ISO / IEC 27001: 2013 – Informationsteknik – Säkerhetstekniker – Informationssäkerhetshanteringssystem – Krav (andra upplagan)

< Tidigare standard ^ Upp en nivå ^ Nästa standard >

Inledning

ISO / IEC 27001 specificerar formellt ett informationssäkerhetshanteringssystem, ett styrningsarrangemang som består av en strukturerad uppsättning aktiviteter för att hantera informationsrisker (kallas ”informationssäkerhetsrisker” i standarden) .

ISMS är ett övergripande ramverk genom vilket ledningen identifierar, utvärderar och behandlar (adresserar) organisationens informationsrisker. ISMS säkerställer att säkerhetsarrangemangen finjusteras för att hålla jämna steg med förändringar av säkerhetshot, sårbarheter och affärseffekter – en viktig aspekt inom ett sådant dynamiskt fält och en viktig fördel med ISO27k: s flexibla riskdrivna strategi jämfört med, säg, PCI-DSS.

Standarden täcker alla typer av organisationer (t.ex. kommersiella företag, myndigheter, ideella organisationer) av alla storlekar (från mikroföretag till stora multinationella företag) i alla branscher (t.ex. detaljhandel, bank, försvar, hälso- och sjukvård , utbildning och regering). Det här är helt klart en mycket bred sammanfattning.

ISO / IEC 27001 föreskriver inte formellt specifika informationssäkerhetskontroller, eftersom de kontroller som krävs varierar markant inom det breda spektrum av organisationer som antar standarden. Informationssäkerhetskontrollerna från ISO / IEC 27002 sammanfattas i bilaga A till ISO / IEC 27001, snarare som en meny. Organisationer som antar ISO / IEC 27001 kan välja vilka specifika informationssäkerhetskontroller som är tillämpliga på deras specifika informationsrisker, med hjälp av de som listas i menyn och eventuellt komplettera dem med andra a la carte-alternativ (ibland kallade utökade kontrolluppsättningar). Som med ISO / IEC 27002 är nyckeln till att välja tillämpliga kontroller att göra en omfattande bedömning av organisationens informationsrisker, vilket är en viktig del av ISMS.

Dessutom kan ledningen välja att undvika, dela eller acceptera informationsrisker snarare än att mildra dem genom kontroller – ett riskbehandlingsbeslut inom riskhanteringsprocessen.

Historia

ISO / IEC 27001 är härledd från BS 7799 del 2, som först publicerades som sådan av British Standards Institute 1999.

BS 7799 del 2 reviderades 2002 och innehöll uttryckligen Deming-stil Plan-Do-Check-Act-cykel.

BS 7799 del 2 antogs som den första upplagan av ISO / IEC 27001 2005 med olika förändringar för att återspegla dess nya vårdnadshavare .

Den andra upplagan av ISO / IEC 27001 publicerades 2013, efter att ha reviderats omfattande för att anpassa sig till de andra ISO-hanteringssystemens standarder. PDCA är inte längre uttryckligt, men begreppet kontinuerlig förfining och systematisk förbättring kvarstår helt säkert.

Standardens struktur

ISO / IEC 27001: 2013 har följande avsnitt:

0 Inledning – standarden beskriver en process för systematisk hantering informationsrisker.

1 Räckvidd – det specificerar generiska ISMS-krav som är lämpliga för organisationer av vilken typ, storlek eller art som helst.

2 Normativa referenser – endast ISO / IEC 27000 anses absolut nödvändigt för användare av 27001: de återstående ISO27k-standarderna är valfria.

3 Termer och definitioner – se ISO / IEC 27000.

4 Organisationens sammanhang – förståelse för organisationens sammanhang, behoven och förväntningar från ”intresserade parter” och definiera ISMS: s omfattning. Avsnitt 4.4 säger mycket tydligt att ”Organisationen ska upprätta, genomföra, underhålla och ständigt förbättra” ISMS.

5 Ledarskap – toppledningen måste visa ledarskap och engagemang för ISMS, mandatpolicy och tilldela informationssäkerhet roller, ansvarsområden och myndigheter.

6 Planering – beskriver processen för att identifiera, analysera och planera för att hantera informationsrisker och förtydliga målen för informationssäkerhet.

7 Support – tillräcklig, kompetenta resurser måste tilldelas, medvetenhet höjas, dokumentation utarbetas och kontrolleras.

8 Drift – lite mer detaljerad om att bedöma och behandla informationsrisker, hantera förändringar och dokumentera saker (delvis så att de kan granskas av certifieringsrevisorerna).

