публикация: Деян Кошутич
Очень часто я слышу вещи о ISO 27001 и не знаю - смеяться или плакать над ними. На самом деле это смешно, как люди склонны принимать решения о чем-то они знают очень мало - вот наиболее распространенные заблуждения:
"Стандарт требует ..."
"Стандарт требует чтобы пароли менялись каждые три месяца." "Стандарт требует, чтобы несколько поставщиков должны существовать." "Стандарт требует чтобы сайт аварийного восстановления был на не менее 50 километров от основного сайта."
Действительно ли это? Стандарт не говорит ничего подобного. К сожалению, такого рода ложную информацию я слышу довольно часто - люди, как правило путают наилучшую практику с требованиями стандарта, но проблема в том, что не все правила безопасности применимы для всех типов организаций. И люди, которые утверждают, что это предписано стандартом, наверное, никогда не читали стандарта.
"Мы оставим ИТ-отдела справиться с этим"
Это любимое руководству - "Информационная безопасность относится исключительно к ИТ, не так ли?" . Ну, не совсем - наиболее важные аспекты информационной безопасности включают в себя не только ИТ-мер, но и организационные вопросы, и управление человеческими ресурсами, которые обычно находятся вне досягаемости ИТ-отдела.
"Мы сможем внедрить его в течение нескольких месяцев"
Вы смогли бы внедрить ISO 27001 в течение 2 или 3 месяца, но он не будет работать - вы только получите кучу политик и процедур, о которых никто не заботится . Внедрение информационной безопасности означает, что надо внести изменения и требуется время чтобы эти изменения сработали. Не говоря уже о том, что вы должны внедрить только те механизмов контроля безопасности, которые действительно необходимы, и анализ того, что действительно необходимо, требует времени, - это называется оценка рисков и уменшение рисков.
===================================
www.mscservices.eu - Ваши ISO консультанты
==================================="Этот стандарт относится исключительно к документации"
Документация является важной частью внедрения ISO 27001, однако документация не самоцель. Самое главное, что вы выполняете свою деятельность безопасным способом и документация находится здесь, чтобы помочь вам сделать это.
Кроме того, записи, которые вы производите, помогут вам оценить достигнули ли вы ваши цели для обеспечения информационной безопасности и даст вам возможность исправить те деятельности, которые являются неадекватными.
"Единственное преимущество стандарта - это для маркетинговых целей"
"Мы делаем это только для получения сертификата, не так ли?". Ну, этим (к сожалению) способом 80 процентов компаний думают. Я не пытаюсь утверждать здесь, что ISO 27001 не должны использовать в рекламных и в целях продажи, но вы можете также достигнуть другие очень важные преимущества - например для предотвращения случая WikiLeaks в вашей организации.
Дело в том - прочитайте ISO 27001, прежде чем вы формируете свое мнение о нем, или если слишком скучно для Вас читать его (я признаю -это правда), проконсультируйтесь с тем, кто имеет некоторые реальные знания о нем. И постарайтесь получить и некоторые другие преимущества, кроме маркетинговых.
Другими словами, увеличайте свои шансы сделать выгодные инвестиции в области информационной безопасности.
www.mscservices.eu - Ваши ISO консультанты
Заплахите за организацията трябва да бъдат идентифицирани. Това може би е очевидно за наводнения, пожари, бомбени заплахи, терористични действия, бури и други въздействия от околната среда (например силен снеговалеж). Може би е добре да се разгледат и други. Какво ще стане ако ключовите служители са в синдиката и изведнъж спечелят лотарията Евромилион, тогава те все още ще бъдат ли на работа в понеделник? Какво ще стане, ако ключов клиент обяви банкрут или основен доставчик пострада от земетресение? Всички тези заплахи трябва да бъдат взети под внимание.