IASME - IASME

Стандарт управления IASME был разработан Консорциумом IASME.

Управление IASME является Информационное обеспечение стандарт, который разработан, чтобы быть простым и доступным, чтобы помочь улучшить кибербезопасность Малые и средние предприятия (МСП).

Технические средства управления IASME Governance согласованы с Cyber ​​Essentials Схема и сертификация по стандарту IASME включает в себя сертификацию Cyber ​​Essentials. Стандарт управления IASME был разработан в 2010 году и оказался очень эффективным для повышения безопасности цепочек поставок для крупных организаций. Стандартные карты близки к международным ISO / IEC 27001 стандарт обеспечения информации.

Фон

IASME Governance изначально разрабатывался как партнерство академических кругов и малых и средних предприятий, которое вызвало большой интерес со стороны правительства и малого бизнеса.[1]

Исследование модели IASME проводилось в Великобритании в 2009-10 гг.[2] после признания того, что текущий международный стандарт обеспечения безопасности информации (ISO / IEC 27001) является сложным для ограниченных в ресурсах МСП, обеспечивая слабость в цепочке поставок. IASME был разработан в 2010-11 годах и запущен в том же году.[3] Он регулярно пересматривался, чтобы идти в ногу с изменениями в среде рисков МСП. Процесс развития МСП был объяснен в опубликованном документе международной конференции МСП.[4]

Стандарт управления IASME следует той же схеме реализации, которая используется международным сообществом стандартов, включая: PDCA (Plan-Do-Check-Act) принципы [5] и Система управления информационной безопасностью (СМИБ), которая обеспечивает структуру управления. Оба они уточнены и выражены в деловых терминах, понятных организациям любого размера.

Стандарт управления IASME был разработан и апробирован с помощью малых предприятий, в основном в Уэст-Мидлендс в Великобритании, и дал обнадеживающие результаты.[6][7] Доказано, что стандарт полезен для малых и средних предприятий как в Великобритании, так и за рубежом.[8]

Крупные организации могут использовать стандарт управления IASME в своих цепочках поставок, чтобы понять и снизить риски поставщиков. Статью, объясняющую преимущества цепочки поставок, написал ее разработчик Дэвид Бут.[9] И большие, и маленькие организации могут использовать сертификацию IASME в качестве альтернативы стандарту ISO / IEC 27001.

Структура стандарта

Стандарт управляется Консорциум IASME Consortium Ltd. которые управляют сетью из более чем 150 органов по сертификации[10] которые имеют лицензию на сертификацию организаций-кандидатов. Набор вопросов можно бесплатно загрузить без регистрации и под лицензией Creative Commons BY-NC-ND.[11]

Стандарт доступен с двумя уровнями гарантии:

  • Самооценка управления IASME
    • Кандидаты заполняют онлайн-анкету, содержащую около 160 простых вопросов об их организации. Это отмечается органом по сертификации, который выдает сертификат, если все предоставленные ответы соответствуют стандарту.
    • Оценка включает сертификацию Cyber ​​Essentials стандарт.
  • IASME Governance Audited (или «IASME Gold»)
    • Организацию-кандидат посещает орган по сертификации IASME, который проверяет соответствие стандарту и, при необходимости, выдает сертификацию.

В 2017 году в стандарт были включены дополнительные вопросы, позволяющие организациям соблюдать Общие правила защиты данных (GDPR).

Темы, охватываемые стандартом

Стандарт управления IASME охватывает следующие темы информационной безопасности:

  • Управление безопасностью
  • Информационные активы
  • Облачные сервисы
  • Управление рисками
  • Защита данных (в том числе GDPR )
  • Люди
  • Политика безопасности
  • Физические и экологические
  • Межсетевые экраны и Интернет-шлюзы
  • Безопасная конфигурация
  • Патчи и обновления
  • Операции и управление
  • Учетные записи пользователей
  • Административный доступ
  • Защита от вредоносного ПО
  • Сканирование уязвимостей
  • Мониторинг
  • Резервное копирование и восстановление
  • Управление происшествиями
  • Непрерывность бизнеса

Сравнение с другими стандартами

ISO / IEC 27001/2

IASME Governance - это стандарт управления рисками с набором средств контроля, аналогичным Приложению A ISO / IEC 27001 стандарт.[12]

