ISO 27001 -auditointien suorittaminen ISMS.onlinessa

Omaisuusluettelon kehittäminen ISO 27001 -standardia varten

Esittelyssä omaisuusluettelo

Sinun on luotava luettelo organisaatiosi tietoresursseista, jotta:

Kun puhumme tietoresursseista, huomaamme, että useimmat ihmiset ajattelevat esimerkiksi kannettavia tietokoneita ja palvelimia. Mutta on monia muita asioita, joita sinun on harkittava. Ihmiset, immateriaalioikeudet ja jopa aineettomat hyödykkeet, kuten organisaatiosi brändi, voivat kaikki mahtua omaisuusluetteloosi.

Kun olet kehittänyt omaisuusluettelosi, seuraava askel on suorittaa kolme harjoitusta:

  • Suodatus
  • Priorisointi
  • luokittelu

Sitten sinun on kartoitettava omaisuutesi riski käyttämällä juuri tunnistamiasi luokkia.

Omaisuusluettelon kehittäminen voi aluksi tuntua melko monimutkaiselta. Mutta jos käytät ISMS.online sinun ei todellakaan tarvitse tietää läpikotaisin, ennen kuin aloitat.

Jos tämä on ensimmäinen ISO 27001 toteutuksessa, hyödyt suuresti Virtual Coach -ominaisuudestamme. Tämä videosarja on saatavilla 24/7 alustassa. Se opastaa sinua sertifioinnin läpi matkalle, mukaan lukien omaisuusluettelosi kehittäminen.

Mitä ISO 27001 -omaisuusluetteloon tulisi sisällyttää?

Tietoturvastandardin vuoden 2013 versio toi selkeän muutoksen tietoturvastandardiin ISO 27001 vaatimukset, jotka nyt odottavat kaikkia tietovarat ei pelkästään fyysistä omaisuutta. Tämä sisältää kaiken organisaatiolle arvokkaan, jossa tietoja säilytetään, käsitellään ja niihin pääsee käsiksi, mutta se on tiedot joka on todellista kiinnostavaa, vähemmän niin verkko tai laite sinänsä, vaikka ne ovat selvästi edelleen omaisuutta ja niitä on suojattava:

  • Tietoja (tai tiedot)
  • Aineettomat hyödykkeet – kuten IP, brändi ja maine
  • Ihmiset – työntekijät, väliaikaiset työntekijät, urakoitsijat, vapaaehtoiset jne

Ja fyysinen liittyvät varat niiden käsittelyn ja infrastruktuurin kanssa:

  • Laitteisto – Tyypillisesti IT-palvelimet, verkkolaitteet, työasemat, mobiililaitteet jne
  • Ohjelmisto – Ostettu tai tilaustyönä tehty ohjelmisto
  • Palvelut – todellinen tarjottu palvelu loppukäyttäjille (esim. tietokantajärjestelmät, sähköposti jne.)
  • Toimipaikat ja rakennukset – työmaat, rakennukset, toimistot jne

Minkä tahansa tyyppiset omaisuuserät voidaan ryhmitellä loogisesti yhteen useiden tekijöiden mukaan, kuten:

  • Luokittelu – esim. julkinen, sisäinen, luottamuksellinen jne
  • Tietotyyppi – esim. henkilökohtainen, henkilökohtainen arkaluonteinen, kaupallinen jne
  • Taloudellinen tai ei-taloudellinen arvo

Tarkastaja odottaa näkevänsä inventaarion tai varastot, jotka kattavat kaikki ISMS:n soveltamisalaan kuuluvat asiaankuuluvat omaisuuserät. Jokaiselle omaisuudelle on määritettävä omistaja ja jokaiselle on määritettävä luokitus.

Kuka omaisuuden omistajan tulee olla ja mitkä ovat heidän ISO 27001 -vastuunsa?

Omistaja ei välttämättä ole omaisuuden laillinen tai fyysinen haltija, vaan henkilö, jolla on vastuu ja valtuudet varmistaa, että vähintään

    • Omaisuus inventoidaan;
    • Omaisuus on luokiteltu ja suojattu oikein;
    • Pääsyn rajoitukset omaisuuserä ja sen luokittelu tarkistetaan säännöllisesti; ja
    • Omaisuutta käsitellään oikein, kun ne poistetaan tai tuhotaan.

Päivittäiset vastuut vahvuuksien hallinta (esim. inventaarioiden päivittäminen, tarkastusten tekeminen jne.) voidaan delegoida, mutta lopullinen vastuu oikeasta johto jää asiaankuuluvaan omaisuuteen omistaja.

Omaisuuden omistaja on vastuussa omaisuuden suojausvaatimusten, kuten pääsyrajoitusten, asettamisesta organisaation käytäntöjen ja standardien mukaisesti.

Miten ISO 27001:2013 -sisältövarasto liittyy GDPR:ään?

