קפוץ לנושא
מהן בעיות פנימיות וחיצוניות?
ISO למעשה לא מציע הרבה עזרה בהסבר שלו מה יכולה להיות בעיה פנימית או חיצונית. עבור ארגון שחדש בניהול אבטחת מידע הוא עלול לבזבז זמן יקר רק על הבנת הדרישה הזו.
זה באמת תלוי בתרבות ובטבעו של הארגון, באנשים המעורבים, בנקודת המוצא שלו ובערך בסיכון. כדוגמה, ארגון קטן מנוהל היטב עם מטרה ברורה ומעט אנשים מעורבים עשוי להגיע למסקנות שלו בנושאים פנימיים וחיצוניים המשפיעים על תוצאות ה-ISMS על פני כוס תה של 10 דקות (במיוחד עם כל הדוגמאות ב-Virtual Coach).
עם זאת, ארגונים אחרים עשויים להימשך זמן רב יותר. בדרך כלל אנו מציעים שזהו תרגיל מהיר של סיעור מוחות שמונע ניתוח יתר בתחילה - כמעט בוודאות תזהה בעיות פנימיות וחיצוניות יותר ככל שתכנס לדרישות האחרות, וניתן להוסיף אותן בקלות כיישום של מערכת ניהול אבטחת המידע שלך. המסע לעבר אבטחת מידע טובה יותר נמשך.
הדרכה בפלטפורמה
הימנע מכל בלבול בנוגע לדרישות ISO 27001 עם תכונת המאמן הוירטואלי של פלטפורמת ISMS.online.
נוצר על ידי מומחי ה-ISO 27001 הפנימיים שלנו, Virtual Coach מספק עצות פשוטות ומעשיות בכל עת ובכל מקום שתזדקק לה, נותן לך את הביטחון שאתה בדרך הנכונה להצלחת ההסמכה.
ראה בעצמך על ידי הזמנת הדגמת פלטפורמה עוד היום.
הזמן הדגמת פלטפורמהכיצד לזהות בעיות פנימיות
שקול את ראשי התיבות של IPOPS להלן לזיהוי הבעיות הפנימיות שעלולות להשפיע על התוצאות של ISMS. זה עשוי להיות תרגיל לוח ציור, מפגש פוסט-איט או פשוט לכידת הערות שתעלה מאוחר יותר כדי להדגים את הבנתך בבעיות. קבל את האנשים הנכונים בחדר או בטלפון והתחל את השיחה!
תסתכל על התמונה כדי לקבל דוגמה בסיסית של מה שניתן לעשות וניתן להעלות אותה כחלק מהראיות, או לכתוב ביתר פירוט ולבדוק עוד עם בעלי עניין אחרים בהתאם לאופי הארגון. מנקודת מבט של מבקרים חיצוניים של UKAS ISO 27001, הם יחפשו ביטחון בכך שהארגון הבין את הנושאים שעשויים להשפיע על תוצאות ה-ISMS (ותעד אותם) לפני שישתמשו בראיות הללו כדי להתקדם.
זה יעזור לזהות בעלי עניין, להגדיר היקף, לתעד את היעדים שלך, לבנות מלאי נכסים ולבצע ניתוח סיכוני אבטחת מידע לפני פיתוח מדיניות ובקרות מתאימות בהתאם להצהרת התחולה.
זה הכל זרימה מאוד הגיונית ומתחיל כאן עם התרגיל הפשוט הזה!
דוגמאות לבעיות פנימיות
הבאנו להלן כמה רעיונות ודוגמאות לתחומים שבהם אתה עשוי למצוא בעיות פנימיות המשפיעות על תוצאות ה-ISMS, אך ישנן סוגיות רבות שניתן לשקול בהתאם לארגון, המגזר שלו, הגודל, ההיקף והטבע של המוצרים והשירותים וכו '
אנו מציעים שתהיו מעשיים ותוודאו שזה לא יהפוך לתרגיל אסטרטגיה מרכזי או עבודת גמר כשזה לא נדרש. זה פחות קשור לאיפה אתה 'מקל' את הנושא הפנימי גם, הרעיון של ניתוח תיקים פשוט כמו זה הוא לעזור למוח להפעיל את הבעיות הפנימיות.
אז אם אתה שם אותם תחת אנשים, ארגון או מקום אחר זה פחות חשוב (ייתכן שחלקם גם בעיות חיצוניות) - זה הזיהוי של הנושאים הפנימיים או החיצוניים שחשוב כדי שתוכל לבנות מערכת לניהול אבטחת מידע שעובדת בשבילך !
כמו כן, תשקול את אופי הארגון סביב אנשים, למשל היא הפילוסופיה לעשות הכל בבית, במיקור חוץ וכו' - היבטים אלה כולם גורמים ל'בעיות' שעלולות להשפיע על ה-ISMS.
