Belső Ellenőrzési ellenőrzőlista a gyártó vállalat számára
a feldolgozóipar egyre nagyobb ellenőrzéssel néz szembe a szabályozó ügynökségek részéről. Ahogy a kiberbűnözők egyre inkább célozzák a SCADA rendszer gyengeségeit, a szervezet kiberbiztonsági pozíciója egyre fontosabbá válik az adatok védelme és a fontos szerződések megszerzése szempontjából. A kiberbiztonság első megközelítésével kezdve gyakran védi az adatokat, de a megfelelőségi követelmények teljesítése érdekében a szervezetnek dokumentálnia kell belső ellenőrzéseinek hatékonyságát.
melyek a feldolgozóipar elsődleges kiberbiztonsági aggályai?
a SCADA hálózatok olyan hardverek és szoftverek kombinációi, amelyek ipari folyamatokat vezérelnek és felügyelnek. Lehetővé teszik a gyártók számára, hogy kommunikáljanak az eszközökkel, naplózhassák az adatokat, és irányítsák a távoli és helyi folyamatokat. Ezen eszközök közül sokat azonban nem a modern üzleti modell fenntartásához szükséges csatlakoztathatóságra szántak. Ezért jelentős kiberbiztonsági kockázattal járnak, ami a feldolgozóipart a rosszindulatú szereplők elsődleges célpontjává teszi.
a SCADA kockázatai azonban nemcsak a termelés elvesztéséhez vezethetnek, hanem ami még fontosabb, életvesztéshez is vezethetnek. Mivel a SCADA rendszerek ellenőrzik a kritikus infrastruktúrát, a kiberbűnözők egyre inkább megcélozzák őket, mint a szokásos üzleti rendszereket.
melyek a feldolgozóipar Szabályozási megfelelőségi követelményei?
a gyártásban a Szabályozási megfelelőségi követelményeket általában a szövetségi kormány diktálja. Ezek a követelmények olyan szabályokat határoznak meg, amelyek biztosítják a nemzeti titkok védelmét. Lehetővé teszik a nem kormányzati szervek számára, hogy kormányzati felhasználásra szánt elemeket hozzanak létre, miközben továbbra is magánvállalkozásként léteznek.
nemzetközi fegyverkereskedelmi rendelet (ITAR)
az ITAR mind az árukra, mind a technológiára kiterjed, kombinálva a kereskedelmi és kutatási célokat a nemzetbiztonsági követelményekkel. Szabályozza a kereskedelmi célokra tervezett elemeket, amelyeket a katonaság is elfogadhat, például számítógépeket és szoftvereket.
Defense Federal Acquisition Regulation Supplement (DFARS)
a DFARS védelmi szabályai és záradékai minimális biztonsági szabványokat állapítanak meg a szövetségi szerződéses információkat feldolgozó, tároló vagy továbbító információs rendszerek számára. Ezeket az alapvető ellenőrzéseket az ellátási lánc egészében végre kell hajtani. A NIST SP 800-171 speciális kiadványa meghatározza a megfelelőségi irányelveket.
melyek az elsődleges ipari szabványok, amelyek befolyásolják a feldolgozóipart?
a feldolgozóiparnak hagyományosan a Nemzetközi Szabványügyi Szervezet (ISO) szabványain alapuló ellenőrzéseket kell végrehajtania.
ISO/IEC 27001:2013
ez a kockázatalapú megközelítés lehetővé teszi számos szervezet és iparág számára az ISO 27001 alkalmazását. Ez a rugalmasság teszi az egyik leggyakrabban használt információbiztonsági szabványt. Sőt, az ISO/IEC 27001 felsorolja az A. mellékletben található vezérlők sorozatát, amely inkább egy menüként működik, amely a saját kaland stílusú megközelítést hozza létre a biztonság szempontjából. Ezek a kiterjesztett vezérlőkészletek lehetőséget kínálnak a menedzsment számára a kockázatok elkerülésére, átadására vagy elfogadására, ahelyett, hogy kontrollokkal enyhítenék őket.
