ISO / IEC 27001: 2013 – Informasjonsteknologi – Sikkerhetsteknikker – Informasjonssikkerhetsstyringssystemer – Krav (andre utgave)
< Forrige standard ^ Opp et nivå ^ Neste standard >
Innledning
ISO / IEC 27001 spesifiserer formelt et informasjonssikkerhetsstyringssystem, en styringsordning som består av en strukturert serie aktiviteter for å håndtere informasjonsrisiko (kalt informasjonssikkerhetsrisiko i standarden) .
ISMS er et overordnet rammeverk der ledelsen identifiserer, evaluerer og behandler (adresserer) organisasjonens informasjonsrisiko. ISMS sørger for at sikkerhetsordningene blir finjustert for å holde tritt med endringer i sikkerhetstrusler, sårbarheter og forretningspåvirkninger – et viktig aspekt i et så dynamisk felt, og en nøkkelfordel av ISO27ks fleksible risikostyrede tilnærming sammenlignet med si PCI-DSS.
Standarden dekker alle typer organisasjoner (f.eks. kommersielle virksomheter, offentlige etater, ideelle organisasjoner) av alle størrelser (fra mikrobedrifter til store multinasjonale selskaper) i alle bransjer (f.eks. detaljhandel, bank, forsvar, helsevesen , utdanning og myndigheter). Dette er helt klart en veldig bred beskrivelse.
ISO / IEC 27001 foreskriver ikke formelt spesifikke informasjonssikkerhetskontroller siden kontrollene som kreves varierer markant i det brede spekteret av organisasjoner som vedtar standarden. Informasjonssikkerhetskontrollene fra ISO / IEC 27002 er oppsummert i vedlegg A til ISO / IEC 27001, snarere som en meny. Organisasjoner som vedtar ISO / IEC 27001, kan velge hvilke spesifikke informasjonssikkerhetskontroller som gjelder for deres spesifikke informasjonsrisiko, og trekke på de som er oppført i menyen og potensielt supplere dem med andre a la carte-alternativer (noen ganger kjent som utvidede kontrollsett). Som med ISO / IEC 27002, er nøkkelen til å velge gjeldende kontroller å foreta en omfattende vurdering av organisasjonens informasjonsrisiko, som er en viktig del av ISMS.
Videre kan ledelsen velge å unngå, dele eller godta informasjonsrisiko i stedet for å dempe dem gjennom kontroller – en beslutning om risikobehandling innenfor risikostyringsprosessen.
Historie
ISO / IEC 27001 er avledet fra BS 7799 del 2, først publisert som sådan av British Standards Institute i 1999.
BS 7799 del 2 ble revidert i 2002, og eksplisitt innlemmet Deming-stilen Plan-Do-Check-Act-syklus.
BS 7799 del 2 ble vedtatt som den første utgaven av ISO / IEC 27001 i 2005 med forskjellige endringer for å gjenspeile de nye foresatte. .
Den andre utgaven av ISO / IEC 27001 ble utgitt i 2013, etter å ha blitt grundig revidert for å samsvare med de andre ISO-styringssystemstandardene. PDCA er ikke lenger eksplisitt, men konseptet med kontinuerlig forbedring og systematisk forbedring forblir helt sikkert.
Standardens struktur
ISO / IEC 27001: 2013 har følgende seksjoner:
0 Innledning – standarden beskriver en prosess for systematisk styring informasjonsrisiko.
1 Omfang – det spesifiserer generiske ISMS-krav som passer for organisasjoner av enhver type, størrelse eller art.
2 Normative referanser – bare ISO / IEC 27000 anses som helt essensielle for brukere av 27001: de resterende ISO27k-standardene er valgfrie.
3 Begreper og definisjoner – se ISO / IEC 27000.
4 Kontekst av organisasjonen – forståelse av organisasjonskonteksten, behovene og forventninger fra interesserte parter og definere omfanget av ISMS. Avsnitt 4.4 sier veldig tydelig at «Organisasjonen skal etablere, implementere, vedlikeholde og kontinuerlig forbedre» ISMS.
