IASME

Standard zarządzania IASME został opracowany przez konsorcjum IASME

IASME Governance to standard zapewniania informacji , który został zaprojektowany tak, aby był prosty i niedrogi, aby pomóc poprawić bezpieczeństwo cybernetyczne małych i średnich przedsiębiorstw (MŚP).

Techniczne kontrole IASME Governance są dostosowane do programu Cyber ​​Essentials , a certyfikacja zgodnie ze standardem IASME obejmuje certyfikację Cyber ​​Essentials. Standard IASME Governance został opracowany w 2010 roku i okazał się bardzo skuteczny w poprawie bezpieczeństwa łańcuchów dostaw dla dużych organizacji. [ potrzebne źródło ] . Norma ściśle odwzorowuje międzynarodowy ISO/IEC 27001 .

Tło

IASME Governance został pierwotnie opracowany jako partnerstwo akademickie i MŚP, które wzbudziło duże zainteresowanie ze strony rządu i małych firm

Badania nad modelem IASME podjęto w Wielkiej Brytanii w latach 2009–2010 po uznaniu, że obecna międzynarodowa norma zapewniania informacji (ISO/IEC 27001) jest złożona dla MŚP o ograniczonych zasobach, co stanowi słabość łańcucha dostaw. IASME został opracowany w latach 2010-11 i został uruchomiony w tym samym roku. Był regularnie aktualizowany, aby nadążyć za zmianami w środowisku ryzyka MŚP. Proces rozwoju z MŚP został wyjaśniony w opublikowanym dokumencie z międzynarodowej konferencji MŚP.

Standard IASME Governance opiera się na tym samym schemacie implementacji, który jest używany przez międzynarodową społeczność normalizacyjną, w tym na zasadach PDCA (Planuj-Wykonaj-Sprawdź-Działaj) oraz Systemu Zarządzania Bezpieczeństwem Informacji (ISMS), który zapewnia ramy zarządzania. Oba są dopracowane i wyrażone w terminach biznesowych rozpoznawalnych przez organizacje każdej wielkości.

Standard IASME Governance został opracowany i pilotowany z pomocą małych firm, głównie w West Midlands w Wielkiej Brytanii, z zachęcającymi wynikami. Wykazano, że norma jest przydatna dla MŚP zarówno w Wielkiej Brytanii, jak i na arenie międzynarodowej.

Duże organizacje mogą stosować standard IASME Governance w swoich łańcuchach dostaw, aby zrozumieć i zmniejszyć ryzyko dostawcy. Artykuł wyjaśniający korzyści płynące z łańcucha dostaw został napisany przez jego programistę, Davida Bootha. Zarówno duże, jak i małe organizacje mogą wykorzystywać certyfikację IASME jako alternatywę dla normy ISO/IEC 27001.

Struktura normy

Norma jest zarządzana przez The IASME Consortium Ltd , które obsługuje sieć ponad 150 jednostek certyfikujących, które mają licencje na certyfikację organizacji kandydujących. Zestaw pytań można bezpłatnie pobrać bez rejestracji i jest dostępny na licencji Creative Commons BY-NC-ND.

Norma jest dostępna na dwóch poziomach pewności:

  • Samoocena zarządzania IASME
    • Kandydaci wypełniają kwestionariusz online zawierający około 160 prostych pytań dotyczących ich organizacji. Jest to zaznaczone przez Jednostkę Certyfikującą, która przyznaje certyfikat, jeśli wszystkie udzielone odpowiedzi są zgodne z normą.
    • Ocena obejmuje certyfikację na zgodność ze standardem Cyber ​​Essentials .
  • IASME Governance Audited (lub „IASME Gold”)
    • Organizacja kandydująca jest odwiedzana przez jednostkę certyfikującą IASME, która weryfikuje zgodność ze standardem i, jeśli to konieczne, wydaje certyfikację.

W 2017 roku standard został zaktualizowany o dodatkowe pytania umożliwiające organizacjom przestrzeganie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) .

Tematy objęte normą

Standard IASME Governance obejmuje następujące tematy związane z bezpieczeństwem informacji:

  • Zarządzanie bezpieczeństwem
  • Zasoby informacyjne
  • Usługi w chmurze
  • Zarządzanie ryzykiem
  • Ochrona danych (w tym RODO )
  • Ludzie
  • Polityka bezpieczeństwa
  • Fizyczne i środowiskowe
  • Firewalle i bramy internetowe
  • Bezpieczna konfiguracja
  • Poprawki i aktualizacje
  • Operacji i Zarządzania
  • Konta użytkowników
  • Dostęp administracyjny
  • Zabezpieczenie przed złośliwym oprogramowaniem
  • Skanowanie w poszukiwaniu luk w zabezpieczeniach
  • Monitorowanie
  • Kopia zapasowa i przywracanie
  • Zarządzanie incydentami
  • Ciągłości działania

Porównanie z innymi standardami

ISO/IEC 27001/2

IASME Governance to norma oparta na analizie ryzyka z zestawem mechanizmów kontrolnych podobnym do Załącznika A do normy ISO/IEC 27001 .

NCSC 10 kroków do bezpieczeństwa cybernetycznego

IASME Governance bardzo ściśle odwzorowuje 10 kroków do bezpieczeństwa cybernetycznego NCSC rządu Wielkiej Brytanii. Dostępne jest odwzorowanie między tymi dwoma standardami

Ramy oceny cybernetycznej

Ramy oceny cybernetycznej (CAF) zostały opracowane przez rząd Wielkiej Brytanii, aby umożliwić organizacjom wykazanie zgodności z dyrektywą NIS . Standard IASME Governance jest ściśle odwzorowywany na CAF.

Zestaw narzędzi bezpieczeństwa i ochrony danych cyfrowych NHS

NHS Digital Data Security and Protection Toolkit to internetowe narzędzie do samooceny, które pozwala organizacjom mierzyć ich wydajność względem 10 standardów bezpieczeństwa danych National Data Guardian. Zarządzanie IASME ściśle odwzorowuje zestaw narzędzi dla większości tematów

Wykorzystanie standardu i nagród

Standard IASME stał się przedmiotem zainteresowania, ponieważ zagrożenie bezpieczeństwa informacji dla firm w Wielkiej Brytanii stale rośnie, a luki w zabezpieczeniach ich systemów nadal powodują kosztowne naruszenia danych i awarie systemów. Rosnąca liczba artykułów w gazetach i czasopismach na ten temat odzwierciedla rosnącą świadomość bezpieczeństwa.

Jest uznawany przez stany Jersey za odpowiedni standard bezpieczeństwa dla rządowego łańcucha dostaw.

IASME zostało wyraźnie wspomniane w przemówieniu programowym podczas wydarzenia Infosec Europe 2013, które odbyło się w Londynie, i wkrótce potem otrzymało nagrodę za innowacyjność od Computer Weekly Europe. W kwietniu 2019 r. IASME otrzymało nagrodę Cyber ​​Business of the Year w prestiżowym konkursie UK National Cyber ​​Awards

Zobacz też

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=IASME&oldid=1141947886