ISO / IEC 27001: 2013 – Informatika – Biztonsági technikák – Információbiztonsági irányítási rendszerek – Követelmények (második kiadás)

< Előző szabvány ^ Egy szinttel feljebb ^ Következő szabvány >

Bevezetés

Az ISO / IEC 27001 hivatalosan meghatározza az Információbiztonsági Menedzsment Rendszert, egy irányítási megállapodást, amely strukturált tevékenységekből áll, amelyekkel kezelhetők az információs kockázatok (a szabványban „információbiztonsági kockázatok”). .

Az ISMS egy átfogó keretrendszer, amelyen keresztül a vezetés azonosítja, értékeli és kezeli (kezeli) a szervezet információs kockázatait. Az ISMS biztosítja, hogy a biztonsági intézkedéseket finomhangolják, hogy lépést tarthassanak a biztonsági fenyegetések, a sérülékenységek és az üzleti hatások változásával – ez egy fontos szempont egy ilyen dinamikus területen, és az ISO27k rugalmas, kockázat-alapú megközelítésének fő előnye, mondjuk, PCI-DSS.

A szabvány minden típusú szervezetre kiterjed (pl. kereskedelmi vállalkozások, kormányzati szervek, nonprofit szervezetek), bármilyen méretűre (a mikrovállalkozásoktól a hatalmas multinacionális vállalatokig) minden iparágban (pl. kiskereskedelem, banki tevékenység, védelem, egészségügy) , oktatás és kormányzat). Ez egyértelműen nagyon tág rövidítés.

Az ISO / IEC 27001 nem írja elő hivatalosan a speciális információbiztonsági ellenőrzéseket, mivel a szükséges ellenőrzések a szabványt átvevő szervezetek széles körében jelentősen eltérnek. Az ISO / IEC 27002 szabványból származó információbiztonsági ellenőrzéseket az ISO / IEC 27001 A. melléklete foglalja össze, mint egy menü. Az ISO / IEC 27001 szabványt alkalmazó szervezetek szabadon választhatják meg, hogy melyik információbiztonsági ellenőrzések alkalmazhatók a saját információs kockázataikra, a menüben felsoroltakra támaszkodva, és esetleg kiegészítve azokat más a la carte lehetőségekkel (néha kiterjesztett vezérlőkészletként is ismertek). Az ISO / IEC 27002-hez hasonlóan az alkalmazandó ellenőrzések kiválasztásának kulcsa a szervezet információs kockázatainak átfogó értékelése, amely az ISMS egyik alapvető része.

Ezenkívül a vezetőség dönthet úgy, hogy elkerüli, megosztja vagy elfogadja az információs kockázatokat ahelyett, hogy kontrollokkal mérsékelné őket – kockázatkezelési döntés a kockázatkezelési folyamaton belül.

Előzmények

Az ISO / IEC 27001 a BS 7799 2. részéből származik, amelyet először a British Standards Institute publikált 1999-ben.

A BS 7799 2. részét 2002-ben felülvizsgálták, kifejezetten beépítve a Deming-stílust Tervezz-csinálj-nézz-járj ciklust.

A BS 7799 2. részét 2005-ben az ISO / IEC 27001 első kiadásaként fogadták el, különféle változtatásokkal, hogy tükrözzék új letétkezelőit. .

Az ISO / IEC 27001 második kiadása 2013-ban jelent meg, amelyet alaposan átdolgoztak, hogy megfeleljenek a többi ISO irányítási rendszer szabványának. A PDCA már nem egyértelmű, de a folyamatos finomítás és a szisztematikus fejlesztés koncepciója megmarad, az biztos.

A szabvány felépítése

Az ISO / IEC 27001: 2013 a következő szakaszokkal rendelkezik:

0 Bevezetés – a szabvány leírja a folyamat szisztematikus kezelését információs kockázatok.

1 Hatókör – általános ISMS követelményeket határoz meg bármilyen típusú, méretű és típusú szervezetek számára.

2 Normatív hivatkozások – csak az ISO / IEC 27000 minősül elengedhetetlenül fontosnak 27001 felhasználói: a fennmaradó ISO27k szabványok nem kötelezőek.

3 Fogalmak és meghatározások – lásd az ISO / IEC 27000.

4 A szervezet kontextusa – a szervezeti kontextus, az igények megértése az „érdekelt felek” elvárásai és az ISMS hatókörének meghatározása. A 4.4. Szakasz nagyon egyértelműen kimondja, hogy “A szervezetnek létre kell hoznia, végre kell hajtania, fenntartania és folyamatosan javítania kell” az ISMS-t. szerepek, felelősségek és hatáskörök.