5 Ledelse – toppledelsen må demonstrere lederskap og engasjement for ISMS, mandatpolitikk og tilordne informasjonssikkerhet. roller, ansvar og autoriteter.
6 Planlegging – skisserer prosessen for å identifisere, analysere og planlegge å behandle informasjonsrisiko, og avklare målene for informasjonssikkerhet.
7 Støtte – tilstrekkelig, kompetente ressurser må tildeles, bevissthet økes, dokumentasjon utarbeides og kontrolleres.
8 Drift – litt mer detaljert om å vurdere og behandle informasjonsrisiko, håndtere endringer og dokumentere ting (delvis slik at de kan revideres av sertifiseringsrevisorene).
9 Ytelsesevaluering – overvåke, måle, analysere og evaluere / revidere / gjennomgå informasjonssikkerhetskontrollene, prosessene og styringssystemet, forbedre systematisk ting der det er nødvendig.
10 Improv ement – adresser funnene fra revisjoner og gjennomganger (f.eks. avvik og korrigerende tiltak), foreta kontinuerlige forbedringer av ISMS.
Vedlegg A Referansekontrollmål og kontroller – lite mer faktisk enn en liste med titler på kontrollseksjonene i ISO / IEC 27002. Vedlegget er normativt, noe som innebærer at sertifiserte organisasjoner forventes å bruke det , men hoveddelen sier at de står fritt til å fravike eller supplere det for å møte deres spesifikke informasjonsrisiko. Vedlegg A alene er vanskelig å tolke. Se ISO / IEC 27002 for mer nyttig detalj om kontrollene, inkludert implementeringsveiledning.
Bibliografi – viser leserne til fem relaterte standarder, pluss del 1 av ISO / IEC-direktivene, for mer informasjon. I tillegg er ISO / IEC 27000 identifisert i standarddelen som en normativ (dvs. essensiell) standard, og det er flere referanser til ISO 31000 om risikostyring.
Obligatoriske krav for sertifisering
ISO / IEC 27001 er en formalisert spesifikasjon for en ISMS med to forskjellige formål:
- Den viser utformingen for en ISMS, og beskriver de viktige delene ganske høyt nivå;
- Det kan (valgfritt) brukes som grunnlag for formell samsvarsvurdering av godkjente sertifiseringsrevisorer for å sertifisere en organisasjon som er kompatibel.
Følgende obligatoriske dokumentasjon kreves eksplisitt for sertifisering:
- ISMS-omfang (som i punkt 4.3)
- Informasjonssikkerhetspolicy (punkt 5.2)
- Informasjonsrisikovurderingsprosess ( klausul 6.1.2)
- Behandlingsprosess for informasjonsrisiko (klausul 6.1.3)
- Informasjonssikkerhetsmål (klausul 6.2)
- Bevis på kompetansen til personer som jobber med informasjonssikkerhet (klausul 7.2)
- Andre ISMS-relaterte dokumenter som organisasjonen anser som nødvendige (klausul 7.5.1b)
- Operasjonsplanleggings- og kontrolldokumenter (klausul 8.1)
- Resultatene av risikovurderingen (klausul 8.2)
- Beslutningene om risikobehandling (klausul 8.3)
- Bevis for overvåking og måling av informasjonssikkerhet (klausul 9.1 )
- ISMS interne revisjonsprogram og resultatene av gjennomførte revisjoner (klausul 9.2)
- Bevis på toppledelse gjennomgang av ISMS (klausul 9.3)
- Bevis av identifiserte avvik og korrigerende handlinger som oppstår (klausul 10.1)
- Forskjellige andre: Vedlegg A nevner, men spesifiserer ikke ytterligere dokumentasjon, inkludert regler for akseptabel bruk av eiendeler, tilgangskontrollpolicy, driftsprosedyrer, konfidensialitet eller ikke -opplysningsavtaler, sikre systemtekniske prinsipper, informasjonssikkerhetspolicy for leverandørforhold, informere prosedyrer for respons på sikkerhetshendelser, relevante lover, forskrifter og kontraktsforpliktelser pluss tilhørende overholdelsesprosedyrer og prosedyrer for kontinuitet i informasjonssikkerhet. Til tross for at vedlegg A er normativt, er organisasjoner ikke formelt pålagt å vedta og overholde vedlegg A: de kan bruke andre strukturer og tilnærminger for å behandle deres informasjonsrisiko.
