IASME - IASME

Standard IASME Governance byl vyvinut konsorciem IASME

Správa IASME je Zajištění informací standard, který je navržen tak, aby byl jednoduchý a cenově dostupný, aby pomohl zlepšit kybernetickou bezpečnost systému Windows Malé a střední podniky (Malé a střední podniky).

Technické kontroly IASME Governance jsou sladěny s Cyber Essentials Schéma a certifikace podle standardu IASME zahrnuje certifikaci pro Cyber Essentials. Standard IASME Governance byl vyvinut v roce 2010 a ukázal se jako velmi účinný při zlepšování bezpečnosti dodavatelských řetězců pro velké organizace. Standard je úzce propojen s mezinárodním ISO / IEC 27001 standard pro zajištění informací.

Pozadí

IASME Governance byl původně vyvinut jako partnerství mezi akademickými a malými a středními podniky, které přitahovalo velký zájem ze strany vlády a malých podniků^[1]

Výzkum zaměřený na model IASME byl proveden ve Velké Británii v letech 2009–2010,^[2] po uznání, že současný mezinárodní standard pro zajišťování informací (ISO / IEC 27001) je pro malé a střední podniky omezený na zdroje složitý a poskytuje slabost v dodavatelském řetězci. IASME byl vyvinut v letech 2010-11 a byl spuštěn později v tomto roce.^[3] Byla pravidelně revidována, aby držela krok se změnami rizikového prostředí malých a středních podniků. Proces vývoje s malými a středními podniky byl vysvětlen ve zveřejněném mezinárodním konferenčním příspěvku pro malé a střední podniky.^[4]

Standard IASME Governance se řídí stejným vzorem implementace, jaký používá mezinárodní komunita standardů včetně PDCA (Plan-Do-Check-Act) zásady ^[5] a systém řízení bezpečnosti informací (ISMS), který poskytuje rámec pro správu. Oba jsou vylepšeny a vyjádřeny v obchodních podmínkách rozpoznatelných organizacemi všech velikostí.

Standard IASME Governance byl vyvinut a pilotován s pomocí malých podniků převážně ve West Midlands ve Velké Británii s povzbudivými výsledky.^[6]^[7] Ukázalo se, že standard je užitečný pro malé a střední podniky ve Velké Británii i na mezinárodní úrovni.^[8]

Velké organizace mohou použít standard IASME Governance ve svých dodavatelských řetězcích k pochopení a snížení rizika dodavatele. Článek vysvětlující výhody dodavatelského řetězce napsal jeho vývojář David Booth.^[9] Velké i malé organizace mohou používat certifikaci IASME jako alternativu k normě ISO / IEC 27001.

Struktura normy

Standard je řízen IASME Consortium Ltd kteří provozují síť více než 150 certifikačních orgánů^[10] kteří mají licenci k certifikaci kandidátských organizací. Sada otázek je zdarma pro kohokoli ke stažení bez registrace a je licencována pod licencí Creative Commons BY-NC-ND.^[11]

Standard je k dispozici ve dvou úrovních záruky:

Vlastní hodnocení správy IASME
- Kandidáti vyplní online dotazník s přibližně 160 jednoduchými otázkami o své organizaci. To je označeno certifikačním orgánem, který uděluje certifikaci, pokud jsou všechny uvedené odpovědi v souladu s normou.
- Posouzení zahrnuje certifikaci pro Cyber Essentials Standard.
Audit správy IASME (nebo „zlato IASME“)
- Kandidátskou organizaci navštíví certifikační orgán IASME, který ověří soulad s normou a případně vydá certifikaci.

V roce 2017 byl standard aktualizován, aby zahrnoval další otázky, které organizacím umožní vyhovět Obecná nařízení o ochraně osobních údajů (GDPR).

