Take the ISO 27001 course exam and get the EU GDPR course exam for free
LIMITED-TIME OFFER – VALID UNTIL SEPTEMBER 30, 2021
  • (0)
    ISO-27001-ISO-22301-blog

    Блог по ISO 27001 и ISO 22301

    Чек-лист внедрения ИСО 27001

    Если вы начинаете внедрять ИСО 27001, вы, возможно, ищете легкий путь по его внедрению. Позвольте мне разочаровать вас: легких путей сделать это не существует. Тем не менее, я попробую облегчить вашу работу – вот перечень из шестнадцати этапов, которые вы должны пройти, если хотите достичь сертификации по ИСО 27001.

    1. Получите поддержку со стороны руководства.

    Это может показаться довольно очевидным, но это обычно не воспринимается достаточно серьезно. Но по моему опыту, это является основной причиной, почему проект ИСО 27001 терпит неудачу – руководство не предоставляет для работы над проектом достаточно людей или достаточных денежных средств. (читайте Четыре ключевые выгоды от внедрения ИСО 27001 для идей, как представить проект руководству.)

    2. Обращайтесь с внедрением как с проектом

    Как уже было сказано, внедрение ИСО 27001 является сложным вопросом с продолжительностью в несколько месяцев (или больше года) и включающим в себя различные виды деятельности, множество людей. Если вы ясно не определите, что должно быть выполнено, кто будет выполнять это и в какие сроки (например, используя управление проектами), вы можете кроме того никогда и не закончить работу.

    3. Определите область действия

    Если у вас большая организация, вероятно, имеется смысл внедрять ИСО 27001 только в одной части вашей организации, тем самым существенно снижая этим ваши проектные риски. (Проблемы с описанием области действия в ИСО 27001)

    4. Напишите политику СУИБ

    Политика СУИБ является документом высшего уровня в вашей СУИБ – ему не следует быть очень подробным, но ему следует определить некоторые основные вопросы в области информационной безопасности в вашей организации. Но в чем состоит цель данного документа, если он не подробен? Его предназначением является определение руководством, что оно хочет достичь и как проконтролировать это. (Политика информационной безопасности – насколько детализированной ей следует быть?)

    5. Определите методику Оценки Рисков

    Оценка рисков является наиболее сложной задачей в проекте ИСО 27001 – дело в том, что требуется определить правила по идентификации активов, уязвимостей, угроз, воздействий и вероятности, а также определить приемлемый уровень рисков. Если бы эти правила не были четко определены, вы могли бы оказаться в ситуации, когда вы получите непригодные результаты. (Наметки оценки рисков для небольших компаний)

    6. Выполните оценку рисков и обработку рисков

    Здесь вы должны внедрить то, что вы определили на предыдущем этапе – это может занять несколько месяцев для больших компаний, так что вам следует координировать такие усилия с большой долей осторожности. Дело в том, что следует получить всестороннюю картину опасностей для информации вашей организации.

    Цель процесса обработки рисков состоит в снижении рисков, которые не являются приемлемыми – обычно это выполняется планированием использования средств управления безопасностью из Приложения А.

    На этом этапе должен быть написан Отчет по Оценке Рисков, который документирует все шаги, предпринятые в течение процесса оценки рисков и обработки рисков. Также должно быть получено утверждение остаточных рисков – в качестве отдельного документа или как часть Положения о Применимости.

    7. Напишите Положение о Применимости

    Как только вы закончили ваш процесс обработки рисков, вы точно узнаете, какие средства управления безопасности из Приложения А вам нужны (есть всего 133 средства управления, но вам, возможно, не потребуются все они). Целью данного документа (часто упоминаемого как SoA) является перечисление всех средств управления безопасностью, описание, которые из них применимые и какие нет, а также причины для такого решения, задачи, подлежащие достижению с помощью средств управления безопасностью, а также описание того, как они внедряются.

    Положение о применимости также является наиболее подходящим документом для получения санкции руководства для внедрения СУИБ.

    8. Напишите План Обработки Рисков

    Как только вы подумали, что разобрались со всеми относящимися к рискам документами, то наступает очередь еще одного – назначение Плана Обработки Рисков, Он состоит в точном описании, каким образом подлежат выполнению средства управления безопасностью из SoA – кто будет делать это, когда, с каким бюджетом и т.д. Этот документ в действительности является сфокусированным на ваших средствах управления безопасностью планом внедрения,  без которого вы не будете в состоянии координировать дальнейшие шаги проекта.

