Att ta hand om din informationstillgångar enligt ISO 27001-sättet
Innehållsförteckning:
Vi lanserar en serie blogginlägg som lyfter fram några av standardens mest praktiska rekommendationer. Vi börjar med ISO 27001:s bilaga A.8, som handlar om informationstillgångar.
Det hjälper dig att göra mycket mer än att bara säkerställa din digitala lagring systemen är säkra. Vi ger dig ISO 27001 perspektiv på:
- Vad är informationstillgångar
- Varför du behöver hålla dem säkra
- Hur du skyddar dem (och alla bärbara media de lagras på)
Så vad är en informationstillgång?
De flesta antar att det bara är en lista över den hårdvara som din organisation äger. Men det är faktiskt vilken som helst information som har värde för din organisation, oavsett var eller hur den lagras, eller vilken form den har.
Varför måste jag hålla mina informationstillgångar säkra?
Vissa informationstillgångar är mycket självklart viktiga. Om ett virus attackerade dina finansiella poster, skulle du få stora problem.
Andra är mindre uppenbara, men fortfarande viktiga. Föreställ dig vad som skulle hända om ett virus skadade alla dina varumärkesdokumentmallar. Allt du skickade ut, från ett e-postmeddelande till ett nytt affärsförslag, skulle se väldigt amatörmässigt ut tills dina designers ersatte dem.
Och informationstillgångar behöver inte vara digitala. Kanske finns det bara en person som verkligen förstår ditt lönesystem. Om de lämnar blir slutet av varje månad plötsligt mycket svårare. Deras lönekunskap är en viktig informationstillgång.
Eller så kanske din organisation äger ett patent som håller på att löpa ut. Om du inte kan förnya den kommer du att förlora en viktig konkurrensfördel. Det patentet är också en informationstillgång du behöver skydda.
Hur skyddar jag mina informationstillgångar?
Börja med att definiera vad du behöver skydda. Skapa en information inventering av tillgångar. För varje tillgång gör en anteckning om:
- Vem är ansvarig för det
- Vad den kan användas till
- Hur det återlämnas om dess ägare lämnar
När det är gjort, räkna ut hur mycket och vilken typ av skydd varje tillgång behöver. ISO 27001 rekommenderar en process i tre steg.
Först och främst, klassificera var och en av dina informationstillgångar efter deras:
- Det juridiska måste tas om hand på särskilda sätt
- Ekonomiskt värde och betydelse för din organisation
- Möjlighet att skada din organisation om den delas eller ändras utan tillstånd
Skapa sedan ett märkningssystem för att se till att dina kollegor eller leverantörer alltid förstår:
- När de har att göra med en informationstillgång
- Vilken typ av informationstillgång det är
Slutligen, berätta för folk hur de ska använda och ta hand om dem. Skapa och dela policyer för att hantera din organisations olika tillgångstyper. Länka dem tydligt policyer för ditt märkningssystem.
Hur är det med tillgångar som lagras på bärbara medier?
Bärbara medier som telefoner, bärbara datorer eller minnesstick kan lätt förloras, stjälas eller glömmas bort. Du måste se till att människor tar hand om dem och de tillgångar de har.
För varje bit löstagbart media, slå fast hur du ska:
- Klassificera och hantera det
- Skydda den om och när den rör sig
- Kassera det på ett säkert sätt när det inte längre behövs
Vad innebär allt detta?
Vi hoppas att du nu förstår vad informationstillgångar är och varför och hur man skyddar dem. Du har också sett hur ISO 27001 närmar sig dem. Standardens vägledning är faktiskt ganska enkel, även om den kan vara utmanande att levandegöra för en komplex organisation.
Det borde ge dig ett användbart nytt perspektiv på din egen organisations informationstillgångar och alla system som skyddar dem. Det ger dig ett smakprov på hur du arbetar mot ISO 27001 efterlevnad eller certifiering kan ha omfattande fördelar för din organisation.
Se hur vi kan förenkla din lagerhantering av informationstillgångar
Läs mer om vår funktion för inventering av informationstillgångar
