ISO / IEC 27001: 2013 – Technologia informacyjna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania (wydanie drugie)

< Poprzedni standard ^ Wyższy poziom ^ Następny standard >

Wprowadzenie

ISO / IEC 27001 formalnie określa system zarządzania bezpieczeństwem informacji, porozumienie dotyczące zarządzania obejmujące uporządkowany zestaw działań służących do zarządzania ryzykiem informacyjnym (zwanym w standardzie „ryzykiem bezpieczeństwa informacji”) .

SZBI jest nadrzędną strukturą, za pomocą której kierownictwo identyfikuje, ocenia i traktuje (rozwiązuje) ryzyko informacyjne organizacji. ISMS zapewnia, że ustalenia dotyczące bezpieczeństwa są precyzyjnie dostrojone, aby nadążać za zmianami zagrożeń bezpieczeństwa, słabych punktów i wpływów biznesowych – ważny aspekt w tak dynamicznej dziedzinie i kluczowa zaleta elastycznego podejścia opartego na ryzyku ISO27k w porównaniu z, powiedzmy, PCI-DSS.

Norma obejmuje wszystkie typy organizacji (np. przedsiębiorstwa komercyjne, agencje rządowe, organizacje non-profit) różnej wielkości (od mikroprzedsiębiorstw po wielkie międzynarodowe koncerny) we wszystkich branżach (np. handel detaliczny, bankowość, obronność, opieka zdrowotna) , edukacja i rząd). Jest to z pewnością bardzo szerokie omówienie.

ISO / IEC 27001 formalnie nie nakazuje określonych kontroli bezpieczeństwa informacji, ponieważ wymagane kontrole różnią się znacznie w wielu organizacjach przyjmujących tę normę. Kontrole bezpieczeństwa informacji z ISO / IEC 27002 podsumowano w załączniku A do ISO / IEC 27001, przypominając raczej menu. Organizacje przyjmujące ISO / IEC 27001 mogą dowolnie wybierać, które konkretne mechanizmy kontroli bezpieczeństwa informacji mają zastosowanie do ich konkretnych zagrożeń informacyjnych, opierając się na tych wymienionych w menu i potencjalnie uzupełniając je innymi opcjami a la carte (czasami nazywanymi rozszerzonymi zestawami kontrolnymi). Podobnie jak w przypadku ISO / IEC 27002, kluczem do wyboru odpowiednich mechanizmów kontrolnych jest przeprowadzenie kompleksowej oceny ryzyka informacyjnego organizacji, które jest jedną z istotnych części SZBI.

Ponadto kierownictwo może zdecydować się na unikanie, dzielenie się lub akceptuj ryzyko informacyjne zamiast łagodzić je poprzez kontrole – decyzja dotycząca postępowania z ryzykiem w procesie zarządzania ryzykiem.

Historia

ISO / IEC 27001 jest pochodzi z BS 7799 Część 2, po raz pierwszy opublikowanej jako taka przez British Standards Institute w 1999 roku.

BS 7799 Część 2 została poprawiona w 2002 roku, wyraźnie włączając styl Deminga Cykl Zaplanuj-Wykonaj-Sprawdź-Działaj.

Część 2 BS 7799 została przyjęta jako pierwsza edycja normy ISO / IEC 27001 w 2005 r. Z różnymi zmianami odzwierciedlającymi jej nowych opiekunów .

Druga edycja normy ISO / IEC 27001 została opublikowana w 2013 r., po gruntownej zmianie w celu dostosowania jej do innych norm ISO dotyczących systemów zarządzania. PDCA nie jest już wyraźna, ale koncepcja ciągłego doskonalenia i systematycznego doskonalenia na pewno pozostaje.

Struktura normy

ISO / IEC 27001: 2013 składa się z następujących sekcji:

0 Wprowadzenie – norma opisuje proces systematycznego zarządzania ryzyka informacyjne.

1 Zakres – określa ogólne wymagania SZBI odpowiednie dla organizacji dowolnego typu, wielkości i charakteru.

2 Odniesienia normatywne – tylko ISO / IEC 27000 jest uważane za absolutnie niezbędne do użytkownicy 27001: pozostałe normy ISO27k są opcjonalne.

