ISO / IEC 27001: 2013 – Informationsteknologi – Sikkerhedsteknikker – Informationssikkerhedsstyringssystemer – Krav (anden udgave)
< Tidligere standard ^ Et niveau op ^ Næste standard >
Introduktion
ISO / IEC 27001 angiver formelt et informationssikkerhedsstyringssystem, en styringsordning, der omfatter en struktureret række aktiviteter, som man kan styre informationsrisici med (kaldet informationssikkerhedsrisici i standarden) .
ISMS er en overordnet ramme, gennem hvilken ledelsen identificerer, evaluerer og behandler (adresserer) organisationens informationsrisici. ISMS sikrer, at sikkerhedsarrangementerne finjusteres for at holde trit med ændringer i sikkerhedstrusler, sårbarheder og forretningspåvirkninger – et vigtigt aspekt inden for et så dynamisk felt og en nøglefordel ved ISO27ks fleksible risikostyrede tilgang sammenlignet med, sig, PCI-DSS.
Standarden dækker alle typer organisationer (f.eks. kommercielle virksomheder, offentlige agenturer, almennyttige organisationer) af alle størrelser (fra mikrovirksomheder til store multinationale virksomheder) i alle brancher (f.eks. detailhandel, bank, forsvar, sundhedspleje , uddannelse og regering). Dette er helt klart en meget bred brief.
ISO / IEC 27001 foreskriver ikke formelt specifikke informationssikkerhedskontroller, da de nødvendige kontroller varierer markant i de mange forskellige organisationer, der vedtager standarden. Informationssikkerhedskontrollerne fra ISO / IEC 27002 er opsummeret i bilag A til ISO / IEC 27001, snarere som en menu. Organisationer, der vedtager ISO / IEC 27001, kan frit vælge, hvilken specifik informationssikkerhedskontrol der gælder for deres særlige informationsrisici, idet de trækker på dem, der er anført i menuen og potentielt supplerer dem med andre a la carte-indstillinger (undertiden kendt som udvidede kontrolsæt). Som med ISO / IEC 27002 er nøglen til valg af anvendelige kontroller at foretage en omfattende vurdering af organisationens informationsrisici, som er en vigtig del af ISMS.
Derudover kan ledelsen vælge at undgå, dele eller acceptere informationsrisici i stedet for at afbøde dem gennem kontroller – en beslutning om risikobehandling inden for risikostyringsprocessen.
Historie
ISO / IEC 27001 er stammer fra BS 7799 del 2, først offentliggjort som sådan af British Standards Institute i 1999.
BS 7799 del 2 blev revideret i 2002 og indeholdt eksplicit Deming-stil Plan-Do-Check-Act-cyklus.
BS 7799 del 2 blev vedtaget som den første udgave af ISO / IEC 27001 i 2005 med forskellige ændringer for at afspejle dets nye vogtere .
Den anden udgave af ISO / IEC 27001 blev offentliggjort i 2013 efter at have været grundigt revideret for at tilpasse sig de andre ISO-styringssystemstandarder. PDCA er ikke længere eksplicit, men begrebet kontinuerlig forbedring og systematisk forbedring forbliver helt sikkert.
Standardens struktur
ISO / IEC 27001: 2013 har følgende sektioner:
0 Introduktion – standarden beskriver en proces til systematisk styring informationsrisici.
1 Anvendelsesområde – det specificerer generiske ISMS-krav, der er velegnede til organisationer af enhver type, størrelse eller art.
2 Normative referencer – kun ISO / IEC 27000 betragtes som absolut nødvendigt for brugere af 27001: de resterende ISO27k-standarder er valgfri.
3 Termer og definitioner – se ISO / IEC 27000.
4 Kontekst for organisationen – forståelse af organisationskonteksten, behovene og forventninger fra interesserede parter og definerer omfanget af ISMS. Afsnit 4.4 siger meget tydeligt, at “Organisationen skal etablere, implementere, vedligeholde og løbende forbedre” ISMS.
5 Ledelse – topledelsen skal demonstrere lederskab og engagement i ISMS, mandatpolitik og tildele informationssikkerhed roller, ansvar og autoriteter.
6 Planlægning – skitserer processen til identifikation, analyse og planlægning af behandling af informationsrisici og afklaring af målene for informationssikkerhed.
7 Support – tilstrækkelig, kompetente ressourcer skal tildeles, bevidsthed øges, dokumentation udarbejdes og kontrolleres.
8 Drift – lidt mere detaljeret om vurdering og behandling af informationsrisici, styring af ændringer og dokumentation af ting (dels så de kan revideres af certificeringsrevisorerne).
9 Ydelsesevaluering – overvåge, måle, analysere og evaluere / revidere / gennemgå informationssikkerhedskontrol, processer og styringssystem og systematisk forbedre tingene, hvor det er nødvendigt.
