Inligtingsekuriteit (infosec) verwys na beleide, prosesse en gereedskap wat ontwerp en ontplooi is om sensitiewe besigheidsinligting en databates teen ongemagtigde toegang te beskerm. Daar is drie kernaspekte van inligtingsekuriteit: vertroulikheid, integriteit en beskikbaarheid. Dit staan bekend as die CIA-triade.
Inligtingsekuriteit (infosec) verwys na beleide, prosesse en gereedskap wat ontwerp en ontplooi is om sensitiewe besigheidsinligting en databates teen ongemagtigde toegang te beskerm. Daar is drie kernaspekte van inligtingsekuriteit: vertroulikheid, integriteit en beskikbaarheid. Dit staan bekend as die CIA-triade.
Infosec-beleide stel 'n lys reëls vas vir werknemers en ander belanghebbendes (bv. verskaffers) om te volg waar toepaslik. Dit sluit in, maar is nie beperk tot:
'n Pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte
Daar is amper geen verskil tussen 'n robuuste stel infosec-beleide wat nie nagekom word nie, en hoegenaamd geen infosec-beleide nie. Besighede en organisasies het hul werknemers nodig om te verstaan wat vereis word van hulle. Alle werknemers sal hul bewustheid en voldoening aan die relevante inligtingsekuriteitsbeleide moet demonstreer.
Dit is die verantwoordelikheid van die aangewese Hoofinligtingsekuriteitsbeampte (CISO) of Inligtingsekuriteitsbestuurder (ISM) binne 'n organisasie om te verseker dat alle werknemers en stelsels voldoen aan die reëls wat in die inligtingsekuriteitsbeleide uiteengesit word.
Voordat 'n maatskappy enige infosec-beleide implementeer, moet dit die doelwitte van beide die organisasie en beleid definieer. Enige teenstrydighede in 'n infosec-raamwerk kan die inligtingsekuriteitsbeleid ondoeltreffend maak. Inligtingsekuriteitsbeleide moet gereeld deur 'n organisasie hersien en verander word. Hierdie veranderinge moet enige verandering in daardie organisasie se risiko's, werkspraktyke en nuwe tegnologieë weerspieël, om 'n paar te noem.
Dit kan bewerkstellig word deur die organisasie hul bestaande beleidsdokumentasie aan te neem, aan te pas en by te voeg inligting-sekuriteit bestuurstelsel (ISMS). Dit laat inligtingsekuriteitsbeleide toe om op datum te bly, omvattend, konsekwent en prakties te bly.
Goed gevestigde infosec-beleide laat alle belanghebbendes en werknemers die organisasie se inligtingsekuriteitsraamwerk verstaan. Die sleutelvrae wat 'n beleid moet beantwoord is:
Hierdie beleide wys ook hoe organisatoriese risiko versag kan word. Dit sluit in om te help:
Vestiging van 'n raamwerk vir beleid is belangrik vir jou inligtingsekuriteit. 'n Raamwerk laat jou toe om aksie te neem om ooreenstemming af te dwing. Vir 'n inligtingsekuriteitsbeleid om suksesvol te wees, sal dit opgedateer moet word in reaksie op enige veranderinge in:
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Van die rak inligtingsekuriteitsbeleide is wyd beskikbaar. Een grootte pas egter nie almal nie. Verskillende organisasies en nywerhede het verskillende standaarde en regulatoriese vereistes. Die CISO moet hul organisasie se wetlike verpligtinge in ag neem wanneer inligtingsekuriteitsbeleide geskep of aanvaar word. As 'n organisasie net met openbare data handel, sal dit 'n heeltemal ander stel regulatoriese vereistes hê as dié van 'n regeringsagentskap of beperkte maatskappy.
Wanneer 'n organisasie hom daartoe verbind om te wen ISO 27001 sertifisering, sal dit riglyne vir sy inligtingsekuriteitsbeleide moet uiteensit. Dit word gedoen deur 'n topvlak inligtingsekuriteitsbeleid te skep.