לדוגמה, ייתכן שתוכל לשלוט בצוות פנימי טוב יותר מאשר ספקים, אבל יכול להיות שיש טענה לכך שספקים מעורבים בתהליכים שלהם, כי הם מציעים את השירותים שאתה רוצה. זכור כי היעדים העסקיים שלך קודמים לכל - זה ממש בלב זיהוי הבעיות - לנהל את העסק כמו שאתה רוצה ולהבטיח שה-ISMS מגן על המידע היקר שלך ושל בעלי העניין שלך.
לאחר מכן יש לשקול את כל הנושאים הרלוונטיים לצורך ניתוח סיכונים מפורט יותר בהמשך - לא כל הנושאים הם למעשה סיכונים, וחלקם חשובים יותר מאחרים, כך שתוכל לבחור לתעדף סביב הנושאים הגדולים יותר. אז אנו מציעים לך להימנע מניתוח סיכונים או כל שיקול מעמיק של מה אם בשלב זה ולהתרכז בזיהוי הבעיות.
מידע כנכסים שהם נושאים פנימיים המשפיעים על תוצאות ISMS
איזה מידע נוצר, מטופל, מאוחסן, מנוהל ובעל ערך אמיתי עבור הארגון ובעלי העניין שלו (בהתאם לניתוח בעלי העניין שתעשה עבור 4.2 הבא)? נתונים אישיים, רעיונות לקוחות רגישים ו-IPR, מידע פיננסי, מותג, בסיסי קוד וכו'?
זה נמצא ממש בלב ה-ISMS שבו נכסי המידע הם הבסיס לכל השאר - זיהוי נכסים אלה בשלב מוקדם גם הופך את ניהול מלאי נכסי המידע לקל עבור A8.1.
לאחר מכן שקול בעיות פוטנציאליות סביב המידע עצמו - בפרט סודיות, יושרה וזמינות, תוך התחשבות בשאר התחומים למטה כשאתה הולך להפעיל רעיונות היכן הבעיות עשויות להימצא.
אנשים התייחסו לנושאים פנימיים שעשויים להשפיע על התוצאה המיועדת של ה-ISMS
אין זה מפתיע שאבטחת משאבי אנוש היא חלק חשוב מה-ISMS, ואכן נספח A 7 מוקדש לכך וכל המדיניות, הבקרות והניהול שלאחר מכן יהיו עם אנשים בראש, הן עובדים פנימיים והן משאבים חיצוניים כמו ספקים.
לכן שקול את כל הבעיות הקיימות של:
- גיוס עובדים – למשל אתגרים בהעסקת אנשים מוכשרים, תחלופת עובדים גבוהה/נמוכה
- אינדוקציה - למשל האם הם מקבלים הכשרה בנושא אבטחת מידע עכשיו, האם זה עובד
- בניהול חיים - למשל לשמור אותם מעורבים ולהראות את התאימות שלהם למדיניות ולבקרות, - האם הצוות באמת מוצא אבטחת מידע סקסית ומרגשת או שזה אתגר תרבותי לגרום למישהו לנעול את המחשב הנייד שלו כשהולכים לשירותים
- שינוי תפקידים ויציאה - למשל מתבצעת גישה והסרה של נכסי מידע ושירותים
בעיות פנימיות ארגוניות המשפיעות על תוצאות ISMS
מהן הבעיות העומדות בפני הארגון שעשויות להשפיע על תוצאות ה-ISMS? כדוגמה, צמיחה מהירה מביאה לנושאים של צוות ומבנה שעשויים להשפיע על ההבנה והידע של המדיניות, או שדברים משתנים כל כך מהר, עד שלא ניתן בקלות לשפוט תהליכים מפורטים ועקביים.
האם יש מנהיגות ולחצים של דירקטוריון או בעלי מניות שיגרמו לבעיות (אלה יכולים להיות חיוביים וגם שליליים)? לפעולות בינלאומיות יהיו נורמות תרבותיות שונות עבור האנשים המעורבים.
סוגיה פנימית נוספת הקשורה לאנשים ולארגון עשויה להיות בעובדה שאינך רוצה שרבים מהם מועסקים או נאבקים למצוא טובים, אז הסתמך במקום זאת על מיקור חוץ. זה גורם לצורך בספקים (וצוות בספקים) ולכן זו בעיה שתתחבר לניתוח הצדדים המעוניינים שתעשה ב-4.2 הבא.
בעיות פנימיות של מוצרים ושירותים שעשויות להשפיע על תוצאות ה-ISMS
מהם המוצרים והשירותים שמספק הארגון ואיזה סוג של בעיות צצות סביב זה שעלול לגרום לסיכון מידע? לדוגמה, אם הארגון הוא חדשן והגנת IPR חשובה להובלת המוצר, זה נושא שדורש התייחסות ב-ISMS.