10 Forbedring ement – adresser resultaterne af revisioner og anmeldelser (f.eks. afvigelser og korrigerende handlinger), foretage løbende forbedringer af ISMS.
Bilag A Referencekontrolmål og -kontroller – lidt mere faktisk end en liste over titler på kontrolafsnittene i ISO / IEC 27002. Bilaget er normativt, hvilket antyder, at certificerede organisationer forventes at bruge det , men hovedorganet siger, at de frit kan afvige fra eller supplere det for at imødegå deres særlige informationsrisici. Bilag A alene er svært at fortolke. Se ISO / IEC 27002 for at få flere nyttige detaljer om kontrolelementerne, herunder implementeringsvejledning.
Bibliografi – peger læsere på fem relaterede standarder plus del 1 af ISO / IEC-direktiverne for at få flere oplysninger. Derudover identificeres ISO / IEC 27000 i standardens hoveddel som en normativ (dvs. essentiel) standard, og der er flere henvisninger til ISO 31000 om risikostyring.
Obligatoriske krav til certificering
ISO / IEC 27001 er en formaliseret specifikation til et ISMS med to forskellige formål:
- Det viser designet til et ISMS, der beskriver de vigtige dele på en forholdsvis høj niveau;
- Det kan (valgfrit) bruges som grundlag for formel overensstemmelsesvurdering af akkrediterede certificeringsrevisører for at certificere en organisation, der er kompatibel.
Følgende obligatoriske dokumentation kræves eksplicit til certificering:
- ISMS-omfang (som i afsnit 4.3)
- Informationssikkerhedspolitik (punkt 5.2)
- Evalueringsproces for informationsrisiko ( klausul 6.1.2)
- Behandlingsproces for informationsrisiko (klausul 6.1.3)
- Informationssikkerhedsmål (klausul 6.2)
- Bevis for kompetence personer, der arbejder inden for informationssikkerhed (punkt 7.2)
- Andre ISMS-relaterede dokumenter, der anses for nødvendige af organisationen (punkt 7.5.1b)
- Operationsplanlægnings- og kontroldokumenter (punkt 8.1)
- Resultaterne af risikovurderingerne (punkt 8.2)
- Beslutningerne vedrørende risikobehandling (punkt 8.3)
- Bevis for overvågning og måling af informationssikkerhed (punkt 9.1 )
- ISMS interne revisionsprogram og resultaterne af gennemførte revisioner (klausul 9.2)
- Bevis for topledelsens gennemgang af ISMS (klausul 9.3)
- Bevis af identificerede afvigelser og korrigerende handlinger, der opstår (afsnit 10.1)
- Forskellige andre: Bilag A nævner, men specificerer ikke yderligere dokumentation, herunder regler for acceptabel brug af aktiver, adgangskontrolpolitik, driftsprocedurer, fortrolighed eller ikke -oplysningsaftaler, sikre systemtekniske principper, informationssikkerhedspolitik for leverandørforhold, informere procedurer til reaktion på sikkerhedshændelser, relevante love, forskrifter og kontraktmæssige forpligtelser plus tilhørende overholdelsesprocedurer og procedurer for kontinuitet i informationssikkerhed. Til trods for at bilag A er normativt, er organisationer dog ikke formelt forpligtet til at vedtage og overholde bilag A: de kan bruge andre strukturer og tilgange til at behandle deres informationsrisici.
Certificeringsrevisorer vil næsten helt sikkert være kontrollere, at disse femten typer dokumentation er (a) til stede, og (b) egnede til formålet.
Standarden specificerer ikke nøjagtigt, hvilken form dokumentationen skal have, men afsnit 7.5.2 taler om aspekter som titler, forfattere, formater, medier, gennemgang og godkendelse, mens 7.5.3 vedrører dokumentkontrol , hvilket antyder en ret formel ISO 9000-stil tilgang. Elektronisk dokumentation (såsom intranetsider) er lige så god som papirdokumenter, faktisk bedre i den forstand, at de er lettere at kontrollere og opdatere.
ISMS-omfang og erklæring om anvendelighed (SoA)
Mens standarden er beregnet til at drive implementeringen af et virksomhedsdækkende ISMS, der sikrer, at alle dele af organisationen drager fordel af at adressere deres informationsrisici på en passende og systematisk styret måde kan organisationer omfatte deres ISMS så bredt eller så snævert, som de ønsker – faktisk er scoping en afgørende beslutning for den øverste ledelse (punkt 4.3). Et dokumenteret ISMS-omfang er et af de obligatoriske krav til certificering.