9 Prestationsutvärdering – övervaka, mäta, analysera och utvärdera / granska / granska informationssäkerhetskontrollerna, processerna och ledningssystemet och systematiskt förbättra saker där det är nödvändigt.

10 Improv ement – ta reda på resultaten av revisioner och granskningar (t.ex. avvikelser och korrigerande åtgärder), gör kontinuerliga förbättringar av ISMS.

Bilaga A Referensstyrningsmål och kontroller – lite mer faktiskt än en lista med titlar på kontrollavsnitten i ISO / IEC 27002. Bilagan är ”normativ”, vilket innebär att certifierade organisationer förväntas använda den , men huvudorganet säger att de är fria att avvika från eller komplettera det för att hantera deras specifika informationsrisker. Bilaga A ensam är svårtolkad. Se ISO / IEC 27002 för mer användbar information om kontrollerna, inklusive riktlinjer för implementering.

Bibliografi – pekar läsare på fem relaterade standarder, plus del 1 av ISO / IEC-direktiven, för mer information. Dessutom identifieras ISO / IEC 27000 i standardkroppen som en normativ (dvs. väsentlig) standard och det finns flera hänvisningar till ISO 31000 om riskhantering.

Obligatoriska krav för certifiering

ISO / IEC 27001 är en formaliserad specifikation för ett ISMS med två distinkta syften:

1. Den beskriver designen för ett ISMS och beskriver de viktiga delarna på en ganska hög nivå;
2. Den kan (valfritt) användas som grund för formell bedömning av efterlevnad av ackrediterade certifieringsgranskare för att certifiera en organisationskompatibel.

Följande obligatoriska dokumentation krävs uttryckligen för certifiering:

1. ISMS-omfattning (enligt avsnitt 4.3)
2. Informationssäkerhetspolicy (avsnitt 5.2)
3. Informationsriskbedömningsprocess ( klausul 6.1.2)
4. Behandlingsprocess för informationsrisk (klausul 6.1.3)
5. Informationssäkerhetsmål (klausul 6.2)
6. Bevis på kompetensen hos personer som arbetar med informationssäkerhet (avsnitt 7.2)
7. Andra ISMS-relaterade dokument som bedöms nödvändiga av organisationen (avsnitt 7.5.1b)
8. Operationsplanerings- och styrdokument (avsnitt 8.1)
9. Resultaten av riskbedömningarna (avsnitt 8.2)
10. Beslut om riskbehandling (avsnitt 8.3)
11. Bevis på övervakning och mätning av informationssäkerhet (avsnitt 9.1 )
12. ISMS internrevisionsprogram och resultaten av genomförda revisioner (klausul 9.2)
13. Bevis på ledningens granskningar av ISMS (klausul 9.3)
14. Bevis av identifierade avvikelser och korrigerande åtgärder som uppstår (avsnitt 10.1)
15. Olika andra: Bilaga A nämner men specificerar inte ytterligare dokumentation inklusive regler för godtagbar användning av tillgångar, åtkomstkontrollpolicy, driftsförfaranden, konfidentialitet eller icke -avtalsavtal, säkra systemtekniska principer, informationssäkerhetspolicy för leverantörsrelationer, informera reaktionsprocedurer för säkerhetsincidenter, relevanta lagar, förordningar och avtalsenliga skyldigheter plus tillhörande efterlevnadsprocedurer och kontinuitetsförfaranden för informationssäkerhet. Trots att bilaga A är normativ är organisationer inte formellt skyldiga att anta och följa bilaga A: de kan använda andra strukturer och metoder för att hantera sina informationsrisker.

Certifieringsrevisorer kommer nästan säkert kontrollera att dessa femton typer av dokumentation är (a) närvarande och (b) lämpliga för ändamålet.

Standarden anger inte exakt vilken form dokumentationen ska ha, men avsnitt 7.5.2 talar om aspekter som titlar, författare, format, media, granskning och godkännande, medan 7.5.3 gäller dokumentkontroll , vilket antyder en ganska formell strategi i ISO 9000-stil. Elektronisk dokumentation (som sidor på intranät) är lika bra som pappersdokument, i själva verket bättre i den meningen att de är lättare att kontrollera och uppdatera.

ISMS-omfattning och tillämpningsförklaring (SoA)

Medan standarden är avsedd att driva implementeringen av ett företagsomfattande ISMS, se till att alla delar av organisationen gynnas genom att hantera deras informationsrisker på ett lämpligt och systematiskt hanterat sätt , organisationer kan omfatta sitt ISMS så brett eller så snävt som de vill – faktiskt är avgränsning ett avgörande beslut för ledningen (avsnitt 4.3). Ett dokumenterat ISMS-omfång är ett av de obligatoriska kraven för certifiering.

