אבטחת מידע היא עניין קריטי לעסקים כאשר הם מנסים להסתגל להתקדמות מהירה בשיטות וטכניקות תקיפה ולשינויים הבאים בדרישות הרגולטוריות. כישלון של אבטחת המידע של הארגון לצעדים עשויים להיות מספר השלכות שליליות על הארגון ועל מחזיקי העניין שלו, כולל אובדן האמון.
כדי להישאר רלוונטי ולהתחרות בעולם העסקים של היום, לכל ארגון צריך להיות תוכנית ניהול אבטחת מידע (ISGP) במקום. למרבה המזל, יש הזדמנות לשפר את ממשל אבטחת המידע ואת ניהול הסיכונים הכולל בסביבה העסקית על ידי התאמתו לדרישות תאימות כגון ISO 27001 ותקן ISO 27014 הנצר.
ISO/IEC 27014 הוא תקן ב- ISO / IEC 27000 סדרה.
תקן זה "נועד לסייע לארגונים בניהול יעיל של אסטרטגיות אבטחת המידע שלהם." התקן מציע "הנחיות לגבי העקרונות והמושגים של ממשל אבטחת מידע, שמהם ארגונים יכולים להעריך, לכוון, לנטר, לתקשר ולהבטיח שיטות עבודה הקשורות לאבטחת מידע בארגון.
התקן בן אחד עשר העמודים מסכם את תקני הממשל של טכנולוגיית המידע וכולל מבנה של שישה עקרונות וחמישה תהליכים. התקן רואה בממשל IT אינטראקציה עם ממשל טכנולוגיית מידע, אשר כולם מהווים מרכיבים של המסגרת הרחבה יותר של ממשל ארגוני. בדצמבר 2020, שוחרר מסמך הנחיות נוסף של ISO/IEC 27014:2020, הממשיך את המהדורה הראשונה של 2013.
אנחנו כל כך שמחים שמצאנו את הפתרון הזה, זה גרם להכל להתאים בקלות רבה יותר.
גוף שלטוני הוא קולקטיב של אנשים שיש להם את סמכות ואחריות לגבש מדיניות ולהוביל ארגון מסלול כללי. הגוף הקיבוצי אחראי על קבלת החלטות ויישום מטעם הצוות שלו, מחזיקי העניין והארגון.
תפקידו העיקרי של הגוף המנהל הוא לשמור על הזכויות והאינטרסים של הארגון, כמו גם של כל מי שפועל במסגרת הארגון. גוף זה משיג זאת על ידי הבטחת פעילות הארגון ביעילות ומסוגלת להשיג את המטרות והעדיפויות שאליהם התחייב. בנוסף, הגוף המנהל אחראי על הכספים, כוח האדם והנכסים של הארגון. תפקיד מרכזי אחד של הגוף המנהל בכל ארגון הוא לעשות החלטות שיעודדו את אבטחת המידע בתוך הארגון.
תהליכי ממשל אבטחת מידע פותחו כדי לסייע לארגונים לנטר ולנהל את מאמצי אבטחת המידע שלהם. אבל הם לא קיימים בחלל ריק - הם צריכים להיות משולב בניהול העסק הכולל תהליכים אם הם עומדים להיות יעילים (וזה נכון לגבי פעילויות אבטחה קשורות רבות, כגון ניהול סיכונים). הגוף המנהל וההנהלה העליונה אחראים על ביצוע ארבע מערכות ממשל, על פי ISO/IEC 27014:2020.
אחד מתהליכי ממשל אבטחת המידע הוא הערכה. הערכה היא תהליך חשוב שבו נבדק המצב הנוכחי של תהליך או רכיב בארגון. זה עוזר לקבוע מה נכון ומה לא נכון בתהליך או ברכיב המסוים הזה.
כיוון הוא אחד מתהליכי ממשל אבטחת המידע. זה כולל תכנון, קביעת ובחינה של תקני מדיניות ונהלים, והערכת תאימות של צוות עם מגבלות שנקבעו.
ניטור הוא אחד מתהליכי אבטחת המידע. פעילויות ניהול הן שמבטיחות את הזמינות, השלמות, האימות והסודיות של המערכות והרשתות וכן בודקות שהעובדים משתמשים כראוי באותן מערכות ורשתות באופן שבו עוקב אחר מדיניות האבטחה.
תקשורת היא המפתח בכל הנוגע לתהליכי ממשל אבטחת מידע. אתה אמון על שמירה על אבטחת החברה שלך ונכסיה השונים, אבל זה לא יכול להיות תהליך מבודד.
זה עוזר להניע את ההתנהגות שלנו בצורה חיובית שעובדת עבורנו
& התרבות שלנו.
ממשל אבטחת מידע צריך להבטיח שאמצעי אבטחת מידע יהיו חזקים ומשולבים. התקן קובע שישה עקרונות "מוכווני פעולה" ברמה גבוהה לממשל אבטחת מידע. זה כולל את הדברים הבאים:
דאגות לגבי טכנולוגיית מידע, או אבטחת סייבר, עלולות לחדור למסגרת ולפונקציות של הארגון. בכל רמות הניהול, אבטחת מידע יש לשלב עם טכנולוגיית מידע (IT) ופונקציות אחרות. ההנהלה הבכירה צריכה להבטיח שאבטחת מידע עונה על האינטרסים האסטרטגיים הכלליים של החברה ועליה ליצור אחריות ואחריות בכל הארגון.
ממשל אבטחה, לרבות חלוקת משאבים ותקצוב, צריך להיות מונחה על ידי תיאבון הסיכון של הארגון, אשר בתורו צריך להיות מושפע מגישה מבוססת סיכונים הלוקחת בחשבון: אובדן יתרון תחרותי, חששות רגולציה ואחריות, עיכובים תפעוליים, נזק למוניטין, והפסד כספי.
להבטיח ש סיכוני אבטחת מידע מנותחים כראוי לפני יציאה לפעולות חדשות, כגון השקעות, רכישות, מיזוגים, הכנסת טכנולוגיות חדשות, הסכמי מיקור חוץ וחוזים עם ספקים חיצוניים. בנוסף, לשלב אבטחת מידע לתוך תהליכים פנימיים של הסוכנות, כגון ניהול פרויקטים, רכש, ניהול פיננסי, ציות לחוק ולרגולציה וניהול סיכונים ארגוניים. ההנהלה הבכירה צריכה לפתח גישת אבטחת מידע המותאמת למטרות הארגון, כלומר צרכי אבטחת המידע של הסוכנות והארגונית עקביים.
דרישות חיצוניות כוללות חוקים ותקנות נדרשים, תקני הסמכה והתחייבויות חוזיות. קריטריונים פנימיים הם תת-קבוצות של המטרות והעדיפויות הכוללות של ארגון גדול יותר. הערכות אבטחה עצמאיות הן השיטה המוסכמת בדרך כלל לביסוס ומעקב אחר התאמה. ההנהלה הבכירה חייבת להבטיח ששיטות אבטחת מידע עומדות בסטנדרטים פנימיים וחיצוניים בצורה משביעת רצון על ידי התבוננות ביקורת אבטחה עצמאית.
צריך להיות תיאום והתאמה בין מחזיקי העניין השונים ב-ISMS. כדי להגיע לקורס קוהרנטי לאבטחת מידע, ההנהלה הבכירה חייבת לעודד ולהקל על שיתוף הפעולה בין המשימות והפעילויות של כל מי שמושפע מה-ISMS. בנוסף, הוכחה להוראת אבטחה, הכנה, ותוכניות מודעות צריך לספק. אחריות אבטחת מידע צריך להיות משולב בתפקידים של כוח אדם ובעלי עניין אחרים, וכולם צריכים לאמץ את האחריות שלהם כדי לתרום לאפקטיביות של ISMS.