Témata pokrytá standardem

Standard IASME Governance pokrývá následující témata zabezpečení informací:

Správa zabezpečení
Informační aktiva
Cloudové služby
Řízení rizik
Ochrana údajů (včetně GDPR )
Lidé
Pravidla bezpečnosti
Fyzikální a environmentální
Brány firewall a internetové brány
Zabezpečená konfigurace
Opravy a aktualizace
Provoz a řízení
Uživatelské účty
Administrativní přístup
Ochrana před malwarem
Skenování zranitelnosti
Monitorování
Zálohování a obnovení
Správa incidentů
Kontinuita podnikání

Srovnání s jinými normami

ISO / IEC 27001/2

IASME Governance je standard vycházející z rizik s podobným souborem kontrol jako příloha A standardu ISO / IEC 27001 Standard.^[12]

NCSC 10 kroků k kybernetické bezpečnosti

Správa IASME je velmi blízká vládě Spojeného království NCSC 10 kroků k kybernetické bezpečnosti.^[13] K dispozici je mapování mezi těmito dvěma standardy^[14]

Rámec pro kybernetické hodnocení

Vláda Spojeného království vyvinula rámec pro kybernetické hodnocení (CAF), který organizacím umožňuje prokázat, že dodržují Směrnice o bezpečnosti sítí a informací.^[15] Standard IASME Governance Standard úzce souvisí s CAF.^[16]

Sada nástrojů pro zabezpečení a ochranu digitálních dat NHS

The NHS Digital Data Security and Protection Toolkit je online nástroj pro sebehodnocení, který organizacím umožňuje měřit jejich výkon v souladu s 10 standardy zabezpečení dat National Data Guardian. IASME Governance úzce mapuje sadu nástrojů pro většinu témat^[17]

Využití standardu a ocenění

Standard IASME se stal středem pozornosti, protože se stále zvyšuje hrozba zabezpečení informací pro britské podniky a zranitelnosti jejich systémů nadále způsobují nákladná narušení dat a selhání systému. Zvyšující se počet novin a článků v časopisech o tomto tématu odráží zvýšené povědomí o bezpečnosti.^[18]^[19]

Uznává to Státy Jersey jako vhodný bezpečnostní standard pro vládní dodavatelský řetězec.^[20]

IASME byl konkrétně zmíněn v hlavním projevu na akci Infosec Europe 2013, která se konala v Londýně^[21] a krátce nato obdržel ocenění za inovaci od Computer Weekly Europe.^[22] V dubnu 2019 byl IASME oceněn Cyber Business of the Year na prestižním britském National Cyber Awards^[23]

Viz také

Reference

^ Výzva BIS k zájmu: IASME, 11. března 2013, tým konzultantského týdne. Citováno dne 19. dubna 2013
^ [1]^{[trvalý mrtvý odkaz ]} „Informační zajištění a malé a střední podniky: Výsledky výzkumu informující o vývoji modelu IASME“ Citováno dne 27. října 2012
^ Blog o zabezpečení BCS, 15. dubna 2011, Citováno dne 14. září 2012
^ IASME: Evoluce správy zabezpečení informací pro malé a střední podniky Citováno dne 15. března 2013
^ [2] „Cyklus plánování, kontroly a jednání - cyklus PDCA“ Citováno dne 27. října 2012
^ Novinky - Fraggleworks Vyvolány 27 October 2012
^ [3] „Zabezpečení dodavatelského řetězce“, Citováno 17. března 2013
^ [4]^{[trvalý mrtvý odkaz ]} „Reputation Assured with IASME“ Citováno 27. října 2012
^ [5] „Ochrana informací - vaše nejdůležitější aktivum“ Citováno dne 27. října 2012
^ „Certifikační orgány - IASME“. Konsorcium IASME. Citováno 29. března 2017.
^ „Stažení IASME Standard - IASME zdarma“. www.iasme.co.uk. Citováno 30. května 2019.
^ https://www.iasme.co.uk/wp-content/uploads/2019/04/ISO27001-Mapping-to-IASME-v1.1-.xlsx
^ „10 kroků k kybernetické bezpečnosti“. www.ncsc.gov.uk.
^ „Mapování mezi správou IASME a 10 kroky k kybernetické bezpečnosti“. Konsorcium IASME.
^ „Pokyny NCSC CAF“. www.ncsc.gov.uk.
^ „Mapování mezi správou IASME a adresářem CAF / NIS“. Konsorcium IASME.
^ „Mapování mezi správou IASME a NHS Digital Toolkit“. Konsorcium IASME.
^ [6] Vigilance Security Magazine, 14. února 2013
^ „Přihlaste se ke čtení | Finanční časy“. www.ft.com.
^ Jersey, státy. „Bezpečnostní standardy“. www.gov.je. Citováno 1. října 2018.
^ „Hlavní projev Chloe Smithové na veletrhu Infosec 2013“. GOV.UK.
^ [7]
^ „Kybernetický obchod roku sídlí ve dvou krajích“. Herefordshire a Worcestershire obchodní komora. 18. dubna 2019. Citováno 30. května 2019.