Även om tillämpningsförklaringen inte är uttryckligen definierad är det ett obligatoriskt krav i avsnitt 6.1.3. SoA hänvisar till resultatet från informationsriskbedömningarna och i synnerhet besluten kring behandling av dessa risker. SoA kan till exempel ha formen av en matris som identifierar olika typer av informationsrisker på en axel och riskbehandlingsalternativ på den andra, vilket visar hur riskerna ska behandlas i kroppen, och kanske vem som är ansvarig för dem. Det refererar vanligtvis till relevanta kontroller från ISO / IEC 27002 men organisationen kan använda ett helt annat ramverk som NIST SP800-53, ISF-standarden, BMIS och / eller COBIT eller en anpassad metod.Informationssäkerhetskontrollmålen och kontrollerna från ISO / IEC 27002 tillhandahålls som en checklista i bilaga A för att undvika att ”förbise nödvändiga kontroller”: de krävs inte.

ISMS-omfattningen och SoA är avgörande om en tredje part avser att fästa något beroende av en organisations ISO / IEC 27001-certifikat. Om en organisations ISO / IEC 27001-omfattning till exempel bara innehåller ”Acme Ltd.-avdelning X”, säger tillhörande certifikat absolut ingenting om tillståndet för informationssäkerhet i ”Acme Ltd.-avdelning Y” eller ”Acme Ltd.” På samma sätt, om ledningen av någon anledning beslutar att acceptera risker med skadlig programvara utan att genomföra konventionella antiviruskontroller, kan certifieringsgranskarna mycket väl ifrågasätta ett så djärvt påstående, men förutsatt att tillhörande analyser och beslut var sunda, skulle det inte ens vara motiverat vägrar att certifiera organisationen eftersom antiviruskontroller faktiskt inte är obligatoriska.

Metrics

I själva verket (utan att egentligen använda termen ”metrics”) , 2013-upplagan av standarden kräver användning av mätvärden för prestanda och effektivitet av organisationens ISMS- och informationssäkerhetskontroller. Avsnitt 9, ”Prestationsutvärdering”, kräver att organisationen bestämmer och implementerar lämpliga säkerhetsmätvärden … men ger bara höga krav.

ISO / IEC 27004 erbjuder råd om vad och hur man mäter för att uppfylla kravet och utvärdera ISMS-prestanda – ett mycket förnuftigt tillvägagångssätt som inte skiljer sig från det som beskrivs i PRAGMATIC Security Metrics.

Certifiering

Certifierad överensstämmelse med ISO / IEC 27001 av ett ackrediterat och respekterat certifieringsorgan är helt frivilligt men efterfrågas alltmer från leverantörer och affärspartners av organisationer som (helt rätt!) är oroliga för säkerheten i deras information och om informationsrisker i hela försörjningskedjan / leverantörsnätverket.

Certifiering ger ett antal fördelar utöver enbart efterlevnad, på ungefär samma sätt som en ISO 9000-seriens certifikat säger mer än n bara ”Vi är en kvalitetsorganisation”. Oberoende bedömning medför nödvändigtvis viss noggrannhet och formalitet i implementeringsprocessen (vilket innebär förbättringar av informationssäkerheten och alla fördelar som medför riskminskning) och kräver alltid godkännande av ledningen (vilket är en fördel i säkerhetsmedvetenhet, åtminstone!).

Certifikatet har marknadsföringspotential och varumärkesvärde, vilket visar att organisationen tar informationssäkerhetshantering på allvar. Som nämnts ovan är certifikatets försäkringsvärde i hög grad beroende av ISMS-omfattningen och SoA – med andra ord, lägg inte alltför mycket förtroende för en organisations ISO / IEC 27001-certifikat om du är mycket beroende av dess information säkerhet. På samma sätt som certifierad PCI-DSS-överensstämmelse inte betyder ”Vi garanterar att säkra kreditkortsuppgifter och annan personlig information”, är certifierad ISO / IEC 27001-överensstämmelse ett positivt tecken men inte en gjutjärnsgaranti om en organisations informationssäkerhet Det står ”Vi har en kompatibel ISMS på plats”, inte ”Vi är säkra”, en subtil men viktig skillnad.

Standardstatus

ISO / IEC 27001 var först. publicerades 2005.

Standarden skrevs helt om och publicerades 2013. Detta var mycket mer än bara att justera innehållet i 2005-upplagan eftersom ISO insisterade på betydande förändringar för att anpassa denna standard till andra ledningssystemstandarder.

ISO / IEC 27002 reviderades omfattande och utfärdades samtidigt, varför bilaga A till ISO / IEC 27001 också uppdaterades fullständigt: se sidan ISO / IEC 27002 för mer.