3 Terminy i definicje – patrz ISO / IEC 27000.

4 Kontekst organizacji – zrozumienie kontekstu organizacyjnego, potrzeb i oczekiwania „zainteresowanych stron” oraz określenie zakresu SZBI. Sekcja 4.4 stwierdza bardzo wyraźnie, że „Organizacja powinna ustanowić, wdrożyć, utrzymywać i nieustannie doskonalić SZBI”.

5 Kierownictwo – najwyższe kierownictwo musi wykazać się przywództwem i zaangażowaniem w SZBI, politykę zleceń i przypisać bezpieczeństwo informacji role, obowiązki i uprawnienia.

6 Planowanie – nakreśla proces identyfikacji, analizy i planowania postępowania z ryzykiem informacyjnym oraz wyjaśnia cele bezpieczeństwa informacji.

7 Wsparcie – odpowiednie, należy przydzielić kompetentne zasoby, podnosić świadomość, przygotowywać i kontrolować dokumentację.

8 Operacja – nieco więcej szczegółów na temat oceny i postępowania z ryzykiem informacyjnym, zarządzania zmianami i dokumentowania rzeczy (częściowo po to, aby mogły być audytowane przez audytorzy certyfikujący).

9 Ocena wydajności – monitoruj, mierz, analizuj i oceniaj / audytuj / przeglądaj kontrole bezpieczeństwa informacji, procesy i system zarządzania, systematycznie poprawiając je tam, gdzie to konieczne.

10 Improv ement – odniesienie się do ustaleń audytów i przeglądów (np. niezgodności i działania korygujące), wprowadzać ciągłe udoskonalenia SZBI.

Załącznik A Referencyjne cele i kontrole kontrolne – niewiele więcej niż lista tytułów sekcji kontrolnych w ISO / IEC 27002. Załącznik jest „normatywny”, co oznacza, że certyfikowane organizacje powinny go stosować , ale główny organ twierdzi, że może odstąpić od niego lub uzupełnić go w celu zajęcia się szczególnym ryzykiem związanym z informacjami. Sam załącznik A jest trudny do interpretacji. Więcej przydatnych szczegółów dotyczących kontroli, w tym wskazówek dotyczących wdrażania, można znaleźć w ISO / IEC 27002.

Bibliografia – wskazuje czytelnikom pięć powiązanych norm oraz część 1 dyrektyw ISO / IEC, aby uzyskać więcej informacji. Ponadto ISO / IEC 27000 jest zidentyfikowana w treści normy jako norma normatywna (tj. Podstawowa) i istnieje kilka odniesień do ISO 31000 w zakresie zarządzania ryzykiem.

Obowiązkowe wymagania dotyczące certyfikacji

ISO / IEC 27001 jest sformalizowaną specyfikacją dla ISMS mającą dwa różne cele:

1. Przedstawia projekt ISMS, opisując ważne części na dość wysokim poziomie level;
2. Może (opcjonalnie) służyć jako podstawa do formalnej oceny zgodności przez akredytowanych audytorów certyfikujących w celu poświadczenia zgodności organizacji.

Poniższa obowiązkowa dokumentacja jest wyraźnie wymagany do certyfikacji:

1. Zakres ISMS (zgodnie z punktem 4.3)
2. Polityka bezpieczeństwa informacji (punkt 5.2)
3. Proces oceny ryzyka informacyjnego ( punkt 6.1.2)
4. Proces postępowania z ryzykiem informacyjnym (punkt 6.1.3)
5. Cele bezpieczeństwa informacji (punkt 6.2)
6. Dowód kompetencji osoby zajmujące się bezpieczeństwem informacji (punkt 7.2)
7. Inne dokumenty związane z ISMS uznane za niezbędne przez organizację (punkt 7.5.1b)
8. Planowanie operacyjne i dokumenty kontrolne (punkt 8.1)
9. Wyniki oceny ryzyka (punkt 8.2)
10. Decyzje dotyczące postępowania z ryzykiem (punkt 8.3)
11. Dowody z monitorowania i pomiaru bezpieczeństwa informacji (punkt 9.1 )
12. Program audytu wewnętrznego SZBI i wyniki przeprowadzonych audytów (punkt 9.2)
13. Dowody przeglądów SZBI przez najwyższe kierownictwo (punkt 9.3)
14. Dowody zidentyfikowanych niezgodności i powstałych działań naprawczych (klauzula 10.1)
15. Różne inne: Załącznik A wspomina, ale nie określa w pełni dalszej dokumentacji, w tym zasad dopuszczalnego użytkowania aktywów, polityki kontroli dostępu, procedur operacyjnych, poufności lub braku – umowy o ujawnieniu informacji, zasady bezpiecznej inżynierii systemu, polityka bezpieczeństwa informacji w relacjach z dostawcami, informowanie procedury reagowania na incydenty bezpieczeństwa, odpowiednie przepisy, regulacje i zobowiązania umowne, a także związane z nimi procedury zgodności i procedury ciągłości bezpieczeństwa informacji. Jednak pomimo tego, że załącznik A jest normatywny, organizacje nie są formalnie zobowiązane do przyjęcia i przestrzegania załącznika A: mogą korzystać z innych struktur i podejść do traktowania ryzyka związanego z informacjami.