Sertifiseringsrevisorer vil nesten helt sikkert sjekk at disse femten typene dokumentasjon er (a) til stede, og (b) egnede til formålet.
Standarden spesifiserer ikke nøyaktig hvilken form dokumentasjonen skal ha, men avsnitt 7.5.2 snakker om aspekter som titler, forfattere, formater, media, gjennomgang og godkjenning, mens 7.5.3 gjelder dokumentkontroll som innebærer en ganske formell tilnærming i ISO 9000-stil. Elektronisk dokumentasjon (for eksempel intranett sider) er like bra som papirdokumenter, faktisk bedre i den forstand at de er lettere å kontrollere og oppdatere.
ISMS omfang og Statement of Applicability (SoA)
Mens standarden er ment å drive implementeringen av et ISMS for hele virksomheten, og sikre at alle deler av organisasjonen drar nytte av å adressere deres informasjonsrisiko på en hensiktsmessig og systematisk styrt måte , kan organisasjoner omfatte ISMS så bredt eller så snevert som de ønsker – faktisk er avgrensning en avgjørende avgjørelse for toppledelsen (punkt 4.3). Et dokumentert ISMS-omfang er et av de obligatoriske kravene for sertifisering.
Selv om anvendelseserklæringen ikke er eksplisitt definert, er det et obligatorisk krav i avsnitt 6.1.3. SoA refererer til produksjonen fra risikovurderingen av informasjon og spesielt beslutningene rundt behandling av disse risikoene. SoA kan for eksempel ta form av en matrise som identifiserer ulike typer informasjonsrisiko på den ene aksen og risikobehandlingsalternativer på den andre, og viser hvordan risikoen skal behandles i kroppen, og kanskje hvem som er ansvarlig for dem. Det refererer vanligvis til relevante kontroller fra ISO / IEC 27002, men organisasjonen kan bruke et helt annet rammeverk som NIST SP800-53, ISF-standarden, BMIS og / eller COBIT eller en tilpasset tilnærming.Informasjonssikkerhetskontrollmålene og kontrollene fra ISO / IEC 27002 er gitt som en sjekkliste i vedlegg A for å unngå å «overse nødvendige kontroller»: de er ikke påkrevd.
ISMS-omfanget og SoA er avgjørende hvis en tredjepart har til hensikt å knytte tillit til organisasjonens ISO / IEC 27001-samsvarssertifikat. Hvis organisasjonens ISO / IEC 27001-omfang bare inkluderer «Acme Ltd. Avdeling X», for eksempel, sier det tilknyttede sertifikatet absolutt ingenting om tilstanden til informasjonssikkerhet i «Acme Ltd. Avdeling Y» eller faktisk «Acme Ltd.» som en helhet. På samme måte, hvis ledelsen av en eller annen grunn bestemmer seg for å akseptere skadelig programvare, uten å implementere konvensjonelle antiviruskontroller, kan sertifiseringsrevisorene godt utfordre en så dristig påstand, men forutsatt at de tilknyttede analysene og beslutningene var sunne, ville det alene ikke være rettferdiggjørelse for nekte å sertifisere organisasjonen siden antiviruskontroller faktisk ikke er obligatoriske.
