چالشهای ISO 27001
گزارش جهانی استاندارد ISO 27001-مدیریت امنیت اطلاعات-۲۰۱۸-بخش اول
زمان اجرا/ پیاده سازی ISO 27001 کدام چالشهای اصلی را در نظر میگیرید؟
دریافت/ اخذ و حفظ و نگهداری گواهینامه معتبر ISO 27001 میتواند چالش برانگیز باشد، و بسیاری از سازمانها در حال مبارزه با زمینه های کلیدی اجرای ISO 27001 هستند.
امنیت زنجیره تأمین ISO 27001
آیا هریک از مشتریان شما در ارتباط با وضعیت ISO 27001 شما در ۱۲ ماه گذشته سؤالی پرسیده اند؟
آیا سازمان شما انتظار دارد که تأمین کنندگان آنها در طی ۱۲ ماه گذشته با استاندارد ISO 27001 سازگار شوند؟
کنترلهای امنیتی خاص تأمین کننده میتواند از یک عرضه کننده به عرضه کننده متفاوت باشد، اما با استاندارد ISO 27001، تمامی تأمین کنندگان با استفاده از همان مجموعه از کنترلها مورد ممیزی قرار میگیرند.
با دادن اجازه به سازمانها جهت اطمینان مشتریان و تأمین کنندگانی که بهترین و تجربه شده ترین فرآیندهای امنیت اطلاعات را اجرا کرده اند، گواهینامه ISO 27001 نقش حیاتی در تضمین زنجیره تأمین ایفا میکند و به سازمانها کمک میکند تا کسب وکار و فرصتهای جدید خلق کنند.
۶۷ درصد از پاسخ دهندگان به تأمین کنندگانی نیاز دارند تا مدارک مربوط به انطباق امنیت اطلاعات را یا از طریق ممیزها یا با گواهینامه ISO 27001 ارائه دهند.
خط زمانی گواهینامه ISO 27001
مدت زمانی که سازمان شما جهت دریافت/ اخذ گواهینامه ISO 27001 سپری کرده است؟
پروژه های ISO 27001 از لحاظ زمانی متفاوت هستند:
هزینه گواهینامه ISO 27001
اگر مقدار آن را تعیین کرده اید، در سال اول صدور گواهینامه، –به استثناء هزینه های صدور– سازمان چه میزان برای پیاده سازی سیستم مدیریت امنیت اطلاعات منطبق با استاندارد ISO 27001 هزینه کرده است؟
هزینه تقریبی کل هزینه های صدور گواهینامه چه میزان است؟ (مبلغ پرداختی به سازمان صادرکننده گواهینامه در آخرین دوره صدور گواهینامه)
بسیاری از پاسخ دهندگان (۵۶%) هزینه های خود را محاسبه و ثبت نکرده اند. اما برای کسانی که نسبت به محاسبه و ثبت هزینه های خود اقدام کرده بودند، هزینه متوسط بین ۵۰۰۰ تا ۲۰۰۰۰ پوند بود. این رقم در طی سه سال گذشته ثابت مانده است.
گزارش شده است بیش از یک چهارم هزینه تقریبی کل هزینه های مربوط به صدور گواهینامه که به سازمان صادرکننده گواهینامه در آخرین دوره پرداخت شده است، بین ۵۰۰۰ تا ۱۰۰۰۰ پوند بود.
باتوجه به اینکه ۴۹.۴۶% از پاسخ دهندگان موافقت خود را در ارتباط با هزینه پیاده سازی ISO 27001 -که به طورکامل از طریق منافع تأمین میشود- اعلام کردند، با این وجود، صرف این هزینه ها سرمایه گذاری ارزشمندی محسوب میشود. گزارش شده است که ۲۹.۰۳% از این هزینه ها هم راستا با سایر سیستمهای مدیریتی است.
