ISO 27001-vereiste 4.1 – Verstaan ​​die konteks van die organisasie

Wat is interne en eksterne kwessies?

ISO bied eintlik nie veel hulp in sy verduideliking van wat 'n interne of eksterne probleem kan wees nie. Vir 'n organisasie wat nuut is tot bestuur van inligtingsekuriteit, kan dit waardevolle tyd mors om net daardie vereiste uit te vind.

Dit hang regtig af van die kultuur en aard van die organisasie, die mense wat betrokke is, die beginpunt daarvan en die waarde in gevaar. As 'n voorbeeld, 'n klein, goed bestuurde organisasie met 'n duidelike doel en min mense betrokke kan tot sy gevolgtrekkings kom oor interne en eksterne kwessies wat die ISMS-uitkomste raak oor 'n 10 min koppie tee (veral met al die voorbeelde in die virtuele afrigter).

Ander organisasies kan egter langer neem. Ons stel oor die algemeen voor dat dit 'n vinnige dinkskrumoefening is wat aanvanklik te veel ontleding vermy - jy sal byna seker meer interne en eksterne kwessies identifiseer soos jy by die ander vereistes ingaan en dit kan maklik bygevoeg word as die implementering van jou inligtingsekuriteitbestuurstelsel en reis na beter inligtingversekering gaan voort.

Hoe om interne probleme te identifiseer

Oorweeg die IPOPS-akroniem hieronder om die interne probleme te identifiseer wat die uitkomste van 'n ISMS kan beïnvloed. Dit kan 'n witbordoefening, 'n post-it notasessie wees of bloot om notas vas te lê wat jy later sal oplaai om jou begrip van die kwessies te demonstreer. Kry die regte mense in 'n kamer of op die telefoon en begin die gesprek!

Kyk na die prent vir 'n basiese voorbeeld van wat gedoen kan word en wat as deel van die bewyse opgelaai kan word, of in meer besonderhede opgeskryf kan word en verder met ander belanghebbendes getoets kan word, afhangende van die aard van die organisasie. Vanuit 'n UKAS ISO 27001 eksterne ouditeurperspektief sal hulle vertroue soek dat die organisasie die kwessies verstaan ​​het wat die uitkoms van die ISMS kan beïnvloed (en dit gedokumenteer het) voordat hulle daardie bewyse gebruik om vorentoe te gaan.

Dit sal dan help om belanghebbende partye te identifiseer, 'n omvang te stel, jou doelwitte te dokumenteer, 'n bate-inventaris op te bou en inligtingsekuriteit-risiko-analise te doen voordat geskikte beleide en beheermaatreëls in lyn met die verklaring van toepaslikheid ontwikkel word.

Dit is alles 'n baie logiese vloei en begin net hier met hierdie eenvoudige oefening!

Voorbeelde van interne kwessies

Ons het 'n paar idees en voorbeelde hieronder gegee van areas waar jy interne kwessies kan vind wat die uitkoms van die ISMS beïnvloed, maar daar is baie kwessies wat oorweeg kan word afhangende van die organisasie, sy sektor, grootte, omvang en aard van die produkte en dienste ens.

Ons stel voor dat jy prakties is en verseker dat dit nie 'n belangrike strategie-oefening of proefskrif word wanneer dit nie vereis word nie. Dit gaan minder oor waar jy die interne kwessie ook 'emmer', die idee van eenvoudige portefeulje-analise soos hierdie is om die brein te help om die interne kwessies te ontketen.

Dus of jy dit onder mense, organisasie of elders plaas, is minder belangrik (sommige kan ook eksterne kwessies wees) – dit is die identifisering van die interne of eksterne kwessies wat belangrik is sodat jy 'n inligtingsekuriteitbestuurstelsel kan bou wat vir jou werk !

Jy sal ook die aard van die organisasie rondom mense oorweeg, bv. is die filosofie om alles in huis te doen, uit te kontrakteer, ens – hierdie aspekte gee almal aanleiding tot 'kwessies' wat die ISMS kan raak.

