ISO 27001-vereiste 6.1 – Aksies om risiko's en geleenthede aan te spreek

Wat behels klousule 6.1?

Om met duidelikheid in die beskrywing te dokumenteer en dan te demonstreer hoe jy risiko onder ISO 27001 hanteer, is noodsaaklik vir 'n onafhanklike sertifisering vir ISO 27001 en die bestuur van 'n suksesvolle inligtingsekuriteitbestuurstelsel (ISMS).

Klousule 6.1.1 – Algemene aspekte in beplanning rondom risiko vir ISO 27001

Op hierdie stadium moet jy terugkyk na jou vroeëre werk in afdelings 4 en 5 – in die besonder, 4.1, 4.2, 4.3 en afdeling 5 van ISO 27001. Dit sal jou help om die risiko’s en geleenthede te bepaal wat aangespreek moet word vanuit jou vroeëre kwessies, belanghebbende partye en omvang ten einde:

• verseker dat die inligtingsekuriteitbestuurstelsel die beoogde uitkomste kan bereik
• 'voorkom, of verminder die ongewenste effekte'
• 'voortdurende verbetering bereik'.

Die organisasie moet planne in plek hê wat die aksies dek wat hy sal neem om hierdie risiko's en geleenthede te identifiseer, te assesseer en te hanteer en hoe dit daardie aksies sal integreer en implementeer in sy inligtingsekuriteitbestuurstelselprosesse. Dit moet insluit hoe hulle die doeltreffendheid van hierdie aksies sal evalueer en dit oor tyd sal monitor.

Dit beteken eenvoudig om die proses vir risiko-identifisering, -assessering en -behandeling te dokumenteer, en dan te wys dat dit in die praktyk werk met die bestuur van elke risiko, ideaal om te wys dat dit geduld word (bv. nadat aanhangsel A-kontroles toegepas is), beëindig of dalk oorgedra word. aan ander partye.

ISO 27001 breek hierdie vereiste vir risikobestuur ook in meer diepte af. Daarbenewens is daar ander risiko-georiënteerde standaarde soos ISO 31000 om van te leer, waaruit die beginsels vir ISO 27001 risikobeplanning gespruit het.

Klousule 6.1.2 – Inligtingsekuriteitsrisiko-assessering vir ISO 27001

Die ISO 27001-standaard vereis van 'n organisasie om inligtingsekuriteitsrisiko-assesseringsprosesse te vestig en in stand te hou wat die risiko-aanvaarding en assesseringskriteria insluit. Dit bepaal ook dat enige assesserings konsekwent, geldig moet wees en 'vergelykbare resultate' moet lewer.

Dit beteken om die benadering wat gevolg word duidelik te beskryf en beteken om 'n risikometodologie te vervaardig – ons het meer hieroor geskryf oor die ontwikkeling daarvan.

Organisasies moet die assesseringsprosesse toepas om risiko's te identifiseer wat verband hou met die vertroulikheid, integriteit en beskikbaarheid (CIA) van die inligtingsbates binne die gedefinieerde bestek van die ISMS.

Die meeste ISO-gesertifiseerde ouditeure sal verwag dat die metodologie verder gaan as eenvoudige waarskynlikheid- en impakbeskrywings, om ook te verduidelik wat gebeur (sê) wanneer 'n konflik tussen een risiko (bv. beskikbaarheid gebaseer) en 'n ander (bv. vertroulikheid gebaseer) voorkom.

Risiko's moet toegewys word aan risiko-eienaars binne die organisasie wat die vlak van risiko sal bepaal, die potensiële gevolge sal assesseer indien die risiko realiseer, tesame met 'realistiese waarskynlikheid van die voorkoms van die risiko'.

Sodra dit geëvalueer is, moet die risiko geprioritiseer word vir risikobehandeling en dan in ooreenstemming met die gedokumenteerde metodologie bestuur word.

Klousule 6.1.3 – Behandeling van inligtingsekuriteitsrisiko vir ISO 27001

Daar word van jou verwag om toepaslike risikobehandelingsopsies te kies gebaseer op die risiko-assesseringsresultate, bv. behandel met Bylae A-kontroles, beëindig, oordra of dalk op 'n ander manier behandel. Die ISO 27001-standaard merk op dat Bylae A ook die beheerdoelwitte insluit, maar dat die kontroles wat gelys is 'nie volledig nie' is en dat addisionele kontroles nodig mag wees.

Tipies word die Bylae A-kontroles alleen in kleiner organisasies gebruik, hoewel dit aanvaarbaar is om die kontroles vanuit enige bron te ontwerp of te identifiseer. Op dié manier kan die bestuur van veelvuldige sekuriteitstandaarde beteken dat jy kontroles toepas, byvoorbeeld vanaf ander standaarde soos NIST of SOC2 volgens die Trustdienste-kriteria-beginsels.

As dit deur 'n onafhanklike ouditeur vir ISO 27001 geoudit word, maak dit baie sin om op die Bylae A-kontroles te fokus, aangesien hulle dit goed sal ken.

As dit nodig is om aan spesifieke standaarde vir 'n kliënt te voldoen, bv. DSPT vir Gesondheid in die VK NHS, is dit sinvol om die risikobehandeling ook aan dié te karteer en die kliënt vertroue te gee dat jou inligtingsversekering robuust is en ook aan hul belange voldoen.

Toegewysde risiko-eienaars bestuur hul risiko-behandelingsplanne (of delegeer aan mense om dit vir hulle te doen) en sal uiteindelik die besluit neem om enige oorblywende inligtingsekuriteitsrisiko's te aanvaar - dit maak immers nie sin om altyd oordrag te beëindig of voort te gaan om in bestuur te belê nie. van 'n risiko.

Dit is nodig om 'n Verklaring van Toepaslikheid op te stel wat die beheermaatreëls bevat wat die organisasie nodig geag het, tesame met die regverdiging vir insluitings, of dit geïmplementeer is of nie, en die regverdiging vir uitsluitings van beheermaatreëls uit Bylae A.

Dit is 'n redelik belangrike werk (massief vereenvoudig en geoutomatiseer deur ISMS.online) wat demonstreer dat die organisasie noukeurig gekyk het na al die areas rondom daardie kontroles wat ISO 27001 as belangrik ag.

Verstaan ​​die verklaring van toepaslikheid vir ISO 27001

Die Verklaring van Toepaslikheid (SOA) bevat die nodige kontroles soos hierbo genoem en die regverdiging vir die insluiting of uitsluiting daarvan. Dit is wonderlik vir interne bestuur en om met relevante belanghebbende partye te deel. Dit saam met die sekuriteitsbeleid, omvang en sertifikaat (indien bereik) sal hulle 'n beter begrip gee van waar hul belange en bekommernisse in jou inligtingsekuriteitbestuurstelsel kan wees.

Hoe om Klousule 6.1 te bereik

Tipies, beplanning hoe jy risiko's sal identifiseer, evalueer en behandel, om aan die vereistes hierbo te voldoen, is een van die meer tydrowende elemente van die implementering van jou ISMS. Dit vereis van 'n organisasie om 'n metodologie vir die konsekwente evaluering van risiko te definieer en duidelike rekords van elke risiko, sy assessering en behandelingsplan in stand te hou.

Verder moet die rekords gereelde hersiening oor tyd toon, en bewyse van die behandeling wat plaasgevind het. Dit sal insluit watter van die Bylae A-kontroles jy in plek gestel het as deel van daardie behandeling en sal ingevoer word in die skepping (en instandhouding) van die Verklaring van Toepaslikheid.

Dit is geen wonder dat outydse sigbladbenaderings kompleks en moeilik kan wees om in stand te hou as jy verder gaan as die baie basiese benaderings tot risikobestuur (wat vereis word vir ISO 27001). Dit is een van die redes waarom organisasies nou na sagteware-oplossings kyk om hierdie proses te bestuur.

Maak dit eenvoudiger met ISMS.online

Die ISMS.online platform sluit 'n risikobestuursbeleid, metodologie en 'n vooraf-gekonfigureerde inligtingsekuriteitsrisikobestuursinstrument in. Ons sluit ook 'n bank van algemene inligtingsekuriteitsrisiko's in wat afgetrek kan word, tesame met die voorgestelde Bylae A-kontroles, wat u weke se werk bespaar.

Om dit saam te voeg in een geïntegreerde oplossing om jou te help om jou hele ISMS te bereik, in stand te hou en te verbeter, maak volkome sin. Per slot van rekening, hoekom tyd mors om dit self te probeer bou as daar reeds 'n doelgerigte oplossing is?