ISO 27001 و مخاطره سایبری
باوجود اجرا/ پیاده سازی استانداردهای سطح بالا از امنیت اطلاعات، احتمال اینکه سازمان شما هدف حمله سایبری قرار گیرد و یا از نقض داده ها رنج برد چه میزان است؟
کسانی که در زمینه امنیت اطلاعات و امنیت سایبری مشغول به کار هستند، متوجه خواهند شد که تمامی مخاطره ها –به طور خاص مخاطره های سایبری- به طور مستمر در حال تکامل هستند و احتمال وقوع حمله قابل توجه است. متأسفانه، تا زمانی که جرایم سایبری همچنان یک تجارت سودآور باقی بماند، خطرات همچنان رو به افزایش است و مهاجمان نیز به تکثیر خود ادامه خواهند داد. ISO 27001 یک استاندارد امنیت اطلاعات است که برای به حداقل رساندن خطرات و کاهش خسارت طراحی شده است و نیاز است که سازمانها آمادگی لازم را در این خصوص ارائه دهند. اما مهاجمان همچنان سازمانها را مورد هدف قرار خواهند داد.
برای اینکه از یک حمله احتمالی سایبری در امان باشید و توانایی مقابله با آن را داشته باشید، آیا برنامه های مدیریت تداوم کسب وکار و پاسخگویی به حادثه را اجرا کرده اید؟
علیرغم افزایش امنیت اطلاعات، سازمانها هنوز آسیب پذیر هستند و تقریباً نیمی از آنها (۴۵%) بیان کرده اند که با وجود اجرای استانداردهای سطح بالا امنیت اطلاعات، اعتقاد دارند که احتمال اینکه سازمان آنها قربانی یک حمله سایبری قرار گیرد و یا از یک نقض داده رنج ببرد وجود دارد.
در نتیجه، اکثریت قریب به اتفاق (۸۳%) از پاسخ دهندگان، برای مواجهه با یک حمله احتمالی سایبری برنامه های مدیریت تداوم کسب وکار و پاسخگویی به حادثه را پیاده سازی کرده اند.
متخصصان امنیتی آیندهگر به خوبی میدانند که برنامه های مدیریت تداوم کسب وکار و مدیریت پاسخگویی به حوادث جزء عناصر حیاتی از یک استراتژی تابآور سایبری هستند و شناسایی نیاز جهت آمادگی در برابر هر نوع فاجعهای لازم است. همانطورکه تهدید سایبری رشد میکنند، سازمانها باید اقدامهای لازم را در اختیار داشته باشند تا بتوانند به سرعت به چنین حملاتی پاسخ دهند و در کوتاهترین زمان ممکن و با کمترین میزان پیامد کسب وکار را بهبود بخشند.
کدامیک از مجموعه کنترل عمومی/ امنیت سایبری اضافی زیر، به جزء موارد ارائه شده توسط ISO 27001:2013 پیوست الف، را در سیستم مدیریت امنیت اطلاعات خود استفاده میکنید؟ (در صورت وجود)
علاوه بر استاندارد ISO 27001:2013، مجموعه کنترلهای الزامهای سایبری (۳۹%)، استانداردهای امنیت اطلاعات کارتهای پرداخت با (۳۴%) و مؤسسه ملّی استانداردها و فناوری با (۲۹%) جزء محبوبترین کنترلها هستند. همچنین ۳۰% درصد از پاسخ دهندگان استفاده از کنترلهای خاص صنعت/ کشور یا دیگر کنترلهای شرکتی را گزارش کرده اند.
گواهی ISO 27001 یک معیار مؤثر برای حفاظت از اطلاعات شما، شهرت شما و کسب وکار شما از آسیبهای ناشی از نقض اطلاعات است.
با پیاده سازی محافظتهایی که به جای نقاط ضعف خاص، روندها را ردیابی میکنند، میتوانید خطر ابتلا به هر نوع حملهای را کاهش دهید.
ISO 27001 و قانون حفاظت از داده های عمومی
آیا اجرای سیستم مدیریت امنیت اطلاعات سازگار با استاندارد ISO 27001 شما را قادر میسازد مطابق با الزامهای امنیت اطلاعات قانون حفاظت از داده های عمومی عمل کنید؟
استاندارد ISO 27001 یک نقطه شروع عالی برای دستیابی به الزامهای عملیاتی و فنی لازم برای جلوگیری از نقض اطلاعات ذیل قانون حفاظت از داده های عمومی است.
در حقیقت، سازمانی که استاندارد ISO 27001 را اجرا کرده است، حداقل نیمی از تلاش خود را جهت رعایت قانون حفاظت از داده های عمومی با به حداقل رساندن خطر نقض انجام داده است.
