Петте най-големи мита за ISO 27001 - от Деян Кошутич

Нашата амбиция е на тази страница да Ви запознаваме с интересни актуални статии, касаещи разработката и внедряването на системи за управление на бизнеса. Сега на Вашето внимание представяме една публикация на Деян Кошутич - iSMS и BCMS водещ одитор.

Петте най-големи мита за ISO 27001

Публикувано от: Деян Кошутич

Много често чувам неща за ISO 27001 и не знам дали да се смея или да плача над тях.

Всъщност това е смешно, как хората са склонни да вземат решения за нещо, за което те знаят много малко - тук са най-често срещаните заблуди

"Стандарт изисква ..."

"Стандартът изисква паролите да се сменят на всеки 3 месеца." "Стандартът изисква да съществуват множество доставчици." "Стандартът изисква сайтът за възстановяване след бедствие да бъде най-малко 50 км от главния сайт."

Наистина ли? Стандартът не казва подобно нещо. За съжаление, този вид невярна информация, аз чувам доста често - хората обикновено бъркат добрите практики с изискванията на стандарта, но проблемът е, че не всички правила за сигурност са приложими за всички видове организации.

И хора, които твърдят, че това е предписано от стандарта, вероятно никога не са чели стандарта.

"Ще оставим ИТ отдела да се справи"

Това е любимото за мениджърите - "Информационната сигурност е изцяло свързано с ИТ, не е ли така?" Е добре, не е истина - най-важните аспекти на информационната сигурност включват не само ИТ мерки, но също така и организационни въпроси и управление на човешките ресурси, които обикновено са извън обсега на ИТ отдела.

“Ние ще го внедрим за няколко месеца"

Бихте могли да внедрите своето ISO 27001 за 2 или 3 месеца, но то няма да работи - вие ще получите само един куп политики и процедури, за които никой не му пука. Внедряване на информационна сигурност означава, че вие трябва да въведете промени, и отнема време промените да сработят..

Да не говорим, че вие трябва да внедрите само тези контроли, които наистина са необходими, а анализът за това, кое е наистина необходимо, отнема време - това се нарича оценка на риска и третиране на риска.

"Този стандарт е изцяло за документирането"

Документацията е важна част от изпълнението на ISO 27001, но документацията не е самоцел. Основното е, че вие извършвате вашите дейности по сигурен начин, и документацията е тук, за да ви помогне да го направите.

Също така, записите, които вие генерирате, ще ви помогнат да оцените дали постигнете целите си за сигурност на информацията и да ви даде възможност за коригиране на тези дейности, които са неадекватни.

"Единствената полза от стандарта е за маркетингови цели"

"Ние правим това само за да получим сертификат, не е ли така?" Е, 80% от фирмите смятат, че това е (за съжаление) пътят.

Аз не се опитвам да се споря тук, че ISO 27001 не трябва да се използва за промоционални и продажбени цели, но можете също така да постигне и други много важни предимства - като например предотвратяване да ви се случи историята с WikiLeaks,.

Въпросът тук е - четете ISO 27001 първо преди да формират мнението ви за него, или ако това е твърде скучно за четене за вас (което аз признавам, че е), консултирайте се с някой, който има реални познания за него. И се опитайте да получите някои други ползи освен маркетинговите.

С други думи, увеличете шансовете си да направите изгодна инвестиция в сигурността на информацията

www.mscservices.eu - Вашите ISO консултанти