Voer ISO 27001-oudits uit in ISMS.online

Hoe om 'n bate-inventaris vir ISO 27001 te ontwikkel

Bekendstelling van batevoorraad

Jy moet 'n inventaris van jou organisasie se inligtingsbates skep om:

As ons oor inligtingsbates praat, vind ons dat die meeste mense aan dinge soos skootrekenaars en bedieners dink. Maar daar is baie ander items wat jy sal moet oorweeg. Mense, intellektuele eiendom en selfs ontasbare bates soos jou organisasie se handelsmerk kan alles in jou batevoorraad pas.

Sodra jy jou batevoorraad ontwikkel het, is jou volgende stap om drie oefeninge te onderneem:

  • filter
  • Prioritisering
  • Kategorisering

Dan sal jy die risiko vir jou bates moet karteer deur daardie kategorieë te gebruik wat jy pas geïdentifiseer het.

Die ontwikkeling van jou batevoorraad kan aanvanklik nogal ingewikkeld lyk. Maar as jy gebruik ISMS.aanlyn jy hoef nie regtig die ins en outs te ken voordat jy begin nie.

As dit u eerste is ISO 27001 implementering, sal jy baie baat by ons Virtual Coach-funksie. Hierdie reeks video's is 24/7 beskikbaar op die platform. Dit lei jou deur jou sertifisering reis, insluitend die ontwikkeling van jou batevoorraad.

Wat moet in 'n ISO 27001 bate-inventaris ingesluit word?

Die 2013-weergawe van die inligtingsekuriteitstandaard het 'n duidelike verandering aan die ISO 27001 vereistes wat nou al verwag inligtingsbates om eerder as bloot fisiese bates beskou te word. Dit sluit enigiets van waarde vir die organisasie in waar inligting gestoor, verwerk en toeganklik is, maar dit is die inligting wat van werklike belang is, minder die netwerk of toestel per se, hoewel dit duidelik nog steeds bates is en beskerm moet word:

  • Inligting (of data)
  • Ontasbare goed – soos IP, handelsmerk en reputasie
  • Mense – Werknemers, tydelike personeel, kontrakteurs, vrywilligers ens

En die fisiese bates wat verband hou met hul verwerking en infrastruktuur:

  • Hardeware – Tipies IT-bedieners, netwerktoerusting, werkstasies, mobiele toestelle ens
  • Sagteware – Gekoopte of pasgemaakte sagteware
  • Dienste – Die werklike diens gelewer aan eindgebruikers (bv. databasisstelsels, e-pos, ens.)
  • Liggings en geboue – Terreine, geboue, kantore ens

Enige tipe bate kan logies saamgegroepeer word volgens 'n aantal faktore soos:

  • Klassifikasie – bv publiek, intern, vertroulik ens
  • Inligtingstipe – bv persoonlik, persoonlik sensitief, kommersieel ens
  • Finansiële of nie-finansiële waarde

'n Ouditeur sal verwag om 'n inventaris, of inventarisse, te sien wat alles dek die betrokke bates binne die bestek van die ISMS. Aan elke bate moet 'n eienaar toegeken word en aan elkeen moet 'n klassifikasie toegeken word.

Wie moet die bate-eienaar wees en wat is hul ISO 27001-verantwoordelikhede?

Die eienaar is nie noodwendig die wettige of fisiese houer van die bate nie, maar die persoon wat die verantwoordelikheid en bypassende gesag het om te verseker dat, ten minste:

    • Bates word inventariseer;
    • Bates is korrek geklassifiseer en beskerm;
    • Toegangsbeperkings na die bate en sy klassifikasie word periodiek hersien; en
    • Bates word korrek hanteer wanneer dit uitgevee of vernietig word.

Dag-tot-dag verantwoordelikhede vir Batebestuur (bv. die opdatering van die inventarisse, die uitvoer van oudits, ens.) kan gedelegeer word, maar die uiteindelike verantwoordelikheid om te verseker dat bestuur bly by die betrokke bate Eienaar.

Dit is die bate-eienaar wat verantwoordelik is om die beskermingsvereistes vir die bate te stel, soos toegangsbeperking, in ooreenstemming met organisatoriese beleide en standaarde.

Hoe hou die ISO 27001:2013 bate-inventaris verband met GDPR?