אם הארגון מסתמך על רכוש פיזי גדול, למשל כיצרן, זה כנראה יביא יותר בעיות אבטחה פיזיות, בעוד שספק תוכנות ענן קטן עשוי להיות ממוקד הרבה יותר בנושאים כמו הגנת IPR מפני האקרים דיגיטליים והבעיות הקשורות לתלות בהצלחת המוצר שלהם. בטחון על ספקי אירוח וכו'.
מערכות ותהליכים כסוגיות פנימיות המשפיעות על התוצאה המיועדת של ה-ISMS
אנשים חושבים לעתים קרובות על מחשבים וטכנולוגיה דיגיטלית כאשר משתמשים במילה 'מערכת'. עם זאת, מערכות ידניות ומבוססות נייר הן גם תחומי מפתח לבעיות שיופיעו, אז זכור לשקול גם את אלה עבור בעיות.
בכל אחד מהאזורים המופיעים למעלה יהיו מערכות ותהליכים המעורבים בו - שעשויים להיות מרומזים (תמיד עשינו את זה ככה ומעולם לא תיעדנו את זה) או שיכולים להיות עטופים במסה של תיעוד שאיש לא יוכל לעקוב אחריו... לאחר שקלטתי את תחומי ה-IPOP שלמעלה, חשבו על המערכות והתהליכים בנושאים פנימיים סביבם – למשל אם אתם מגייסים צוות באופן קבוע אך אין לכם תהליך רשמי ומערכות המדגימות הערכה וסינון מנקודת מבט של אבטחת מידע, יש לכם בעיה (לא מעט בגלל נספח A7 של ISO 27001).
הבעיה היא שאולי אתה שוכר אנשים שהולכים להפוך לאויב בפנים, בין אם בגלל בורות באבטחת מידע או בגלל שהם חבלנים ומעולם לא שקלת את זה. זה אותו דבר עם כל המערכות והתהליכים ברחבי הארגון שנמצאים בטווח של אבטחת מידע - אילו סוגים של נושאים צצים שבהם סודיות, שלמות או זמינות המידע עלולים להיות בסכנה?
כיצד לזהות את הבעיות החיצוניות
אחד מהמועדפים הוותיקים לניתוח חיצוני הוא PESTLE (פוליטי, כלכלי, סוציולוגי, טכנולוגי, משפטי וסביבתי) והוא ראוי לשימוש בתרגיל זה, שוב כדי להישמר מעשי וממוקד בנושאים המשפיעים על תוצאות ה-ISMS ולא בתור עבודה אסטרטגית עמוקה. תרגיל זה בדרך כלל זקוק להרבה פחות הסבר וללא ספק יהיה לכם קל מספיק לעבור ולשקול מנקודת מבט של אבטחת מידע.
שוב הימנע מניתוח יתר ומניסיון להתאים דברים בכוח לדליים לשם כך - משהו יפעיל או לא ותמיד תוכל לחזור אליו מאוחר יותר. הנושאים הפנימיים המשפיעים על תוצאות ה-ISMS יגרמו גם לבעיות חיצוניות - למשל אם הארגון החליט שהוא לא יעשה הכל פנימי וזקוק לספקים, אז נכנסים לתמהיל סוגיות חיצוניות עם אותם ספקים וההיבטים הקשורים ל-PESTLE שלהם.
סוגיות חיצוניות פוליטיות
אילו נושאים פוליטיים עשויים להשפיע על הארגון ולהשפיע על התוצאות? דוגמאות יכולות לכלול Brexit ושינויי מדיניות ספציפיים במגזר המשפיעים על השקעות או צמיחה שעשויות להוביל לדרכי עבודה שונות וגישות שונות לניהול מידע.
פוליטיקה (ושחקני מדיה חברתית רבי עוצמה העושים שימוש לרעה בנתונים אישיים) הביאו ל-GDPR שהביאו לשינויים רגולטוריים, שהגבירו את הלחץ על הלקוחות, אשר בתורם מאלצים ספקים להשיג מערכות ניהול אבטחת מידע ISO 27001 מאושרות באופן עצמאי כדי לעזור להם לנהל את האספקה הכוללת שלהם. סיכון שרשרת.
זו דוגמה לסוגיה החולשת על היבטים רבים של PESTLE וזו בעיה חיצונית העומדת בפני כמעט כל הארגונים.
סוגיות חיצוניות כלכליות
כיצד הכלכלה של השוק שלך ושל שרשרת האספקה משפיעה על הארגון? האם זה מוביל לבעיות פחות או יותר עם ספקים, לקוחות, אילו פינות אבטחת מידע עלולות להיחתך בזירת הפחתת עלויות ולהוביל להגברת הסיכון או האיום (וכמובן גם להזדמנות)?