Audytorzy certyfikujący prawie na pewno będą sprawdzić, czy te piętnaście rodzajów dokumentacji jest (a) obecne i (b) odpowiednie do celu.

Norma nie określa dokładnie, jaką formę powinna przybrać dokumentacja, ale sekcja 7.5.2 mówi o takich aspektach, jak tytuły, autorzy, formaty, media, przegląd i zatwierdzenie, podczas gdy 7.5.3 dotyczy kontroli dokumentów , co sugeruje dość formalne podejście w stylu ISO 9000. Dokumentacja elektroniczna (taka jak strony intranetowe) jest tak samo dobra jak dokumenty papierowe, w rzeczywistości lepsza w tym sensie, że jest łatwiejsza do kontrolowania i aktualizowania.

Zakres ISMS i Oświadczenie o zastosowaniu (SoA)

Mając na uwadze, że norma ma na celu stymulowanie wdrażania SZBI w całym przedsiębiorstwie, zapewniając korzyści wszystkim częściom organizacji, zajmując się ryzykiem związanym z informacjami w odpowiedni i systematycznie zarządzany organizacje mogą określić zakres swojego SZBI tak szeroko lub tak wąsko, jak sobie tego życzą – w istocie ustalanie zakresu jest kluczową decyzją dla kierownictwa wyższego szczebla (punkt 4.3). Udokumentowany zakres ISMS jest jednym z obowiązkowych wymagań certyfikacji.

Chociaż Oświadczenie o stosowalności nie jest wyraźnie zdefiniowane, jest to wymóg obowiązkowy w sekcji 6.1.3. SoA odnosi się do danych wyjściowych z ocen ryzyka informacji, aw szczególności decyzji dotyczących postępowania z tymi ryzykami. SoA może na przykład przybrać formę macierzy identyfikującej różne rodzaje ryzyka związanego z informacjami na jednej osi i opcji leczenia ryzyka z drugiej, pokazującej, jak należy traktować ryzyko w organizmie i być może kto jest za nie odpowiedzialny. Zwykle odnosi się do odpowiednich kontroli z ISO / IEC 27002, ale organizacja może stosować zupełnie inne ramy, takie jak NIST SP800-53, standard ISF, BMIS i / lub COBIT lub podejście niestandardowe.Cele i mechanizmy kontroli bezpieczeństwa informacji z ISO / IEC 27002 przedstawiono jako listę kontrolną w załączniku A w celu uniknięcia „przeoczenia niezbędnych kontroli”: nie są one wymagane.

Zakres ISMS i SoA są kluczowe, jeśli strona trzecia zamierza w jakikolwiek sposób polegać na certyfikacie zgodności organizacji z ISO / IEC 27001. Jeśli zakres ISO / IEC 27001 organizacji obejmuje na przykład tylko „Acme Ltd. Dział X”, powiązany certyfikat nie mówi absolutnie nic o stanie bezpieczeństwa informacji w „Acme Ltd. Departamencie Y” lub w rzeczywistości „Acme Ltd.” Podobnie, jeśli z jakiegoś powodu kierownictwo zdecyduje się zaakceptować ryzyko złośliwego oprogramowania bez wdrażania konwencjonalnych kontroli antywirusowych, audytorzy certyfikujący mogą równie dobrze zakwestionować tak śmiałe stwierdzenie, ale pod warunkiem, że związane z nimi analizy i decyzje były rozsądne, samo to nie byłoby uzasadnieniem dla odmówić certyfikacji organizacji, ponieważ kontrole antywirusowe nie są w rzeczywistości obowiązkowe.