Selv om erklæringen om anvendelighed ikke er udtrykkeligt defineret, er det et obligatorisk krav i afsnit 6.1.3. SoA refererer til output fra informationsrisikovurderingerne og især beslutningerne omkring behandling af disse risici. SoA kan for eksempel tage form af en matrix, der identificerer forskellige typer informationsrisici på den ene akse og risikobehandlingsmuligheder på den anden, hvilket viser, hvordan risiciene skal behandles i kroppen, og måske hvem der er ansvarlig for dem. Det refererer normalt til de relevante kontroller fra ISO / IEC 27002, men organisationen kan bruge en helt anden ramme såsom NIST SP800-53, ISF-standarden, BMIS og / eller COBIT eller en brugerdefineret tilgang.Informationssikkerhedskontrolmålene og kontrollerne fra ISO / IEC 27002 findes som en tjekliste i bilag A for at undgå at overse nødvendige kontroller: de er ikke påkrævet.
ISMS-omfanget og SoA er afgørende, hvis en tredjepart har til hensigt at vedhæfte en organisations ISO / IEC 27001-overensstemmelsescertifikat. Hvis en organisations ISO / IEC 27001-anvendelsesområde kun inkluderer “Acme Ltd.-afdeling X”, siger det tilknyttede certifikat absolut intet om tilstanden for informationssikkerhed i “Acme Ltd.-afdeling Y” eller faktisk “Acme Ltd.” Som en helhed. Hvis ledelsen af en eller anden grund beslutter at acceptere malware-risici uden at implementere konventionelle antivirus-kontroller, kan certificeringsrevisorerne meget vel udfordre en sådan dristig påstand, men forudsat at de tilknyttede analyser og beslutninger var sunde, ville det alene ikke være berettiget til nægte at certificere organisationen, da antivirus-kontroller faktisk ikke er obligatoriske.
Metrics
Effektiv (uden faktisk at bruge udtrykket “metrics”) , 2013-udgaven af standarden kræver brug af målinger om ydeevnen og effektiviteten af organisationens ISMS- og informationssikkerhedskontrol. Afsnit 9, “Performance performance”, kræver, at organisationen bestemmer og implementerer passende sikkerhedsmålinger … men giver kun krav på højt niveau.
ISO / IEC 27004 tilbyder rådgivning om, hvad og hvordan man måler for at opfylde kravet og evaluere ISMS ydeevne – en yderst fornuftig tilgang, der ikke ligner den, der er beskrevet i PRAGMATIC Security Metrics.
Certificering
Certificeret overholdelse af ISO / IEC 27001 af et akkrediteret og respekteret certificeringsorgan er helt valgfrit, men kræves i stigende grad af leverandører og forretningspartnere af organisationer, der er (helt rigtigt!) bekymrede over sikkerheden ved deres information og om informationsrisici i hele forsyningskæden / forsyningsnetværket.
Certificering bringer en række fordele ud over blot overholdelse på stort set samme måde som en ISO 9000-serien certifikat siger mere end dette n bare “Vi er en kvalitetsorganisation”. Uafhængig vurdering bringer nødvendigvis en vis strenghed og formalitet til implementeringsprocessen (hvilket indebærer forbedringer af informationssikkerhed og alle de fordele, der medfører risikoreduktion) og kræver altid godkendelse af den øverste ledelse (hvilket i det mindste er en fordel i sikkerhedsbevidsthed!).
Certifikatet har markedsføringspotentiale og brandværdi, hvilket viser, at organisationen tager ledelse af informationssikkerhed alvorligt. Som nævnt ovenfor er certificeringsværdien af certifikatet imidlertid meget afhængig af ISMS-omfanget og SoA – med andre ord, læg ikke for meget tillid til en organisations ISO / IEC 27001-overensstemmelsescertifikat, hvis du er meget afhængig af dens oplysninger sikkerhed. På samme måde som certificeret PCI-DSS-overholdelse ikke betyder “Vi garanterer at sikre kreditkortdata og andre personlige oplysninger”, er certificeret ISO / IEC 27001-overholdelse et positivt tegn, men ikke en støbejernsgaranti om en organisations informationssikkerhed Der står “Vi har et kompatibelt ISMS på plads”, ikke “Vi er sikre”, en subtil men vigtig skelnen.
Standarden for standarden
ISO / IEC 27001 var den første. udgivet i 2005.
Standarden blev fuldstændig omskrevet og udgivet i 2013. Dette var langt mere end blot at tilpasse indholdet af 2005-udgaven, da ISO insisterede på væsentlige ændringer for at tilpasse denne standard til andre ledelsessystemstandarder.
ISO / IEC 27002 blev grundigt revideret og genudstedt på samme tid, hvorfor bilag A til ISO / IEC 27001 også blev fuldstændigt opdateret: se ISO / IEC 27002-siden for mere.