דוגמאות לכך עשויות להיות כוח עבודה זול יותר, פחות הכשרה ופחות זמן לביצוע העבודה, או חוסר יכולת להרשות לעצמה מערכות טכנולוגיות הגונות שיעזרו לשפר את התפעול כי יש לתעדף כספים במקום אחר (טיפ - עיין בנייר הלבן של מתכנן המקרה העסקי שלנו לקבלת הנחיות לגבי התשואה על השקעה מאבטחת מידע.)
סוגיות חיצוניות סוציולוגיות
כיצד החברה או הקהל שלך משתנה ומשפיעה על העסק שלך - למשל תמיד על אזרחים מחוברים מציעים הזדמנויות ואיום, ודור של צוות שלפעמים מתחשב יותר/פחות בנתונים מביא גם תוצאות חיוביות ושליליות.
בעיות חיצוניות טכנולוגיות
כיצד הקצב הגובר של השינוי הטכנולוגי יוצר בעיות עבור תוצאות ה-ISMS? שינויים יומיים במערכות ההפעלה המתוקנות לעומת (נגיד) פעם בשנה בעבר? זה מוביל לצורך בניהול דינמי הרבה יותר שארגונים רבים נאבקים לשמור, שאם לא מנוהלים, מגביר את האיום של פרצת סייבר ואובדן הופך להיות סביר יותר.
היכן בינה מלאכותית, למידת מכונה, ענן וכל מילת באזז טכנולוגית אחרת יוצרים בעיות עבור הארגון שלך מבחינה חיצונית?
סוגיות חיצוניות חקיקתיות
אחד מתחומי הכישלון הנפוצים ביותר ב-ISO 27001 הוא חוסר היכולת להדגיש ביעילות את המודעות ולאחר מכן לנהל בעיות חקיקה ורגולציה של יישומים. חלק זה של PESTLE הוא נקודת התחלה מצוינת לנספח A18 בנושא ציות - אם המבקר שלך יודע יותר ממך על החקיקה והרגולציה המשפיעים על הארגון שלך (ולכן על ה-ISMS) הם לא יתרשמו.
זה חורג הרבה מעבר להגנת מידע, GDPR, ניטור מחשבים, זכויות אדם וחוק קניין רוחני, אז תנו לתחום זה התייחסות רצינית לכל מידע בהיקף שלכם. לא בהכרח תזדקק לעורך דין, אבל מראה ששקלת את החקיקה החלה המשפיעה על הארגון תהפוך את הטיפול בסיכונים, יצירת המדיניות והבקרה לממוקדת ורלוונטית יותר גם כן.
יכול להיות שתאבון הסיכון שלך למשהו די גבוה, אבל אם חקיקה או תקנה ישימים מציבים את הרף, אז תצטרך לפתח מדיניות ובקרות לעמידה בזה ולא רק מה שאתה עשוי לחשוב שהוא בסדר!
סוגיות חיצוניות סביבתיות
PESTLE מתייחס בדרך כלל לאיכות הסביבה כאל הנושא הירוק, אולם זה יכול להיות גם ה"סביבה" הרחבה יותר שלך. שיקולים פשוטים סביב איכות הסביבה עשויים לגרום לכך שאתה שואף להשתמש בפחות נייר, לנסוע פחות - נהדר, מה הבעיות של ה-ISMS מזה?
לדוגמה, בפיתוח ה-ISMS עשויה להיות זו הזדמנות לשינוי שיטות עבודה סביב הדפסה או פיתוח מדיניות עבודה ניידת וכו' - אלו הם כמה רעיונות פשוטים שצצים כשחושבים על נייר סביבתי ובעיות נסיעות.
בעיות 'סביבה' רחבות יותר עשויות להיות הדברים שקורים אצל המתחרים שלך וכוחות רחבים יותר (חשבו סבלים 5 כוחות כדוגמה פשוטה) - אילו בעיות סביבתיות חיצוניות מתרחשות שם שעשויות להשפיע על תוצאות ה-ISMS שלך?
אתה יודע שכוח המיקוח שלך של הלקוחות הולך וגדל סביב אבטחת מידע. עם זאת, אם המתחרים שלך מקבלים הסמכה עצמאית ל-ISO 27001 ואתה חושב רק על תאימות עם תיוג/הנפת יד, אז זה נושא חיצוני שהיית רוצה לשקול יותר לעומק כדי להיות תחרותי שלא לדבר על מאובטח ומהימן.
אנו נדריך אותך בכל שלב
הכלי המובנה שלנו לוקח אותך מההגדרה ועד להסמכה עם אחוזי הצלחה של 100%.
הזמן הדגמה