رویکرد سیستماتیک استاندارد، -با تکیه بر سه رکن: افراد، فرآیندها و فناوری- به سازمانها کمک میکند با الزامهای قانون حفاظت از داده های عمومی سازگار شوند.
بنابراین، جای تعجب نیست که ۶۸% از سازمانها از استاندارد ISO 27001 جهت دستیابی به سازگاری با قانون حفاظت از داده های عمومی استفاده میکنند. با این وجود نگرانی اصلی سازمانها در سراسر جهان هنوز هم امنیت سایبری است.
صلاحیتهای ISO 27001
شخصی که مدیریت ISMS شما را برعهده دارد، دارای مدرک رسمی ISO 27001 ISMS است؟ (بهعنوان مثال، مجری ارشد ISO 27001 یا سر ممیز ISO 27001)
در صورتیکه پاسخ شما به سؤال بالا «خیر» است، آیا قصد دارید به طور جدی فردی را برای مدیریت سیستم ISMS خود جهت دستیابی به صلاحیت رسمی ISO 27001 آموزش دهید؟
باتوجه به چالشهایی که هنگام پیادهسازی ISO 27001مواجه هستید، آموزش میبایستی یک اولویت کلیدی برای سازمانها باشد.
با وجود این، تقریباً نیمی از (۴۴ درصد) پاسخ دهندگان پذیرفته اند که فردی که ISMS را مدیریت میکند فاقد صلاحیت لازم ISO 27001 است.
اگرچه یک چهارم اظهار داشتند که بر تصمیم آموزش کنترل و تمرکزی ندارند، با اطمینان، ۴۶ درصد از پاسخ دهندگان بیان کردند که قصد دارند به طور رسمی افرادی را برای مدیریت سیستم ISMS خود جهت کسب گواهینامه رسمی ISO 27001 آموزش دهند.
آگاهی کارکنان ISO 27001
چه میزان اطمینان دارید که برنامه/ آموزش آگاهی کارکنان به بهبود امنیت اطلاعات کمک میکند؟
– با اطمینان بالا: با بازرسیهای منظم، بازخورد و تست نتایج دریافت شده قبلی – اطمینان متوسط: یک برنامه را اجرا کردهایم اما نتایج متنوعی دریافت میکنیم. – عدم اطمینان: آزمایش ما برای اثبات اثربخشی کافی نیست. |
اگرچه محافظتهای فناورانه ضروری هستند، اما اگر کارکنان مسئولیتهای امنیت اطلاعات خود را درک نکنند، استفاده محدودی خواهند داشت. بنابراین استاندارد اجبار میکند که سازمانها بهطور مرتب و به صورت کامل مسائل مربوط به امنیت اطلاعات را در سطح کارکنان پوشش دهند.
آموزش کارکنان در مورد راهکارهایی که میتوانند داده ها را در معرض خطر قرار دهند، میتوان به سازمانها کمک کند که یکی از بزرگترین آسیب پذیریهای خود را به یک نقطه قدرت تبدیل کنند، اما با این وجود، تقریباً نیمی از (۴۴ درصد) پاسخدهندگان در ارتباط با اثربخشی آموزش آگاهی کارکنان خود «نسبتاً مطمئن» هستند.
به دنبال پیاده سازی یا دریافت گواهینامه ISO 27001 هستید؟
بسیاری از سازمانها از اینکه اجرای ISO 27001 بسیار پرهزینه و وقتگیر باشد میترسند، اگرچه نیازمند زمان و تلاش است، اما هزینه و دشواری آن چیزی نیست که شما در ابتدا در ارتباط با آن تصور میکنید.
بسته های پیاده سازی ISO 27001
بسته های پیشنهادی ترکیبی از پرفروشترین ابزارها، نرم افزارها، راهنماها و آموزشهای مبتنی بر صلاحیت با حداکثر ۴۰ ساعت مشاوره آنلاین است. بسته های پیاده سازی این شرکت به شکل ماهرانهای برای پاسخگویی به نیازهای منحصربه فرد سازمان شما تدوین شده است. این بسته ها میتوانند به کاهش زمان و تلاش شما برای پیاده سازی سیستم مدیریت امنیت اطلاعات کمک کند. همچنین هزینه های کار مشاوره، مسافرت و سایر هزینه های مرتبط با مشاوره به صورت سنتی را حذف میکند.