קפוץ לנושא
מה כולל סעיף 6.2?
בהתמודדות עם דרישה זו חשוב כבר להבין את הארגון ואת ההקשר שלו (4.1), לקבוע את הדרישות של בעלי עניין (4.2), לקבוע את ההיקף שלך (4.3) ולפחות להתחיל לבצע הערכת סיכונים וטיפול (6.1) .
הדרישה המדויקת עבור 6.2 היא:
"קבע יעדי אבטחת מידע ישימים (ואם מעשיים מדידים), תוך התחשבות בדרישות אבטחת המידע, תוצאות מהערכת סיכונים וטיפול. לקבוע מה ייעשה, אילו משאבים נדרשים, מי יהיה אחראי, מתי הם יסתיימו וכיצד יוערכו התוצאות".
אז סעיף 6.2 זה של התקן מסתכם בעצם בשאלה; 'איך אתה יודע אם מערכת ניהול אבטחת המידע שלך פועלת כמתוכנן?'
כיצד להגדיר יעדים עבור 6.2
בבחינת היעדים שאתה רוצה ממערכת ניהול אבטחת המידע שלך, וודא שהם ממוקדים לעסקים והם דברים שיעזרו לך לנהל ארגון מאובטח (יותר) עם ביצועים טובים יותר ולא רק לסמן תיבות ולהיראות יפה על דף. חשבו מה ירצו המעוניינים לראות גם נמדד ומפוקח.
לדוגמה, מדוע לקוחות קונים מכם ומה הם ידאגו שישתבש מנקודת מבט של אבטחת מידע? איזו רמה של אבטחת מידע, אילו אמצעים וניטור יהיו חשובים עבורם אם הם בחנו מקרוב את ה-ISMS שלך?
התרכז בפיתוח יעדים משמעותיים, לא רק בהרבה אמצעים או יעדים שיגידו שאתה מבלה את כל זמנך בניהול וללא ערך מוסף לארגון.
יכול להיות שאתה כבר מודד ומנטר את היעדים שלך אז זכור לשקול מה אתה כבר עושה, כמו גם מה עשוי להזדקק למאמץ נוסף. ISO לא מנסים לתפוס אף אחד בצד המדידה, הם רק רוצים להיות בטוחים שאתה מודד את מה שחשוב ועסקים חכמים רבים כבר יעשו זאת באופן מרומז אם לא בצורה מפורשת יותר.
קשרו את עבודתכם כאן היטב עם סקירות ההנהלה ב-9.3 והכנסו את הראיות שלכם לתוצאות במרחב העבודה של מועצת ביקורת ההנהלה, או קישור אליה כדי להקל על פגישות סקירה וביקורות ספציפיות.
אתה יכול להדגים את התוצאות של מדידת הביצועים שלך בדרכים שונות, החל משימוש בייצוא של מערכות התפעול שלך, רתימת הדיווח האוטומטי ברחבי ISMS.online (למשל עבור תקריות) ואם רלוונטי באמצעות KPIs פשוטים שנוספו בסביבת העבודה של סקירת ההנהלה.
ב-Alliantist, חברת התוכנה והשירותים שמאחורי ISMS.online, הגענו לכ-7 יעדי אבטחת מידע כאשר אחד מהם:
"אספקת שירות ענן מאובטח ואמין למשתמשים (ולבעלי עניין אחרים) הזקוקים לביטחון ולבטחון שהפלטפורמה מתאימה למטרה שלהם לשתף ולעבוד עם מידע רגיש."
כאשר אתה מפרק רק את המטרה האחת הזו, ברור שיש מספר תחומים ניתנים למדידה, ברי-פעולה, הנובעים ממנו. לדוגמה:
- מאובטח - מה זה אומר מבחינת סודיות ויושרה?
- אמין - מה זה אומר מבחינת זמינות שירות תוכנת הענן המאובטח?
כיצד להפוך את יעדי אבטחת המידע לניתנים למדידה ולפעולה
בהתבסס על האמור לעיל, מדד אחד להצלחת האמינות של Alliantist הוא בזמינות של מערכות כמו ISMS.online לשימוש הלקוחות. אז יש לנו את המטרה (אמינות השירות), מדד (זמן פעולה) ואז יכול להגדיר יעד זמן פעולה, במקרה זה של מינימום 99.5% זמינות (שאנחנו משיגים ללא הרף 100% נגד).
לאחר מכן שקלנו את תדירות המדידה, הבעלים האחראי, ומאיפה יגיע מקור הנתונים למדידה לצורך הראיות. לאחר מכן הוספנו את זה ל-ISMS.online כ-KPI שמקבל מענה כחלק מסקירות ההנהלה, וכמובן בגלל שהוא מדד בסיסי להצלחת שירות התוכנה שלנו, הוא גם מפוקח באופן רציף גם מבחינה תפעולית.
המקור של הנתונים הללו הוא מיומני זמן הפעילות. כמה מדדים אחרים יותר אסטרטגיים, כגון אמון לקוחות, מבקר ומחזיקי עניין ב-ISMS שלנו נמדדים בתדירות נמוכה יותר, סובייקטיביים יותר במובנים מסוימים, אך עם זאת חשובים כחלק מביצועי ה-ISMS הרחבים יותר.
זו הזדמנות מצוינת לפתח מדדים שחשובים לארגון שלך אם לא עשיתם זאת כבר. אנו מעודדים גישה מנוהלת פחות וטובה יותר במקום הרבה וגישה לא מנוהלת. אם לארגון שלך יש מחלקות ואזורים ספציפיים בעסק המושפעים בצורה שונה מהסודיות, היושרה והזמינות (CIA) שיצדיקו פירוק אמצעים לכל תחום, ISO היה מצפה לראות את הפירוט הזה כמו גם את המדדים האסטרטגיים ברמה הגבוהה יותר.
מדדים אחרים המועילים גם להדגמת CIA ברורים למדי מכמה מהדרישות שנקבעו על ידי ISO 27001 סביב ניהול תקריות, הערכות/ביקורות סיכונים, שיפורים ופעולות מתקנות וכו'. ב-ISMS.online יש לנו מספר כלים המספקים אוטומטית סטטיסטיקות ביצועים המועילות בהדגמת ביצועים יעילים של ה-ISMS.
אלה כוללים מעקב אחר ניהול אירועים, שיפורים ופעולות מתקנות ועוד שלל אחרות שהופכות חלק גדול מניהול היעדים לתרגיל אפס מאמץ במקום לבזבז זמן עם גיליונות אלקטרוניים ופאוור פוינט.
כיצד להגדיר תהליך ואחריות להערכת יעדי אבטחת מידע
לאחר שהגדרת את היעדים שלך, קבעת את המדדים שלך ואת תדירות המדידה שלהם, יש צורך להראות כיצד תתחיל להעריך את התוצאות ולאחר מכן לנקוט בפעולה עבור כל שינוי או שיפורים נדרשים ל-ISMS שלך.
ב-Alliantist הרכבנו צוות של נציגים מצוות ההנהלה הבכירה כדי להרכיב את מועצת ISMS. מועצת ISMS אחראית לקביעת היעדים לכל אחד מהאמצעים. מנהל התפעול שלנו הוא הבעלים של היעדים המשפיעים על ה-ISMS מנקודת מבט של ייצור ותפעול.
נתוני המקור מואצים לחברי הצוות הרלוונטיים לראיות, שכולן נשלפות ממערכות קיימות ומתמצות בפשטות ל-KPI ולדיווח סטטיסטיקה המהווים חלק מסקירות ההנהלה הרגילות בהתאם לסעיף 9.3.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
