Conducting ISO 27001 audits in ISMS.online

כיצד לפתח מלאי נכסים עבור ISO 27001

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

12 נובמבר 2020

תוכן עניינים:

1) היכרות עם מלאי נכסים
2) « הערכת סיכונים ISO 27001
3) בניית קשרי ספקים יציבים ומאובטחים »

היכרות עם מלאי נכסים

עליך ליצור מלאי של נכסי המידע של הארגון שלך כדי:

בנה אפקטיבי מערכת ניהול אבטחת מידע (ISMS)
להשיג תאימות או הסמכה לתקן ISO 27001

כשאנחנו מדברים על נכסי מידע אנחנו מגלים שרוב האנשים חושבים על דברים כמו מחשבים ניידים ושרתים. אבל יש הרבה פריטים אחרים שתצטרך לקחת בחשבון. אנשים, קניין רוחני ואפילו נכסים בלתי מוחשיים כמו המותג של הארגון שלך יכולים להשתלב במלאי הנכסים שלך.

לאחר שפיתחת את מלאי הנכסים שלך הצעד הבא שלך הוא לבצע שלושה תרגילים:

סינון
תעדוף
סיווג

לאחר מכן תצטרך למפות את הסיכון לנכסים שלך על ידי שימוש בקטגוריות האלה שזה עתה זיהית.

פיתוח מלאי הנכסים שלך יכול להיראות די מסובך בהתחלה. אבל אם אתה משתמש ISMS.online אתה לא באמת צריך לדעת את הפרטים הקטנים לפני שאתה מתחיל.

אם זה הראשון שלך ISO 27001 יישום, תפיק תועלת רבה מתכונת המאמן הוירטואלי שלנו. סדרת סרטונים זו זמינה 24/7 בתוך הפלטפורמה. זה מנחה אותך במהלך ההסמכה שלך מסע, כולל פיתוח מלאי הנכסים שלך.

מה צריך להיכלל במלאי נכסים ISO 27001?

גרסת 2013 של תקן אבטחת המידע הציגה שינוי מובהק ל- ISO 27001 דרישות אשר כעת מצפות לכל נכסי מידע להיחשב ולא רק לנכסים פיזיים. זה כולל כל דבר בעל ערך לארגון שבו המידע מאוחסן, מעובד ונגיש, אבל זה מידע זה עניין אמיתי, פחות הרשת או המכשיר כשלעצמם, אם כי ברור שהם עדיין נכסים וצריך להגן עליהם:

מידע (או נתונים)
דברים לא מוחשיים - כגון IP, מותג ומוניטין
אנשים - עובדים, עובדים זמניים, קבלנים, מתנדבים וכו'

והפיזי נכסים הקשורים עם העיבוד והתשתית שלהם:

חומרה - בדרך כלל שרתי IT, ציוד רשת, תחנות עבודה, מכשירים ניידים וכו'
תוכנה - תוכנה קנויה או מותאמת אישית
שירותים - בפועל שירות ניתן למשתמשי קצה (למשל מערכות מסד נתונים, דואר אלקטרוני וכו')
מיקומים ומבנים - אתרים, מבנים, משרדים וכו'

ניתן לקבץ כל סוג של נכס באופן הגיוני לפי מספר גורמים כגון:

סיווג - למשל ציבורי, פנימי, סודי וכו'
סוג מידע - למשל אישי, רגיש אישי, מסחרי וכו'
ערך פיננסי או לא פיננסי

מבקר יצפה לראות מלאי, או מלאי, המכסים הכל הנכסים הרלוונטיים במסגרת ה-ISMS. לכל נכס יש להקצות בעלים ולכל נכס יש להקצות סיווג.

מי צריך להיות בעל הנכס ומהן תחומי האחריות שלו לפי ISO 27001?

הבעלים אינו בהכרח המחזיק המשפטי או הפיזי של הנכס, אלא האדם שיש לו את האחריות והסמכות ההתאמה להבטיח כי, לכל הפחות:

- נכסים מצויים במלאי;
- נכסים מסווגים ומוגנים בצורה נכונה;
- הגבלות גישה לנכס ולסיווגו נבדקים מעת לעת; ו
- נכסים מטופלים כהלכה בעת מחיקה או השמדה.

אחריות יומיומית עבור ניהול נכסים (למשל עדכון המלאי, ביצוע ביקורות וכו') ניתן להאציל אך את האחריות הסופית להבטחת נכון ההנהלה נשארת עם הנכס הרלוונטי בעלים.

בעל הנכס הוא זה שאחראי לקביעת דרישות ההגנה על הנכס, כגון הגבלת גישה, בהתאם למדיניות ולתקנים ארגוניים.