Byvoorbeeld, jy kan personeel intern beter beheer as verskaffers, maar dit kan wees dat daar 'n argument is om verskaffers by hul prosesse betrokke te hê omdat hulle die dienste bied wat jy wil hê. Onthou dat jou besigheidsdoelwitte eerste kom – dit is reg in die kern van die kwessie-identifikasie – bestuur die besigheid soos jy wil en verseker dat die ISMS jou waardevolle inligting en dié van jou belangstellendes beskerm.

Al die relevante kwessies moet dan oorweeg word vir meer gedetailleerde risiko-analise later – nie alle kwessies is egter eintlik risiko's nie, en sommige is belangriker as ander, so jy kan kies om rondom die groter kwessies te prioritiseer. Ons stel dus voor dat u die risiko-analise of enige diepgaande oorweging van wat as op hierdie stadium vermy en konsentreer op die identifisering van die kwessies.

Inligting as bates wat interne kwessies is wat ISMS-uitkomste beïnvloed

Watter inligting word geskep, hanteer, gestoor, bestuur en van werklike waarde vir die organisasie en sy belanghebbende partye (in ooreenstemming met die ontleding van belanghebbendes wat jy vir 4.2 volgende gaan doen)? Persoonlike data, sensitiewe kliënt idees en IPR, finansiële inligting, handelsmerk, kodebasisse ens?

Dit is reg in die hart van die ISMS waar die inligtingsbates die grondslag vir al die ander is – om hierdie bates vroegtydig te identifiseer, maak ook die bestuur van inligtingsbatevoorraad maklik vir A8.1.

Oorweeg dan moontlike kwessies rondom die inligting self – veral vertroulikheid, integriteit en beskikbaarheid, met inagneming van die ander areas hieronder terwyl jy gaan om idees te ontlok van waar die kwessies gevind kan word.

Mense het interne kwessies wat die beoogde uitkoms van die ISMS kan beïnvloed, verband hou
Dit is geen verrassing dat menslike hulpbronsekuriteit 'n belangrike deel van die ISMS is nie, inderdaad word aanhangsel A 7 daaraan gewy en al die daaropvolgende beleide, kontroles en bestuur sal waarskynlik met mense in gedagte wees, beide interne werknemers sowel as eksterne hulpbronne soos verskaffers.

Oorweeg dus enige bestaande kwessies van:

• werwing – bv. uitdagings om bekwame mense aan te stel, hoë/lae personeelomset
• induksie – bv. kry hulle nou opleiding oor inligtingsekuriteit, werk dit
• in lewensbestuur – bv. hou hulle betrokke en wys hul voldoening aan die beleide en kontroles, – vind personeel inligtingsekuriteit eintlik sexy en opwindend of is dit 'n kulturele uitdaging om iemand te kry om hul skootrekenaar te sluit wanneer hulle toilet toe gaan
• verandering van rolle en uitgang – bv. word toegang tot en verwydering van inligtingsbates en -dienste uitgevoer

Organisatoriese interne kwessies wat ISMS-uitkomste beïnvloed

Wat is die kwessies wat die organisasie in die gesig staar wat die uitkoms van die ISMS kan beïnvloed? As 'n voorbeeld bring vinnige groei kwessies van personeel en struktuur mee wat begrip en kennis van die beleide kan beïnvloed, of dat dinge so vinnig verander dat jy nie maklik gedetailleerde en konsekwente prosesse kan onderuit nie.

Is daar organisasieleierskap en direksie- of aandeelhouersdruk wat probleme sal veroorsaak (dit kan positief sowel as negatief wees)? Internasionale bedrywighede sal verskillende kulturele norme vir die betrokke mense hê.

Nog 'n interne kwessie wat met mense en die organisasie geassosieer word, kan wees oor die feit dat jy nie wil hê dat baie van hulle in diens geneem word of sukkel om goeies te kry nie, dus vertrou eerder op uitkontraktering. Dit bring 'n behoefte aan verskaffers (en personeel by die verskaffers) so dit is 'n kwessie om aan te sluit by die ontleding van belangstellendes wat jy in 4.2 volgende sal doen.

Produkte en dienste interne kwessies wat die ISMS-uitkomste kan beïnvloed

Wat is die produkte en dienste wat deur die organisasie gelewer word en watter soort kwessies ontstaan ​​rondom dit wat inligtingrisiko kan veroorsaak? Byvoorbeeld, as die organisasie 'n innoveerder is en IPR-beskerming is belangrik vir produkleierskap, is dit 'n kwessie wat in die ISMS oorweeg moet word.