הצלחת האבטחה נמדדת לא רק במונחים של יעילות ואמינות, אלא גם במונחים של השפעותיה על יעדי ויעדי החברה הכוללים. ההנהלה הבכירה האחראית על הממשל צריכה לכלול סקירות תקופתיות של תכנית מדידת ביצועים למעקב, ביקורת ושיפור המתרגמת אבטחת מידע לביצועים עסקיים מיטביים.
מסמך ISO 27014 מספק הנחיות לגבי עקרונות, יעדים ונהלים של ממשל אבטחת מידע שבהם ארגונים צריכים להשתמש כדי להעריך, לכוון, לנטר ולתקשר תהליכים הקשורים לאבטחת מידע בתוך הארגון.
בדומה לתקני ISO27k האחרים, הוא "מתאים לכל סוג וגדלים של ארגונים", במיוחד אלה שבהם ה-ISMS מכסה את כל הארגון או רק תת-קבוצה שלו, או שבהם ISMS יחיד משתרע על מספר חברות (כגון בתוך מבנה תאגידי).
ממשל נכון של אבטחת מידע מבטיח כי הוא תומך ותומך במטרות החברה שזוהו באסטרטגיות ובמדיניות.
ISO 27014 שם דגש רב על מרכיבי הממשל של ISO/IEC 27001 וקובע יעדי ממשל במסגרת זו. זה מכסה את השילוב של פעילויות ממשל אבטחת מידע עם פונקציות ויעדים ניהוליים אחרים. ISO 27014 מפרט עוד את הדרישות והציפיות של הגוף המנהל מ-ISMS ISO27k.
ISO/IEC 27014:2020 מיועד לקהלים הבאים:
מסמך זה חל על כל הסוגים והגדלים של ארגונים.
באתר ISMS.online, אנו מקלים עליך לתעד את ניהול אבטחת המידע שלך כך שיעמוד בקנה אחד עם תקן ISO 27014. אנו מספקים לך ממשק ניהול מידע הגיוני, שמיש ומבוסס ענן, שיעזור לארגון שלך לבדוק את תהליכי הממשל שלו ב-infosec ולהתקדם מול תקן ISO 27014.
הפלטפורמה מבוססת הענן שלנו מאפשרת לך לגשת לכל משאבי ה-ISMS שלך במקום אחד. יש לנו צוות פנימי של מומחי אבטחת מידע שיכולים לספק הדרכה ולענות על שאלות כדי לעזור לך בדרך להטמעת ISO 27014, כך שתוכל להפגין את מסירותך לשיטות עבודה מומלצות של ממשל אבטחת מידע. התקשר ל-ISMS.online + 44 (0) 1273 041140 למידע נוסף על איך אנחנו יכולים לעזור לך לקבל הסמכה ל-ISO 27001.
הזמינו פגישה מעשית מותאמת בהתאם לצרכים ולמטרות שלכם.
מאז ההגירה הצלחנו לצמצם את הזמן המושקע בניהול.
קבל החלטות טובות יותר והראה שאתה בשליטה עם לוחות מחוונים, מדדי KPI ודיווח קשור
למידע נוסף
האיר אור על מערכות יחסים קריטיות וקשר באלגנטיות בין תחומים כמו נכסים, סיכונים, בקרות וספקים
למידע נוסף
אינטגרציות מחוץ לקופסה עם מערכות עסקיות מפתח אחרות שלך כדי לפשט את התאימות שלך
למידע נוסף
הוסף בצורה מסודרת תחומים אחרים של תאימות המשפיעים על הארגון שלך כדי להשיג עוד יותר
למידע נוסףעם שלנו פלטפורמה אתה יכול לבנות את ה-ISMS הארגון שלך באמת צריך.
100% מהמשתמשים שלנו משיגים אישור ISO 27001 בפעם הראשונה