Metryki

W efekcie (bez faktycznego używania terminu „metryki”) , wydanie normy z 2013 r. wymaga stosowania mierników dotyczących wydajności i skuteczności SZBI oraz środków kontroli bezpieczeństwa informacji. Sekcja 9, „Ocena wydajności”, wymaga, aby organizacja określiła i wdrożyła odpowiednie wskaźniki bezpieczeństwa … ale podaje tylko wymagania na wysokim poziomie.

Oferty ISO / IEC 27004 porady na temat tego, co i jak mierzyć, aby spełnić wymagania i ocenić działanie SZBI – wyjątkowo rozsądne podejście, podobne do opisanego w PRAGMATIC Security Metrics.

Certyfikacja

Certyfikowana zgodność z ISO / IEC 27001 przez akredytowaną i szanowaną jednostkę certyfikującą jest całkowicie opcjonalna, ale jest coraz częściej wymagana od dostawców i partnerów biznesowych przez organizacje, które (całkiem słusznie!) troszczą się o bezpieczeństwo ich informacje oraz o ryzyku informacyjnym w całym łańcuchu dostaw / sieci dostaw.

Certyfikacja niesie ze sobą szereg korzyści wykraczających poza zwykłą zgodność, w podobny sposób jak Certyfikat serii ISO 9000 mówi więcej niż n po prostu „Jesteśmy organizacją wysokiej jakości”. Niezależna ocena z konieczności wnosi pewną rygorystyczność i formalność do procesu wdrażania (implikując poprawę bezpieczeństwa informacji i wszystkich korzyści, jakie przynosi redukcja ryzyka) i niezmiennie wymaga zgody kierownictwa wyższego szczebla (co jest zaletą przynajmniej pod względem świadomości bezpieczeństwa!).

Certyfikat ma potencjał marketingowy i wartość marki, co świadczy o tym, że organizacja poważnie traktuje zarządzanie bezpieczeństwem informacji. Jednak, jak wspomniano powyżej, wartość zapewnienia certyfikatu w dużym stopniu zależy od zakresu SZBI i SoA – innymi słowy, nie pokładaj zbytniej wiary w certyfikat zgodności organizacji z ISO / IEC 27001, jeśli jesteś w dużym stopniu zależny od jego informacji bezpieczeństwo. W ten sam sposób, w jaki certyfikowana zgodność ze standardem PCI-DSS nie oznacza „Gwarantujemy zabezpieczenie danych kart kredytowych i innych danych osobowych”, certyfikowana zgodność z normą ISO / IEC 27001 jest pozytywnym znakiem, ale nie żelazną gwarancją bezpieczeństwa informacji organizacji . Mówi „Mamy zgodny ISMS na miejscu”, a nie „Jesteśmy bezpieczni”, subtelne, ale ważne rozróżnienie.

Status normy

ISO / IEC 27001 był pierwszy opublikowany w 2005 r.

Norma została całkowicie przepisana i opublikowana w 2013 r. To było znacznie więcej niż tylko poprawienie zawartości wydania 2005, ponieważ ISO nalegało na istotne zmiany w celu dostosowania tego standardu do innych norm dotyczących systemów zarządzania.

ISO / IEC 27002 została w tym samym czasie gruntownie poprawiona i ponownie wydana, dlatego też załącznik A do ISO / IEC 27001 został całkowicie zaktualizowany: więcej informacji na stronie ISO / IEC 27002.

W sprostowaniu technicznym z 2014 r. wyjaśniono, że informacje są w końcu atutem. Cholera.

Drugie sprostowanie techniczne Endum w 2015 r. wyjaśniło, że organizacje są formalnie zobowiązane do określenia statusu wdrożenia swoich kontroli bezpieczeństwa informacji w SoA.

Proponowane trzecie sprostowanie techniczne rzuciło wyzwanie rekinowi: SC 27 oparł się pokusie poprawiania opublikowanego standard niepotrzebnie ze zmianami, które powinny były zostać zaproponowane, gdy był w wersji roboczej, a mimo to mogły nie zostać zaakceptowane. Pomimo braku odpowiedzi, obawa jest słuszna: norma rzeczywiście myli ryzyko informacyjne z ryzykiem związanym z systemem zarządzania. Powinien był zająć się tym drugim, ale zamiast tego zajął się pierwszym.