En teknisk rättelse från 2014 klargjorde att information trots allt är en tillgång. Golly.

En andra teknisk rättelse endum 2015 klargjorde att organisationer formellt är skyldiga att identifiera implementeringsstatusen för deras informationssäkerhetskontroller i SoA.

En föreslagen tredje tekniska rättelse hoppade över hajen: SC 27 motstod uppmaningen att fortsätta justera det publicerade standard i onödan med ändringar som borde ha föreslagits när det var i utkast, och kanske inte har godkänts ändå. Trots att det inte tas upp är bekymmerna giltiga: standarden förväxlar verkligen informationsrisk med risker relaterade till ledningssystemet. Det borde ha adresserat det senare men istället tagit emot det förstnämnda.

En studieperiod undersökte värdet och syftet med bilaga A i förhållande till SoA och slutsatsen att bilaga A är en användbar länk till ISO / IEC 27002 men huvuddelen av formuleringen bör göra det klart att bilaga A är helt frivilligt: organisationer kan anta vilken uppsättning kontroller (eller andra riskbehandlingar) som de anser lämpliga för att behandla sina informationsrisker, förutsatt att processen att välja, implementera, hantera, övervaka och upprätthålla riskbehandlingarna uppfyller huvudkraven – i med andra ord, hela processen faller inom ISMS.

Nästa version av ISO / IEC 27001 kommer nödvändigtvis att innehålla betydande förändringar som återspeglar den kommande uppdateringen av ISO / IEC 27002 (vilket innebär att man måste skriva om bilaga A igen) plus vissa huvudformuleringar ändras till följd av pågående ändringar av bilaga SL …

Personliga kommentarer

Bilaga SL (tidigare känd som ”Utkast till guide 83”, ibland ”bilaga L” ) bilaga 2 specificerar pannans text och struktur som är gemensam för alla ISO- och ISO / IEC-ledningssystemstandarder som täcker kvalitetssäkring, miljöskydd etc. Tanken är att chefer som är bekanta med något av ledningssystemen kommer att förstå de grundläggande principerna som ligger till grund för alla andra. Begrepp som certifiering, policy, bristande överensstämmelse, dokumentkontroll, interna revisioner och ledningsgranskningar är gemensamma för alla ledningssystemstandarder och faktiskt kan processerna till stor del standardiseras inom organisationen.

När nästa uppdatering i år kommer bilaga SL bilaga 2 troligtvis (om godkänd):

• Definiera risk som ”effekt av osäkerhet” (tappning ”av mål” från definitionen som används i den aktuella versionen ISO / IEC 27000) med 4 anteckningar (tappar de sista 2 av 6 anteckningarna i den nuvarande definitionen). Om den förenklingen hjälper, skadar eller inte påverkar ISO27k återstår att se.
• Ersätt ”resultat” med ”resultat” – en ändring som främst görs för att underlätta översättningen.
• Inkludera ”Planering av ändringar” dvs alla ändringar i ledningssystemet måste utföras ”i ett planerat sätt .
• Ersätt ”outsourcad” med ”externt tillhandahållen” för att omfatta outsourcing, upphandling och konventionell inköp.
• Ange allmänna krav för interna revisioner (9.2.1) och för internrevisionsprogrammet (9.2.2).
• Ange allmänt krav för ledningens granskningar (9.3.1) och deras ingångar (9.3.2) och output (9.3.3) separat.
• Betona på nytt behovet av proaktiv förbättring av ledningssystemet utöver reaktiva svar på brister.
• Mandat för olika andra formuleringsändringar till alla ISO-ledningssystemstandarder, inklusive (förmodligen) nästa frisläppande av ISO / IEC 27001.

SC 27s förvirring över den avsedda innebörden av ”informationstillgång” kvarstår: beslutet att tappa defi nition av ”informationstillgången” från ISO / IEC 27000 i stället för att verkligen undersöka problemet kan ha varit ett taktiskt fel. Återgå till termen ”tillgång”, definierat mycket brett som något av värde, leder till problem i hela ISO27k om termen ersätts av dess bokstavliga och uttryckliga definition. En tegelsten är en tillgång, medan en murad smartphone är en skuld. ”Värde” är ett otydligt koncept. Det är rättvist att fråga ”Av värde för vem?” också eftersom organisationen fungerar som vårdnadshavare för viss information som tillhör andra, inklusive personlig och skyddad information som kräver adekvat skydd. Borde det täckas av ISMS eller inte? Detta är en rörig, oklar och i slutändan otillfredsställande situation för en internationell standard.