Hoe ISO 27001-informatie Beveiligingsbeheersysteem te installeren

Het opzetten van het Information Security Management System is een zeer moeizaam proces. Desalniettemin is het stellen van normen voor het waarborgen van informatiebeveiliging en het beter beschermen van informatie een cruciaal resultaat voor die organisatie.

Informatiebeveiligingsbeheersysteem de manier waarop elke organisatie zal volgen is bijna hetzelfde.

Reikwijdte van onderzoek naar informatiebeveiliging

Het eerste wat u moet doen, is de reikwijdte en grenzen van het onderzoek bepalen. Een systeem kan worden opgezet voor een hele organisatie of voor een bepaalde afdeling. In elk geval moeten de grenzen van het onderzoek volledig en correct gedefinieerd zijn. De reikwijdte moet worden bepaald in overeenstemming met de beslissing van het topmanagement en de doelstellingen van de organisatie op het gebied van informatiebeveiliging.

Informatie beveiligingsbeleid

Dit beleid wordt bepaald door het senior management en bepaalt de doelstellingen van het onderzoek en bepaalt de te evalueren risico's en de criteria voor risicobeheer. Topmanagement moet altijd achter het informatiebeveiligingsbeleid staan.

Methode voor risicobeoordeling

Er moet een methode voor risicobeoordeling worden vastgesteld in overeenstemming met het informatiebeveiligingsbeleid. Dienovereenkomstig moeten aanvaardbare risiconiveaus worden vastgesteld en criteria worden vastgesteld. Informatie die moet worden beschermd door een risicokaart te maken, moet worden bepaald op basis van de mate van impact en de waarschijnlijkheid dat zich een risico voordoet.

Identificatie van risico's

De risico's die het bestaan ​​van informatie bedreigen, moeten worden geïdentificeerd met behulp van de nader te bepalen risicobeoordelingsmethode. In deze studie zal een inventaris van informatieactiva worden opgesteld. Informatieactiva die in het Informatiebeveiligingsbeheersysteem moeten worden opgenomen, worden vermeld op basis van hun type en ernst. De opkomst van zeer geheime informatie kan de organisatie grote schade toebrengen, maar het onbruikbaar maken van dezelfde informatie kan minder schadelijk zijn.

Beoordeling van risico's

De te nemen maatregelen voor de te bepalen risico's worden in deze stap bepaald. Risico's kunnen worden geëlimineerd of tot aanvaardbare niveaus worden beperkt door passende controles. Of risicofactoren worden geëlimineerd en risico's worden vermeden.

Goedkeuring van het senior management

Nadat het risicobeheeronderzoek is voltooid, is het nodig om goedkeuring van het senior management te krijgen om het toe te passen.

Als een risico niet volledig kan worden geëlimineerd, kan dit een aanvaardbaar risico zijn, naar goeddunken van het topmanagement.

ISO 27001 Informatiebeveiligingsbeheersysteemorganisaties kunnen een beroep doen op ervaren managers en medewerkers van TURCERT-certificeringsorganisaties voor adviesdiensten.