Metrics
I virkeligheten (uten å faktisk bruke begrepet «metrics») , 2013-utgaven av standarden krever bruk av beregninger på ytelsen og effektiviteten til organisasjonens ISMS og informasjonssikkerhetskontroller. Avsnitt 9, «Prestasjonsevaluering», krever at organisasjonen bestemmer og implementerer egnede sikkerhetsberegninger … men gir bare høye krav.
ISO / IEC 27004 tilbyr råd om hva og hvordan man kan måle for å tilfredsstille kravet og evaluere ISMS-ytelsen – en veldig fornuftig tilnærming som ikke er ulik den som er beskrevet i PRAGMATIC Security Metrics.
Sertifisering
Sertifisert overholdelse av ISO / IEC 27001 av et akkreditert og respektert sertifiseringsorgan er helt valgfritt, men blir stadig mer etterspurt fra leverandører og forretningspartnere av organisasjoner som er (ganske riktig!) bekymret for sikkerheten til deres informasjon, og om informasjonsrisiko i hele forsyningskjeden / forsyningsnettverket.
Sertifisering gir en rekke fordeler utover bare samsvar, på omtrent samme måte som en ISO 9000-sertifikatet sier mer enn n bare «Vi er en kvalitetsorganisasjon». Uavhengig vurdering bringer nødvendigvis en viss strenghet og formalitet til implementeringsprosessen (som innebærer forbedringer av informasjonssikkerhet og alle fordelene som medfører risikoreduksjon), og krever alltid godkjenning fra toppledelsen (som i det minste er en fordel når det gjelder sikkerhetsbevissthet!).
Sertifikatet har markedsføringspotensial og merkevareverdi, og viser at organisasjonen tar ledelse av informasjonssikkerhet på alvor. Imidlertid, som nevnt ovenfor, er sikkerhetsverdien til sertifikatet svært avhengig av ISMS-omfanget og SoA – med andre ord, ikke stol for mye på organisasjonens ISO / IEC 27001-samsvarssertifikat hvis du er veldig avhengig av informasjonen sikkerhet. På samme måte som sertifisert PCI-DSS-samsvar ikke betyr «Vi garanterer å sikre kredittkortdata og annen personlig informasjon», er sertifisert ISO / IEC 27001-samsvar et positivt tegn, men ikke en støpejernsgaranti om organisasjonens informasjonssikkerhet Det står «Vi har et kompatibelt ISMS på plass», ikke «Vi er sikre», et subtilt, men viktig skille.
Standardstatusen
ISO / IEC 27001 var først. utgitt i 2005.
Standarden ble fullstendig omskrevet og publisert i 2013. Dette var langt mer enn bare å tilpasse innholdet i 2005-utgaven siden ISO insisterte på betydelige endringer for å tilpasse denne standarden til andre standarder for styringssystemer.
ISO / IEC 27002 ble grundig revidert og utstedt på samme tid, derfor ble vedlegg A til ISO / IEC 27001 også fullstendig oppdatert: se ISO / IEC 27002-siden for mer.
En teknisk rettelse fra 2014 avklarte at informasjon tross alt er en ressurs. Golly.
En annen teknisk rettelse endum i 2015 presiserte at organisasjoner formelt er pålagt å identifisere implementeringsstatus for deres informasjonssikkerhetskontroller i SoA.
En foreslått tredje teknisk rettelse hoppet over haien: SC 27 motsto trangen til å fortsette å tilpasse det publiserte standard unødvendig med endringer som burde vært foreslått da den var i utkast, og som kanskje ikke har blitt akseptert uansett. Til tross for at det ikke blir behandlet, er bekymringen gyldig: Standarden forvirrer faktisk informasjonsrisiko med risiko knyttet til styringssystemet. Det burde ha adressert sistnevnte, men i stedet tatt på seg førstnevnte.