Om te voldoen aan die Algemene databeskermingsregulasie (GDPR) 'n organisasie moet 'n inventaris hou van stelsels wat persoonlik_identifiseerbare_inligting”>persoonlike inligting hou en verwerk. Dit vereis ook dat die risiko's rondom persoonlike data word geïdentifiseer, geassesseer en behandel, so na aanleiding van die ISO 27001:2013 benadering tot bates en risikobepaling beteken dit kan maklik insluit en in lyn gebring word om die in te sluit GDPR vereistes ook.

Moet jy 'n sjabloon of hulpmiddel gebruik om jou bate-voorraad te bestuur?

Daar is baie voorbeeldsjablone vir batevoorraad/registers beskikbaar en dit volg 'n eenvoudige sigbladbenadering wat net so maklik is om self te bou.

'n Sigblad is egter 'n statiese dokument en hoewel dit ideaal is vir finansiële modellering en basiese goed, is dit nie so goed om te demonstreer hoe die bate met die geïdentifiseerde risiko's, die relevante beleide en beheer, of die ander dinamiese werk van 'n inligtingsekuriteitbestuurstelsel.

N goeie tegnologie hulpmiddel vir batevoorraad sal vooraf gekonfigureer wees, met die opsie om aan te pas om by jou eie klassifikasies te pas, jou in staat te stel om eienaars, sperdatums en aanmanings toe te wys en om al die bewyse wat vereis word op een veilige plek vas te lê.

Inligting Bate Inventaris

Oorweeg ook 'n inligtingsekuriteitbestuursinstrument wat jou toelaat om waardes aan jou bates toe te ken, aangesien dit jou sal help om te prioritiseer risikobepalings en verstaan ​​enige potensiële impak van voorvalle, gebeure of oortredings.

Ten slotte, die beste instrumente sal die vermoë hê om die bate maklik aan risiko's op jou te koppel risiko behandeling plan, aan jou ISMS beheer, voorsieningsketting en enige ander aksies in die ISMS wat aantoon dat u bates goed beskerm is.

In werklikheid, in ISMS.aanlyn, Die gebruik van dieselfde kragtige skakeling sal jou op 'n eenvoudige reis neem van inligtingsbate, na risiko, na die beheer wat nodig is in die behandeling van die risiko en dan, dinamies van die beheer tot die opdatering van die Verklaring van toepaslikheid met die regverdiging vir die implementering daarvan. Dit is regtig so eenvoudig met ISMS.aanlyn.

Dus, die bou van jou eie bate sigblad mag dalk geen waargenome koste hê nie, maar sal die uitdaging hê van baie hoër bestuur en koördinering met die ander dele van die ISMS, veral as jy mik na ISO 27001 sertifisering. Of jy kan 'n langer termyn siening inneem en in 'n spesialis batebestuursinstrument belê. Maar hulle is dikwels kompleks en detail swaar. Inligtingsbatebestuur kan heeltyds 'n voltydse werk in eie reg word. En jy sal steeds jou instrument met die res van jou ISMS moet koppel.

In plaas daarvan om na 'n sigblad of 'n alleenstaande spesialishulpmiddel te soek, sal ons aanbeveel om na 'n ISMS-platform te soek wat sy eie bate-inventarishulpmiddel insluit. Dit behoort:

  • Kom vooraf gekonfigureer, maar wees maklik om aan te pas met jou eie klassifikasies
  • Laat u bate-eienaars, en batebestuur-sperdatums en aanmanings toewys
  • Vang bewyse vir interne en eksterne oudits dinamies op een veilige plek vas

Dit moet jou ook toelaat om waardes aan jou bates toe te ken. Dit sal jou help om risikobeoordelings te prioritiseer en die potensiële impak van enige veiligheidsvoorvalle, gebeure of oortredings. En jy moet in staat wees om deur te skakel na jou risiko behandeling plan en verder.

Dit is die soort skakeling wat ISMS.online jou toelaat. Jy kan beweeg van 'n inligtingsbate, na 'n risiko wat dit in die gesig staar en na die beheer wat daardie risiko hanteer. Dan kan jy van daardie beheer na jou Verklaring van toepaslikheid, wat dit bywerk met die regverdiging vir die implementering daarvan.

Dit is so eenvoudig.

« ISO 27001 Risiko-evaluering

Bou stabiele, veilige verskafferverhoudings »

Laas geredigeer: 11 April 2023
skrywer

Julia Heron

Julia is die ISMS.online Solutions Specialist vir ondernemingskliënte en werk saam met organisasies om hulle te help met hul voldoeningsdoelwitte.

Sien alle plasings deur Julia Heron

Verwante poste

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind