Interne Audit Checklist voor uw productiebedrijf
de verwerkende industrie wordt steeds vaker gecontroleerd door regelgevende instanties. Als cybercriminelen toenemende doel SCADA systeem zwakheden, cybersecurity houding van een organisatie wordt belangrijker voor haar vermogen om gegevens te beschermen en het verkrijgen van belangrijke contracten. Beginnend met een security-first benadering van cybersecurity beschermt vaak gegevens, maar om te voldoen aan compliance-eisen, moet de organisatie de effectiviteit van haar interne controles documenteren.
Wat zijn de voornaamste problemen op het gebied van cyberveiligheid waarmee de verwerkende industrie wordt geconfronteerd?
SCADA-netwerken zijn een combinatie van hardware en software die industriële processen controleren en bewaken. Ze stellen fabrikanten in staat om te communiceren met apparaten, gegevens te loggen en externe en lokale processen te bedienen. Veel van deze apparaten waren echter niet bedoeld voor de connectiviteit die nu nodig is om een modern bedrijfsmodel te handhaven. Daarom, ze komen met aanzienlijke cybersecurity risico ‘ s waardoor de productie-industrie een primair doel voor kwaadaardige actoren.
SCADA-risico ‘ s kunnen echter niet alleen leiden tot productieverlies, maar ook tot verlies van mensenlevens. Omdat SCADA-systemen kritieke infrastructuur beheren, richten cybercriminelen zich meer op hen dan op standaard bedrijfssystemen.
Wat zijn de voorschriften voor de verwerkende industrie?
de voorschriften voor de naleving van de regelgeving in de industrie worden over het algemeen door de federale overheid gedicteerd. In deze voorschriften worden regels vastgesteld om te waarborgen dat nationale geheimen worden beschermd. Ze laten niet-overheidsentiteiten de mogelijkheid om items te maken voor gebruik door de overheid, terwijl ze nog steeds bestaan als particuliere bedrijven.De International Traffic In Arms Regulation (ITAR)
ITAR heeft betrekking op zowel goederen als technologie en combineert commerciële en onderzoeksdoelstellingen met nationale veiligheidseisen. Het reglementeert items ontworpen voor commerciële doeleinden die het leger ook kan aannemen, zoals computers en software.
Defense Federal Acquisition Regulation Supplement (DFARS)
DFARS Safeguard rules and clauses set minimum security standards for information systems that processing, store, or transmitting Federal contract information. Deze basiscontroles MOETEN in de hele toeleveringsketen worden uitgevoerd. NIST speciale publicatie SP 800-171 set voor richtlijnen voor naleving.
Wat zijn de primaire industrienormen die van invloed zijn op de verwerkende industrie?
de verwerkende industrie moet van oudsher controles uitvoeren op basis van de normen van de Internationale Organisatie voor normalisatie (ISO).
ISO / IEC 27001: 2013
deze risicogebaseerde benadering maakt het voor verschillende organisaties en bedrijfstakken mogelijk ISO 27001 toe te passen. Deze flexibiliteit maakt het een van de meest gebruikte normen voor informatiebeveiliging. Bovendien bevat ISO/IEC 27001 een reeks bedieningselementen in Bijlage A die meer werkt als een menu dat een choose-your-own-adventure-stijl benadering van beveiliging creëert. Deze uitgebreide controlesets bieden het management de mogelijkheid om risico ‘ s te vermijden, over te dragen of te accepteren in plaats van ze via controles te beperken.
ISO 9001
ISO 9001 ondersteunt de eisen voor een kwaliteitsmanagementsysteem (QMS). Kwaliteitsmanagementsystemen documenteren de processen, procedures en verantwoordelijkheden ten aanzien van kwaliteits-en controledoelstellingen.ISO 9001-audits omvatten drie soorten beoordeling: product, proces en systeem. De lange lijst van vereiste documentatie omvat zowel verplichte als niet-verplichte informatie. De lijst van verplichte documenten omvat procedures voor documentencontrole, archiefprocedures, interne auditprocedures, controle van non-conformiteitsprocedures, corrigerende maatregelen en preventieve maatregelen. Hoewel dat niet overweldigend voelt op het eerste, elk van deze categorieën lijsten extra documenten die nodig zijn om te bewijzen dat het proces werkt in actie.
5 stappen naar een interne Audit in de industrie
hoewel interne audits omslachtig kunnen zijn, fungeren ze in feite als een” pretest ” voordat de externe auditors arriveren. Een succesvolle en uitgebreide interne audit kan fungeren als een” practice run ” die u in staat stelt om problemen vóór de externe audit op te lossen en officiële bevindingen te voorkomen.
Identificeer uw vakdeskundigen (KMO ‘ s)
hoewel dit een interne audit is, moet u mogelijk belanghebbenden uit de hele organisatie opnemen. SCADA-experts en interne IT-experts moeten bijvoorbeeld communiceren en samenwerken om een holistische security first compliance-aanpak te creëren.
documenteer uw interne controleprocedures en uw redenen daarvoor
ongeacht het maturiteitsniveau moet u ervoor zorgen dat u een risicoanalyse, beleid, procedures en processen opstelt. Deze documentatie fungeert als de routekaart voor uw compliance-programma dat helpt bij het creëren van de audit scope.
continu controleren op de effectiviteit van de controle
cybercriminelen ontwikkelen voortdurend hun dreigingsmethoden, wat betekent dat de effectiviteit van een controle op elk moment kan verzwakken. U moet uw controles continu monitoren en eventuele zwakke punten zo snel mogelijk verhelpen.
documenteer continu uw monitoring
Audits vertrouwen op documentatie. Zelfs als u voortdurend toezicht houdt, kan de auditor bevindingen retourneren Als u niet over de documentatie beschikt. Documentatie bewijst het bestuur over het programma, waardoor de Raad van Bestuur Toezicht kan houden op het programma.
Maak een interne audit workflow
communicatie voor, tijdens en na de audit helpt de beveiliging en compliance te behouden. U moet een proces creëren voor het voorbereiden, beoordelen en reageren op de interne audit om ervoor te zorgen dat alle taken tijdig worden voltooid.
hoe ZenGRC Interne Audit in de industrie mogelijk maakt
complianceprogramma ‘ s vereisen communicatie tussen interne en externe belanghebbenden en een auditsysteem dat dit mogelijk maakt.
ZenGRC biedt workflow tagging, zodat u compliance taken kunt delegeren en hun voortgang en voltooiing kunt controleren. Bovendien kunt u taken prioriteren, zodat uw teamleden weten hoe ze hun activiteiten moeten plannen.
de mogelijkheden voor Workflowbeheer van ZenGRC omvatten een gecentraliseerd dashboard dat continu uw controle-effectiviteit documenteert, waardoor compliancedocumentatie eenvoudiger wordt.
bovendien helpt het u een audittrail aan te maken door activiteiten te documenteren en te saneren om uw antwoorden op auditorvragen te ondersteunen.