ISO / IEC 27001: 2013 – Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Vereisten (tweede editie)
< Vorige standaard ^ Een niveau hoger ^ Volgende standaard >
Inleiding
ISO / IEC 27001 specificeert formeel een informatiebeveiligingsbeheersysteem, een bestuursarrangement dat een gestructureerd pakket activiteiten omvat waarmee informatierisicos kunnen worden beheerd (in de norm informatiebeveiligingsrisicos genoemd) .
Het ISMS is een overkoepelend raamwerk waardoor het management de informatierisicos van de organisatie identificeert, evalueert en behandelt (behandelt). Het ISMS zorgt ervoor dat de beveiligingsregelingen worden verfijnd om gelijke tred te houden met de veranderingen in de beveiligingsbedreigingen, kwetsbaarheden en zakelijke gevolgen – een belangrijk aspect in een dergelijk dynamisch gebied en een belangrijk voordeel van de flexibele, risicogestuurde aanpak van ISO27k in vergelijking met, zeg, PCI-DSS.
De norm dekt alle soorten organisaties (bijv. commerciële ondernemingen, overheidsinstanties, non-profitorganisaties) van elke omvang (van micro-ondernemingen tot grote multinationals) in alle sectoren (bijv. detailhandel, bankwezen, defensie, gezondheidszorg , onderwijs en overheid). Dit is duidelijk een zeer brede opgave.
ISO / IEC 27001 verplicht formeel geen specifieke informatiebeveiligingscontroles, aangezien de controles die vereist zijn aanzienlijk verschillen binnen het brede scala van organisaties die de standaard toepassen. De informatiebeveiligingsmaatregelen uit ISO / IEC 27002 zijn als een menu samengevat in bijlage A bij ISO / IEC 27001. Organisaties die ISO / IEC 27001 toepassen, zijn vrij om te kiezen welke specifieke informatiebeveiligingsmaatregelen van toepassing zijn op hun specifieke informatierisicos, waarbij ze uitgaan van de in het menu vermelde opties en deze mogelijk aanvullen met andere à-la-cartemogelijkheden (ook wel bekend als uitgebreide controlesets). Net als bij ISO / IEC 27002 is de sleutel bij het selecteren van toepasselijke beheersmaatregelen het uitvoeren van een uitgebreide beoordeling van de informatierisicos van de organisatie, wat een essentieel onderdeel van het ISMS is.
Bovendien kan het management ervoor kiezen om te vermijden, te delen of informatierisicos accepteren in plaats van ze te beperken door middel van controles – een risicobehandelingsbeslissing binnen het risicobeheerproces.
Geschiedenis
ISO / IEC 27001 is afgeleid van BS 7799 Deel 2, voor het eerst gepubliceerd als zodanig door het British Standards Institute in 1999.
BS 7799 Deel 2 werd herzien in 2002, waarbij expliciet de Deming-stijl werd opgenomen Plan-Do-Check-Act-cyclus.
BS 7799 deel 2 werd in 2005 aangenomen als de eerste editie van ISO / IEC 27001 met verschillende wijzigingen om de nieuwe beheerders weer te geven .
De tweede editie van ISO / IEC 27001 werd gepubliceerd in 2013, nadat deze grondig was herzien om in overeenstemming te zijn met de andere ISO-normen voor managementsystemen. PDCA is niet langer expliciet, maar het concept van continue verfijning en systematische verbetering blijft zeker bestaan.
Structuur van de standaard
ISO / IEC 27001: 2013 heeft de volgende secties:
0 Inleiding – de standaard beschrijft een proces voor het systematisch beheren van informatierisicos.
1 Toepassingsgebied – het specificeert generieke ISMS-vereisten die geschikt zijn voor organisaties van elk type, grootte of aard.
2 Normatieve verwijzingen – alleen ISO / IEC 27000 wordt als absoluut essentieel beschouwd voor gebruikers van 27001: de overige ISO27k-normen zijn optioneel.