En teknisk rettelse fra 2014 præciserede, at oplysninger trods alt er et aktiv. Golly.
En anden teknisk rettelse endum i 2015 præciserede, at organisationer formelt er forpligtet til at identificere implementeringsstatus for deres informationssikkerhedskontrol i SoA.
En foreslået tredje teknisk rettelse sprang hajen: SC 27 modstod trangen til at fortsætte med at tilpasse det offentliggjorte standard unødvendigt med ændringer, der burde have været foreslået, da den var i kladde, og som muligvis ikke er blevet accepteret alligevel. Trods ikke at blive behandlet, er bekymringen gyldig: Standarden forvirrer faktisk informationsrisiko med risici i forbindelse med ledelsessystemet. Det skulle have adresseret sidstnævnte, men i stedet overtaget det førstnævnte.
En undersøgelsesperiode undersøgte værdien og formålet med bilag A i forhold til SoA og konkluderede, at bilag A er et nyttigt link til ISO / IEC 27002, men hovedformularen bør gøre det klart, at bilag A er helt valgfrit: organisationer kan vedtage ethvert sæt kontroller (eller andre risikobehandlinger), som de finder passende til at behandle deres informationsrisici, forudsat at processen med at vælge, implementere, styre, overvåge og vedligeholde risikobehandlingerne opfylder de vigtigste organkrav – med andre ord, hele processen falder inden for ISMS.
Den næste version af ISO / IEC 27001 vil nødvendigvis indeholde væsentlige ændringer, der afspejler den kommende opdatering af ISO / IEC 27002 (hvilket betyder omskrivning af bilag A igen) plus nogle ændringer i hovedformularen som et resultat af igangværende revisioner af bilag SL …
Personlige kommentarer
Bilag SL (tidligere kendt som “Udkast til vejledning 83”, undertiden “Bilag L” ) appendiks 2 specificerer kedelpladens tekst og struktur, der er fælles for alle ISO- og ISO / IEC-styringssystemstandarder, der dækker kvalitetssikring, miljøbeskyttelse osv. Ideen er, at ledere, der er fortrolige med et af ledelsessystemerne, forstår de grundlæggende principper, der ligger til grund for alle de andre. Begreber som certificering, politik, manglende overensstemmelse, dokumentkontrol, interne revisioner og ledelsesanmeldelser er fælles for alle ledelsessystemstandarder, og faktisk kan processerne i vid udstrækning standardiseres inden for organisationen.
Ved næste opdatering i år vil bilag SL-appendiks 2 sandsynligvis (hvis godkendt):
- Definer risiko som “effekt af usikkerhed” (fald “af mål” fra den definition, der anvendes i den nuværende version ISO / IEC 27000) med 4 noter (dropper de sidste 2 af 6 noter i den nuværende definition). Uanset om denne forenkling hjælper, skader eller ikke har nogen indflydelse på ISO27k, skal vi se.
- Udskift “resultater” med “resultater” – en ændring foretaget primært for at lette oversættelsen.
- Inkluder “Planlægning af ændringer” dvs. enhver ændring af ledelsessystemet skal udføres i en planlagt måde .
- Erstat “outsourcet” med “eksternt leveret” for at omfatte outsourcing, kontrahering og konventionelle indkøb.
- Angiv særskilt generelle krav til interne revisioner (9.2.1) og til det interne revisionsprogram (9.2.2).
- Angiv særskilt generelle krav til ledelsesgennemgang (9.3.1) og deres input (9.3.2) og output (9.3.3).
- Gentag behovet for proaktiv forbedring af ledelsessystemet ud over reaktive reaktioner på mangler.
- Mandat til forskellige andre ordlydsændringer til alle ISO-styringssystemstandarder, inklusive (formodentlig) den næste frigivelse af ISO / IEC 27001.
SC 27s forvirring over den tilsigtede betydning af “informationsaktiv” hænger ved: beslutningen om at droppe defi nition af “informationsaktiv” fra ISO / IEC 27000 snarere end virkelig fra bunden kan dette problem have været en taktisk fejl. At vende tilbage til udtrykket “aktiv”, defineret meget bredt som noget af værdi, fører til problemer i hele ISO27k, hvis udtrykket erstattes af dets bogstavelige og eksplicitte definition. En mursten er et aktiv, mens en muret smartphone er en forpligtelse. “Værdi” er et uklar koncept. Det er rimeligt at spørge “Af værdi for hvem?” da organisationen fungerer som depot for nogle oplysninger, der tilhører andre, herunder personlige og proprietære oplysninger, der kræver tilstrækkelig beskyttelse. Skal det være dækket af ISMS, eller ej? Dette er en rodet, uklar og i sidste ende utilfredsstillende situation for en international standard.