6 Tervezés – felvázolja az információs kockázatok azonosításának, elemzésének és kezelésének tervét, valamint az információbiztonság céljainak tisztázását.

7 Támogatás – megfelelő, hozzá kell rendelni az illetékes erőforrásokat, fel kell hívni a figyelmet, fel kell készíteni és ellenőrizni kell a dokumentációt.

8 Művelet – egy kicsit részletesebben az információs kockázatok felméréséről és kezeléséről, a változások kezeléséről és a dolgok dokumentálásáról (részben azért, hogy azokat

9 Teljesítményértékelés – figyelemmel kíséri, mérje, elemezze és értékelje / auditálja / felülvizsgálja az információbiztonsági ellenőrzéseket, folyamatokat és irányítási rendszert, szükség esetén szisztematikusan javítva a dolgokat.

10 Improv elem – foglalkozik az ellenőrzések és felülvizsgálatok megállapításával (pl. nem megfelelőségek és korrekciós intézkedések), folyamatosan finomítsák az ISMS-t.

A. melléklet Referencia-ellenőrzési célok és vezérlők – valójában alig több, mint az ISO / IEC 27002 ellenőrzési szakaszainak címsorában. A melléklet „normatív”, ami azt jelenti, hogy a tanúsított szervezetek várhatóan használják , de a fő testület szerint szabadon eltérhetnek vagy kiegészíthetik sajátos információs kockázataik kezelése érdekében. Önmagában az A. mellékletet nehéz értelmezni. Kérjük, olvassa el az ISO / IEC 27002 szabványt a vezérlőkkel kapcsolatos további részletekért, beleértve a megvalósítási útmutatót is.

Irodalomjegyzék – öt kapcsolódó szabványra, valamint az ISO / IEC irányelvek 1. részére mutat rá az olvasók további információkért. Ezenkívül az ISO / IEC 27000 a szabványtestben normatív (azaz alapvető) szabványként szerepel, és számos utalás található az ISO 31000-re a kockázatkezelésről.

A tanúsítás kötelező követelményei

Az ISO / IEC 27001 az ISMS formalizált specifikációja, amelynek két külön célja van:

1. Meghatározza az ISMS kialakítását, meglehetősen magasan leírva a fontos részeket. szint;
2. (opcionálisan) fel lehet használni az akkreditált tanúsító auditorok által végzett hivatalos megfelelőségértékelés alapjaként annak igazolására, hogy a szervezet megfelelő-e.

A következő kötelező dokumentáció kifejezetten szükséges a tanúsításhoz:

1. ISMS hatókör (a 4.3. pont szerint)
2. Információbiztonsági irányelv (5.2. pont)
3. Információs kockázatértékelési folyamat ( 6.1.2. pont)
4. Információs kockázatkezelési folyamat (6.1.3. pont)
5. Információbiztonsági célok (6.2. pont)
6. Bizonyíték a személy kompetenciájáról az információbiztonság területén dolgozó emberek (7.2. pont)
7. A szervezet által szükségesnek ítélt egyéb ISMS-sel kapcsolatos dokumentumok (7.5.1b. pont)
8. Működéstervezési és ellenőrzési dokumentumok (8.1. pont)
9. A kockázatértékelések eredményei (8.2. pont)
10. A kockázatkezeléssel kapcsolatos döntések (8.3. pont)
11. Az információbiztonság ellenőrzésének és mérésének bizonyítékai (9.1. pont) )
12. Az ISMS belső ellenőrzési programja és az elvégzett ellenőrzések eredményei (9.2. pont)
13. Bizonyítékok az ISMS felső vezetésének felülvizsgálatáról (9.3. pont)
14. Bizonyítékok a megállapított nem megfelelőségek és a felmerülő korrekciós intézkedések száma (10.1. pont)
15. Különböző egyéb: Az A. melléklet megemlíti, de nem részletezi a további dokumentációt, ideértve az eszközök elfogadható használatának szabályait, a beléptetés-szabályzatot, az üzemeltetési eljárásokat, a titoktartást vagy a nem – nyilvánosságra hozatali megállapodások, biztonságos rendszertervezési elvek, a szállítói kapcsolatok információbiztonsági politikája, tájékoztatás a biztonsági eseményekre adott reagálási eljárások, a vonatkozó törvények, rendeletek és szerződéses kötelezettségek, valamint a kapcsolódó megfelelési eljárások és az információbiztonság folyamatosságára vonatkozó eljárások. Annak ellenére, hogy az A. melléklet normatív, a szervezeteknek formálisan nem kell elfogadniuk és be kell tartaniuk az A. mellékletet: más struktúrákat és megközelítéseket alkalmazhatnak információs kockázataik kezelésére.

A tanúsító auditorok szinte biztosan ellenőrizze, hogy ez a tizenöt típusú dokumentáció (a) van-e és (b) alkalmas-e a rendeltetésére.

A szabvány nem határozza meg pontosan, hogy a dokumentáció milyen formában legyen, de a 7.5.2. szakasz olyan szempontokról szól, mint a címek, a szerzők, a formátumok, az adathordozók, az áttekintés és a jóváhagyás, míg a 7.5.3 a dokumentumok ellenőrzéséről szól , ami meglehetősen formális ISO 9000 stílusú megközelítést jelent. Az elektronikus dokumentáció (például az intranetes oldalak) ugyanolyan jóak, mint a papír alapú dokumentumok, valójában jobbak abban az értelemben, hogy könnyebben ellenőrizhetők és frissíthetők.

ISMS hatókör és alkalmazhatósági nyilatkozat (SoA)

mivel a szabvány célja a vállalati szintű ISMS megvalósításának ösztönzése, biztosítva, hogy a szervezet minden része profitáljon azáltal, hogy megfelelő és szisztematikusan kezeli az információs kockázatokat , a szervezetek az ISMS-t olyan széles vagy olyan szűk körben alkalmazhatják, amennyit csak akarnak – a hatókör meghatározása döntő fontosságú döntés a felső vezetés számára (4.3. szakasz). A dokumentált ISMS hatókör az egyik kötelező követelmény a tanúsításhoz.

Bár az Alkalmazhatósági Nyilatkozat nincs kifejezetten meghatározva, a 6.1.3 szakasz kötelező követelménye. A SoA az információs kockázatértékelések eredményére és különösen az e kockázatok kezelésére vonatkozó döntésekre utal. A SoA lehet például egy mátrix formájában, amely az egyik tengelyen különféle információs kockázatokat, a másikon pedig a kockázatkezelési lehetőségeket azonosítja, bemutatva, hogy a kockázatokat hogyan kell kezelni a szervezetben, és talán ki felel számukra. Általában hivatkozik az ISO / IEC 27002 vonatkozó vezérlőire, de a szervezet teljesen más keretrendszert használhat, mint például a NIST SP800-53, az ISF szabvány, a BMIS és / vagy a COBIT, vagy egy egyedi megközelítést.Az ISO / IEC 27002 szabvány szerinti információbiztonsági ellenőrzési célkitűzéseket és ellenőrzéseket ellenőrző listaként közöljük az A. mellékletben, hogy elkerüljük a „szükséges ellenőrzések figyelmen kívül hagyását”: ezekre nincs szükség.

Az ISMS hatóköre és a SoA kulcsfontosságú, ha egy harmadik fél támaszkodni kíván egy szervezet ISO / IEC 27001 megfelelőségi tanúsítványára. Ha egy szervezet ISO / IEC 27001 hatóköre például csak az “Acme Ltd. X. osztályát” tartalmazza, akkor a kapcsolódó tanúsítvány egyáltalán nem mond semmit az “Acme Ltd. Y részleg” vagy akár az “Acme Ltd.” információbiztonságáról Hasonlóképpen, ha valamilyen oknál fogva a menedzsment úgy dönt, hogy elfogadja a rosszindulatú programokkal kapcsolatos kockázatokat a hagyományos antivírus-ellenőrzések végrehajtása nélkül, akkor a tanúsítási auditorok megkérdőjelezhetik egy ilyen merész állítást, de ha a kapcsolódó elemzések és döntések megalapozottak, ez önmagában nem lenne indokolt tagadja meg a szervezet tanúsítását, mivel a víruskereső ellenőrzések valójában nem kötelezőek.

Metrika

Valójában (a “metrika” kifejezés tényleges használata nélkül) , a szabvány 2013-as kiadása metrikák használatát követeli meg a szervezet ISMS-jének és információbiztonsági ellenőrzéseinek teljesítményére és hatékonyságára vonatkozóan. A 9. szakasz: „Teljesítményértékelés” előírja a szervezet számára, hogy meghatározza és alkalmazza a megfelelő biztonsági mutatókat …, de csak magas szintű követelményeket támaszt.

Az ISO / IEC 27004 ajánlatok tanácsok arról, hogy mit és hogyan kell mérni a követelmények teljesítése és az ISMS teljesítményének értékelése érdekében – kiemelkedően ésszerű megközelítés, amely nem különbözik a PRAGMATIC Security Metrics leírásától.

Tanúsítás

Az akkreditált és elismert tanúsító testület által az ISO / IEC 27001 szerinti tanúsított megfelelés teljes mértékben választható, de egyre inkább a beszállítóktól és az üzleti partnerektől követelik azokat a szervezeteket, amelyek (teljesen helyesen!) aggódnak a információik és az információs kockázatok az ellátási lánc / ellátási hálózat egészében.

A tanúsítás számos előnnyel jár a puszta megfelelésen túl és túl is, ugyanúgy, mint egy Az ISO 9000 sorozatú tanúsítvány többet mond erről n csak “Minőségi szervezet vagyunk”. A független értékelés szükségszerűen némi szigorúságot és formalitást jelent a végrehajtási folyamatban (ami magában foglalja az információbiztonság javítását és a kockázatcsökkentéssel járó összes előnyt), és változatlanul megköveteli a felső vezetés jóváhagyását (ami legalább a biztonságtudatosság szempontjából előny!).

A tanúsítvány marketingpotenciállal és márkaértékkel rendelkezik, ami azt bizonyítja, hogy a szervezet komolyan veszi az információbiztonság kezelését. Azonban, amint azt a fentiekben megjegyeztük, a tanúsítvány bizonyosságának értéke nagymértékben függ az ISMS hatókörétől és a SoA-tól – más szóval, ne higgyen túlságosan a szervezet ISO / IEC 27001 megfelelőségi tanúsítványában, ha nagyon függ a tanúsítványtól Biztonság. Ugyanúgy, ahogyan a tanúsított PCI-DSS megfelelés nem azt jelenti, hogy “garantáljuk a hitelkártya-adatok és egyéb személyes adatok biztonságát”, az ISO / IEC 27001 tanúsított megfelelés pozitív jel, de nem öntöttvas garancia a szervezet információbiztonságára. . Azt mondja, hogy “megfelelő ISMS van a helyén”, nem pedig “biztonságban vagyunk”, ami finom, de fontos megkülönböztetés.

A szabvány állapota

Az ISO / IEC 27001 volt az első megjelent 2005-ben.

A szabványt teljesen átírták és 2013-ban tették közzé. Ez jóval több volt, mint a 2005. évi kiadás tartalmának módosítása, mivel az ISO lényeges változtatásokhoz ragaszkodott ahhoz, hogy összehangolja ezt a szabványt más irányítási rendszerek szabványaival.

Az ISO / IEC 27002-t egyszerre alaposan átdolgozták és újra kiadták, ezért az ISO / IEC 27001 A. mellékletét is teljesen frissítették: további információkért lásd az ISO / IEC 27002 oldalt.

Egy 2014-es műszaki helyesbítés tisztázta, hogy az információ végül is eszköz. Golly.

Egy második műszaki javítás a 2015-ös endum egyértelművé tette, hogy a szervezeteknek hivatalosan meg kell határozniuk az információbiztonsági ellenőrzéseik végrehajtási állapotát a SoA-ban.

A javasolt harmadik technikai helyesbítés megugrotta a cápát: az SC 27 ellenállt a késztetésnek, hogy folytassa a közzétett módosításokat feleslegesen olyan változtatásokkal, amelyeket akkor kellett volna javasolni, amikor huzat volt, és amúgy nem biztos, hogy elfogadták azokat. Annak ellenére, hogy nem foglalkoztak vele, az aggodalom érvényes: a szabvány valóban összekeveri az információs kockázatot az irányítási rendszerrel kapcsolatos kockázatokkal. Meg kellett volna szólítania az utóbbit, hanem az előbbit kellett vállalnia.

Egy vizsgálati időszak megvizsgálta az A. melléklet értékét és célját a SoA-val kapcsolatban, arra a következtetésre jutva, hogy az A. melléklet hasznos link az ISO / IEC 27002 szabványhoz, de a törzs szövegének egyértelművé kell tennie, hogy az A. melléklet teljesen opcionális: a szervezetek elfogadhatnak bármilyen ellenőrzést (vagy más kockázati kezelést), amelyet megfelelőnek tartanak az információs kockázataik kezelésére, feltéve, hogy a kockázati kezelések kiválasztásának, végrehajtásának, kezelésének, nyomon követésének és fenntartásának folyamata megfelel a fő test követelményeinek – különösen más szóval, a teljes folyamat az ISMS-be tartozik.

Az ISO / IEC 27001 következő verziója szükségszerűen jelentős változtatásokat fog tartalmazni, tükrözve az ISO / IEC 27002 közelgő frissítését (ami azt jelenti, hogy újra átírjuk az A. mellékletet) plusz néhány fő törzsszöveg megváltozik az SL melléklet folyamatos felülvizsgálatának eredményeként …

Személyes megjegyzések

SL melléklet (korábban “83-as tervezet tervezete”, néha “L” melléklet) néven ismert ) 2. függeléke meghatározza a kazánlap szövegét és felépítését az ISO és az ISO / IEC irányítási rendszerek összes szabványa, beleértve a minőségbiztosítást, a környezetvédelmet stb. Az elképzelés az, hogy azok a vezetők, akik ismerik az egyik irányítási rendszert, megértik az összes többi alapelvét. Az olyan fogalmak, mint a tanúsítás, a házirend, a nem megfelelőség, a dokumentumok ellenőrzése, a belső auditok és a vezetői felülvizsgálatok, közösek az irányítási rendszerek összes szabványában, és valójában a folyamatok nagyrészt szabványosíthatók a szervezeten belül.

A következő idei frissítéskor az SL melléklet 2. függeléke valószínűleg (jóváhagyás esetén):

• A kockázatot a „bizonytalanság hatásaként” határozza meg (a célok „elvetése” a jelenlegi verzióban használt definícióból) ISO / IEC 27000 szabványa) 4 hanggal (a jelenlegi 6 definíció utolsó 2-jét eldobva a jelenlegi meghatározásban). Hogy ez az egyszerűsítés segít-e, árt-e, vagy nincs-e hatással az ISO27k-re, azt még várni kell.
• Az „eredmények” helyett az „eredmények” kifejezés szerepel – ez a változtatás elsősorban a fordítás megkönnyítése érdekében történt.
• Tartalmazza a „Változások megtervezése” kifejezést, azaz a menedzsmentrendszer minden változtatását végre kell hajtani. tervezett módon ”.
• A„ kihelyezett ”kifejezés helyébe a„ külsőleg biztosított ”kifejezés helyettesítse az outsourcingot, a szerződéskötést és a hagyományos beszerzést.
• Külön határozza meg a belső ellenőrzésekre vonatkozó általános követelményeket (9.2.1) és a belső ellenőrzési programhoz (9.2.2).
• Külön határozza meg az általános követelményeket a vezetői felülvizsgálatokra (9.3.1), valamint azok inputjaira (9.3.2) és outputjaira (9.3.3).
• Hangsúlyozza újra a hiányosságokra adott reaktív válaszok mellett az irányítási rendszer proaktív fejlesztésének szükségességét.
• Különböző egyéb megfogalmazási változtatásokat kötelezhet az ISO irányítási rendszerek összes szabványára, beleértve (feltehetően) a következőt is. kiadja az ISO / IEC 27001 szabványt.

Az SC 27 zavartsága az „információs eszköz” szándékolt jelentését illetően elmarad: a döntés elvetéséről Az ISO / IEC 27000 szabvány szerinti “információs eszköz” megnevezése, nem pedig az alulról jövő probléma, taktikai hiba lehetett. Visszatérve az „eszköz” kifejezésre, amelyet nagyon tágan definiálnak, mint valami értékes értéket, problémákat vet fel az ISO27k egész területén, ha a kifejezést helyettesíti annak szó szerinti és egyértelmű meghatározása. A tégla eszköz, míg a téglafalú okostelefon felelősség. ködös fogalom. Tisztességes megkérdezni: “Kinek értékes?” is, mivel a szervezet letétkezelőként működik másokhoz tartozó egyes információk, ideértve a megfelelő védelmet igénylő személyes és tulajdonosi információkat is. Az ISMS hatálya alá tartozik-e vagy sem? Ez rendetlen, homályos és végső soron nem kielégítő helyzet nemzetközi szabvány.