3 Termen en definities – zie ISO / IEC 27000.
4 Context van de organisatie – inzicht in de organisatorische context, de behoeften en verwachtingen van geïnteresseerde partijen en het definiëren van de reikwijdte van het ISMS. Paragraaf 4.4 stelt heel duidelijk: “De organisatie moet het ISMS opzetten, implementeren, onderhouden en voortdurend verbeteren”.
5 Leiderschap – het topmanagement moet blijk geven van leiderschap en toewijding aan het ISMS, beleid verplicht stellen en informatiebeveiliging toewijzen rollen, verantwoordelijkheden en bevoegdheden.
6 Planning – schetst het proces voor het identificeren, analyseren en plannen om informatierisicos te behandelen, en verduidelijkt de doelstellingen van informatiebeveiliging.
7 Ondersteuning – adequaat, competente middelen moeten worden toegewezen, bewustmaking, documentatie voorbereid en gecontroleerd.
8 Werking – een beetje meer details over het beoordelen en behandelen van informatierisicos, het beheren van wijzigingen en het documenteren van dingen (gedeeltelijk zodat ze kunnen worden gecontroleerd door de certificeringsauditors).
9 Prestatie-evaluatie – bewaak, meet, analyseer en evalueer / controleer / herzie de informatiebeveiligingscontroles, processen en managementsysteem, en verbeter systematisch waar nodig.
10 Improv ement – behandel de bevindingen van audits en beoordelingen (bijv. non-conformiteiten en corrigerende maatregelen), breng voortdurend verbeteringen aan in het ISMS.
Bijlage A Referentiebeheersingsdoelstellingen en beheersmaatregelen – eigenlijk weinig meer dan een lijst met titels van de beheersecties in ISO / IEC 27002. De bijlage is normatief, wat impliceert dat van gecertificeerde organisaties wordt verwacht dat ze deze gebruiken , maar het hoofdorgaan zegt vrij te zijn om hiervan af te wijken of aan te vullen om hun specifieke informatierisicos aan te pakken. Alleen bijlage A is moeilijk te interpreteren. Raadpleeg ISO / IEC 27002 voor meer bruikbare details over de bedieningselementen, inclusief implementatiebegeleiding.
Bibliografie – verwijst lezers naar vijf gerelateerde normen, plus deel 1 van de ISO / IEC-richtlijnen, voor meer informatie. Bovendien wordt ISO / IEC 27000 in de body van de norm geïdentificeerd als een normatieve (dwz essentiële) norm en zijn er verschillende verwijzingen naar ISO 31000 over risicobeheer.
Verplichte vereisten voor certificering
ISO / IEC 27001 is een geformaliseerde specificatie voor een ISMS met twee verschillende doelen:
- Het beschrijft het ontwerp voor een ISMS en beschrijft de belangrijke onderdelen op een redelijk hoge niveau;
- Het kan (optioneel) worden gebruikt als basis voor formele conformiteitsbeoordeling door geaccrediteerde certificeringsauditors om een organisatie conform te certificeren.
De volgende verplichte documentatie is expliciet vereist voor certificering:
- ISMS-bereik (volgens clausule 4.3)
- Informatiebeveiligingsbeleid (clausule 5.2)
- Informatie risicobeoordelingsproces ( clausule 6.1.2)
- Behandeling van informatierisicos (clausule 6.1.3)
- Informatiebeveiligingsdoelstellingen (clausule 6.2)
- Bewijs van de competentie van de mensen die werkzaam zijn in informatiebeveiliging (clausule 7.2)
- Andere ISMS-gerelateerde documenten die de organisatie nodig acht (clausule 7.5.1b)
- Operationele planning en controledocumenten (clausule 8.1)
- De resultaten van de risicobeoordelingen (clausule 8.2)
- De beslissingen met betrekking tot risicobehandeling (clausule 8.3)
- Bewijs van het monitoren en meten van informatiebeveiliging (clausule 9.1 )
- Het interne auditprogramma van ISMS en de resultaten van uitgevoerde audits (clausule 9.2)
- Bewijs van beoordelingen door het topmanagement van het ISMS (clausule 9.3)
- Bewijs van geïdentificeerde afwijkingen en corrigerende maatregelen die zich voordoen (clausule 10.1)
- Diverse andere: Bijlage A vermeldt, maar specificeert niet volledig, verdere documentatie, inclusief de regels voor aanvaardbaar gebruik van activa, toegangscontrolebeleid, operationele procedures, vertrouwelijkheid of niet – openbaarmakingsovereenkomsten, principes van veilige systeemtechniek, informatiebeveiligingsbeleid voor relaties met leveranciers, informeren responsprocedures voor beveiligingsincidenten, relevante wet- en regelgeving en contractuele verplichtingen plus de bijbehorende nalevingsprocedures en continuïteitsprocedures voor informatiebeveiliging. Ondanks dat bijlage A normatief is, zijn organisaties formeel niet verplicht om bijlage A over te nemen en na te leven: ze kunnen andere structuren en benaderingen gebruiken om hun informatierisicos te behandelen.
Certificatie-auditors zullen vrijwel zeker controleer of deze vijftien soorten documentatie (a) aanwezig zijn, en (b) geschikt zijn voor het beoogde doel.
De standaard specificeert niet precies hoe de documentatie eruit moet zien, maar paragraaf 7.5.2 gaat over aspecten als de titels, auteurs, formaten, media, review en goedkeuring, terwijl 7.5.3 documentbeheer betreft , wat een vrij formele benadering in ISO 9000-stijl impliceert. Elektronische documentatie (zoals intranetpaginas) is net zo goed als papieren documenten, in feite beter in die zin dat ze gemakkelijker te controleren en bij te werken zijn.
ISMS-toepassingsgebied en Statement of Applicability (SoA)
Terwijl de standaard bedoeld is om de implementatie van een bedrijfsbrede ISMS te stimuleren en ervoor te zorgen dat alle delen van de organisatie profiteren door hun informatierisicos op een gepaste en systematisch beheerde manier aan te pakken , kunnen organisaties hun ISMS zo breed of eng als ze willen gebruiken – scoping is inderdaad een cruciale beslissing voor het senior management (clausule 4.3). Een gedocumenteerde ISMS-scope is een van de verplichte vereisten voor certificering.
Hoewel de Verklaring van Toepasselijkheid niet expliciet is gedefinieerd, is het een verplichte vereiste van sectie 6.1.3. SoA verwijst naar de output van de informatierisicobeoordelingen en, in het bijzonder, de beslissingen rond het behandelen van die risicos. De SoA kan bijvoorbeeld de vorm aannemen van een matrix die verschillende soorten informatierisicos op de ene as en risicobehandelingsopties op de andere as identificeert, laat zien hoe de risicos in het lichaam moeten worden behandeld en wie er misschien verantwoordelijk voor is. Het verwijst meestal naar de relevante controles uit ISO / IEC 27002, maar de organisatie kan een heel ander raamwerk gebruiken, zoals NIST SP800-53, de ISF-standaard, BMIS en / of COBIT of een aangepaste benadering.De doelstellingen en controles op het gebied van informatiebeveiliging van ISO / IEC 27002 worden als checklist in bijlage A gegeven om te voorkomen dat de noodzakelijke controles over het hoofd worden gezien: ze zijn niet vereist.
De ISMS-scope en SoA zijn cruciaal als een derde partij wil vertrouwen op het ISO / IEC 27001-conformiteitscertificaat van een organisatie. Als de ISO / IEC 27001-scope van een organisatie bijvoorbeeld alleen ‘Acme Ltd. Afdeling X’ omvat, zegt het bijbehorende certificaat absoluut niets over de staat van informatiebeveiliging in ‘Acme Ltd. Afdeling Y’ of zelfs ‘Acme Ltd.’. Als het management om wat voor reden dan ook besluit malwarerisicos te accepteren zonder conventionele antiviruscontroles te implementeren, kunnen de certificeringsauditors een dergelijke gewaagde bewering aanvechten, maar op voorwaarde dat de bijbehorende analyses en beslissingen deugdelijk waren, zou dat alleen geen rechtvaardiging zijn om weigeren de organisatie te certificeren, aangezien antiviruscontroles in feite niet verplicht zijn.
Metrics
In feite (zonder de term “metrics” daadwerkelijk te gebruiken) vereist de 2013-editie van de standaard het gebruik van meetgegevens over de prestaties en effectiviteit van de ISMS- en informatiebeveiligingsmaatregelen van de organisatie. Sectie 9, “Prestatie-evaluatie”, vereist dat de organisatie geschikte beveiligingsstatistieken bepaalt en implementeert … maar geeft alleen vereisten op hoog niveau.
ISO / IEC 27004 biedt advies over wat en hoe te meten om aan de vereisten te voldoen en de prestaties van het ISMS te evalueren – een bij uitstek verstandige benadering die niet verschilt van die beschreven in PRAGMATIC Security Metrics.
Certificering
Gecertificeerde naleving van ISO / IEC 27001 door een geaccrediteerde en gerespecteerde certificeringsinstantie is volledig optioneel, maar wordt in toenemende mate geëist van leveranciers en zakenpartners door organisaties die (terecht!) bezorgd zijn over de veiligheid van hun informatie en over informatierisicos in de hele toeleveringsketen / toeleveringsnetwerk.
Certificering biedt een aantal voordelen die verder gaan dan alleen naleving, op vrijwel dezelfde manier als een ISO 9000-serie certificaat zegt meer dan n gewoon “Wij zijn een kwaliteitsorganisatie”. Onafhankelijke beoordeling brengt noodzakelijkerwijs enige nauwkeurigheid en formaliteit in het implementatieproces (wat verbeteringen in de informatiebeveiliging en alle voordelen van risicovermindering met zich meebrengt), en vereist steevast goedkeuring van het senior management (wat in ieder geval een voordeel is in termen van veiligheidsbewustzijn!).
Het certificaat heeft marketingpotentieel en merkwaarde, waarmee wordt aangetoond dat de organisatie informatiebeveiligingsbeheer serieus neemt. Zoals hierboven vermeld, is de betrouwbaarheidswaarde van het certificaat echter sterk afhankelijk van de ISMS-scope en SoA – met andere woorden, vertrouw niet te veel op het ISO / IEC 27001-conformiteitscertificaat van een organisatie als u sterk afhankelijk bent van de informatie ervan. veiligheid. Net zoals gecertificeerde PCI-DSS-conformiteit niet betekent: “Wij garanderen dat creditcardgegevens en andere persoonlijke informatie worden beveiligd”, is gecertificeerde ISO / IEC 27001-conformiteit een positief teken, maar geen ijzersterke garantie voor de informatiebeveiliging van een organisatie. . Er staat “We hebben een compatibel ISMS”, niet “We zijn veilig”, een subtiel maar belangrijk onderscheid.
Status van de standaard
ISO / IEC 27001 was de eerste gepubliceerd in 2005.
De standaard is volledig herschreven en gepubliceerd in 2013. Dit was veel meer dan alleen het aanpassen van de inhoud van de editie van 2005, aangezien ISO aandrong op substantiële wijzigingen om deze standaard in overeenstemming te brengen met andere managementsysteemnormen.
ISO / IEC 27002 werd uitgebreid herzien en tegelijkertijd opnieuw uitgegeven, daarom werd ook Annex A bij ISO / IEC 27001 volledig bijgewerkt: zie de ISO / IEC 27002-pagina voor meer.
Een technische rectificatie uit 2014 verduidelijkte dat informatie per slot van rekening een pluspunt is. Golly.
Een tweede technische correctie endum in 2015 verduidelijkte dat organisaties formeel verplicht zijn om de implementatiestatus van hun informatiebeveiligingscontroles in de SoA te identificeren.
Een voorgesteld derde technisch corrigendum sprong uit de lucht: SC 27 weerstond de neiging om de gepubliceerde standaard onnodig met wijzigingen die hadden moeten worden voorgesteld toen het in ontwerp was, en die misschien toch niet zijn geaccepteerd. Ondanks dat het niet wordt aangepakt, is de zorg terecht: de norm verwart inderdaad informatierisicos met risicos met betrekking tot het managementsysteem. Het had het laatste moeten aanpakken, maar in plaats daarvan het eerste moeten aanpakken.
In een studieperiode werd gekeken naar de waarde en het doel van bijlage A in relatie tot de SoA, waarbij werd geconcludeerd dat bijlage A een nuttige link is naar ISO / IEC 27002, maar de hoofdtekst moet duidelijk maken dat bijlage A is volledig optioneel: organisaties kunnen elke reeks controles (of andere risicobehandelingen) toepassen die zij geschikt achten om hun informatierisicos te behandelen, op voorwaarde dat het proces van het selecteren, implementeren, beheren, bewaken en onderhouden van de risicobehandelingen voldoet aan de vereisten van het met andere woorden, het hele proces valt binnen het ISMS.
De volgende versie van ISO / IEC 27001 zal noodzakelijkerwijs belangrijke wijzigingen bevatten die de aanstaande update van ISO / IEC 27002 weerspiegelen (wat betekent dat Bijlage A opnieuw moet worden herschreven) plus enkele tekstveranderingen in de hoofdtekst als gevolg van voortdurende herzieningen van bijlage SL …
Persoonlijke opmerkingen
Bijlage SL (voorheen bekend als “Draft Guide 83”, soms “Annex L” ) bijlage 2 specificeert de standaardtekst en structuur die gemeenschappelijk is alle ISO- en ISO / IEC-normen voor managementsystemen met betrekking tot kwaliteitsborging, milieubescherming enz. Het idee is dat managers die bekend zijn met een van de managementsystemen, de basisprincipes begrijpen die aan alle andere ten grondslag liggen. Concepten als certificering, beleid, non-conformiteit, documentcontrole, interne audits en managementbeoordelingen zijn gemeenschappelijk voor alle managementsysteemnormen, en in feite kunnen de processen voor een groot deel binnen de organisatie worden gestandaardiseerd.
Bij de volgende update dit jaar zal bijlage SL, bijlage 2, waarschijnlijk (indien goedgekeurd):
- Risico definiëren als “effect van onzekerheid” (het laten vallen van “doelstellingen” uit de definitie die in de huidige versie wordt gebruikt van ISO / IEC 27000) met 4 noten (waarbij de laatste 2 van de 6 noten in de huidige definitie worden verwijderd). Of die vereenvoudiging helpt, schaadt of geen effect heeft op ISO27k valt nog te bezien.
- Vervang resultaten door resultaten – een wijziging die voornamelijk is aangebracht om de vertaling te vergemakkelijken.
- Neem Planning van wijzigingen op, dwz alle wijzigingen in het beheersysteem moeten worden uitgevoerd in een geplande manier .
- Vervang “uitbesteed” door “extern geleverd” om uitbesteding, contractering en conventionele inkoop te omvatten.
- Specificeer afzonderlijk algemene vereisten voor interne audits (9.2.1) en voor het interne auditprogramma (9.2.2).
- Specificeer afzonderlijk de algemene vereisten voor managementbeoordelingen (9.3.1) en voor hun input (9.3.2) en output (9.3.3).
- Benadruk opnieuw de noodzaak van proactieve verbetering van het managementsysteem naast reactieve reacties op tekortkomingen.
- Geef opdracht tot verschillende andere formuleringswijzigingen in alle ISO-normen voor managementsystemen, inclusief (vermoedelijk) de volgende release van ISO / IEC 27001.
De verwarring van SC 27 over de bedoelde betekenis van “informatie-item” blijft bestaan: de beslissing om de defi nitie van “informatie-asset” van ISO / IEC 27000 in plaats van echt bottom-out, dit probleem kan een tactische fout zijn geweest. Terugkeren naar de term asset, zeer ruim gedefinieerd als iets van waarde, leidt tot problemen in ISO27k als de term wordt vervangen door de letterlijke en expliciete definitie. Een brick is een asset, terwijl een bricked smartphone een passiva is. Value is een vaag concept. Het is eerlijk om te vragen “Van waarde voor wie?” ook, aangezien de organisatie optreedt als bewaarder voor bepaalde informatie van anderen, inclusief persoonlijke en bedrijfseigen informatie die voldoende bescherming vereist. Moet dat onder het ISMS vallen of niet? Dit is een rommelige, onduidelijke en uiteindelijk onbevredigende situatie voor een internationale standaard.