ISO 9001
az ISO 9001 támogatja a minőségirányítási rendszer (QMS) követelményeit. A minőségirányítási rendszerek dokumentálják a folyamatokat, eljárásokat és felelősségeket a minőség-és ellenőrzési célok felett.
az ISO 9001 auditok háromféle felülvizsgálatot tartalmaznak: termék, folyamat és rendszer. A szükséges dokumentáció hosszú listája mind kötelező, mind nem kötelező információkat tartalmaz. A kötelező dokumentumok listája magában foglalja a dokumentum-ellenőrzési eljárásokat, a nyilvántartási eljárásokat, a belső ellenőrzési eljárásokat, a nem megfelelőségi eljárások ellenőrzését, a korrekciós intézkedéseket és a megelőző intézkedéseket. Bár ez eleinte nem tűnik elsöprőnek, e kategóriák mindegyike felsorolja a folyamat működésének igazolásához szükséges további dokumentumokat.
5 lépés a belső ellenőrzéshez a gyártásban
bár a belső ellenőrzések megterhelőek lehetnek, hatékonyan “elővizsgálatként” működnek, mielőtt a külső auditorok megérkeznek. A sikeres és átfogó belső ellenőrzés “gyakorlatként” működhet, amely lehetővé teszi a problémák orvoslását a külső ellenőrzés előtt, és megakadályozza a hivatalos megállapításokat.
azonosítsa a tárgy szakértőit (kkv-k)
annak ellenére, hogy ez egy belső ellenőrzés, előfordulhat, hogy be kell vonnia az érdekelt feleket a szervezet egészéből. Például a SCADA szakértőinek és a belső informatikai szakértőknek kommunikálniuk kell és együtt kell működniük egy holisztikus biztonsági első megfelelőségi megközelítés létrehozása érdekében.
dokumentálja a belső ellenőrzési eljárásokat és azok okait
Érettségi szinttől függetlenül meg kell győződnie arról, hogy kockázatelemzést, irányelveket, eljárásokat és folyamatokat hoz létre. Ez a dokumentáció a megfelelőségi program ütemterveként szolgál, amely segít létrehozni az audit hatókörét.
a kontroll hatékonyságának folyamatos ellenőrzése
a kiberbűnözők folyamatosan fejlesztik fenyegetési módszereiket, ami azt jelenti, hogy a kontroll hatékonysága bármikor gyengülhet. Folyamatosan figyelemmel kell kísérnie az ellenőrzéseket, és a lehető leghamarabb orvosolnia kell az esetleges hiányosságokat.
folyamatosan dokumentálja nyomon követését
az ellenőrzések dokumentációra támaszkodnak. Még akkor is, ha folyamatosan figyelemmel kíséri, a könyvvizsgáló visszaküldheti a megállapításokat, ha nincs dokumentációja. A dokumentáció bizonyítja a program irányítását, amely lehetővé teszi az Igazgatóság számára a program felügyeletét.
belső ellenőrzési munkafolyamat létrehozása
az ellenőrzés előtti, alatti és utáni kommunikáció segít fenntartani a biztonságot és a megfelelőséget. Létre kell hoznia egy folyamatot a belső ellenőrzés előkészítésére, felülvizsgálatára és megválaszolására annak biztosítása érdekében, hogy minden feladat időben elkészüljön.
hogyan teszi lehetővé a ZenGRC a belső ellenőrzést a feldolgozóiparban?
a megfelelőségi programok megkövetelik a belső és külső érdekelt felek közötti kommunikációt, valamint egy olyan ellenőrzési rendszert, amely ezt lehetővé teszi.
a zengrc munkafolyamat-címkézést kínál, így delegálhatja a megfelelőségi feladatokat, és figyelemmel kísérheti azok előrehaladását és befejezését. Ezenkívül lehetővé teszi a feladatok rangsorolását, hogy a csapattagok tudják, hogyan kell megtervezni tevékenységüket.
a zengrc munkafolyamat-kezelési képességei közé tartozik egy központosított irányítópult, amely folyamatosan dokumentálja az ellenőrzés hatékonyságát, megkönnyítve ezzel a megfelelőségi dokumentációt.
ezenkívül segít létrehozni egy ellenőrzési nyomvonalat azáltal, hogy dokumentálja és helyreállítja a tevékenységeket, hogy támogassa a könyvvizsgálói kérdésekre adott válaszokat.