Много често чувам неща за ISO 27001 и не знам дали да се смея или да плача над тях.
Всъщност това е смешно, как хората са склонни да вземат решения за нещо, за което те знаят много малко - тук са най-често срещаните заблуди
"Стандарт изисква ..."
"Стандартът изисква паролите да се сменят на всеки 3 месеца." "Стандартът изисква да съществуват множество доставчици." "Стандартът изисква сайтът за възстановяване след бедствие да бъде най-малко 50 км от главния сайт."
Наистина ли? Стандартът не казва подобно нещо. За съжаление, този вид невярна информация, аз чувам доста често - хората обикновено бъркат добрите практики с изискванията на стандарта, но проблемът е, че не всички правила за сигурност са приложими за всички видове организации.
И хора, които твърдят, че това е предписано от стандарта, вероятно никога не са чели стандарта.
"Ще оставим ИТ отдела да се справи"
Това е любимото за мениджърите - "Информационната сигурност е изцяло свързано с ИТ, не е ли така?" Е добре, не е истина - най-важните аспекти на информационната сигурност включват не само ИТ мерки, но също така и организационни въпроси и управление на човешките ресурси, които обикновено са извън обсега на ИТ отдела.
“Ние ще го внедрим за няколко месеца"
Бихте могли да внедрите своето ISO 27001 за 2 или 3 месеца, но то няма да работи - вие ще получите само един куп политики и процедури, за които никой не му пука. Внедряване на информационна сигурност означава, че вие трябва да въведете промени, и отнема време промените да сработят..
Да не говорим, че вие трябва да внедрите само тези контроли, които наистина са необходими, а анализът за това, кое е наистина необходимо, отнема време - това се нарича оценка на риска и третиране на риска.
"Този стандарт е изцяло за документирането"
Документацията е важна част от изпълнението на ISO 27001, но документацията не е самоцел. Основното е, че вие извършвате вашите дейности по сигурен начин, и документацията е тук, за да ви помогне да го направите.
Също така, записите, които вие генерирате, ще ви помогнат да оцените дали постигнете целите си за сигурност на информацията и да ви даде възможност за коригиране на тези дейности, които са неадекватни.
"Единствената полза от стандарта е за маркетингови цели"
"Ние правим това само за да получим сертификат, не е ли така?" Е, 80% от фирмите смятат, че това е (за съжаление) пътят.
Аз не се опитвам да се споря тук, че ISO 27001 не трябва да се използва за промоционални и продажбени цели, но можете също така да постигне и други много важни предимства - като например предотвратяване да ви се случи историята с WikiLeaks,.
Въпросът тук е - четете ISO 27001 първо преди да формират мнението ви за него, или ако това е твърде скучно за четене за вас (което аз признавам, че е), консултирайте се с някой, който има реални познания за него. И се опитайте да получите някои други ползи освен маркетинговите.
С други думи, увеличете шансовете си да направите изгодна инвестиция в сигурността на информацията.
http://www.mscservices.eu/
"Ние правим това само за да получим сертификат, не е ли така?" Е, 80% от фирмите смятат, че това е (за съжаление) пътят.
Аз не се опитвам да се споря тук, че ISO 27001 не трябва да се използва за промоционални и продажбени цели, но можете също така да постигне и други много важни предимства - като например предотвратяване да ви се случи историята с WikiLeaks,.
Въпросът тук е - четете ISO 27001 първо преди да формират мнението ви за него, или ако това е твърде скучно за четене за вас (което аз признавам, че е), консултирайте се с някой, който има реални познания за него. И се опитайте да получите някои други ползи освен маркетинговите.
С други думи, увеличете шансовете си да направите изгодна инвестиция в сигурността на информацията.
http://www.mscservices.eu/
Няма коментари:
Публикуване на коментар