ISO 27001-vereiste 6.2 – Inligtingsekuriteitsdoelwitte en beplanning om dit te bereik

Wat behels klousule 6.2?

In die aanpak van hierdie vereiste is dit belangrik om reeds die organisasie en sy konteks te verstaan ​​(4.1), die vereistes van belanghebbende partye vas te stel (4.2), jou omvang vas te stel (4.3) en ten minste begin het om jou risikobepaling en behandeling uit te voer (6.1). .

Die presiese vereiste vir 6.2 is:

“Stel toepaslike (en indien prakties, meetbare) inligtingsekuriteitsdoelwitte vas, met inagneming van die inligtingsekuriteitsvereistes, resultate van risiko-assessering en -behandeling. Bepaal wat gedoen gaan word, watter hulpbronne benodig word, wie verantwoordelik sal wees, wanneer dit voltooi sal word en hoe resultate geëvalueer sal word.”

Hierdie klousule 6.2 van die standaard kom dus in wese neer op die vraag; 'Hoe weet jy of jou inligtingsekuriteitbestuurstelsel werk soos bedoel?'

Hoe om doelwitte vir 6.2 te stel

In die oorweging van die doelwitte wat jy van jou inligtingsekuriteitbestuurstelsel wil hê, maak seker dat dit besigheidsgefokus is en dinge is wat jou sal help om 'n (meer) veilige, beter presterende organisasie te bestuur eerder as om net blokkies af te merk en mooi op 'n bladsy te lyk. Dink na oor wat die belangstellendes sal wil sien ook gemeet en gemonitor word.

Byvoorbeeld, hoekom koop klante by jou en waaroor sal hulle bekommerd wees dat hulle uit 'n inligtingsekuriteitsperspektief verkeerd gaan? Watter vlak van inligtingversekering, watter maatreëls en monitering sal vir hulle belangrik wees as hulle noukeurig na jou ISMS kyk?

Konsentreer op die ontwikkeling van betekenisvolle doelwitte, nie net baie maatreëls of teikens wat sal beteken dat jy al jou tyd aan administrasie bestee en geen waardetoevoeging vir die organisasie nie.

Jy is dalk reeds besig om jou doelwitte te meet en te moniteer, so onthou om te oorweeg wat jy reeds doen, asook wat dalk meer moeite verg. ISO probeer nie om iemand uit te vang aan die metingskant nie, hulle wil net seker wees dat jy meet wat saak maak en baie slim besighede sal dit reeds implisiet doen, indien nie meer eksplisiet nie.

Bind jou werk hier styf met die bestuursoorsigte in 9.3 en plaas jou bewyse van die resultate in jou bestuurshersieningsraad se werkspasie, of skakel daarna vir gemak in spesifieke hersieningsvergaderings en oudits.

Jy kan die resultate van jou prestasiemeting op verskeie maniere demonstreer, van die gebruik van uitvoere van jou bedryfstelsels, die benutting van die outomatiese verslagdoening oor ISMS.online (bv. vir insidente) en, indien relevant, deur eenvoudige KPI's te gebruik wat binne die bestuursoorsigwerkspasie bygevoeg is.

By Alliantist, die sagteware- en dienstemaatskappy agter ISMS.online, het ons met ongeveer 7 inligtingsekuriteitsdoelwitte vorendag gekom met een:

"Lewering van 'n veilige, betroubare wolkdiens vir gebruikers (en ander belangstellendes) wat vertroue en versekering benodig dat die platform geskik is vir hul doel om sensitiewe inligting te deel en te werk."

Wanneer jy net daardie een doelwit afbreek, is dit duidelik dat daar 'n aantal meetbare, uitvoerbare areas is wat daaruit voortspruit. Byvoorbeeld:

• Veilig – wat beteken dit in terme van vertroulikheid en integriteit?
• Betroubaar – wat beteken dit in terme van beskikbaarheid van die veilige wolksagtewarediens?

Hoe om inligtingsekuriteitsdoelwitte meetbaar en uitvoerbaar te maak

Om op bogenoemde te bou, is een maatstaf van betroubaarheidsukses vir Alliantist in die beskikbaarheid van stelsels soos ISMS.online vir kliënte om te gebruik. Ons het dus die doelwit (betroubaarheid van die diens), 'n maatstaf (uptyd) kan dan 'n optydteiken stel, in hierdie geval van minimum 99.5% beskikbaarheid (waarteen ons voortdurend 100% bereik).

Toe het ons die frekwensie van meting oorweeg, die eienaar verantwoordelik, en waar die bron van die data vir meting vandaan sou kom vir die bewyse. Ons het dit toe by ISMS.online bygevoeg as 'n KPI wat aangespreek word as deel van die bestuursoorsigte, en natuurlik, omdat dit 'n fundamentele maatstaf is vir ons sagtewaredienssukses, word dit ook deurlopend operasioneel gemonitor.

Die bron van daardie data is van die uptime logs. Sommige ander meer strategiese maatstawwe, bv. klante-, ouditeur- en belanghebbendesvertroue in ons ISBS oor die algemeen word minder gereeld gemeet, meer subjektief in sommige opsigte, maar nietemin belangrik as deel van die breër ISMS-prestasie.

Dit is 'n wonderlike geleentheid om maatstawwe te ontwikkel wat saak maak vir jou organisasie as dit nie reeds gedoen is nie. Ons moedig 'n minder en beter bestuurde in plaas van baie en swak bestuurde benadering aan. As jou organisasie departemente en spesifieke areas van die besigheid het wat verskillend geraak word met die vertroulikheid, integriteit en beskikbaarheid (CIA) wat die afbreek van maatreëls vir elke area sal regverdig, sal ISO verwag om daardie uiteensetting sowel as die hoë vlak meer strategiese statistieke te sien.

Ander maatstawwe wat ook nuttig is om CIA te demonstreer, is ook redelik voor die hand liggend uit sommige van die vereistes wat deur ISO 27001 gestel word rondom die bestuur van insidente, risikobeoordelings/oorsigte, verbeterings en regstellende aksies, ens. In ISMS.online het ons 'n aantal instrumente wat outomaties voorsien prestasiestatistieke wat nuttig is om effektiewe prestasie van die ISMS te demonstreer.

Dit sluit in voorvalbestuurnasporing, verbeterings en regstellende aksies en 'n magdom ander ook wat baie van die doelstellingsbestuur 'n nul-inspanningsoefening maak in plaas daarvan om tyd te mors met sigblaaie en powerpoint.

Hoe om proses en verantwoordelikhede vir die evaluering van inligtingsekuriteitsdoelwitte te definieer

Sodra jy jou doelwitte gedefinieer het, jou maatstawwe en hul frekwensie vir meting bepaal het, is dit nodig om te wys hoe jy te werk gaan om die resultate te evalueer en dan aksie te neem vir enige vereiste veranderinge of verbeterings aan jou ISMS.

By Alliantist het ons 'n span verteenwoordigers van die senior bestuurspan saamgestel om die ISMS-raad te vorm. Die ISMS-raad is verantwoordelik om die teikens vir elk van die maatreëls te stel. Ons bedryfsdirekteur besit die doelwitte wat die ISMS uit 'n produksie- en bedryfsperspektief raak.

Die brondata word aan relevante personeellede na bewyse gedelegeer, wat alles uit bestaande stelsels getrek word en eenvoudig opgesom word in KPI's en statistiekverslaggewing wat deel vorm van die gereelde bestuursoorsigte in ooreenstemming met klousule 9.3.