externí odkazy

Samohodnocená sada otázek o řízení IASME (ke stažení zdarma) - Stažení bezplatných dotazů na sebehodnocení Cyber Essentials
Standard IASME Governance - Stažení IASME Standardu zdarma
Výzkum potřeby IASME - [8]
Výzkum vývoje IASME - IASME: Evoluce správy zabezpečení informací pro malé a střední podniky
Webinář: „Jste nebo jste někdy byli zranitelní vůči svým zákazníkům?“ - Domů - innovateuk

[1] Výzva BIS k zájmu: IASME, 11. března 2013, tým konzultantského týdne. Citováno dne 19. dubna 2013

[2] [1]^{[trvalý mrtvý odkaz ]} „Informační zajištění a malé a střední podniky: Výsledky výzkumu informující o vývoji modelu IASME“ Citováno dne 27. října 2012

[3] Blog o zabezpečení BCS, 15. dubna 2011, Citováno dne 14. září 2012

[4] IASME: Evoluce správy zabezpečení informací pro malé a střední podniky Citováno dne 15. března 2013

[5] [2] „Cyklus plánování, kontroly a jednání - cyklus PDCA“ Citováno dne 27. října 2012

[6] Novinky - Fraggleworks Vyvolány 27 October 2012

[7] [3] „Zabezpečení dodavatelského řetězce“, Citováno 17. března 2013

[8] [4]^{[trvalý mrtvý odkaz ]} „Reputation Assured with IASME“ Citováno 27. října 2012

[9] [5] „Ochrana informací - vaše nejdůležitější aktivum“ Citováno dne 27. října 2012

[10] „Certifikační orgány - IASME“. Konsorcium IASME. Citováno 29. března 2017.

[11] „Stažení IASME Standard - IASME zdarma“. www.iasme.co.uk. Citováno 30. května 2019.

[12] ttps://www.iasme.co.uk/wp-content/uploads/2019/04/ISO27001-Mapping-to-IASME-v1.1-.xlsx

[13] „10 kroků k kybernetické bezpečnosti“. www.ncsc.gov.uk.

[14] „Mapování mezi správou IASME a 10 kroky k kybernetické bezpečnosti“. Konsorcium IASME.

[15] „Pokyny NCSC CAF“. www.ncsc.gov.uk.

[16] „Mapování mezi správou IASME a adresářem CAF / NIS“. Konsorcium IASME.

[17] „Mapování mezi správou IASME a NHS Digital Toolkit“. Konsorcium IASME.

[18] [6] Vigilance Security Magazine, 14. února 2013

[19] „Přihlaste se ke čtení | Finanční časy“. www.ft.com.

[20] Jersey, státy. „Bezpečnostní standardy“. www.gov.je. Citováno 1. října 2018.

[21] „Hlavní projev Chloe Smithové na veletrhu Infosec 2013“. GOV.UK.

[22] [7]

[23] „Kybernetický obchod roku sídlí ve dvou krajích“. Herefordshire a Worcestershire obchodní komora. 18. dubna 2019. Citováno 30. května 2019.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]