ინფორმაციული უსაფრთხოების მართვის სისტემის ჩამოყალიბება ძალიან შრომატევადი პროცესია. მიუხედავად ამისა, სტანდარტების განსაზღვრა, თუ როგორ უნდა უზრუნველყოს ინფორმაციული უსაფრთხოება და როგორ უკეთესად დაიცვას ინფორმაცია, ამ ორგანიზაციის გადამწყვეტი შედეგია.
ინფორმაციული უსაფრთხოების მართვის სისტემა ისე, რომ თითოეული ორგანიზაცია მოჰყვება თითქმის იგივეა.
ინფორმაციული უსაფრთხოების შესწავლის ფარგლები
პირველი, რაც უნდა გააკეთოთ, არის განსაზღვროს კვლევის ფარგლები და ფარგლები. სისტემა შეიძლება შეიქმნას მთელი ორგანიზაციისთვის ან კონკრეტული დეპარტამენტისთვის. ნებისმიერ შემთხვევაში, სწავლის ფარგლები უნდა იყოს სრული და სწორად განსაზღვრული. სფერო უნდა განისაზღვროს ხელმძღვანელობის გადაწყვეტილებისა და ორგანიზაციის ინფორმაციული უსაფრთხოების მიზნების შესაბამისად.
ინფორმაციული უსაფრთხოების პოლიტიკა
ეს პოლიტიკა განისაზღვრება უფროსი მენეჯმენტის მიერ და ადგენს კვლევის მიზნებს და განსაზღვრავს რისკების შეფასებას და რისკების მართვის კრიტერიუმებს. ყველაზე მენეჯმენტმა ყოველთვის უნდა დაიცვას ინფორმაციული უსაფრთხოების პოლიტიკა.
რისკების შეფასების მეთოდი
რისკის შეფასების მეთოდი უნდა დადგინდეს ინფორმაციული უსაფრთხოების პოლიტიკის შესაბამისად. შესაბამისად, სავარაუდო რისკის დონე უნდა დადგინდეს და უნდა დადგინდეს კრიტერიუმები. ინფორმაცია, რომელიც დაცული უნდა იყოს რისკის რუკის შექმნით, უნდა განისაზღვროს ზემოქმედების ხარისხი და რისკის ალბათობა.
რისკების იდენტიფიკაცია
რისკის, რომელიც საფრთხეს უქმნის ინფორმაციის არსებობას, განსაზღვრავს რისკის შეფასების მეთოდის გამოყენებით. ამ კვლევაში მომზადდება საინფორმაციო აქტივების ინვენტარიზაცია. ინფორმაციული უსაფრთხოების მართვის სისტემაში ჩართული საინფორმაციო აქტივები ჩამოთვლილია მათი ტიპისა და სიმძიმის მიხედვით. საიდუმლო ინფორმაციის გაჩენა შეიძლება დიდი ზიანი მიაყენოს ორგანიზაციას, მაგრამ იმავე ინფორმაციის გამოყენება შეუძლებელია ნაკლებად საზიანო იყოს.
რისკების შეფასება
ამ ნაბიჯით გადაწყდება განსახორციელებელი რისკების გათვალისწინება. რისკი შეიძლება აღმოიფხვრას ან შემცირდეს მისაღები დონეზე შესაბამისი კონტროლის საშუალებით. ან, რისკის ფაქტორები აღმოფხვრილი და რისკი თავიდან აცილება.
ხელმძღვანელობის დამტკიცება
რისკის მართვის შესწავლის დასრულების შემდეგ, საჭიროა მიიღოთ დამტკიცება უფროსი მენეჯმენტისგან.
თუ რისკი არ შეიძლება მთლიანად აღმოიფხვრას, ეს შეიძლება იყოს მისაღები რისკი ზემოქმედების შეფარდებაზე.
ISO 27001 საინფორმაციო უსაფრთხოების მართვის სისტემაორგანიზაციებს შეუძლიათ მიმართონ საკონსულტაციო მომსახურებას TURCERT სერტიფიცირების ორგანიზაციის გამოცდილი მენეჯერები და თანამშრომლები.