Australië se departement van onderwys, vaardighede en indiensneming (DESE) geskep RFFR (Reg Fit for Risk) aan die einde van 2019. Hierdie sertifiseringsprogram het ten doel om te verseker dat verskaffers, soos opvoedkundige instellings, aan DESE se kontraktuele vereistes vir inligtingsekuriteit voldoen.
Die RFFR-skema het ten doel om ISO/IEC 27001 se basislynvereistes aan te vul met bykomende kontroles wat deur die Australiese regering se Handleiding vir inligtingsekuriteit (ISM) met die ontwikkelende wetlike, sekuriteits- en tegniese vereistes vir inligtingsekuriteitbestuurstelsel (ISMS) vir verskaffers.
Jy moet ook 'n ontwikkel Verklaring van toepaslikheid (SoA) wat jou maatskappy se unieke veiligheidsrisiko's en -eise in ag neem en die toepaslikheid van voorsorgmaatreëls uiteengesit in die Australiese Inligtingsekuriteitshandleiding. RFFR kernelemente moet in ag geneem word, soos die Australiese kuberveiligheidsentrum se Essential Eight tegnieke, data-soewereiniteit en personeelsekuriteit.
Die DESE het 'n mandaat gegee dat organisasies aan hul inligtingsekuriteitbestuurstelsel (ISMS) skema moet voldoen, en dus as 'n DESE ISMS erken word.
'n ISMS verskaf die gereedskap wat jy nodig het om jou maatskappy se inligting te beskerm en te bestuur deur doeltreffende risikobestuur.
Dit maak voldoening aan baie wette, regulasies en sertifiseringskemas moontlik en fokus op die beskerming van drie sleutelaspekte van inligting; Vertroulikheid, Integriteit en Beskikbaarheid.
ISO 27001 is 'n wêreldwyd-erkende, universele standaard. Dit is geskep om organisasies te help om hul inligting doeltreffend en sistematies te beskerm.
Dit bied aan enige organisasie, ongeag grootte of sektor, 'n kubersekuriteitsraamwerk en 'n benadering om jou belangrikste inligtingsbates te beskerm.
Ons geïntegreerde bestuurstelsel sluit risikobestuursinstrumente en 'n vooraf ingevulde risikobank in, wat jou toelaat om ISO 27001 Bylae A volgens jou maatskappy se vereistes aan te neem, aan te pas en by te voeg.
Die ISMS.online risikokaartinstrument gee 'n volledige bo-na-onder-aansig van organisatoriese risiko. Dit karteer die risikofaktore en geleenthede in jou organisasie se strategiese doelwitte en doelwitte. Dit laat jou toe om 'n deeglike gapingsanalise uit te voer.
Verder maak ISMS.online voorsiening vir die monitering van jou organisasie se inligtingsekuriteitsrisiko's, postuur en ISO 27001-voldoening. Die intelligente paneelbord is intuïtief en toeganklik deur 'n webblaaier sodat jy jou inligtingsekuriteitstatus enige tyd en oral kan sien.
Tydens die RFFR ISMS-sertifiseringsproses sal ouditeure u stelsels en ondersteunende dokumentasie ondersoek. Organisasies moet dus by drie sleutelmylpale regdeur die akkreditasieproses aanmeld.
Verskaffers kan die mylpale gebruik om hul organisasie se huidige kubersekuriteitsvlak te bepaal en areas vir verbetering te identifiseer.
Verskaffers en Subkontrakteurs word in kategorieë geklassifiseer om akkreditasie te verkry deur die Reg Fit For Risk (RFFR) benadering te gebruik.
Om uit te vind watter kategorie op jou van toepassing is, sal beteken dat jy die volgende risikofaktore moet oorweeg (onder andere):
kategorie | kategorie 1 | Kategorie 2A | Kategorie 2B |
---|---|---|---|
Jaarlikse saaklading | 2,000 of meer | Onder 2,000 | Onder 2,000 |
Risikoprofiel | Groter risiko | Medium risiko | lae risiko |
Grondslag van akkreditasie | ISO 27001 voldoen aan ISMS (Inligting Sekuriteit Bestuur System) - onafhanklik gesertifiseer | ISO 27001 voldoen aan ISMS – self-geassesseer | Bestuursverklaringsbrief |
Akkreditasie instandhouding | Jaarlikse toesigoudit en driejaarlikse hersertifisering | Jaarlikse selfevaluering | Jaarlikse bestuursbeweringsbrief |
Mylpale om te voltooi | 1, 2 en 3 | 1,2 en 3 | 1 en 3 |
Die eerste mylpaal en stap moet altyd 'n besigheidsvolwassenheidbeoordeling wees. Die Australiese Seinedirektoraat (ASD) Essential Eight-volwassenheidsmodel bepaal hoe jou organisasie inligting gebruik en sekuriteit bestuur. Jou organisasie se aanvanklike inligtingsekuriteitsvolwassenheid word geassesseer teen die ASD Essential Eight-volwassenheidsmodel.