En studieperiode så på verdien og formålet med vedlegg A i forhold til SoA, og konkluderte med at vedlegg A er en nyttig lenke til ISO / IEC 27002, men hovedformuleringen bør gjøre det klart at vedlegg A er helt valgfritt: organisasjoner kan vedta det settet med kontroller (eller andre risikobehandlinger) de anser som egnet til å behandle deres informasjonsrisiko, forutsatt at prosessen med å velge, implementere, administrere, overvåke og opprettholde risikobehandlingene oppfyller hovedkravene med andre ord, hele prosessen faller innenfor ISMS.
Den neste versjonen av ISO / IEC 27001 vil nødvendigvis innlemme betydelige endringer som gjenspeiler den forestående oppdateringen av ISO / IEC 27002 (som betyr omskriving av vedlegg A, igjen) pluss noen hovedformuleringer endres som et resultat av pågående revisjoner av vedlegg SL …
Personlige kommentarer
Vedlegg SL (tidligere kjent som «Utkast til guide 83», noen ganger «Vedlegg L» ) vedlegg 2 spesifiserer kjeletekstens tekst og struktur som er felles for alle ISO- og ISO / IEC-styringssystemstandardene som dekker kvalitetssikring, miljøvern etc. Tanken er at ledere som er kjent med et av styringssystemene, vil forstå de grunnleggende prinsippene som ligger til grunn for alle de andre. Begreper som sertifisering, policy, avvik, dokumentkontroll, interne revisjoner og ledelsesgjennomganger er felles for alle styringssystemstandardene, og faktisk kan prosessene i stor grad standardiseres i organisasjonen.
Når neste oppdatering i år, vil vedlegg SL vedlegg 2 sannsynligvis (hvis godkjent):
- Definer risiko som «effekt av usikkerhet» (fall «mål» fra definisjonen som brukes i den nåværende versjonen ISO / IEC 27000) med 4 notater (slipper de siste 2 av 6 notatene i gjeldende definisjon). Om den forenklingen hjelper, skader eller ikke har noen innvirkning på ISO27k, gjenstår å se.
- Erstatt «utfall» med «resultater» – en endring som først og fremst gjøres for å gjøre oversettelsen enklere.
- Inkluder «Planlegging av endringer», dvs. at eventuelle endringer i styringssystemet må utføres i en planlagt måte .
- Erstatt «outsourcet» med «eksternt levert» for å omfatte outsourcing, kontrakt og konvensjonelle innkjøp.
- Spesifiser generelle krav til interne revisjoner separat (9.2.1) og for internrevisjonsprogrammet (9.2.2).
- Spesifiser generelle krav til ledelsesgjennomgang (9.3.1) og for deres innspill (9.3.2) og output (9.3.3) separat.
- Understreke behovet for proaktiv forbedring av styringssystemet i tillegg til reaktive svar på mangler.
- Mandat til forskjellige andre ordlydsendringer i alle ISO-styringssystemstandardene, inkludert (antagelig) neste frigjøring av ISO / IEC 27001.
SC 27s forvirring over den tiltenkte betydningen av «informasjonsressurs» henger på: beslutningen om å slippe defi nisjon av «informasjonsmiddel» fra ISO / IEC 27000 i stedet for virkelig å se på dette problemet kan ha vært en taktisk feil. Å gå tilbake til begrepet «eiendel», definert veldig bredt som noe av verdi, fører til problemer i hele ISO27k hvis begrepet erstattes av sin bokstavelige og eksplisitte definisjon. En murstein er en ressurs, mens en muret smarttelefon er en forpliktelse. «Verdi» er et tåkete konsept. Det er rettferdig å spørre «Verdifullt for hvem?» siden organisasjonen opptrer som forvalter for informasjon som tilhører andre, inkludert personlig og proprietær informasjon som krever tilstrekkelig beskyttelse. Bør det dekkes av ISMS, eller ikke? Dette er en rotete, uklar og til slutt utilfredsstillende situasjon for en internasjonal standard.