Kuidas installida ISO 27001i infoturbehaldussüsteem

Infoturbe haldussüsteemi loomine on väga töömahukas protsess. Sellegipoolest on selle organisatsiooni jaoks ülioluline tulemus standardite kehtestamine, kuidas tagada infoturve ja kuidas teavet paremini kaitsta.

Infoturbe haldussüsteem viis, mida iga organisatsioon järgib, on peaaegu sama.

Infoturbe uuringu ulatus

Esimese asjana tuleb kindlaks teha uuringu ulatus ja piirid. Süsteemi saab seadistada kogu organisatsiooni või konkreetse osakonna jaoks. Igal juhul peaksid uuringu piirid olema täielikud ja õigesti määratletud. Ulatus tuleks kindlaks määrata vastavalt tippjuhtkonna otsusele ja organisatsiooni infoturbe eesmärkidele.

Infoturbe poliitika

Selle poliitika määrab kõrgem juhtkond ja see sätestab uuringu eesmärgid ning määrab kindlaks, milliseid riske võetakse arvesse ja kuidas riskijuhtimist viiakse läbi. Infoturbepoliitika taga peaks alati olema tippjuhtkond.

Riskihindamise meetod

Riskihindamise meetod tuleks kindlaks määrata vastavalt infoturbepoliitikale. Seetõttu tuleks kindlaks teha vastuvõetavad riskitasemed ja kehtestada kriteeriumid. Teave, mida tuleks kaitsta riskikaardi koostamisega, tuleks kindlaks määrata vastavalt mõju astmele ja ohu tõenäosusele.

Riskide tuvastamine

Teabe olemasolu ähvardavad ohud tuleks kindlaks teha kindlaks määratava riskihindamismeetodi abil. Selle uuringu käigus koostatakse teabevara inventuur. Infoturbe haldussüsteemi kaasatavad teabevarad loetletakse vastavalt nende tüübile ja raskusastmele. Äärmiselt salajase teabe ilmumine võib organisatsioonile suurt kahju teha, kuid sama teabe kasutamiskõlbmatuks muutmine võib põhjustada väiksemat kahju.

Riskide hindamine

Selles etapis otsustatakse, millised meetmed võetakse riskide kindlaksmääramiseks. Riski saab asjakohaste kontrollide abil kõrvaldada või vastuvõetavale tasemele vähendada. Või elimineeritakse riskitegurid ja välditakse riski.

Juhtkonna kinnitamine

Pärast riskijuhtimise uuringu lõpuleviimist on selle rakendamiseks vaja kõrgema juhtkonna nõusolekut.

Kui riski ei ole võimalik täielikult kõrvaldada, võib see olla aktsepteeritav risk kõrgema juhtkonna äranägemisel.

ISO 27001 infoturbe haldussüsteemorganisatsioonid saavad pöörduda nõustamisteenuste saamiseks TURCERTi sertifitseerimisorganisatsiooni kogenud juhtide ja töötajate poole.