W okresie objętym badaniem przyjrzano się wartości i celowi załącznika A w odniesieniu do SoA, wyciągając wniosek, że załącznik A jest przydatnym łączem z ISO / IEC 27002, ale główne sformułowanie powinno jasno określać, że załącznik A jest całkowicie opcjonalne: organizacje mogą przyjąć dowolny zestaw mechanizmów kontrolnych (lub w istocie innych sposobów postępowania z ryzykiem), które uznają za odpowiedni do traktowania ryzyka związanego z informacjami, pod warunkiem, że proces wyboru, wdrażania, zarządzania, monitorowania i utrzymywania metod postępowania z ryzykiem spełnia główne wymagania innymi słowy, cały proces podlega SZBI.

Następna wersja ISO / IEC 27001 z konieczności będzie zawierać istotne zmiany odzwierciedlające nadchodzącą aktualizację ISO / IEC 27002 (co oznacza ponowne napisanie Załącznika A) plus niektóre główne zmiany w brzmieniu w wyniku trwających przeglądów Załącznika SL …

Osobiste komentarze

Załącznik SL (wcześniej znany jako „Projekt Przewodnika 83”, czasami „Załącznik L” ) dodatek 2 określa standardowy tekst i strukturę wspólną dla wszystkie normy ISO i ISO / IEC dotyczące systemów zarządzania obejmujące zapewnienie jakości, ochronę środowiska itp. Chodzi o to, aby menedżerowie, którzy są zaznajomieni z jednym z systemów zarządzania, rozumieli podstawowe zasady leżące u podstaw wszystkich pozostałych. Pojęcia takie jak certyfikacja, polityka, niezgodność, kontrola dokumentów, audyty wewnętrzne i przeglądy zarządzania są wspólne dla wszystkich standardów systemów zarządzania i w rzeczywistości procesy mogą w dużej mierze zostać ujednolicone w organizacji.

Przy następnej aktualizacji w tym roku, dodatek 2 do Aneksu SL prawdopodobnie (jeśli zostanie zatwierdzony):

• Zdefiniuje ryzyko jako „efekt niepewności” (usunięcie „celów” z definicji używanej w aktualnej wersji ISO / IEC 27000) z 4 uwagami (pomijając ostatnie 2 z 6 uwag w aktualnej definicji). Nie wiadomo, czy to uproszczenie pomoże, zaszkodzi, czy nie będzie miało wpływu na ISO27k.
• Zamień „wyniki” na „wyniki” – zmiana wprowadzona głównie w celu ułatwienia tłumaczenia.
• Uwzględnij „Planowanie zmian”, tj. wszelkie zmiany w systemie zarządzania muszą być przeprowadzane w planowany sposób ”.
• Zastąp„ outsourcing ”słowem„ zewnętrzne ”, aby objąć outsourcing, kontrakty i konwencjonalne zakupy.
• Oddzielnie określ ogólne wymagania dotyczące audytów wewnętrznych (9.2.1) oraz dla programu audytów wewnętrznych (9.2.2).
• Oddzielnie określ ogólne wymagania dotyczące przeglądów zarządzania (9.3.1) oraz ich danych wejściowych (9.3.2) i wyników (9.3.3).
• Ponownie podkreśl potrzebę proaktywnego doskonalenia systemu zarządzania, oprócz reaktywnych reakcji na niedociągnięcia.
• Nakazać różne inne zmiany w brzmieniu wszystkich norm ISO dotyczących systemów zarządzania, w tym (prawdopodobnie) następnych wydanie normy ISO / IEC 27001.

W SC 27 utrzymuje się nieporozumienie co do zamierzonego znaczenia „zasobu informacyjnego”: decyzja o rezygnacji z defi z definicji „zasobu informacyjnego” z ISO / IEC 27000, a nie od podstaw, ten problem mógł być błędem taktycznym. Powrót do terminu „aktywa”, definiowanego bardzo szeroko jako coś wartościowego, prowadzi do problemów w całym ISO27k, jeśli termin ten zostanie zastąpiony dosłowną i wyraźną definicją. Cegła jest atutem, podczas gdy zamurowany smartfon jest zobowiązaniem. „Wartość” to mglista koncepcja. Warto zapytać „Dla kogo wartościowe?” również, ponieważ organizacja działa jako depozytariusz niektórych informacji należących do innych, w tym danych osobowych i zastrzeżonych, które wymagają odpowiedniej ochrony. Czy powinno to być objęte SZBI, czy nie? Jest to nieporządna, niejasna i ostatecznie niezadowalająca sytuacja dla międzynarodowy standard.