As die organisasie staatmaak op groot fisiese eiendom, bv as 'n vervaardiger, sal dit waarskynlik meer fisiese sekuriteitskwessies meebring, terwyl 'n klein wolksagtewareverskaffer baie meer gefokus kan wees op kwessies soos IPR-beskerming teen digitale hackers en die kwessies rondom afhanklikheid van hul produksukses en versekering oor gasheerverskaffers ens.

Stelsels en prosesse as interne kwessies wat die beoogde uitkoms van die ISMS beïnvloed

Mense dink dikwels aan rekenaars en digitale tegnologie wanneer die 'stelsel'-woord gebruik word. Handmatige en papiergebaseerde stelsels is egter ook sleutelareas vir kwessies om na vore te kom, so onthou om ook dié vir kwessies te oorweeg.

Elkeen van die gebiede hierbo sal stelsels en prosesse betrokke hê – wat dalk implisiet kan wees (ons het dit nog altyd so gedoen en dit nooit gedokumenteer nie) of kan toegedraai word in 'n massa dokumentasie wat niemand ooit kan volg nie.... .nadat jy die IPOP-areas hierbo oorweeg het, dink aan die stelsels en prosesse interne kwessies rondom hulle – byvoorbeeld as jy gereeld personeel aanstel maar nie 'n formele proses en stelsels het wat evaluering en sifting vanuit 'n inligtingsekuriteitsperspektief demonstreer nie, het jy 'n kwessie (nie die minste omdat aanhangsel A7 van ISO 27001).

'n Probleem is dat jy dalk mense aanstel wat die vyand binne gaan word, hetsy deur onkunde oor inligtingsekuriteit of omdat hulle 'n saboteur is en jy dit nooit oorweeg het nie. Dit is dieselfde met al die stelsels en prosesse regoor die organisasie wat in die bestek vir inligtingversekering is – watter soort kwessies kom na vore waar vertroulikheid, integriteit of beskikbaarheid van die inligting bedreig kan word?

Hoe om die eksterne probleme te identifiseer

Een van die ou gunstelinge vir eksterne analise is PESTLE (Politiek, Ekonomies, Sosiologies, Tegnologies, Regs- en Omgewings) en dit het meriete vir gebruik in hierdie oefening, weereens om prakties en gefokus gehou te word vir kwessies wat die ISMS-uitkomste raak eerder as as 'n diep strategiese stuk werk. Hierdie oefening benodig oor die algemeen baie minder verduideliking en jy sal dit ongetwyfeld maklik genoeg vind om deur te gaan en te oorweeg vanuit 'n inligtingsekuriteitsperspektief.

Weereens vermy oorontleding en probeer om dinge in emmers te dwing ter wille daarvan – iets sal aktiveer of nie en jy kan altyd later daarna terugkom. Die interne kwessies wat die uitkoms van die ISMS beïnvloed, sal ook eksterne kwessies ontketen – byvoorbeeld as die organisasie besluit dat dit nie alles intern sal doen nie en verskaffers benodig, dan kom eksterne kwessies met daardie verskaffers en hul PESTLE-verwante aspekte in die mengsel.

Politieke eksterne kwessies

Watter politieke kwessies kan die organisasie raak en uitkomste beïnvloed? Voorbeelde kan Brexit en spesifieke beleidsveranderinge in 'n sektor insluit wat 'n impak het op belegging of groei wat kan lei tot verskillende maniere van werk, en verskillende benaderings tot inligtingbestuur.

Politiek (en kragtige sosialemediaspelers wat persoonlike data misbruik) het GDPR teweeggebring wat regulatoriese veranderinge meegebring het, wat die druk op kliënte verhoog het, wat op hul beurt verskaffers dwing om onafhanklik gesertifiseerde ISO 27001 inligtingsekuriteitbestuurstelsels te bereik om hulle te help om hul algehele aanbod te bestuur kettingrisiko.

Dit is 'n voorbeeld van 'n kwessie wat oor baie aspekte van PESTLE strek en dit is 'n eksterne kwessie wat byna alle organisasies in die gesig staar.