כיצד קשור מלאי הנכסים של ISO 27001:2013 ל-GDPR?

כדי לעמוד בתנאי תקנה כללית להגנה על נתונים (GDPR) ארגון חייב להחזיק מלאי של מערכות שמחזיקות ומעבדות מידע אישי_ניתן לזהות”>מידע אישי. זה גם דורש את הסיכונים סביב אישיים נתונים מזוהים, מוערכים ומטופלים, כך בעקבות ISO 27001:2013 גישה לנכסים ו הערכת סיכונים פירושו שהוא יכול בקלות להקיף ולהיות מיושר כדי לשלב את גם דרישות ה-GDPR.

האם עליך להשתמש בתבנית או בכלי לניהול מלאי הנכסים שלך?

קיימות תבניות דוגמאות רבות למלאי/אוגרים של נכסים, והן עוקבות אחר גישה פשוטה של גיליון אלקטרוני שקל באותה מידה לבנות בעצמך.

עם זאת, גיליון אלקטרוני הוא מסמך סטטי ולמרות שהם מצוינים עבור מודלים פיננסיים ודברים בסיסיים, הם לא כל כך טובים להדגים כיצד הנכס מתקשר לסיכונים שזוהו, למדיניות הרלוונטית ול בקרות, או עבודה דינמית אחרת של an מערכת ניהול אבטחת מידע.

כלי טכנולוגי טוב עבור מלאי נכסים יגיעו מוגדרות מראש, עם אפשרות התאמה אישית כך שתתאים לסיווגים שלך, יאפשר לך להקצות בעלים, תאריכי יעד ותזכורות ולתפוס את כל הראיות הנדרשות במיקום מאובטח אחד.

מלאי נכסי מידע

שקול גם כלי לניהול אבטחת מידע המאפשר לך להקצות ערכים לנכסים שלך שכן זה יעזור לך לתעדף הערכת סיכונים ולהבין כל השפעה אפשרית של אירועים, אירועים או הפרות.

לבסוף, הכלים הטובים ביותר יגיעו עם היכולת לקשר בקלות את הנכס לסיכונים שלך תוכנית טיפול בסיכון, לשלך האיזמים בקרות, שרשרת האספקה וכל פעולות אחרות ב האיזמים שמוכיחים שהנכסים שלך מוגנים היטב.

למעשה, ב ISMS.online, שימוש באותו קישור רב עוצמה זה ייקח אותך למסע פשוט מנכס מידע, לסיכון, אל בקרות נחוץ בטיפול בסיכון ולאחר מכן, באופן דינמי מהבקרה ועד לעדכון הצהרת תחולה עם ההצדקה ליישומו. זה באמת כל כך פשוט עם ISMS.online.

לכן, לבניית גיליון נכסים משלך עשויה להיות ללא עלות נתפסת, אך תהיה האתגר של ניהול ותיאום גבוהים בהרבה עם החלקים האחרים של האיזמים, במיוחד אם אתה מכוון ISO 27001 הסמכה. או שאתה יכול להסתכל על טווח ארוך יותר ולהשקיע בכלי מומחה לניהול נכסים. אבל לעתים קרובות הם מורכבים וכבדים בפרטים. ניהול נכסי מידע יכול בהחלט להפוך למשרה מלאה בפני עצמה. ועדיין תצטרך לקשר את הכלי שלך לשאר ה-ISMS שלך.

במקום להגיע לגיליון אלקטרוני או לכלי מומחה עצמאי, אנו ממליצים לחפש פלטפורמת ISMS הכוללת כלי משלה למלאי נכסים. זה אמור:

בוא מוגדר מראש, אבל היה קל להתאים אישית עם הסיווגים שלך
מאפשר לך להקצות בעלי נכסים, תאריכי יעד ותזכורות לניהול נכסים
ללכוד באופן דינמי ראיות לביקורות פנימיות וחיצוניות במיקום מאובטח אחד

זה גם אמור לאפשר לך להקצות ערכים לנכסים שלך. זה יעזור לך לתעדף הערכות סיכונים ולהעריך את ההשפעה הפוטנציאלית של כל אירועי ביטחון, אירועים או הפרות. ואתה אמור להיות מסוגל לקשר דרך שלך טיפול בסיכון תוכנית ומעבר לכך.

זה סוג הקישור ש-ISMS.online מאפשר לך לעשות. אתה יכול לעבור מנכס מידע, לסיכון שהוא מתמודד איתו ולבקרה המטפלת בסיכון הזה. אז אתה יכול לקפוץ מהפקד הזה אל שלך הצהרת תחולה, מעדכן אותו בהצדקה ליישומו.

זה כל כך פשוט.