At passe på dine informationsaktiver på ISO 27001-måden
Indholdsfortegnelse:
Vi lancerer en række blogindlæg, der fremhæver nogle af standardens mest praktiske anbefalinger. Vi starter med ISO 27001's bilag A.8, som handler om informationsaktiver.
Det vil hjælpe dig med at gøre meget mere end blot at sikre din digitale lagring systemerne er sikre. Vi giver dig ISO 27001 perspektiv på:
- Hvad informationsaktiver er
- Hvorfor du skal holde dem sikre
- Sådan beskytter du dem (og eventuelle bærbare medier, de er gemt på)
Så hvad er et informationsaktiv?
De fleste mennesker antager, at det kun er en liste over den hardware, din organisation ejer. Men det er faktisk nogen information, der har værdi for din organisation, uanset hvor eller hvordan det opbevares, eller hvilken form det har.
Hvorfor skal jeg holde mine informationsaktiver sikre?
Nogle informationsaktiver er meget indlysende vigtige. Hvis en virus angreb dine økonomiske poster, ville du have store problemer.
Andre er mindre indlysende, men stadig vigtige. Forestil dig, hvad der ville ske, hvis en virus beskadigede alle dine brandede dokumentskabeloner. Alt, hvad du sendte ud, fra en e-mail til et nyt forretningsforslag, ville se meget amatøragtigt ud, indtil dine designere erstattede dem.
Og informationsaktiver behøver ikke at være digitale. Måske er der kun én person, der virkelig forstår dit lønsystem. Hvis de rejser, bliver slutningen af hver måned pludselig meget sværere. Deres viden om løn er et vigtigt informationsaktiv.
Eller måske ejer din organisation et patent, der er ved at udløbe. Hvis du ikke kan forny den, mister du en vigtig konkurrencefordel. Dette patent er også et informationsaktiv, du skal beskytte.
Hvordan beskytter jeg mine informationsaktiver?
Start med at definere, hvad du skal beskytte. Opret en information aktivbeholdning. Notér for hvert aktiv:
- Hvem er ansvarlig for det
- Hvad det kan bruges til
- Hvordan det returneres, hvis dets ejer går
Når det er gjort, skal du finde ud af, hvor meget og hvilken slags beskyttelse hvert aktiv har brug for. ISO 27001 anbefaler en tre-trins proces.
Først og fremmest skal du klassificere hvert af dine informationsaktiver efter deres:
- Det juridiske skal passes på særlige måder
- Økonomisk værdi og betydning for din organisation
- Mulighed for at beskadige din organisation, hvis den deles eller ændres uden tilladelse
Opret derefter et mærkningssystem for at sikre, at dine kolleger eller leverandører altid forstår:
- Når de har at gøre med et informationsaktiv
- Hvilken slags informationsaktiv er det
Fortæl endelig folk, hvordan de skal bruge og passe på dem. Opret og del politikker til håndtering af din organisations forskellige aktivtyper. Forbind dem tydeligt politikker til dit mærkningssystem.
Hvad med aktiver gemt på bærbare medier?
Bærbare medier som telefoner, bærbare computere eller memory sticks kan let mistes, stjæles eller glemmes. Du skal sørge for, at folk passer på dem såvel som de aktiver, de har.
For hvert stykke aftageligt medie skal du fastgøre, hvordan du:
- Klassificer og administrer det
- Beskyt den, hvis og når den bevæger sig rundt
- Bortskaf det sikkert, når det ikke længere er nødvendigt
Hvad betyder alt det?
Vi håber, at du nu forstår, hvad informationsaktiver er, og hvorfor og hvordan man beskytter dem. Du har også set, hvordan ISO 27001 nærmer sig dem. Standardens vejledning er faktisk ret enkel, selvom den kan være udfordrende at føre ud i livet for en kompleks organisation.
Det burde give dig et nyttigt nyt perspektiv på din egen organisations informationsaktiver og alle systemer, der beskytter dem. Det vil give dig en forsmag på, hvordan du arbejder hen imod ISO 27001 overholdelse eller certificering kan have vidtrækkende fordele for din organisation.
Se, hvordan vi kan forenkle din lagerstyring af informationsaktiver
Få mere at vide om vores funktion til opgørelse af informationsaktiver
