第一次获得认证,因此我们有一个教授信息安全基础知识的问题。已经开发了程序,我们面临着使该过程自动化和控制剩余知识的问题。结果,我们开始使用内置在公司门户中的测试系统。
2.缺乏备份计算能力
这个问题需要大量的财务和人力资源,因此将其留在最后是错误的。我们已经选择了一个站点来备份我们的主要服务:在初始阶段,我们使用了IaaS(基础设施即服务),这使我们能够快速预算出公司主要服务的储备金;后来,我们购买了额外的设备,并在单独的数据中心(位于同一地点)建立了储备。随后,由于海量数据,我们放弃了“云”解决方案,转而使用数据中心。
3.控制“超级用户”以及使用“特殊,敏感”信息的人员
换句话说,我们需要对可以广泛访问机密信息的用户建立控制。我们借助DLP系统解决了这个问题。我们选择家用软件StaffCop是因为它的价格合理和良好的技术支持。
写作政策
在这里,我们已经连接了所有可能的资源:
-使用在公共领域发现的其他公司的政策;最后,这是效果最好的第三条(最困难的道路)。花费了很长时间,但最终我们收到了草拟的文件,特别是针对我们公司的文件。因此,在出口处,我们获得了36条信息安全管理系统的基本政策。
-要求我们的实施顾问提供政策示例;
-根据标准要求,独立编写政策文本。
角色分布
显然,并非所有这些政策对于我们的员工在日常工作中确实必要。为了不强迫他们阅读过多,我们执行以下操作:在ISMS中为每个员工分配一个或多个角色。一共有5个:
绝对所有员工都至少扮演一个角色-“用户”。
在每个角色的护照中,我们在信息安全领域中规定了相应的职责,并随附了具有特定角色的员工必须遵守的政策清单。另外,为方便起见,我们制作了公司的图形化组织结构,以指示每个员工在公司上的角色。
同事参与
除了项目经理和IT / IS部门负责人之外,公司的COO还参与了风险评估和利益相关者需求的描述。人力资源部负责人投入了大量精力-她需要在政策中描述员工的整个生命周期:从申请空缺到解雇后的整个期间。幸运的是,我们所有的同事都了解了认证的重要性,并去见了我们。
技术方面
在准备过程中,我们意识到,为了满足标准的要求,我们至少需要满足以下条件:
将来,这两点还增加了许多其他功能:DLP系统的引入,备份数据中心的启动,双因素授权的引入等。
- 将服务器移至外部数据中心;
- 为所有办公室配备ACS(访问控制和管理系统)。
因此,为了使标准的要求适应我们的公司,我们必须做大量的工作。
在以前的材料中:
不可避免地要通过ISO / IEC 27001认证的5个阶段。拒绝:对ISO 27001:2013认证,认证可取性/
ISO / IEC 27001认证不可避免的5个阶段的误解。昂热:从哪里开始?初始数据。花费。选择提供者。