    9. Опишите, каким образом измерять эффективность средств управления безопасностью

    Еще одна задача, которая обычно недооценивается. Дело здесь вот в чем – если вы не можете измерить, что вы сделали, как вы можете быть уверены, что вы достигли цели? Поэтому, убедитесь, что  вы определили, как вы собираетесь измерять достижение целей, которые вы установили как для всей СУИБ, так и для каждого применимого средства управления безопасностью из Приложения о Применимости.

    10. Внедрение средств управления безопасностью и обязательных процедур

    Легче сказать, чем сделать. Это о том, что вы должны внедрить четыре обязательные процедуры, а также применимые средства управления безопасностью из Приложения А.

    Это обычно наиболее рискованная задача в вашем проекте – она обычно означает применение новой технологии, но прежде всего – внедрение нового образа действий в вашей организации. Зачастую новые политики и процедуры нужны (это означает, что изменение необходимо), и люди обычно сопротивляются изменению – вот почему следующая задача (обучение и повышение осведомленности) является критичной в целях избежания такого риска.

    11. Внедрите программы обучения и повышения осведомленности

    Если вы хотите, чтобы ваш персонал реализовывал все новые политики и процедуры, сначала вы должны объяснить им, почему они необходимы, а также обучить ваших людей, чтобы они были способны действовать как того ожидается. Отсутствие этих видов деятельности является второй наиболее обычной причиной провала проекта ИСО 27001.

    12. Приведите СУИБ в действие

    Эта часть, в которой ИСО 27001 становится повседневной рутиной в вашей организации. Критическое значение здесь имеет слово «записи». Аудиторы любят записи – без записей вы обнаружите, что очень тяжело будет подтвердить действительной выполнение некоторых видов деятельности. Но записи должны помочь вам в первую очередь – используя их, вы можете отслеживать, что происходит – в действительно будете знать с уверенностью, выполняют ли ваши сотрудники (и поставщики) свои задачи как это требуется.

    13. Подвергайте СУИБ мониторингу

    Что происходит с вашей СУИБ? Сколько у вас инцидентов, какого они вида? Должным ли образом выполняются все процедуры?

    В этом месте сходятся цели ваших средств управления безопасностью и методология измерений – вы должны проверить, достигают ли получаемые вами результаты того, что вы установили в ваших целях. Если нет, вы знаете, что что-то неверно – вы должны выполнить корректирующие и/или превентивные действия.

    14. Внутренний аудит

    Очень часто люди не знают, что они что-то выполняют неправильно (в другом случае, они иногда знаю это, но не хотят, чтобы об этом узнал еще кто-нибудь). Но ситуация неведения о существующих или возможных проблемах может нанести ущерб вашей организации – вы должны выполнить внутренний аудит с целью выявления таких вещей. Дело здесь не в инициации дисциплинарных санкций, а в выполнении корректирующих и/или превентивных действий. (Дилеммы с внутренними аудиторами ИСО 27001 и БС 25999-2)

    15. Анализ со стороны руководства

    Руководство не должно настраивать ваш межсетевой экран, но оно должно знать, что происходит в СУИБ, например, выполняют ли все свои обязанности, достигает ли СУИБ желаемых результатов и т.д. Основываясь на этом руководство должно принимать определенные ключевые решения.

    16. Корректирующие и превентивные действия

    Цель системы управления состоит в гарантировании корректировки или надежного предотвращении всего, что неверно (так называемых, «несоответствий»). Поэтому ИСО 27001 требует, чтобы систематически выполнялись корректирующие и превентивные действия, что означает обязательную необходимость в выявлении корневой причины несоответствия, ее дальнейшего разрешения и подтверждения этого.

    Будем надеяться, то настоящая статься проясняет, что необходимо выполнить – несмотря на то, что ИСО 27001 не является простой задачей, она не является и сложной. Вы должны просто тщательно планировать каждый этап, и не беспокойтесь – вы получите ваш сертификат.

    Здесь вы можете скачать диаграмму Процесс внедрения ИСО 27001, демонстрирующую все эти этапы совместно c требуемой документацией.

    Мы благодарим Бахытжана Сейтмухамбетова за перевод на русский язык.

    Advisera Dejan Kosutic
    Автор
    Dejan Kosutic
    Dejan holds a number of certifications, including Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, and Associate Business Continuity Professional. Dejan leads our team in managing several websites that specialize in supporting ISO and IT professionals in their understanding and successful implementation of top international standards. Dejan earned his MBA from Henley Management College, and has extensive experience in investment, insurance, and banking. He is renowned for his expertise in international standards for business continuity and information security – ISO 22301 & ISO 27001 – and for authoring several related web tutorials, documentation toolkits, and books.