kontrolní seznam interního auditu pro vaši výrobní společnost
zpracovatelský průmysl čelí rostoucí kontrole regulačních agentur. Vzhledem k tomu, že počítačoví zločinci zvyšují slabiny cílového systému SCADA, postavení organizace v oblasti kybernetické bezpečnosti se stává důležitější pro její schopnost chránit data a získávat důležité smlouvy. Počínaje bezpečnostním přístupem k kybernetické bezpečnosti často chrání data, ale pro splnění požadavků na dodržování předpisů musí organizace dokumentovat účinnost svých vnitřních kontrol.
jaké jsou primární obavy z kybernetické bezpečnosti, kterým čelí zpracovatelský průmysl?
SCADA sítě jsou kombinací hardwaru a softwaru, které řídí a monitorují průmyslové procesy. Umožňují výrobcům komunikovat se zařízeními, zaznamenávat data a řídit vzdálené a místní procesy. Mnoho z těchto zařízení však nebylo určeno pro připojení, které je nyní nezbytné pro udržení moderního obchodního modelu. Proto přicházejí s významným rizikem kybernetické bezpečnosti, což činí zpracovatelský průmysl primárním cílem škodlivých aktérů.
rizika SCADA však mohou vést nejen ke ztrátám výroby, ale především ke ztrátám na životech. Protože systémy SCADA kontrolují kritickou infrastrukturu, kybernetičtí zločinci se na ně stále více zaměřují více než na standardní obchodní systémy.
jaké jsou požadavky na dodržování předpisů pro zpracovatelský průmysl?
požadavky na dodržování předpisů ve výrobě jsou obecně diktovány federální vládou. Tyto požadavky stanoví pravidla pro zajištění ochrany národních tajemství. Umožňují nevládním subjektům možnost vytvářet položky pro vládní použití, zatímco stále existují jako soukromé podniky.
mezinárodní regulace provozu ve zbrani (ITAR)
ITAR zahrnuje zboží i technologie, které kombinují obchodní a výzkumné cíle s národními bezpečnostními požadavky. Upravuje položky určené pro komerční účely, které může armáda také přijmout, jako jsou počítače a software.
Defense Federal Acquisition Regulation Supplement (DFARS)
bezpečnostní pravidla a ustanovení DFARS stanoví minimální bezpečnostní standardy pro informační systémy, které zpracovávají, ukládají nebo přenášejí informace o federální smlouvě. Tyto základní ovládací prvky musí být prováděny v celém dodavatelském řetězci. NIST speciální publikace SP 800-171 sada pro pokyny pro dodržování předpisů.
jaké jsou primární průmyslové standardy ovlivňující zpracovatelský průmysl?
zpracovatelský průmysl tradičně potřebuje zavést kontroly založené na normách mezinárodní organizace pro normalizaci (ISO).
ISO / IEC 27001: 2013
tento přístup založený na rizicích umožňuje různým organizacím a průmyslovým odvětvím aplikovat ISO 27001. Díky této flexibilitě je jedním z nejpoužívanějších standardů informační bezpečnosti. Kromě toho ISO / IEC 27001 uvádí v příloze a řadu ovládacích prvků, které fungují spíše jako menu, které vytváří přístup k zabezpečení ve stylu Vyberte si svůj vlastní dobrodružství. Tyto rozšířené kontrolní sady nabízejí managementu možnost vyhnout se, přenášet nebo přijímat rizika, spíše než je zmírňovat prostřednictvím kontrol.
ISO 9001
podpora ISO 9001 specifikuje požadavky na systém řízení kvality (QMS). Systémy řízení kvality dokumentují procesy, postupy a odpovědnosti za cíle kvality a kontroly.
audity ISO 9001 zahrnují tři typy přezkumu: produkt, proces a systém. Dlouhý seznam požadované dokumentace obsahuje povinné i nepovinné informace. Seznam povinných dokumentů zahrnuje postupy kontroly dokumentů, postupy evidence, postupy interního auditu, kontrolu neshodných postupů, postupy nápravných opatření a postupy preventivních opatření. I když se to zpočátku necítí ohromující, každá z těchto kategorií uvádí další dokumenty potřebné k prokázání, že proces funguje v akci.
5 kroků k internímu auditu ve výrobě
přestože se interní audity mohou cítit zatěžující, účinně působí jako „předběžný test“ před příchodem externích auditorů. Úspěšný a komplexní interní audit může fungovat jako „praxe“, která vám umožní odstranit problémy před externím auditem a zabránit oficiálním zjištěním.
Identifikujte své odborníky na předmět (MSP)
i když se jedná o interní audit, možná budete muset zahrnout zúčastněné strany z celé organizace. Například odborníci SCADA a interní IT odborníci musí komunikovat a spolupracovat na vytvoření holistického přístupu k první shodě s bezpečností.
zdokumentujte své postupy vnitřní kontroly a své důvody pro ně
bez ohledu na úroveň zralosti musíte zajistit analýzu rizik, zásady, postupy a procesy. Tato dokumentace slouží jako plán pro váš program dodržování předpisů, který pomáhá vytvořit rozsah auditu.
nepřetržitě monitorujte účinnost kontroly
počítačoví zločinci neustále vyvíjejí své metodiky hrozeb, což znamená, že účinnost kontroly může kdykoli oslabit. Musíte neustále sledovat své ovládací prvky a co nejdříve odstranit případné nedostatky.
průběžně dokumentujte své monitorování
audity se spoléhají na dokumentaci. I když neustále sledujete, auditor může vrátit zjištění, pokud nemáte dokumentaci. Dokumentace prokazuje správu nad programem, která umožňuje představenstvu dohlížet na program.
vytvořte pracovní postup interního auditu
komunikace před, během a po auditu pomáhá udržovat bezpečnost a dodržování předpisů. Musíte vytvořit proces přípravy, kontroly a reakce na interní audit, abyste zajistili včasné dokončení všech úkolů.
jak ZenGRC umožňuje interní audit ve zpracovatelském průmyslu
Compliance programy vyžadují komunikaci mezi interními a externími zúčastněnými stranami a auditní systém, který to umožňuje.
ZenGRC nabízí označování pracovních postupů, takže můžete delegovat úkoly shody a sledovat jejich průběh a dokončení. Navíc Vám umožňuje upřednostňovat úkoly tak, aby členové vašeho týmu věděli, jak plánovat své aktivity.
funkce řízení workflow ZenGRC zahrnují centralizovaný řídicí panel, který průběžně dokumentuje efektivitu kontroly a usnadňuje dokumentaci o dodržování předpisů.
Navíc vám pomůže vytvořit auditní stopu dokumentováním a sanačními činnostmi, které podpoří vaše odpovědi na otázky auditora.