checklista för internrevision för ditt tillverkningsföretag

bild

tillverkningsindustrin står inför ökad granskning från tillsynsmyndigheter. När cyberbrottslingar ökar mål-SCADA-systemets svagheter blir en organisations cybersäkerhetsställning viktigare för dess förmåga att skydda data och få viktiga kontrakt. Från och med ett säkerhets-första tillvägagångssätt för cybersäkerhet skyddar ofta data, men för att uppfylla efterlevnadskraven måste organisationen dokumentera effektiviteten i sina interna kontroller.

vilka är de primära cybersäkerhetsproblemen som tillverkningsindustrin står inför?

SCADA-nätverk är en kombination av hårdvara och mjukvara som styr och övervakar industriella processer. De tillåter tillverkare att interagera med enheter, logga data och styra fjärr-och lokala processer. Många av dessa enheter var dock inte avsedda för den anslutning som nu är nödvändig för att upprätthålla en modern affärsmodell. Därför kommer de med betydande cybersäkerhetsrisk som gör tillverkningsindustrin till ett primärt mål för skadliga aktörer.

SCADA-risker kan dock leda till inte bara produktionsförlust utan, ännu viktigare, förlust av liv. Eftersom SCADA-system kontrollerar kritisk infrastruktur riktar sig cyberbrottslingar alltmer mot dem mer än de gör vanliga affärssystem.

vilka är de lagstadgade kraven för tillverkningsindustrin?

krav på regelefterlevnad i tillverkningen dikteras vanligtvis av den federala regeringen. Dessa krav anger regler för att säkerställa att nationella hemligheter skyddas. De tillåter icke-statliga enheter möjligheten att skapa objekt för statligt bruk medan de fortfarande finns som privata företag.

International traffic In Arms Regulation (Itar)

ITAR täcker både varor och teknik, som kombinerar kommersiella och forskningsmål med nationella säkerhetskrav. Det reglerar föremål avsedda för kommersiella ändamål som militären också kan anta, till exempel datorer och programvara.

Defense Federal Acquisition Regulation Supplement (DFARS)

DFARS skyddsregler och klausuler fastställer minimisäkerhetsstandarder för informationssystem som behandlar, lagrar eller överför Federal kontraktsinformation. Dessa grundläggande kontroller måste genomföras i hela försörjningskedjan. NIST särskild publikation SP 800-171 set för riktlinjer för efterlevnad.

vilka är de primära industristandarderna som påverkar tillverkningsindustrin?

tillverkningsindustrin behöver traditionellt implementera kontroller baserade på ISO-standarderna (International Organization for Standardization).

ISO/IEC 27001:2013

detta riskbaserade tillvägagångssätt tillåter en mängd olika organisationer till och branscher att tillämpa ISO 27001. Denna flexibilitet gör den till en av de mest använda informationssäkerhetsstandarderna. Dessutom listar ISO/IEC 27001 en serie kontroller i bilaga A som fungerar mer som en meny som skapar en Välj-din-egen-äventyrsstil för säkerhet. Dessa utökade kontrolluppsättningar erbjuder ledningen möjligheten att undvika, överföra eller acceptera risker snarare än att mildra dem genom kontroller.

ISO 9001

ISO 9001 stöder specificerar kraven för ett kvalitetsledningssystem (QMS). Kvalitetsledningssystem dokumenterar processer, förfaranden och ansvar över kvalitets-och kontrollmål.

ISO 9001-revisioner innehåller tre typer av granskning: produkt, process och system. Den långa listan över dokumentation som krävs innehåller både obligatorisk och icke-obligatorisk information. Förteckningen över obligatoriska dokument innehåller dokumentkontrollprocedurer, registerprocedurer, internrevisionsförfaranden, kontroll av bristande överensstämmelse, korrigerande åtgärdsförfaranden och förebyggande åtgärdsförfaranden. Även om det inte känns överväldigande först, listar var och en av dessa kategorier ytterligare dokument som behövs för att bevisa att processen fungerar i aktion.

5 steg till en internrevision inom tillverkning

även om interna revisioner kan känna sig betungande, fungerar de effektivt som ett ”pretest” innan de externa revisorerna anländer. En framgångsrik och omfattande internrevision kan fungera som en” praxiskörning ” som gör att du kan åtgärda problem före den externa revisionen och förhindra officiella resultat.

identifiera dina ämnesexperter (SMF)

även om det här är en intern revision kan du behöva integrera intressenter från hela organisationen. Till exempel måste SCADA-experter och interna IT-experter kommunicera och arbeta tillsammans för att skapa en holistisk säkerhet första compliance-strategi.

dokumentera dina interna kontrollprocedurer och dina skäl till dem

oavsett mognadsnivå måste du se till att upprätta en riskanalys, policyer, procedurer och processer. Den här dokumentationen fungerar som färdplan för ditt efterlevnadsprogram som hjälper till att skapa granskningsomfånget.

kontinuerligt övervaka för kontroll effektivitet

cyberbrottslingar kontinuerligt utveckla sina hot metoder vilket innebär att en kontroll effektivitet kan försvagas när som helst. Du måste kontinuerligt övervaka dina kontroller och åtgärda eventuella svagheter så snart som möjligt.

dokumentera kontinuerligt din övervakning

revisioner är beroende av dokumentation. Även om du kontinuerligt övervakar kan revisorn returnera resultat om du inte har dokumentationen. Dokumentation bevisar styrning över programmet som gör det möjligt för styrelsen att övervaka programmet.

skapa ett arbetsflöde för intern revision

kommunikation före, under och efter granskningen bidrar till att upprätthålla säkerhet och efterlevnad. Du måste skapa en process för att förbereda, granska och svara på internrevisionen för att säkerställa att alla uppgifter är slutförda i tid.

hur ZenGRC möjliggör internrevision inom tillverkningsindustrin

efterlevnadsprogram kräver kommunikation mellan interna och externa intressenter och ett revisionssystem som möjliggör detta.

ZenGRC erbjuder arbetsflödesmärkning så att du kan delegera efterlevnadsuppgifter och övervaka deras framsteg och slutförande. Dessutom låter det dig prioritera uppgifter så att dina teammedlemmar vet hur man planerar sina aktiviteter.

Zengrcs arbetsflödeshanteringsfunktioner inkluderar en centraliserad instrumentpanel som kontinuerligt dokumenterar din kontroll effektivitet gör efterlevnadsdokumentation enklare.

dessutom hjälper det dig att skapa en verifieringskedja genom att dokumentera och åtgärda aktiviteter för att stödja dina svar på revisorsfrågor.

Leave a Reply

Din e-postadress kommer inte publiceras.