Lista de verificare a auditului intern pentru compania dvs. producătoare
industria prelucrătoare se confruntă cu un control din ce în ce mai mare din partea agențiilor de reglementare. Pe măsură ce infractorii cibernetici vizează în creștere punctele slabe ale Sistemului SCADA, postura de securitate cibernetică a unei organizații devine mai importantă pentru capacitatea sa de a proteja datele și de a obține contracte importante. Începând cu o abordare de securitate în primul rând a securității cibernetice protejează adesea datele, dar pentru a îndeplini cerințele de conformitate, organizația trebuie să documenteze eficacitatea controalelor sale interne.
care sunt principalele probleme de securitate cibernetică cu care se confruntă industria prelucrătoare?
rețelele SCADA sunt o combinație de hardware și software care controlează și monitorizează procesele industriale. Acestea permit producătorilor să interacționeze cu dispozitivele, să înregistreze date și să controleze procesele la distanță și locale. Cu toate acestea, multe dintre aceste dispozitive nu erau destinate conectivității necesare acum pentru a menține un model de afaceri modern. Prin urmare, acestea vin cu un risc semnificativ de securitate cibernetică, ceea ce face ca industria prelucrătoare să fie o țintă principală pentru actorii rău intenționați.
cu toate acestea, riscurile SCADA pot duce nu numai la pierderi de producție, ci, mai important, la pierderi de vieți omenești. Deoarece sistemele SCADA controlează infrastructura critică, infractorii cibernetici îi vizează din ce în ce mai mult decât sistemele standard de afaceri.
care sunt cerințele de conformitate cu reglementările pentru industria prelucrătoare?
cerințele de conformitate cu reglementările în producție sunt în general dictate de guvernul federal. Aceste cerințe specifică norme care să asigure protecția secretelor naționale. Acestea permit entităților neguvernamentale capacitatea de a crea articole pentru uz guvernamental în timp ce există încă ca întreprinderi private.
Regulamentul internațional privind traficul de arme (ITAR)
ITAR acoperă atât bunurile, cât și tehnologia, combinând obiectivele comerciale și de cercetare cu cerințele de securitate națională. Reglementează articolele concepute în scopuri comerciale pe care armata le poate adopta, de asemenea, cum ar fi computerele și software-ul.
apărare Federal Acquisition Regulation Supplement (DFARS)
DFARS normele și clauzele de salvgardare stabilesc standarde minime de securitate pentru sistemele informatice care procesează, stochează sau transmit informații contractuale Federale. Aceste controale de bază trebuie puse în aplicare pe tot parcursul lanțului de aprovizionare. NIST publicație specială SP 800-171 set de linii directoare pentru conformitate.
care sunt standardele industriei primare care afectează industria prelucrătoare?
industria prelucrătoare trebuie în mod tradițional să implementeze controale bazate pe standardele Organizației Internaționale pentru Standardizare (ISO).
ISO / IEC 27001: 2013
această abordare bazată pe riscuri permite unei varietăți de organizații și industrii să aplice ISO 27001. Această flexibilitate îl face unul dintre cele mai utilizate standarde de securitate a informațiilor. Mai mult decât atât, ISO/IEC 27001 enumeră o serie de controale în Anexa A, care acționează mai mult ca un meniu crearea unei abordări alege-ta-propria-aventura stil de securitate. Aceste seturi de control extinse oferă managementului opțiunea de a evita, transfera sau accepta riscuri, mai degrabă decât de a le atenua prin controale.
ISO 9001
suporturi ISO 9001 specifică cerințele pentru un sistem de management al calității (SMC). Sistemele de management al calității documentează procesele, procedurile și responsabilitățile asupra obiectivelor de calitate și control.
auditurile ISO 9001 includ trei tipuri de revizuire: produs, proces și sistem. Lista lungă de documente necesare include atât informații obligatorii, cât și neobligatorii. Lista documentelor obligatorii include proceduri de control al documentelor, proceduri de evidență, proceduri de audit intern, proceduri de control al neconformității, proceduri de acțiune corectivă și proceduri de acțiune preventivă. Deși acest lucru nu se simte copleșitor la început, fiecare dintre aceste categorii enumeră documente suplimentare necesare pentru a dovedi că procesul funcționează în acțiune.
5 pași către un Audit intern în producție
deși auditurile interne se pot simți împovărătoare, ele acționează efectiv ca un „pretest” înainte de sosirea auditorilor externi. Un audit intern de succes și cuprinzător poate acționa ca o” practică ” care vă permite să remediați problemele înainte de auditul extern și să preveniți constatările oficiale.
identificați experții în materie (IMM-uri)
chiar dacă acesta este un audit intern, poate fi necesar să încorporați părțile interesate din întreaga organizație. De exemplu, experții SCADA și experții IT interni trebuie să comunice și să lucreze împreună pentru a crea o abordare holistică a securității în primul rând.
documentați procedurile dvs. de control intern și motivele dvs. pentru acestea
indiferent de nivelul de maturitate, trebuie să vă asigurați că stabiliți o analiză de risc, politici, proceduri și procese. Această documentație acționează ca foaia de parcurs pentru programul dvs. de conformitate, care ajută la crearea domeniului de audit.
monitorizează continuu eficacitatea controlului
infractorii cibernetici își dezvoltă continuu metodologiile de amenințare, ceea ce înseamnă că eficacitatea unui control poate slăbi în orice moment. Trebuie să vă monitorizați continuu controalele și să remediați eventualele puncte slabe cât mai curând posibil.
documentați continuu monitorizarea
auditurile se bazează pe documentație. Chiar dacă monitorizați continuu, auditorul poate returna constatările dacă nu aveți documentația. Documentația dovedește guvernarea asupra programului, care permite Consiliului de administrație să supravegheze programul.
creați un flux de lucru de audit intern
comunicarea înainte, în timpul și după audit ajută la menținerea securității și conformității. Trebuie să creați un proces de pregătire, revizuire și răspuns la auditul intern pentru a vă asigura că toate sarcinile sunt finalizate în timp util.
cum ZenGRC permite auditul intern în industria prelucrătoare
programele de conformitate necesită comunicarea între părțile interesate interne și externe și un sistem de audit care permite acest lucru.
ZenGRC oferă etichetarea fluxului de lucru, astfel încât să puteți delega sarcini de Conformitate și să monitorizați progresul și finalizarea acestora. Mai mult, vă permite să acordați prioritate sarcinilor, astfel încât membrii echipei dvs. să știe cum să își planifice activitățile.
capacitățile de gestionare a fluxului de lucru ZenGRC includ un tablou de bord centralizat care documentează continuu eficiența controlului, facilitând documentația de conformitate.
în plus, vă ajută să creați o pistă de audit prin documentarea și activități de remediere pentru a sprijini răspunsurile la întrebările auditorului.