NCSC: 10 шагов к кибербезопасности

Управление IASME очень близко соответствует правительству Великобритании. NCSC 10 шагов к кибербезопасности.[13] Доступно сопоставление между двумя стандартами.[14]

Система кибер-оценки

Система кибер-оценки (CAF) была разработана правительством Великобритании, чтобы позволить организациям продемонстрировать свое соответствие Директива NIS.[15] Стандарт управления IASME тесно связан с CAF.[16]

Набор средств безопасности и защиты цифровых данных NHS

В NHS Digital Data Security and Protection Toolkit - это онлайн-инструмент для самооценки, который позволяет организациям измерять свою эффективность в соответствии с 10 стандартами безопасности данных National Data Guardian. IASME Governance тесно связан с инструментарием по большинству тем.[17]

Использование стандарта и наград

Стандарт IASME стал центром внимания, поскольку угроза информационной безопасности для британских предприятий продолжает расти, а уязвимости в их системах продолжают вызывать дорогостоящие утечки данных и отказы систем. Растущее количество газетных и журнальных статей по этой теме свидетельствует о повышении осведомленности о безопасности.[18][19]

Это признано Штаты Джерси как подходящий стандарт безопасности для государственной цепочки поставок.[20]

IASME был специально упомянут в программной речи на мероприятии Infosec Europe 2013 в Лондоне.[21] и вскоре после этого получил награду за инновации от Computer Weekly Europe.[22] В апреле 2019 года IASME был удостоен награды Cyber ​​Business of the Year на престижной британской национальной премии Cyber ​​Awards.[23]

Смотрите также

Рекомендации

  1. ^ Приглашение BIS для получения интереса: IASME, 11 марта 2013 г., автор: Consultancy Week Team. Проверено 19 апреля 2013 г.
  2. ^ [1][постоянная мертвая ссылка ] «Обеспечение информации и МСП: результаты исследований для разработки модели IASME» Дата обращения 27 октября 2012 г.
  3. ^ Блог по безопасности BCS, 15 апреля 2011 г., Проверено 14 сентября 2012 г.
  4. ^ IASME: Эволюция управления информационной безопасностью для МСП Проверено 15 марта 2013 г.
  5. ^ [2] «Цикл« планирование-выполнение-проверка-действие »- цикл PDCA» по состоянию на 27 октября 2012 г.
  6. ^ Новости - Fraggleworks Проверено 27 октября 2012 г.
  7. ^ [3] «Обеспечение безопасности цепочки поставок», последнее обращение 17 марта 2013 г.
  8. ^ [4][постоянная мертвая ссылка ] «Репутация гарантирована IASME» по состоянию на 27 октября 2012 г.
  9. ^ [5] «Защита информации - ваш самый важный актив» от 27 октября 2012 г.
  10. ^ «Органы по сертификации - IASME». Консорциум IASME. Получено 29 марта 2017.
  11. ^ «Бесплатная загрузка стандарта IASME - IASME». www.iasme.co.uk. Получено 30 мая 2019.
  12. ^ https://www.iasme.co.uk/wp-content/uploads/2019/04/ISO27001-Mapping-to-IASME-v1.1-.xlsx
  13. ^ «10 шагов к кибербезопасности». www.ncsc.gov.uk.
  14. ^ «Сопоставление управления IASME и 10 шагов к кибербезопасности». Консорциум IASME.
  15. ^ «Руководство NCSC CAF». www.ncsc.gov.uk.
  16. ^ «Сопоставление между IASME Governance и CAF / NIS Directice». Консорциум IASME.
  17. ^ «Сопоставление между IASME Governance и NHS Digital Toolkit». Консорциум IASME.
  18. ^ [6] Журнал Vigilance Security, 14 февраля 2013 г.
  19. ^ "Подпишитесь, чтобы прочитать | Financial Times". www.ft.com.
  20. ^ Джерси, Штаты. «Стандарты безопасности». www.gov.je. Получено 1 октября 2018.
  21. ^ «Основное выступление Хлои Смит на выставке Infosec 2013». GOV.UK.
  22. ^ [7]
  23. ^ «Кибербизнес года основан в двух графствах». Торговая палата Херефордшира и Вустершира. 18 апреля 2019 г.. Получено 30 мая 2019.

внешняя ссылка