Die inligtingsekuriteitsbeleid wat 'n organisasie skep, is die dryfkrag van daardie organisasie se ISMS (inligtingsekuriteitbestuurstelsel). Dit stel die Raad s'n uiteen beleid en vereistes ten opsigte van inligtingsekuriteit. Dit hoef slegs 'n kort dokument te wees, maar moet in lyn wees met die organisasie se waardes. Wanneer mik na bereik ISO 27001 sertifisering, moet die ISMS ook aan die vereistes van die standaard voldoen.
Die beleidsverklaring moet vereis dat alle personeel deelneem, terwyl dit ook die deelname van alle ander buite-belanghebbendes wat toegang het tot die organisasie se inligting en stelsels. Wanneer dit oorweeg word veiligheidsbeleid, moet die Direksie oorweeg hoe dit die besigheid se belanghebbendes sal raak, plus die voordele en nadele wat die besigheid as gevolg hiervan sal ervaar.
ISO 27001 vereis u om u inligtingsrisiko's te identifiseer, te evalueer en dan tot 'n aanvaarbare vlak te verminder deur die gebruik van die kontroles wat in u ISMS uiteengesit is. Dit sal jou inligtingsekuriteitsposisie verbeter, en terwyl dit nie die uitskakel nie moontlikheid van 'n oortreding, dit verminder die waarskynlikheid van voorkoms en/of die impak van 'n oortreding en gee jou prosesse om te volg in die geval van een.
’n UKAS-geakkrediteerde ISO 27001-sertifisering sal kliënte, reguleerders en ander belanghebbendes versekering gee dat jy inligtingsekuriteit doeltreffend bestuur. Dit is die internasionaal erkende beste praktyk ISMS-standaard en gee jou 'n raamwerk om voor te volg bestuur van alle inligtingsbates, nie net persoonlike data vir GDPR nie.
Baie van die verpligte vereistes van BBP word deur ISO 27001 aangespreek, so jy is reeds 'n groot stap in die rigting van die implementering daarvan wanneer nakoming aangespreek word. Anders gestel; as jy reeds in lyn is met die ISO 27001-standaard, is jy ook 'n belangrike pad vorentoe in die bereiking van GDPR-voldoening.
Doel: Dit is waar die organisasie sy doel van die beleid uiteensit en hoe hy beplan om dit te doen.
Omvang: Die organisasie definieer wat die beleid sal dek, soos netwerke, liggings, gebruikers en verskaffers.
Sekuriteitsdoelwitte: Die organisasie skep goed gedefinieerde doelwitte rakende sekuriteit en strategie waaroor bestuur 'n ooreenkoms bereik het.
Wetgewing: Dit is ook belangrik dat die inligtingsekuriteitsbeleid verwysings insluit na die relevante wetgewing of sertifisering wat die maatskappy binne of waarheen werk, soos die ISO 27001-sertifisering.
Ander dinge kan by inligtingsekuriteitsbeleide ingesluit word. Dit kan egter verskil na gelang van jou organisasie, sy aktiwiteite en behoeftes, ens. Vir 'n volledige lys van ISO 27001-bylaes en -beleide, kliek hier.
Laai jou gratis gids vir vinnige en volhoubare sertifisering af
Ons benodig net 'n paar besonderhede sodat ons vir jou jou gids kan e-pos om die eerste keer ISO 27001 te bereik
Laai jou gratis gids nou af en as jy hoegenaamd enige vrae het, dan Bespreek 'n demo or Kontak Ons. Ons help graag.
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering
Daar is baie elemente van inligtingsekuriteitsbeleid.
'n CISO sal die omvang van hul inligtingsekuriteitsbeleide moet bepaal. Dit sluit in, maar is nie beperk nie tot:
ISMS.online verskaf al die bewyse agter die inligtingsekuriteitsbeleide wat in die praktyk werk en sluit 'n sjabloon topvlak inligtingsekuriteitsbeleid in vir organisasies om aan te neem, aan te pas of by te voeg om vinnig en maklik aan hul vereistes te voldoen.
Die ISMS.aanlyn platform sluit 'n benadering tot risikobestuur in. Dit voorsien die gereedskap vir die identifisering, assessering, evaluering en beheer van inligtingverwante risiko's deur die vestiging en instandhouding van 'n ISMS volgens die ISO 27001-standaard. Opsioneel kan jy ook voordeel trek uit die ISO 27001 Virtual Coach wat kundige leiding bied vir elk van die ISO 27001 vereistes en kontroles.