Eksterne ekonomiese kwessies

Hoe beïnvloed die ekonomie van jou mark en die voorsieningsketting die organisasie? Lei dit tot min of meer probleme met verskaffers, kliënte, watter inligtingsekuriteitshoeke kan in 'n kosteverminderingsarena gesny word en lei tot verhoogde risiko of bedreiging (en natuurlik ook geleentheid)?

Voorbeelde kan wees goedkoper arbeid, minder opleiding en minder tyd om die werk te doen, of onvermoë om ordentlike tegnologiese stelsels te bekostig wat sal help om bedrywighede te verbeter omdat fondse elders geprioritiseer moet word (Wenk – kyk na ons sakegevallebeplanner witskrif vir leiding oor die opbrengs op belegging van inligtingsekuriteit.)

Sosiologiese eksterne kwessies

Hoe verander die samelewing of jou gehoor demografies en beïnvloed dit jou besigheid – byvoorbeeld altyd op gekoppelde burgers bied geleentheid en bedreiging, en 'n generasie personeel wat soms meer/minder agting vir data het, bring ook positiewe en negatiewe.

Tegnologiese eksterne kwessies

Hoe skep die toenemende tempo van tegnologiese verandering probleme vir die ISMS-uitkomste? Daaglikse veranderinge in bedryfstelsels wat gelap word teenoor (sê) een keer per jaar in die verlede? Dit lei tot 'n behoefte aan baie meer dinamiese bestuur wat baie organisasies sukkel om te handhaaf, wat, indien onbestuur gelaat word, die bedreiging van 'n kuberskending verhoog en verlies word meer waarskynlik.

Waar skep kunsmatige intelligensie, masjienleer, wolk en elke ander tegnologiese modewoord kwessies vir jou organisasie ekstern?

Wetgewende eksterne kwessies

Een van die mees algemene areas van mislukking in ISO 27001 is die onvermoë om doeltreffend bewustheid van toepassingswetgewing en regulasiekwessies uit te lig en dan te bestuur. Hierdie deel van PESTLE is 'n goeie beginpunt vir Bylae A18 oor voldoening – as jou ouditeur meer as jy weet van die wetgewing en regulasies wat jou organisasie (en dus die ISMS) raak, sal hulle nie beïndruk wees nie.

Dit gaan veel verder as databeskerming, GDPR, rekenaarmonitering, menseregte en intellektuele eiendomswetgewing, so gee hierdie area ernstige oorweging vir enige inligting in jou bestek. Jy sal nie noodwendig 'n prokureur nodig hê nie, maar om te wys dat jy die toepaslike wetgewing wat die organisasie raak, oorweeg het, sal risikobehandeling, beleid en beheerskepping ook meer gefokus en relevant maak.

Dit kan wees dat jou risiko-aptyt vir iets redelik hoog is, maar as 'n toepaslike wetgewing of regulasie die maatstaf stel, sal jy beleide en beheermaatreëls moet ontwikkel om daaraan te voldoen eerder as net wat jy dink okay is!

Eksterne omgewingskwessies

PESTLE behandel omgewing tipies as die groen kwessie, maar dit kan ook jou breër 'omgewing' wees. Eenvoudige oorwegings rondom omgewing kan beteken dat jy mik om minder papier te gebruik, minder te reis – wonderlik, wat is die kwessies vir die ISMS daaruit?

Byvoorbeeld, in die ontwikkeling van die ISMS kan dit dalk 'n geleentheid wees om praktyke rondom drukwerk te verander of mobiele werkbeleide te ontwikkel, ens. – dit is 'n paar eenvoudige idees wat opduik wanneer jy dink aan omgewingspapier en reiskwessies.

Breër 'omgewingskwessies' kan die dinge wees wat in jou mededingers aangaan en breër kragte (dink Porters 5 kragte as 'n eenvoudige voorbeeld) – watter eksterne omgewingskwessies gebeur daar wat jou ISMS-uitkomste kan beïnvloed?

Jy weet jou bedingingskrag van kliënte neem toe rondom inligtingsekuriteit. As u mededingers egter almal onafhanklik volgens ISO 27001 gesertifiseer word en u dink net aan nakoming van 'n merkblokkie/handswaai, dan is dit 'n eksterne kwessie wat u in meer diepte sal wil oorweeg om mededingend te wees, laat staan ​​​​veilig en vertrou.