Om mylpaal 2 te bereik, sal jy 'n pasgemaakte inligtingsekuriteitbestuurstelsel nodig hê bykomend tot volle ISO 27001-nakoming en akkreditasie.
Jy sal ook 'n Verklaring van Toepaslikheid (SoA) onder mylpaal 2 benodig. ISO 27001 klousule 6.1.3 merk op die behoefte aan SoA, wat losweg verstaan kan word as 'n kontrolelys vir die 114 sekuriteitskontroles wat ontwerp is om spesifieke risiko's aan 'n organisasie aan te spreek.
Jy moet demonstreer dat die ISMS- en ISO 27001-kontroles (waar van toepassing op die organisasie) is effektief geïmplementeer om mylpaal 3 te slaag.
Vind uit hoe maklik dit is om jou
voldoening aan RFFR op ISMS.online
Bespreek jou demo
’n Organisasie en al sy subkontrakteurs wat RFFR-geakkrediteer is, moet hul sertifiseringstatus behou deur jaarverslae in te dien en gemonitor te word vir voldoening aan RFFR-standaarde.
'n Organisasie met 'n bestaande akkreditasie moet die jaarlikse en driejaarlikse oudits voltooi volgens die datums waarop die akkreditasie toegeken is.
Akkreditasie Tipe | Jaarliks | Elke 3 jaar |
---|---|---|
Gesertifiseerde ISMS (Kategorie 1-verskaffers en derdeparty-diens- en vaardigheidstelselverskaffers) | Toesigoudit of verandering van omvang oudit deur Sertifiserende Assesseringsliggaam (CAB) wat die Verskaffer of TPES-verskaffer se bygewerkte SOA dek | Hersertifisering deur CAB (Konformiteitsbeoordelingsliggame)
Verskaffer of TPES verskaffer herakkreditasie deur DESE |
Self-geëvalueerde ISMS (Kategorie 2A Verskaffers) | Selfevalueringsverslag (insluitend beskrywing van veranderinge sedert laaste verslag) wat die Verskaffer se bygewerkte SOA dek
DESE bepaal of dit nodig is om op te skaal na 'n gesertifiseerde ISMS | Selfevalueringsverslag Herakkreditasie deur DESE |
Bestuursverklaring (Kategorie 2B Verskaffers) | Jaarlikse Bestuursverklaringsbrief (insluitend beskrywing van veranderinge sedert laaste attestasie)
DESE bepaal of dit nodig is om op te skaal tot 'n self-evalueerde ISMS | Bestuursverklaringsbrief Herakkreditasie deur DESE |
Die RFFR-benadering vereis dat jy 'n stel kernsekuriteitstandaarde daarstel en in stand hou om jou sekuriteitsposisie te handhaaf en te verbeter.
Die Australiese Essential Eight Cyber Security-strategieë en kernverwagtinge sal jou organisasie help om 'n robuuste sekuriteitsraamwerk te skep.
Onder RFFR-vereistes het jy sekere prosesse waaraan jy moet voldoen wanneer jy nuwe mense in diens neem:
Organisasies moet verseker dat fisiese sekuriteitsmaatreëls die risiko verminder dat inligting en fisiese bates:
Alle organisasies moet aan fisiese sekuriteitsvereistes voldoen. Fasiliteite moet van kommersiële gehalte wees en in Australië geleë wees. Om van die huis af te werk, vereis dat organisasies verseker dat die tuisomgewing net so veilig soos die kantooromgewing is om personeel, programdata en IT-hardeware te beskerm.
Organisasies moet sekuriteitsmaatreëls implementeer om kubersekuriteit te verseker, insluitend die 'Essential Eight' kubersekuriteitstrategieë, inligtingsekuriteitsrisikobestuur, inligtingsekuriteitmonitering, bestuur van kubersekuriteitsinsidente en beperkte toegangsbeheer.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Om organisasies te help om hul inligtingsekuriteit in orde te kry, het The Australiese kuberveiligheidsentrum (ACSC) het die 'Essential Eight'-strategieë ontwikkel om besighede te help beskerm.
’n Organisasie se kuberveiligheidsrisikoprofiel moet bepaal word, en planne moet ontwikkel word om teikenvlakke vir elk van die Essential Eight kubersekuriteitstrategieë te bereik.
Dit is belangrik om daarop te let dat die Essential Eight verpligtend sal wees vir alle Australiese federale regeringsagentskappe en -departemente.
Ongemagtigde programme word verhoed om op jou stelsel uit te voer deur die uitvoering daarvan te beheer. Dit verhoed dat onbekende en potensieel kwaadwillige programme op jou stelsel uitgevoer word.
