Сертификация ISO 27001 - это международный стандарт, касающийся требований к созданию, обслуживанию и развитию систем управления информационной безопасностью. По сути, это набор рекомендаций по управлению защитой и обеспечению безопасности своих данных клиентами.
Для проведения сертификации независимый орган направляет аудиторов в компанию, основной задачей которых является проверка соответствия процессов, обеспечивающих киберзащиту, передовой практике. Во время аудита они оценивают процессы в различных департаментах, таких как отдел кадров, ИТ, исследования и разработки и безопасность, и создают полный отчет, который затем анализируют другие независимые эксперты, чтобы подтвердить беспристрастность аудиторов. В конечном счете, независимая организация выдает сертификат, который в нашем случае подтверждает, что система управления информационной безопасностью соответствует передовым практикам.
Что подтверждает сертификат?
В основном наших клиентов интересует, обеспечиваем ли мы максимально возможный уровень безопасности для доставки вредоносных и подозрительных объектов (файлов) для дополнительного автоматического и ручного анализа, выполняемого нашими экспертами, и правильно ли мы храним эти объекты. Это центральное направление деятельности любой антивирусной компании.
На безопасность любого процесса влияют многие факторы, и системы управления информационной безопасностью помогают определить их и обеспечить адекватную защиту. Многие вопросы, связанные с управлением кибербезопасностью, можно считать законными. У кого есть доступ к информационным системам и критически важным данным? Каков процесс найма таких людей? Как выглядит работа с документами и информационными системами? Как служба безопасности отзывает разрешения на доступ, когда сотрудник покидает компанию? Каков уровень осведомленности сотрудников о возможных киберугрозах и какие меры для их защиты от них? Как администраторы относятся к компьютерам, где происходят критические операции?
Кроме того, система защиты учитывает новые типы угроз и меры по их предотвращению, например, использование защиты от атак APT, устранение возможных угроз, возникающих в результате использования новых технологий, в том числе с использованием алгоритмов машинного обучения.
Учитывая все это, аудиторы проанализировали документацию, пообщались с сотрудниками из разных отделов и проанализировали технические и организационные аспекты защиты данных, такие как процесс найма, увольнения и обучения. Они проверили, как ИТ-служба заботится о корпоративной сети, а также посетили наши дата-центры. Кроме того, они наблюдали за работой сотрудников, проверяли, оставляли ли они печатные документы и съемные носители без присмотра, блокируют ли они свои компьютеры, когда покидают свои столы, что показывают их мониторы и рабочие столы и какие программы они используют для своей работы. Другими словами, они проанализировали общеорганизационные практики, уделяя особое внимание процессам проверки системы управления информационной безопасностью: анализ безопасности со стороны руководства, управление рисками, управление инцидентами, корректирующие действия, аудиты, повышение осведомленности сотрудников о кибербезопасности и поддержание непрерывности бизнеса.
Похожие страницы:
