ISO / IEC 27001: 2013 – Tecnologia dellinformazione – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti (seconda edizione)
< Standard precedente ^ Sali di livello ^ Standard successivo >
Introduzione
La ISO / IEC 27001 specifica formalmente un sistema di gestione della sicurezza delle informazioni, un accordo di governance che comprende una serie strutturata di attività con cui gestire i rischi delle informazioni (chiamati rischi per la sicurezza delle informazioni nello standard) .
LISMS è un quadro generale attraverso il quale la direzione identifica, valuta e tratta (affronta) i rischi informativi dellorganizzazione. LISMS garantisce che le disposizioni di sicurezza siano messe a punto per stare al passo con le modifiche alle minacce alla sicurezza, alle vulnerabilità e agli impatti sul business: un aspetto importante in un campo così dinamico e un vantaggio chiave dellapproccio flessibile basato sul rischio di ISO27k rispetto a, diciamo, PCI-DSS.
Lo standard copre tutti i tipi di organizzazioni (ad es. imprese commerciali, enti governativi, organizzazioni non profit) di tutte le dimensioni (dalle microimprese alle grandi multinazionali) in tutti i settori (ad es. vendita al dettaglio, banche, difesa, sanità , istruzione e governo). Questo è chiaramente un brief molto ampio.
ISO / IEC 27001 non impone formalmente controlli specifici sulla sicurezza delle informazioni poiché i controlli richiesti variano notevolmente tra lampia gamma di organizzazioni che adottano lo standard. I controlli di sicurezza delle informazioni da ISO / IEC 27002 sono riassunti nellappendice A a ISO / IEC 27001, piuttosto come un menu. Le organizzazioni che adottano la ISO / IEC 27001 sono libere di scegliere qualsiasi controllo specifico sulla sicurezza delle informazioni applicabile ai loro particolari rischi informativi, attingendo a quelli elencati nel menu e potenzialmente integrandoli con altre opzioni a la carte (talvolta note come set di controlli estesi). Come con ISO / IEC 27002, la chiave per selezionare i controlli applicabili è intraprendere una valutazione completa dei rischi informativi dellorganizzazione, che è una parte vitale dellSGSI.
Inoltre, la direzione può scegliere di evitare, condividere o accettare i rischi legati alle informazioni piuttosto che mitigarli attraverso i controlli: una decisione sul trattamento del rischio allinterno del processo di gestione del rischio.
Storia
ISO / IEC 27001 è derivato da BS 7799 Parte 2, pubblicato per la prima volta come tale dal British Standards Institute nel 1999.
BS 7799 Parte 2 è stato rivisto nel 2002, incorporando esplicitamente lo stile Deming Il ciclo Plan-Do-Check-Act.
BS 7799 parte 2 è stata adottata come prima edizione della ISO / IEC 27001 nel 2005 con varie modifiche per riflettere i suoi nuovi custodi .
La seconda edizione di ISO / IEC 27001 è stata pubblicata nel 2013, essendo stata ampiamente rivista per allinearsi agli altri standard dei sistemi di gestione ISO. Il PDCA non è più esplicito, ma rimane sicuramente il concetto di perfezionamento continuo e miglioramento sistematico.
Struttura dello standard
ISO / IEC 27001: 2013 ha le seguenti sezioni:
0 Introduzione: lo standard descrive un processo per la gestione sistematica rischi di informazione.
1 Campo di applicazione: specifica i requisiti ISMS generici adatti per organizzazioni di qualsiasi tipo, dimensione o natura.
2 Riferimenti normativi – solo ISO / IEC 27000 è considerato assolutamente essenziale per utenti di 27001: i restanti standard ISO27k sono opzionali.
3 Termini e definizioni – vedere ISO / IEC 27000.
4 Contesto dellorganizzazione – comprensione del contesto organizzativo, le esigenze aspettative delle “parti interessate” e definizione del campo di applicazione dellISMS. La sezione 4.4 afferma molto chiaramente che “Lorganizzazione deve stabilire, implementare, mantenere e migliorare continuamente” lSGSI.
5 Leadership – il top management deve dimostrare leadership e impegno per lSGSI, incaricare la politica e assegnare la sicurezza delle informazioni ruoli, responsabilità e autorità.
6 Pianificazione: delinea il processo per identificare, analizzare e pianificare il trattamento dei rischi legati alle informazioni e chiarire gli obiettivi della sicurezza delle informazioni.
7 Supporto: adeguato, risorse competenti devono essere assegnate, sensibilizzare, documentazione preparata e controllata.
8 Operazione: un po più di dettaglio sulla valutazione e il trattamento dei rischi delle informazioni, la gestione dei cambiamenti e la documentazione delle cose (in parte in modo che possano essere verificati da gli auditor di certificazione).
9 Valutazione delle prestazioni: monitorare, misurare, analizzare e valutare / verificare / rivedere i controlli, i processi e il sistema di gestione della sicurezza delle informazioni, migliorando sistematicamente le cose dove necessario.
10 Improv ement – affrontare i risultati di audit e riesami (ad es. non conformità e azioni correttive), apportare continui perfezionamenti allISMS.
Allegato A Obiettivi e controlli di controllo di riferimento – poco più di un elenco di titoli delle sezioni di controllo in ISO / IEC 27002. Lallegato è “normativo”, il che implica che ci si aspetta che le organizzazioni certificate lo utilizzino , ma lente principale afferma di essere libero di deviarlo o integrarlo al fine di affrontare i loro particolari rischi di informazione. Lallegato A da solo è difficile da interpretare. Fare riferimento a ISO / IEC 27002 per dettagli più utili sui controlli, inclusa la guida allimplementazione.
Bibliografia: indica ai lettori cinque standard correlati, più la parte 1 delle direttive ISO / IEC, per ulteriori informazioni. Inoltre, ISO / IEC 27000 è identificato nel corpo dello standard come standard normativo (cioè essenziale) e ci sono diversi riferimenti alla ISO 31000 sulla gestione del rischio.
Requisiti obbligatori per la certificazione
ISO / IEC 27001 è una specifica formalizzata per un ISMS con due scopi distinti:
- Delinea il progetto per un ISMS, descrivendo le parti importanti a un livello;
- Può (facoltativamente) essere utilizzato come base per la valutazione formale della conformità da parte di auditor di certificazione accreditati al fine di certificare unorganizzazione conforme.
La seguente documentazione obbligatoria è esplicitamente richiesto per la certificazione:
- Ambito ISMS (come da clausola 4.3)
- Politica di sicurezza delle informazioni (clausola 5.2)
- Processo di valutazione del rischio delle informazioni ( clausola 6.1.2)
- Processo di trattamento del rischio di informazione (clausola 6.1.3)
- Obiettivi di sicurezza delle informazioni (clausola 6.2)
- Prova della competenza del persone che lavorano nella sicurezza delle informazioni (clausola 7.2)
- Altri documenti relativi allSGSI ritenuti necessari dallorganizzazione (clausola 7.5.1b)
- Pianificazione operativa e documenti di controllo (clausola 8.1)
- I risultati delle valutazioni del rischio (clausola 8.2)
- Le decisioni relative al trattamento del rischio (clausola 8.3)
- Evidenza del monitoraggio e della misurazione della sicurezza delle informazioni (clausola 9.1) )
- Il programma di audit interno dellSGSI e i risultati degli audit condotti (clausola 9.2)
- Evidenza delle revisioni dellalta direzione dellSGSI (clausola 9.3)
- Evidenza di non conformità identificate e azioni correttive derivanti (clausola 10.1)
- Vari altri: lallegato A menziona ma non specifica completamente ulteriore documentazione, comprese le regole per luso accettabile delle risorse, la politica di controllo degli accessi, le procedure operative, la riservatezza o – accordi di divulgazione, principi di ingegneria del sistema sicuro, politica di sicurezza delle informazioni per i rapporti con i fornitori, informare procedure di risposta agli incidenti di sicurezza, leggi, regolamenti e obblighi contrattuali pertinenti, nonché le procedure di conformità associate e le procedure di continuità della sicurezza delle informazioni. Tuttavia, nonostante lAllegato A sia normativo, le organizzazioni non sono formalmente obbligate ad adottare e rispettare lAllegato A: possono utilizzare altre strutture e approcci per trattare i propri rischi informativi.
Gli auditor di certificazione lo faranno quasi certamente verificare che questi quindici tipi di documentazione siano (a) presenti e (b) adatti allo scopo.
Lo standard non specifica esattamente quale forma dovrebbe assumere la documentazione, ma la sezione 7.5.2 parla di aspetti come i titoli, gli autori, i formati, i media, la revisione e lapprovazione, mentre la 7.5.3 riguarda il controllo dei documenti , che implica un approccio in stile ISO 9000 abbastanza formale. La documentazione elettronica (come le pagine intranet) è valida quanto i documenti cartacei, anzi migliori nel senso che sono più facili da controllare e aggiornare.
Ambito ISMS e Dichiarazione di applicabilità (SoA)
Considerando che lo standard ha lo scopo di guidare limplementazione di un SGSI a livello aziendale, garantendo che tutte le parti dellorganizzazione traggano vantaggio affrontando i propri rischi legati alle informazioni in modo appropriato e gestito , le organizzazioni possono definire lambito del proprio SGSI nel modo più ampio o ristretto che desiderano: in effetti, lambito è una decisione cruciale per lalta dirigenza (clausola 4.3). Uno scopo ISMS documentato è uno dei requisiti obbligatori per la certificazione.
Sebbene la Dichiarazione di applicabilità non sia esplicitamente definita, è un requisito obbligatorio della sezione 6.1.3. SoA si riferisce alloutput delle valutazioni del rischio delle informazioni e, in particolare, alle decisioni in merito al trattamento di tali rischi. Il SoA può, ad esempio, assumere la forma di una matrice che identifica vari tipi di rischi informativi su un asse e opzioni di trattamento del rischio sullaltro, mostrando come i rischi devono essere trattati nel corpo e forse chi ne è responsabile. Di solito fa riferimento ai controlli pertinenti di ISO / IEC 27002 ma lorganizzazione può utilizzare un framework completamente diverso come NIST SP800-53, lo standard ISF, BMIS e / o COBIT o un approccio personalizzato.Gli obiettivi di controllo della sicurezza delle informazioni e i controlli della ISO / IEC 27002 sono forniti come lista di controllo nellAllegato A per evitare di “trascurare i controlli necessari”: non sono obbligatori.
Lambito ISMS e il SoA sono fondamentali se una terza parte intende fare affidamento sul certificato di conformità ISO / IEC 27001 di unorganizzazione. Se lambito ISO / IEC 27001 di unorganizzazione include solo “Acme Ltd. Department X”, ad esempio, il certificato associato non dice assolutamente nulla sullo stato della sicurezza delle informazioni in “Acme Ltd. Department Y” o addirittura “Acme Ltd.” Allo stesso modo, se per qualche motivo la direzione decide di accettare i rischi di malware senza implementare i controlli antivirus convenzionali, gli auditor della certificazione potrebbero contestare unaffermazione così audace ma, a condizione che le analisi e le decisioni associate fossero corrette, quella da sola non sarebbe una giustificazione per rifiutare di certificare lorganizzazione poiché i controlli antivirus non sono di fatto obbligatori.
Metriche
In effetti (senza utilizzare effettivamente il termine “metriche”) , ledizione 2013 dello standard richiede luso di metriche sulle prestazioni e sullefficacia dellSGSI dellorganizzazione e sui controlli di sicurezza delle informazioni. La sezione 9, “Valutazione delle prestazioni”, richiede allorganizzazione di determinare e implementare metriche di sicurezza adeguate … ma fornisce solo requisiti di alto livello.
ISO / IEC 27004 offre consigli su cosa e come misurare per soddisfare il requisito e valutare le prestazioni dellISMS: un approccio estremamente sensato non dissimile da quello descritto in PRAGMATIC Security Metrics.
Certificazione
La conformità certificata alla ISO / IEC 27001 da parte di un ente di certificazione accreditato e rispettato è del tutto facoltativa, ma è sempre più richiesta a fornitori e partner commerciali da organizzazioni che sono (giustamente!) preoccupate per la sicurezza le loro informazioni e sui rischi relativi alle informazioni in tutta la catena di approvvigionamento / rete di approvvigionamento.
La certificazione apporta una serie di vantaggi al di là della semplice conformità, più o meno allo stesso modo di un Il certificato della serie ISO 9000 dice di più n solo “Siamo unorganizzazione di qualità”. La valutazione indipendente porta necessariamente un po di rigore e formalità al processo di implementazione (che implica miglioramenti alla sicurezza delle informazioni e tutti i vantaggi che comporta la riduzione del rischio) e richiede invariabilmente lapprovazione del senior management (che è un vantaggio in termini di consapevolezza della sicurezza, almeno!).
Il certificato ha potenziale di marketing e valore del marchio, dimostrando che lorganizzazione prende sul serio la gestione della sicurezza delle informazioni. Tuttavia, come notato sopra, il valore di garanzia del certificato dipende fortemente dallambito ISMS e dal SoA – in altre parole, non riporre troppa fiducia nel certificato di conformità ISO / IEC 27001 di unorganizzazione se sei fortemente dipendente dalle sue informazioni sicurezza. Allo stesso modo in cui la conformità certificata PCI-DSS non significa “Garantiamo di proteggere i dati delle carte di credito e altre informazioni personali”, la conformità certificata ISO / IEC 27001 è un segno positivo ma non una garanzia di ghisa sulla sicurezza delle informazioni di unorganizzazione . Dice “Abbiamo un ISMS conforme”, non “Siamo sicuri”, una distinzione sottile ma importante.
Lo stato dello standard
ISO / IEC 27001 è stato il primo pubblicato nel 2005.
Lo standard è stato completamente riscritto e pubblicato nel 2013. Questo è stato molto di più che modificare il contenuto delledizione 2005 poiché ISO ha insistito su modifiche sostanziali per allineare questo standard con altri standard dei sistemi di gestione.
La ISO / IEC 27002 è stata ampiamente rivista e ristampata contemporaneamente, quindi anche lallegato A alla ISO / IEC 27001 è stato completamente aggiornato: vedere la pagina ISO / IEC 27002 per ulteriori informazioni.
Una rettifica tecnica del 2014 ha chiarito che le informazioni sono, dopotutto, una risorsa. Golly.
Una seconda rettifica tecnica endum nel 2015 ha chiarito che le organizzazioni sono formalmente tenute a identificare lo stato di implementazione dei loro controlli di sicurezza delle informazioni nel SoA.
Una terza rettifica tecnica proposta ha saltato lo squalo: SC 27 ha resistito allimpulso di continuare a modificare il pubblicato standard inutilmente con modifiche che avrebbero dovuto essere proposte quando era in bozza e potrebbero non essere state accettate comunque. Nonostante non sia stata affrontata, la preoccupazione è valida: lo standard confonde infatti il rischio informativo con i rischi relativi al sistema di gestione. Avrebbe dovuto affrontare il secondo, ma invece ha assunto il primo.