Toepassings kan uitgebuit word om kwaadwillige kode uit te voer as hulle sekuriteitskwesbaarhede het. Om jou omgewing veilig te hou, vereis die gebruik van die nuutste weergawe van toepassings en die toepassing van pleisters onmiddellik nadat kwesbaarhede geïdentifiseer is.
Slegs makro's van vertroude liggings met beperkte skryftoegang of dié wat met 'n vertroude sertifikaat onderteken is, sal toegelaat word om te loop. Hierdie strategie blokkeer kwaadwillige kode wat deur Microsoft Office-makro's gelewer word.
Kwesbare funksionaliteit moet beskerm word deur onnodige kenmerke in Microsoft Office, webblaaiers en PDF-kykers te verwyder. Flits, advertensies en Java-inhoud is algemene voertuie vir die lewering van kwaadwillige kode.
Administrateurrekeninge het die sleutels tot jou IT-infrastruktuur en vereis dus beperkte toegang. Die aantal administrateurrekeninge en die voorregte wat aan elkeen toegeken word, moet tot die minimum beperk word.
Bedryfstelsels kan verder gekompromitteer word deur bekende sekuriteitskwesbaarhede. Dit is belangrik om hierdie probleme reg te stel sodra hulle geïdentifiseer is. U kan die omvang van kubersekuriteitsoortredings beperk deur die nuutste bedryfstelsels te gebruik en sekuriteitsreëlings toe te pas sodra dit geïdentifiseer is. Vermy die gebruik van verouderde bedryfstelsels.
Sterk gebruikersverifikasie maak dit moeiliker vir aanvallers om toegang tot inligting en stelsels te kry. MFA vereis 'n kombinasie van twee of meer faktore, insluitend geheime inligting (soos 'n wagwoord en ID-kombinasie), 'n datagebonde fisiese toestel (soos 'n vingerafdruk-gebaseerde stawingtoepassing op 'n geregistreerde slimfoon of 'n eenmalige SMS-kode) , en 'n datagebonde fisiese persoon (soos gesigsherkenning of vingerafdrukke).
'n Rugsteunstrategie word gebruik om kritieke data en stelsels te bewaar. Hierdie strategie verseker dat toegang tot inligting verkry kan word na 'n kuberveiligheidsvoorval.
Data-, sagteware- en konfigurasie-instellings word gerugsteun en apart van jou hoofomgewing gestoor. Die rugsteun word gereeld getoets om te verseker dat dit herwin kan word en dat alle kritieke data by die rugsteunprogram ingesluit is.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
'n Organisasie moet 'n formele benadering tot bestuur van inligtingsekuriteitvoorvalle ontwikkel wat voldoen aan die aanbevelings van die Inligtingsekuriteitshandleiding (ISM).
'n Organisasie se Hoofinligtingsekuriteitsbeampte, Hoofinligtingsbeampte, kubersekuriteitskundige of inligtingstegnologiebestuurder kan die ISM gebruik om 'n kubersekuriteitsraamwerk te ontwikkel om hul inligting en stelsels teen kuberbedreigings te beskerm.
Toepaslike insidentopsporing en reaksiemeganismes moet geïmplementeer word om kubervoorvalle aan interne en eksterne belanghebbendes aan te teken en aan te meld.
Dit is noodsaaklik vir organisasies om te onthou dat hulle verantwoordelik bly om te verseker dat enige subkontrakteurs wat dienste namens hulle lewer, die organisasie se sekuriteitstandaarde nakom, nakom en handhaaf.
'n Organisasie moet erken dat eksterne partye wat dienste aan of namens die organisasie verskaf die potensiaal kan hê om toegang te verkry tot persele, stelsels of inligting wat beskerming vereis. Organisasies moet verseker dat RFFR-sekuriteitsvereistes in plek is en reg deur hul voorsieningsketting funksioneer.
Enige maatskappy wat 'n derdeparty-toepassing of wolkdiens gebruik om vertroulike data te verwerk, te berg of te versprei, moet verseker dat die stelsel veilig is voordat dit in gebruik geneem word. Voordat organisasies enige derdeparty-sagteware of -diens gebruik, moet organisasies die risiko self beoordeel en toepaslike sekuriteitskontroles implementeer.
ISMS.online kan jou help om aan jou organisasie se inligtingsekuriteitsvereistes en voldoeningsvereistes te voldoen deur jou te help met jou inligtingsekuriteitimplementering om jou sekuriteitsgapings en sekuriteitsprosesse te assesseer.
Om jou te help om jou RFFR ISMS-doelwitte te bereik, sluit ons belangrikste voordele in:
Vind uit hoe maklik dit is met ISMS.online – bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Sedert ons migreer kon ons die tyd wat aan administrasie bestee word, verminder.