कमोडिटी डेटा की हमारी दुनिया में, साइबर सुरक्षा मानकों को आसमानी और तेज होने की जरूरत है। अधिकांश कंपनियां, भले ही तुरंत तकनीक से संबंधित न हों, अंततः खुद को भीतर से कमर कसने की आवश्यकता में चलेंगी।
एक दशक से भी अधिक समय पहले, अंतर्राष्ट्रीय मानक संगठन ने ISO 27001 नामक एक विनिर्देश को अपनाया था। तो आख़िर यह क्या है? ISO 27001 ऑडिट हमें किसी संगठन की आंतरिक साजिश के बारे में क्या बता सकता है? और आप कैसे तय करते हैं कि आपकी कंपनी का ऑडिट किया जाना चाहिए या नहीं?
एक सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) क्या है?
एक सूचना सुरक्षा प्रबंधन प्रणाली (आईएसएमएस) एक संगठन की रक्षा की मुख्य पंक्ति है डेटा उल्लंघनों और अन्य प्रकार के साइबर खतरे बाहर से।
एक प्रभावी आईएसएमएस यह सुनिश्चित करता है कि संरक्षित की जा रही जानकारी गोपनीय और सुरक्षित, स्रोत के प्रति वफादार और उन लोगों के लिए सुलभ हो, जिनके पास इसके साथ काम करने की मंजूरी है।
एक सामान्य गलती यह मान लेना है कि एक आईएसएमएस एक फ़ायरवॉल या सुरक्षा के अन्य तकनीकी साधनों से अधिक नहीं है। इसके बजाय, एक पूरी तरह से एकीकृत आईएसएमएस कंपनी की संस्कृति में और प्रत्येक कर्मचारी, इंजीनियर या अन्यथा में मौजूद है। यह आईटी विभाग से बहुत आगे निकल जाता है।
केवल आधिकारिक नीति और प्रक्रिया से अधिक, इस प्रणाली के दायरे में सिस्टम को प्रबंधित और परिष्कृत करने की टीम की क्षमता भी शामिल है। निष्पादन और जिस तरह से प्रोटोकॉल वास्तव में लागू होता है वह सर्वोपरि है।
इसमें जोखिम प्रबंधन और शमन के लिए दीर्घकालिक दृष्टिकोण अपनाना शामिल है। एक कंपनी के प्रिंसिपलों को उस उद्योग से जुड़े किसी भी जोखिम से अच्छी तरह परिचित होना चाहिए जिसमें वे विशेष रूप से काम करते हैं। इस अंतर्दृष्टि के साथ सशस्त्र, वे अपने चारों ओर की दीवारों को तदनुसार बनाने में सक्षम होंगे।
आईएसओ 27001 क्या है, बिल्कुल?
2005 में, अंतर्राष्ट्रीय मानकीकरण संगठन (आईएसओ) और अंतर्राष्ट्रीय इलेक्ट्रोटेक्निकल आयोग (आईईसी) ने बीएस 7799 को नया रूप दिया, एक सुरक्षा प्रबंधन मानक जिसे पहली बार बीएसआई समूह द्वारा 10 वर्षों में स्थापित किया गया था। पहले।
अब आधिकारिक तौर पर ISO/IEC 27001:2005 के रूप में जाना जाता है, ISO 27001 अनुपालन का एक अंतरराष्ट्रीय मानक है जो उन कंपनियों को दिया जाता है जो सूचना सुरक्षा प्रबंधन में अनुकरणीय हैं।
अनिवार्य रूप से, यह मानकों का एक कठोर संग्रह है जिसके खिलाफ कंपनी की सूचना सुरक्षा प्रबंधन प्रणाली आयोजित की जा सकती है। यह ढांचा लेखापरीक्षकों को तब समग्र रूप से प्रणाली की दृढ़ता का मूल्यांकन करने की अनुमति देता है। कंपनियां ऑडिट करना चुन सकती हैं जब वे अपने ग्राहकों और ग्राहकों को आश्वस्त करना चाहती हैं कि उनका डेटा उनकी दीवारों के भीतर सुरक्षित है।
प्रावधानों के इस संग्रह में शामिल हैं: सुरक्षा नीति, संपत्ति के बारे में विनिर्देशन वर्गीकरण, पर्यावरण सुरक्षा, नेटवर्क प्रबंधन, सिस्टम रखरखाव, और व्यापार निरंतरता योजना।
आईएसओ ने इन सभी पहलुओं को मूल बीएसआई चार्टर से संघनित किया, उन्हें उस संस्करण में डिस्टिल किया जिसे हम आज पहचानते हैं।
नीति में खुदाई
जब कोई कंपनी ISO 27001 ऑडिट से गुजरती है तो वास्तव में क्या मूल्यांकन किया जा रहा है?
मानक का उद्देश्य अंतरराष्ट्रीय स्तर पर प्रभावी और सुरक्षित सूचना नीति को औपचारिक रूप देना है। यह एक सक्रिय रुख को प्रोत्साहित करता है, जो ऐसा होने से पहले परेशानी से बचने का प्रयास करता है।
आईएसओ एक सुरक्षित आईएसएमएस के तीन महत्वपूर्ण पहलुओं पर जोर देता है:
1. लगातार विश्लेषण और जोखिम की स्वीकृति: इसमें वर्तमान जोखिम और जोखिम दोनों शामिल हैं जो भविष्य में खुद को प्रस्तुत कर सकते हैं।
2. एक मजबूत और सुरक्षित प्रणाली: इसमें सिस्टम शामिल है क्योंकि यह तकनीकी अर्थों में मौजूद है, साथ ही साथ कोई भी सुरक्षा नियंत्रण जो संगठन खुद को उपरोक्त जोखिमों से बचाने के लिए उपयोग करता है। ये कंपनी और उद्योग के आधार पर बहुत अलग दिखेंगे।
3. नेताओं की एक समर्पित टीम: ये वे लोग होंगे जो वास्तव में संगठन की रक्षा में काम करने के लिए नियंत्रण रखेंगे। प्रणाली केवल उतनी ही प्रभावी है जितनी कि शीर्ष पर काम करने वाले।
इन तीन प्रमुख योगदान कारकों का विश्लेषण करने से ऑडिटर को किसी कंपनी की सुरक्षित रूप से संचालित करने की क्षमता की पूरी तस्वीर चित्रित करने में मदद मिलती है। एक ISMS पर स्थिरता का समर्थन किया जाता है जो केवल पाशविक तकनीकी शक्ति पर निर्भर करता है।
सम्बंधित: कर्मचारियों को कंपनी के डेटा चोरी करने से कैसे रोकें जब वे चले जाएं
एक महत्वपूर्ण मानवीय तत्व मौजूद होना चाहिए। जिस तरह से कंपनी के लोग अपने डेटा और उनके ISMS पर नियंत्रण रखते हैं, वह सबसे ऊपर है। ये नियंत्रण वास्तव में डेटा को सुरक्षित रखते हैं।
आईएसओ 27001 का अनुलग्नक ए क्या है?
"नियंत्रण" के विशिष्ट उदाहरण उद्योग पर निर्भर करते हैं। आईएसओ 27001 का अनुलग्नक ए कंपनियों को उनके संचालन की सुरक्षा पर नियंत्रण के आधिकारिक तौर पर मान्यता प्राप्त 114 साधन प्रदान करता है।
ये नियंत्रण चौदह वर्गीकरणों में से एक में आते हैं:
ए.5-सूचना और सुरक्षा नीतियां: कंपनी द्वारा अनुसरण की जाने वाली संस्थागत नीतियां और प्रक्रियाएं।
ए.6-सूचना सुरक्षा का संगठन: आईएसएमएस के ढांचे और इसके कार्यान्वयन के संबंध में संगठन के भीतर जिम्मेदारी का असाइनमेंट। यहां शामिल है, अजीब तरह से पर्याप्त है, दूरसंचार को नियंत्रित करने वाली नीति भी है और कंपनी के भीतर उपकरणों का उपयोग.
ए.7-मानव संसाधन सुरक्षा: संगठन के भीतर ऑनबोर्डिंग, ऑफबोर्डिंग और कर्मचारियों की भूमिका बदलने से संबंधित चिंताएं। स्क्रीनिंग मानकों और शिक्षा और प्रशिक्षण में सर्वोत्तम प्रथाओं को भी यहाँ उल्लिखित किया गया है।
ए.8-परिसंपत्ति प्रबंधन: संभाला जा रहा डेटा शामिल है। कुछ मामलों में विभागीय लाइनों में भी संपत्तियों का आविष्कार, रखरखाव और निजी रखा जाना चाहिए। प्रत्येक संपत्ति का स्वामित्व स्पष्ट रूप से स्थापित किया जाना चाहिए; यह खंड अनुशंसा करता है कि कंपनियां अपने व्यवसाय की लाइन के लिए विशिष्ट "स्वीकार्य उपयोग नीति" का मसौदा तैयार करें।
ए.9-पहुँच नियंत्रण: आपके डेटा को संभालने की अनुमति किसे है, और आप केवल अधिकृत कर्मचारियों तक पहुंच को कैसे सीमित करेंगे? इसमें तकनीकी अर्थ में सशर्त अनुमति-सेटिंग या आपकी कंपनी के परिसर में बंद भवनों तक पहुंच शामिल हो सकती है।
ए.10-क्रिप्टोग्राफी: मुख्य रूप से एन्क्रिप्शन और पारगमन में डेटा की सुरक्षा के अन्य तरीकों से संबंधित है। इन निवारक उपायों को सक्रिय रूप से प्रबंधित किया जाना चाहिए; आईएसओ संगठनों को डेटा सुरक्षा से जुड़ी सभी गहन-बारीक चुनौतियों के लिए एन्क्रिप्शन को एक आकार-फिट-सभी समाधान मानने से हतोत्साहित करता है।
ए.11-भौतिक और पर्यावरण सुरक्षा: जहां कहीं भी संवेदनशील डेटा स्थित है, उसकी भौतिक सुरक्षा का आकलन करता है, चाहे वह वास्तविक कार्यालय भवन में हो या सर्वर से भरे छोटे, वातानुकूलित कमरे में।
ए.12-संचालन सुरक्षा: जब आपकी कंपनी के संचालन की बात आती है तो सुरक्षा के आपके आंतरिक नियम क्या हैं? नई, उभरती व्यावसायिक आवश्यकताओं को पूरा करने के लिए इन प्रक्रियाओं की व्याख्या करने वाले दस्तावेज़ों को बनाए रखा जाना चाहिए और बार-बार संशोधित किया जाना चाहिए।
परिवर्तन प्रबंधन, क्षमता प्रबंधन और विभिन्न विभागों का पृथक्करण सभी इस शीर्षक के अंतर्गत आते हैं।
ए.13-नेटवर्क सुरक्षा प्रबंधन: आपकी कंपनी के भीतर प्रत्येक सिस्टम को जोड़ने वाले नेटवर्क को एयरटाइट और सावधानीपूर्वक देखभाल करने की आवश्यकता है।
कैच-ऑल सॉल्यूशंस जैसे फायरवॉल को और भी प्रभावी बनाया जाता है, जब बार-बार सत्यापन चौकियों, औपचारिक स्थानांतरण नीतियों, या जैसी चीजों के साथ पूरक किया जाता है। सार्वजनिक नेटवर्क के उपयोग पर रोक लगाना उदाहरण के लिए, आपकी कंपनी के डेटा को संभालते समय।
ए.14-सिस्टम अधिग्रहण, विकास और रखरखाव: यदि आपकी कंपनी के पास पहले से कोई ISMS नहीं है, तो यह खंड बताता है कि एक आदर्श प्रणाली तालिका में क्या लाती है। यह आपको यह सुनिश्चित करने में मदद करता है कि ISMS का दायरा आपके उत्पादन जीवनचक्र के हर पहलू को कवर करता है।
सुरक्षित विकास की एक आंतरिक नीति आपके इंजीनियरों को यह संदर्भ देती है कि जिस दिन से उनका काम शुरू होता है, उसी दिन से उन्हें एक अनुरूप उत्पाद बनाने की आवश्यकता होती है।
ए.15-आपूर्तिकर्ता सुरक्षा नीति: आपकी कंपनी के बाहर तीसरे पक्ष के आपूर्तिकर्ताओं के साथ व्यापार करते समय, उनके साथ साझा किए गए डेटा के लीक या उल्लंघन को रोकने के लिए क्या सावधानियां बरती जाती हैं?
ए.16-सूचना सुरक्षा घटना प्रबंधन: जब चीजें गलत हो जाती हैं, तो आपकी कंपनी संभावित रूप से इस बात के लिए कुछ रूपरेखा प्रदान करती है कि भविष्य में समस्या की रिपोर्ट, समाधान और रोकथाम कैसे की जानी चाहिए।
आईएसओ प्रतिशोधी प्रणालियों की तलाश करता है जो खतरे का पता चलने के बाद कंपनी के भीतर प्राधिकरण के आंकड़ों को जल्दी और बड़े पूर्वाग्रह के साथ कार्य करने में सक्षम बनाता है।
ए.17-व्यापार निरंतरता प्रबंधन के सूचना सुरक्षा पहलू: एक आपदा या किसी अन्य अप्रत्याशित घटना की स्थिति में जो आपके कार्यों को अपरिवर्तनीय रूप से बाधित करती है, एक योजना जब तक व्यवसाय फिर से शुरू नहीं हो जाता, तब तक कंपनी और उसके डेटा की भलाई को संरक्षित करने के लिए जगह में रहने की आवश्यकता होगी सामान्य।
विचार यह है कि किसी संगठन को ऐसे समय के माध्यम से सुरक्षा की निरंतरता को बनाए रखने के लिए किसी तरह की आवश्यकता होती है।
ए.18-अनुपालन: अंत में, हम अनुबंधों के वास्तविक अनुबंध पर आते हैं जिसे ISO 27001 प्रमाणन की आवश्यकताओं को पूरा करने के लिए एक कंपनी को सदस्यता लेनी चाहिए। आपके दायित्व आपके सामने रखे गए हैं। आपके लिए बस इतना करना बाकी है कि बिंदीदार रेखा पर हस्ताक्षर करें।
आईएसओ को अब यह आवश्यक नहीं है कि अनुपालन करने वाली कंपनियां केवल ऊपर सूचीबद्ध श्रेणियों में फिट होने वाले नियंत्रणों को नियोजित करें। हालाँकि, यदि आप अपनी कंपनी के ISMS की नींव रखना शुरू कर रहे हैं, तो सूची शुरू करने के लिए एक शानदार जगह है।
सम्बंधित: अच्छी सुरक्षा प्रथाओं के साथ अपने दिमागीपन में सुधार कैसे करें
क्या मेरी कंपनी का ऑडिट होना चाहिए?
कि निर्भर करता है। यदि आप ऐसे क्षेत्र में काम कर रहे बहुत छोटे स्टार्ट-अप हैं जो संवेदनशील या उच्च जोखिम वाला नहीं है, तो आप शायद तब तक रुक सकते हैं जब तक कि भविष्य के लिए आपकी योजनाएं अधिक निश्चित न हों।
बाद में, जैसे-जैसे आपकी टीम बढ़ती है, आप स्वयं को निम्न में से किसी एक श्रेणी में पा सकते हैं:
- आप एक महत्वपूर्ण ग्राहक के साथ काम कर रहे होंगे जो यह सुनिश्चित करने के लिए आपकी कंपनी का मूल्यांकन करने के लिए कहता है कि वे आपके साथ सुरक्षित रहेंगे।
- आप भविष्य में एक आईपीओ में संक्रमण करना चाह सकते हैं।
- आप पहले ही उल्लंघन के शिकार हो चुके हैं और आपको अपनी कंपनी के डेटा को प्रबंधित और सुरक्षित रखने के तरीके पर फिर से विचार करने की आवश्यकता है।
भविष्य के लिए पूर्वानुमान हमेशा आसान नहीं हो सकता है। यहां तक कि अगर आप खुद को उपरोक्त किसी भी परिदृश्य में नहीं देखते हैं, तो सक्रिय होने और आईएसओ की कुछ अनुशंसित प्रथाओं को अपने शासन में शामिल करना शुरू करने में कोई दिक्कत नहीं है।
सत्ता आपके हाथ में है
अपने आईएसएमएस को ऑडिट के लिए तैयार करना उतना ही आसान है जितना कि आप आज काम करते हैं। दस्तावेज़ीकरण हमेशा बनाए रखा जाना चाहिए और संग्रहीत किया जाना चाहिए, जिससे आपको यह सबूत मिल सके कि आपको अपनी योग्यता के दावों का बैक अप लेने की आवश्यकता होगी।
यह बिल्कुल मिडिल स्कूल की तरह है: आप होमवर्क करते हैं, और आपको ग्रेड मिलता है। ग्राहक सुरक्षित और स्वस्थ हैं, और आपका बॉस आपसे बहुत खुश है। ये सीखने और रखने की सरल आदतें हैं। आप बाद में अपने आप को धन्यवाद देंगे जब क्लिपबोर्ड वाला व्यक्ति अंत में कॉल करने के लिए आएगा।
यहां वे साइबर हमले हैं जिन पर आपको 2021 में नज़र रखने की आवश्यकता है, और आप उनका शिकार होने से कैसे बच सकते हैं।
आगे पढ़िए
- सुरक्षा
- कंप्यूटर सुरक्षा
- डाटा सुरक्षा
एम्मा गैरोफेलो वर्तमान में पिट्सबर्ग, पेनसिल्वेनिया में स्थित एक लेखिका हैं। जब एक बेहतर कल की चाह में अपने डेस्क पर मेहनत नहीं कर रही होती है, तो वह आमतौर पर कैमरे के पीछे या रसोई में पाई जा सकती है।
हमारे न्यूज़लेटर की सदस्यता
तकनीकी युक्तियों, समीक्षाओं, निःशुल्क ई-पुस्तकों और अनन्य सौदों के लिए हमारे न्यूज़लेटर से जुड़ें!
एक और क़दम…!
कृपया उस ईमेल में अपने ईमेल पते की पुष्टि करें जिसे हमने अभी आपको भेजा है।