Четыре ловушки информационной безопасности, которые поджидают вашу компанию.
Многие компании скрупулезно подходят к сертификации по ISO 27001 (Системы менеджмента информационной безопасности), однако расслабляются, получив сертификат. Именно на этом этапе бизнес может стать жертвой ловушек информационной безопасности. С помощью настоящей статьи мы хотим помочь вашей компании избежать подобной ситуации, чтобы разработанная система менеджмента информационной безопасности (коротко - СМИБ) работала именно так, как задумано, и проходила последующие проверки без каких-либо трудностей. Вот четыре самые распространенные проблемы, о которых вам стоит помнить:
1. Несоблюдение графика внутренних аудитов и анализа со стороны руководства
Регулярные внутренние аудиты и анализ системы менеджмента со стороны руководства являются критически важными для нормального функционирования СМИБ. Во время надзорных аудитов эксперты обязательно анализируют результаты внутренних проверок и обращают внимание на их результативность и соблюдение требований к ним. Такая важность регулярных внутренних аудитов обусловлена тем, что они предоставляют входные данные для анализа системы менеджмента со стороны руководства. Эта зависимость является частью цикла постоянного улучшения в компании.
Чтобы успешно пройти надзорные аудиты и ре-сертификацию, необходимо поддерживать в рабочем состоянии внутренние аудиты и следовать политике постоянного улучшения, выделяя для этого необходимые ресурсы.
2. Смена ключевых сотрудников
Лидером внедрения СМИБ является единственный сотрудник. Он же несет ответственность за ее результативность и владеет большинством информации в этой области, которая может заинтересовать аудиторов. В случае, если этот человек покидает компанию, существует риск того, что СМИБ попросту развалится на части. Чтобы предотвратить это, мы рекомендуем назначить запасного сотрудника, который также будет обладать пониманием того, как функционирует СМИБ в вашей организации. Если ваш ключевой менеджер СМИБ перейдет на другую позицию или уволится с работы, его место оперативно сможет занять человек, под руководством которого система продолжит функционировать.
3. Недостаток бдительности
Несомненно, любая компания вздыхает с облегчением после того, как успешно проходит сертификацию, но в некоторых случаях такое "расслабление" может затянуться. ISO 27001 подразумевает, что определенные процессы должны происходить регулярно, а не только во время аудитов - и при этом необходимо наличие объективных свидетельств функционирования СМИБ. Важно понимать, что менеджмент информационной безопасности - непрерывный процесс, являющийся частью организационной культуры, поэтому он должен продолжаться и после того, как компания получила сертификат.
4. Игнорирование изменений во внешней среде
ISO 27001 требует, чтобы любые изменения во внешней среде учитывались при оценке рисков. Когда планируется изменение области сертификации под влиянием внешних факторов, необходимо пересмотреть и актуализировать документацию СМИБ и информировать об этом орган по сертификации для выпуска нового сертификата с учетом изменений.
Перечисленных ошибок легко избежать, регулярно анализируя СМИБ и соблюдая все предусмотренные стандартом механизмы контроля. Создание устойчивой, жизнеспособной основы для функционирования СМИБ может помочь в формировании культуры информационной безопасности в компании и смягчить прохождение надзорных и ре-сертификационных аудитов.