Un periodo di studio ha esaminato il valore e lo scopo dellAllegato A in relazione alla SoA, concludendo che lAllegato A è un collegamento utile alla ISO / IEC 27002 ma la formulazione del corpo principale dovrebbe chiarire che lAllegato A è del tutto facoltativo: le organizzazioni possono adottare qualsiasi insieme di controlli (o anche altri trattamenti di rischio) che ritengano idoneo a trattare i propri rischi informativi, a condizione che il processo di selezione, implementazione, gestione, monitoraggio e mantenimento dei trattamenti di rischio soddisfi i principali requisiti dellente – in in altre parole, lintero processo rientra nellISMS.
La prossima versione della ISO / IEC 27001 includerà necessariamente cambiamenti significativi che riflettono limminente aggiornamento della ISO / IEC 27002 (il che significa riscrivere lAllegato A, di nuovo) più alcune modifiche alla formulazione del corpo principale a seguito delle revisioni in corso dellAllegato SL …
Commenti personali
Allegato SL (precedentemente noto come “Bozza della Guida 83”, a volte “Allegato L” ) lappendice 2 specifica il testo standard e la struttura comune a tutti gli standard dei sistemi di gestione ISO e ISO / IEC che coprono lassicurazione della qualità, la protezione ambientale, ecc. Lidea è che i manager che hanno familiarità con uno qualsiasi dei sistemi di gestione comprenderanno i principi di base alla base di tutti gli altri. Concetti quali certificazione, politica, non conformità, controllo dei documenti, audit interni e riesami della direzione sono comuni a tutti gli standard dei sistemi di gestione e infatti i processi possono, in larga misura, essere standardizzati allinterno dellorganizzazione.
Al prossimo aggiornamento di questanno, lallegato SL appendice 2 probabilmente (se approvato):
- Definirà il rischio come “effetto dellincertezza” (riduzione “degli obiettivi” dalla definizione utilizzata nella versione corrente di ISO / IEC 27000) con 4 note (trascurando le ultime 2 di 6 note nella definizione corrente). Resta da vedere se questa semplificazione aiuti, danneggi o non abbia alcun effetto su ISO27k.
- Sostituisci “risultati” con “risultati”: una modifica apportata principalmente per facilità di traduzione.
- Includi “Pianificazione delle modifiche”, ovvero qualsiasi modifica al sistema di gestione deve essere eseguita “in un modo pianificato “.
- Sostituisci” esternalizzato “con” fornito esternamente “per includere lesternalizzazione, i contratti e gli acquisti convenzionali.
- Specificare separatamente i requisiti generali per gli audit interni (9.2.1) e per il programma di audit interno (9.2.2).
- Specificare separatamente i requisiti generali per i riesami della direzione (9.3.1) e per i loro input (9.3.2) e output (9.3.3).
- Sottolinea nuovamente la necessità di un miglioramento proattivo del sistema di gestione oltre alle risposte reattive alle carenze.
- Mandare varie altre modifiche di formulazione a tutti gli standard dei sistemi di gestione ISO, incluso (presumibilmente) il prossimo rilascio di ISO / IEC 27001.
La confusione di SC 27 sul significato inteso di “risorsa informativa” permane su: la decisione di abbandonare la definizione nizione di “risorse informative” da ISO / IEC 27000 piuttosto che veramente toccare il fondo questo problema potrebbe essere stato un errore tattico. Tornare al termine “asset”, definito in modo molto ampio come qualcosa di valore, porta a problemi in tutta ISO27k se il termine viene sostituito dalla sua definizione letterale ed esplicita. Un mattone è una risorsa, mentre uno smartphone in muratura è una responsabilità. “Valore” è un concetto nebuloso. È giusto chiedere “Di valore per chi?” anche, poiché lorganizzazione funge da custode di alcune informazioni appartenenti ad altri, comprese le informazioni personali e proprietarie che richiedono una protezione adeguata. Dovrebbe essere coperto dallISMS o no? Questa è una situazione confusa, poco chiara e in definitiva insoddisfacente per un standard internazionale.