Noudata Yleinen tietosuojadirektiivi (GDPR) organisaation on pidettävä luetteloa järjestelmistä, jotka sisältävät ja käsittelevät henkilökohtaisia ​​tietoja. Se edellyttää myös, että henkilökohtaisia ​​riskejä tiedot tunnistetaan, arvioidaan ja hoidetaan, joten seuraamalla ISO 27001:2013 lähestymistapa omaisuuteen ja riskien arviointi tarkoittaa, että se voidaan helposti kattaa ja kohdistaa sisällyttämään Myös GDPR-vaatimukset.

Pitäisikö sinun käyttää mallia tai työkalua omaisuusvaraston hallintaan?

Käytettävissä on monia esimerkkimalleja omaisuusluetteloille/rekistereille, ja ne noudattavat yksinkertaista taulukkolaskentatapaa, jotka on yhtä helppo rakentaa itse.

Laskentataulukko on kuitenkin staattinen dokumentti, ja vaikka se soveltuu erinomaisesti talousmallinnukseen ja perusasioihin, se ei ole niin hyvä havainnollistamaan, kuinka omaisuus liittyy tunnistettuihin riskeihin, asiaankuuluviin käytäntöihin ja valvonta, tai muu dynaaminen työ an tietoturvan hallintajärjestelmä.

Hyvä tekninen työkalu omaisuusvarastot tulee esikonfiguroituna, ja se voidaan mukauttaa omien luokkiesi mukaan, antaa sinun määrittää omistajia, määräpäiviä ja muistutuksia sekä kerätä kaikki tarvittavat todisteet yhteen suojattuun paikkaan.

Tietovarasto

Harkitse myös tietoturvan hallintatyökalua, jonka avulla voit määrittää arvot omaisuudellesi, sillä se auttaa priorisoimaan riskianalyysit ja ymmärtää tapahtumien, tapahtumien tai rikkomusten mahdolliset vaikutukset.

Lopuksi parhaat työkalut tarjoavat mahdollisuuden linkittää omaisuus helposti riskeihin riskihoitosuunnitelma, sinun ISMS valvonta, toimitusketju ja muut toimet ISMS jotka osoittavat, että omaisuutesi on hyvin suojattu.

Itse asiassa ISMS.online, käyttämällä tätä samaa tehokasta linkittämistä pääset yksinkertaiselle matkalle tietoresurssista riskeihin valvonta tarvitaan riskien hoidossa ja sitten dynaamisesti kontrollista päivittämiseen Ilmoitus soveltuvuudesta täytäntöönpanon perusteluineen. Se on todellakin niin yksinkertaista ISMS.online.

Joten oman omaisuuslaskentataulukon rakentaminen ei välttämättä aiheuta kustannuksia, mutta sen haasteena on paljon korkeampi hallinnointi ja koordinointi muiden osien kanssa. ISMS, varsinkin jos tähtäät ISO 27001 sertifiointi. Tai voit tarkastella pidemmällä aikavälillä ja sijoittaa erikoistuneeseen omaisuudenhallintatyökaluun. Mutta ne ovat usein monimutkaisia ​​ja yksityiskohtaisia. Tietovarallisuuden hallinnasta voisi hyvinkin tulla oma kokopäivätyö. Ja sinun on silti linkitettävä työkalusi muuhun ISMS:ään.

Laskentataulukon tai erillisen erikoistyökalun sijaan suosittelemme etsimään ISMS-alustaa, joka sisältää oman omaisuusluettelotyökalunsa. Sen pitäisi:

  • Tule esikonfiguroituna, mutta ole helppo muokata omilla luokituksillasi
  • Voit määrittää omaisuuden omistajia ja omaisuuden hallinnan määräpäiviä ja muistutuksia
  • Sieppaa dynaamisesti todisteita sisäisiä ja ulkoisia tarkastuksia varten yhdessä suojatussa paikassa

Sen pitäisi myös antaa sinun määrittää arvoja omaisuudellesi. Tämä auttaa sinua priorisoimaan riskiarvioinnit ja arvioimaan niiden mahdollisia vaikutuksia turvallisuustilanteet, tapahtumia tai rikkomuksia. Ja sinun pitäisi pystyä linkittämään omaan riskihoitoa suunnitelma ja sen jälkeen.

Sellaisen ISMS.online-linkityksen avulla voit tehdä. Voit siirtyä tietoresurssista sen kohtaamaan riskiin ja valvontaan, joka käsittelee kyseistä riskiä. Sitten voit siirtyä kyseisestä ohjauksesta omallesi Ilmoitus soveltuvuudesta, päivittämällä sen täytäntöönpanon perusteluilla.

Se on todella niin yksinkertaista.

« ISO 27001 -riskinarviointi

Vakaiden ja turvallisten toimittajasuhteiden rakentaminen »

Viimeksi muokattu: 11
kirjailija

Julia Heron

Julia on ISMS.online-ratkaisujen asiantuntija yritysasiakkaille ja työskentelee organisaatioiden kanssa auttaakseen heitä saavuttamaan vaatimustenmukaisuustavoitteensa.

Näytä kaikki Julia Heronin viestit

Aiheeseen liittyvät julkaisut

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja