Penerimaan lengkap dari esensi dari apa yang terjadi bagi kami adalah lolosnya audit sertifikasi sesuai dengan ISO 27001 dan memperoleh sertifikat yang didambakan. Hari ini kami menyelesaikan serangkaian artikel. Di akhir materi, Anda akan menemukan tautan ke artikel sebelumnya.
Saat mempersiapkan audit, pertama-tama, perhatikan detail formal kunjungan kantor auditor. Ini diperlukan agar prosesnya menjadi seefektif dan semudah mungkin.
- Setuju dengan otoritas sertifikasi pada tanggal audit
Biasanya bulan audit dibahas terlebih dahulu, selama negosiasi kontrak dengan otoritas sertifikasi. Mendekati tanggal audit, otoritas sertifikasi kemungkinan besar akan menawarkan pilihan interval kunjungan dan Anda perlu menyelaraskannya dengan jadwal personel kunci yang akan terlibat dalam audit. Jika Anda mengesahkan beberapa situs di kota yang berbeda, pikirkan baik-baik logistiknya dan koordinasikan dengan tim audit.
- Hal yang tidak jelas - memperjelas komposisi dan latar belakang tim audit
Item ini dapat berguna dari sudut pandang keamanan bisnis. Tentu saja, mengendalikan independensi tim audit, pertama-tama, merupakan tugas lembaga sertifikasi. Namun, kesalahan terjadi pada semua orang, jadi tidak akan berlebihan untuk memeriksa biografi calon auditor setidaknya di LinkedIn.
Misalnya, kami menemukan bahwa salah satu auditor adalah karyawan pesaing langsung kami. Untungnya, ini ditemukan sebelum dimulainya audit dan semuanya berjalan lancar karena dia dikeluarkan dari tim. Tetapi potensi risiko bisnis dalam situasi ini akan menjadi signifikan.
- Setuju dengan tim audit tentang rencana audit
Hal ini diperlukan untuk memahami karyawan dan departemen mana yang akan dilibatkan dalam audit, dan pada hari apa audit itu akan dilakukan.
Biasanya, rencana tersebut menetapkan jadwal untuk setiap hari audit menurut jam, yang menunjukkan bagian mana dari sistem manajemen keamanan informasi dan layanan mana yang akan diaudit pada satu waktu atau lainnya.
- Pesan waktu rekan kerja yang akan mengikuti audit
Setelah Anda mengetahui perkiraan jadwal kunjungan tim audit, Anda dapat merencanakan waktu kolega Anda. Biasanya, auditor ingin mengadakan pertemuan dengan manajemen puncak perusahaan, dengan departemen keamanan informasi (jelas) dan dengan mereka yang bertanggung jawab atas pengoperasian area yang akan disertifikasi.
Misalnya, di bidang sertifikasi kami, 5 layanan utama diumumkan dan auditor mewawancarai kepala dari masing-masing departemen yang bertanggung jawab atas penyediaan layanan tersebut. Penting untuk menyediakan pengganti kepala departemen untuk wawancara (jika sakit, perjalanan bisnis, liburan, dll.).
- Melakukan pelatihan dan kontrol pengetahuan untuk semua karyawan
Intinya sepertinya rumit, tapi sebenarnya tidak seburuk itu. Semua karyawan harus terlibat dalam satu atau lain cara dalam sistem manajemen keamanan informasi dan mematuhi aturan yang ditetapkan oleh kebijakan. Namun, tingkat tanggung jawab karyawan atas keamanan informasi bergantung pada posisi dan spesifikasi pekerjaan. Kami telah menerapkan ini sebagai berikut: semua karyawan, tergantung pada posisi mereka, dapat memiliki satu atau lebih peran di bidang keamanan informasi. Setiap peran memiliki persyaratan tersendiri bagi karyawan tersebut, namun secara mutlak semua karyawan perusahaan memiliki peran dasar "Pengguna". Pelatihan dan kontrol pengetahuan lebih lanjut harus difokuskan pada peran ini.
Kami menggunakan pengujian untuk mengontrol pengetahuan karyawan. Ada banyak sistem semacam ini di pasaran, tetapi kami menggunakan fungsionalitas yang dibangun ke dalam portal perusahaan. Berdasarkan pengalaman kami, auditor melakukan pemeriksaan hasil tes dan dapat menanyakan pertanyaan kontrol karyawan dari tes.
- Lakukan pelatihan terpisah untuk rekan kerja yang akan berpartisipasi dalam audit
Saat ini sudah seharusnya diadakan general training bagi seluruh karyawan (agar mereka mengetahui mengapa dan mengapa terjadi perubahan dalam proses di perusahaan). Namun, perhatian khusus harus diberikan kepada rekan kerja yang akan terlibat langsung dalam audit. Perlu diingat bahwa selama audit tidak ada tindak pidana yang akan terjadi - mereka hanya perlu memberi tahu tim audit tentang pekerjaan sehari-hari mereka dan, jika perlu, menjawab pertanyaan spesifik.
- Jaga semua izin dan izin yang diperlukan untuk tim audit
Ingatlah bahwa audit akan dimulai bahkan sebelum tim otoritas sertifikasi berada di ruang rapat Anda. Pintu masuk ke pusat bisnis adalah "garis pertahanan" pertama. Di sini, auditor menilai seberapa serius keamanan fisik kantor dijamin. Jika Anda menyewa ruang kantor, auditor mungkin ingin melihat kontrak dengan tuan tanah untuk menentukan gambaran tanggung jawab para pihak atas keamanan fisik. Dan jika kenyataannya berbeda dengan apa yang tertulis dalam kontrak, masalah bisa muncul. Dalam beberapa kasus, perlu bekerja secara terpisah dengan layanan keamanan pusat bisnis.
Misalnya, auditor kami memperhatikan bahwa ada klausul dalam kontrak dengan pusat bisnis bahwa setiap pengunjung diberikan izin, tetapi dia tidak diberikan izin masuk apa pun di pintu masuk pusat bisnis. Yang kami jawab bahwa kontrak tidak menyebutkan tentang penerbitan izin "di tangan" - karenanya, izin tersebut dikeluarkan, tetapi tidak dikeluarkan :)
Jika perimeter sertifikasi mencakup pusat data, berhati-hatilah dalam menerbitkan tiket khusus untuk auditor terlebih dahulu. Selain itu, kami menyarankan Anda untuk membahas kunjungan mendatang dengan narahubung dari pusat data dan mengklarifikasi karyawan mana yang akan menjawab pertanyaan auditor tentang keamanan fisik pusat data.
Pelatihan teknis
Persiapan teknis untuk suatu audit adalah salah satu poin terpenting dan sulit. Sebelum audit pertama, tim IT kami harus bekerja keras. Mari kita mulai dengan keamanan fisik.
Tentu saja, sebagian besar keamanan fisik akan ditetapkan ke layanan keamanan pusat bisnis: ini adalah akses ke gedung, alarm keamanan dan kebakaran, pengawasan video, dll. Nah, dari pihak kami perlu dilakukan "audit" terhadap tindakan untuk memastikan keamanan fisik di kantor:
- Mengganti atau menambah sistem kontrol akses (ACS) di beberapa kantor.
- Periksa keandalan brankas dan kualitas pemasangannya (apakah dibaut ke lantai).
- Lakukan audit lemari arsip (apakah ada kunci, tanda).
- , , .
- . , .. . , , ( , , Wi-Fi ..).
Selanjutnya, mari kita bicara tentang standardisasi - salah satu langkah terpenting menuju modernisasi yang cepat dan kemudahan pemeliharaan lebih lanjut. Pendekatan ini menghemat banyak waktu persiapan. Misalnya, kami telah mengupgrade OS (sistem operasi) pada komputer kerja pengguna. Terlepas dari biaya prosesnya, pembaruan ini diperlukan untuk mengenkripsi disk komputer, serta mengoptimalkan layanan, perangkat keras, dan kebijakan kami untuk OS tertentu.
Tentu saja, dalam hal enkripsi, ada beberapa jebakan: jika workstation memiliki HDD klasik (bukan SSD atau M2), bekerja di komputer seperti itu menjadi siksaan. Oleh karena itu, kami juga harus memodernisasi beberapa perangkat keras kantor. Kesulitan kedua adalah bahwa hard drive pada komputer menjadi jauh lebih "hidup". Nah, dan nuansa ketiga - menjadi perlu untuk memasukkan kata sandi bitlocker saat memuat. Pada saat itu, kami belum memiliki waktu untuk menyiapkan pembukaan kunci jaringan, dan TPM tidak ada di mana-mana, dan mengaktifkan pekerjaan dengan TPM tanpa membuka kunci jaringan tidak ada artinya dari sudut pandang keamanan informasi.
Seperti disebutkan di atas, kami telah memindahkan kapasitas server utama ke pusat data khusus. Kami memiliki ruang server kecil yang lengkap, tetapi, dalam banyak kasus, ruang server "kami sendiri" kehilangan keamanan fisik dari situs khusus.
Perhatikan bahwa pilihan pusat data untuk Co-Location cukup besar: selain itu, ada pusat data yang tersertifikasi menurut ISO 27001 di pasaran. Dalam kasus kami, yang dipilih adalah pusat data yang tidak bersertifikat resmi menurut ISO27001 atau TIER III, tetapi pada saat yang sama memiliki semua solusi teknis yang diperlukan dan spesialis yang kompeten. Beberapa risiko yang terkait dengan pusat data utama ditanggung oleh pusat data cadangan. Hasilnya, dua pusat data "sederhana" lebih murah daripada pusat data dengan semua sertifikat.
Bekerja dengan perangkat keras server telah menjadi bagian terpisah dalam epik sertifikasi. Kami harus memperbarui OS di server secara serius, yang membutuhkan banyak waktu dari tim. banyak layanan yang bersifat open source. Ya, kami juga menggunakan layanan Microsoft, tetapi sertifikasi mendorong kami untuk mentransfer semua layanan yang mungkin ke perangkat lunak sumber terbuka. Jadi, kami mulai secara aktif menerapkan infrastruktur sebagai pendekatan kode. Salah satu manfaat signifikan yang kami alami adalah penghematan ruang karena penolakan untuk mencadangkan sejumlah layanan.
Bukti utama dari apa pun dalam audit adalah catatan, dalam arti yang paling luas. Dari sudut pandang teknis, ini adalah berbagai log. Dalam persiapan untuk audit, kami menghabiskan banyak waktu bekerja dengan log menggunakan sistem pencatatan log ELK. Sistem ini telah menjadi semacam "tongkat ajaib", menghilangkan kebutuhan untuk mengumpulkan log secara manual. Berkat ELK, staf TI dapat menghemat banyak waktu saat menyelidiki insiden. Selain itu, berkat sistem, masalah pencadangan log terpecahkan.
Ini hanyalah pekerjaan utama dalam hal pelatihan teknis. Namun, mari kita lanjutkan dan lanjutkan ke hari X - audit ISMS perusahaan .
Bagaimana auditnya
Dokumen utama yang dipelajari penguji dalam kerangka audit sertifikasi adalah Pernyataan Keberlakuan (selanjutnya disebut - SoA). Ini harus menunjukkan 114 kontrol dari standar ISO 27001, penerapan / ketidakmampuannya untuk perusahaan dan cara di mana kontrol ini diterapkan. Faktanya, dokumen ini merupakan cerminan dari pekerjaan berbulan-bulan untuk menerapkan standar ini.
Biasanya, di depan setiap klausul SoA harus ada tautan ke dokumen (kebijakan), yang menjelaskan bagaimana perusahaan menerapkan kontrol ini atau itu. Auditor memverifikasi bahwa semua yang tertulis dalam SoA adalah benar.
Untuk melakukan ini, dia melihat:
- Seberapa baik kebijakan / dokumen ISMS Anda mematuhi ISO 27001;
- , .
«» β , , - .. β , , , .
Jika dalam kebijakan internal Anda merujuk, atau menyebutkan standar pihak ketiga, maka itu harus dilampirkan pada kebijakan (yaitu, salinan resmi harus dibeli). Jadi, pada tahap pertama, auditor bekerja dengan dokumen, dan pada tahap kedua, dia βturun ke lapanganβ.
Tahap kedua, menurut kami, adalah yang paling berbahaya, tetapi juga paling menarik. Paradoksnya, tim internal yang sedang mempersiapkan audit memiliki banyak emosi positif. Apa alasannya ini? Ini mungkin topik untuk artikel terpisah.
Pada tahap kedua, ada pemeriksaan "fisik" terhadap kantor dan pusat data (semua yang tercantum dalam perimeter sertifikasi).
Saat mempersiapkan kunjungan auditor ke pusat data, Anda harus terlebih dahulu setuju dengan pusat data tentang alokasi seseorang untuk bertemu dengan auditor. Selain itu, karyawan seperti itu harus memiliki pelatihan dan pengetahuan tingkat tinggi terkait pekerjaan pusat data. Auditor akan sangat tertarik dengan keamanan pusat data: sistem pendingin udara, saluran komunikasi, sistem catu daya, generator, akses fisik, dll.
Sebagai bagian dari audit di semua lokasi, auditor biasanya mencatat hal-hal berikut dalam laporan:
- Bukti kesesuaian
Ini adalah bukti kepatuhan terhadap standar yang ditemukan auditor selama audit.
- Ketidaksesuaian Utama
Ini adalah sesuatu yang harus dihindari perusahaan dengan segala cara - ketidaksesuaian yang membahayakan keefektifan seluruh SMKI. Tindakan korektif harus selalu diambil untuk ketidaksesuaian tersebut. Sertifikat tidak dapat diterbitkan sampai ketidakpatuhan yang signifikan ditutup. Oleh karena itu, kunjungan auditor lagi akan diperlukan untuk memverifikasi penutupan ketidakpatuhan ini. Biasanya, perusahaan diberi waktu 90 hari untuk ini. Juga harus diingat bahwa kunjungan tambahan auditor akan dikenakan biaya secara terpisah.
- Ketidaksesuaian Minor (ketidaksesuaian minor)
Inkonsistensi minor tidak menjadi masalah besar bagi perusahaan - berdasarkan hasil audit, cukup mengisi formulir di mana Anda menjelaskan bagaimana dan dalam kerangka waktu apa yang direncanakan untuk menghilangkan inkonsistensi tersebut. Kehadiran mereka tidak mempengaruhi penerbitan sertifikat. Namun, jika tidak dihilangkan sebelum audit berikutnya, akan menjadi ketidaksesuaian material.
- Area Perhatian (area yang membutuhkan perhatian)
Ini adalah elemen sistem manajemen (biasanya mempengaruhi kinerjanya) yang dapat mencegah perusahaan memenuhi persyaratan standar di masa mendatang. Bukan inkonsistensi, tapi membutuhkan perhatian perusahaan. Yang terbaik adalah menghilangkannya jika memungkinkan.
- Kesempatan untuk perbaikan
Ini adalah peluang untuk pengembangan SMKI perusahaan, yang dapat diidentifikasi oleh auditor selama audit. Ini adalah tip dari seri "bagaimana membuat sistem bekerja lebih baik."
- Titik Kuat (titik kuat)
Di sini, auditor mencatat elemen SMKI Anda yang merupakan "praktik terbaik", yang sangat efektif. Anda dapat mengatakan bahwa ini adalah pujian terbuka atas apa yang Anda lakukan dengan sangat baik.
Berdasarkan hasil audit, Anda akan menerima laporan yang merinci semua poin yang disebutkan di atas yang diidentifikasi, yang harus digunakan dalam persiapan untuk audit berikutnya.
Bagaimana cara hidup?
Ketika Anda akhirnya menerima sertifikat yang telah lama ditunggu-tunggu, jangan santai: Anda perlu memastikan kepatuhan dengan standar perusahaan setiap tahun. Mulai saat ini, audit akan menjadi item rutin dalam anggaran perusahaan.
Tugas utama perusahaan bersertifikasi adalah memelihara sistem manajemen keamanan informasi agar berfungsi dengan baik dan mengumpulkan catatan yang mengkonfirmasikan fungsi kontrol dari pernyataan penerapan.
Tetapi ada kabar baik: audit penuh dilakukan setiap tiga tahun. Dalam dua tahun setelah audit sertifikasi, pemeriksaan yang kurang signifikan dilakukan - audit inspeksi. Mereka berbeda dalam ruang lingkup verifikasi: selama audit inspeksi, kontrol dari aplikasi penerapan diperiksa secara selektif, dan auditor tidak boleh mengunjungi semua lokasi. Artinya, kunjungan ini biasanya lebih cepat dan mudah.
Kesimpulan
Sertifikasi ISO 27001 adalah ukuran yang berguna baik untuk menjalankan bisnis itu sendiri maupun untuk kepuasan pelanggannya. Terlepas dari kenyataan bahwa volume waktu dan biaya keuangan tampaknya besar, ini adalah investasi yang terbayar di masa-masa sulit dari sudut pandang keamanan informasi. Kami berharap rangkaian artikel kami akan membantu semua orang yang telah menempuh jalan yang menyenangkan untuk mendapatkan sertifikat.
Baca materi sebelumnya dari siklus:
5 tahap adopsi sertifikasi ISO / IEC 27001 yang tak terhindarkan. Penolakan
5 tahap keniscayaan sertifikasi ISO / IEC 27001. Anger
5 tahap penerapan sertifikasi ISO / IEC 27001 yang tak terhindarkan. Tawar-menawar
5 tahap yang tidak dapat dihindari dari penerapan sertifikasi ISO / IEC 27001. Depresi