ISO 27001 – Bylae A.18: Voldoening

Wat is die doel van Aanhangsel A.18.1?

Bylae A.18.1 handel oor voldoening aan wetlike en kontraktuele vereistes. Die doelwit is om oortredings van wetlike, statutêre, regulatoriese of kontraktuele verpligtinge met betrekking tot inligtingsekuriteit en van enige sekuriteitsvereistes te vermy.

Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal.

A.18.1.1 Identifikasie van toepaslike wetgewing en kontraktuele vereistes

'n Goeie kontrole beskryf hoe alle relevante wetgewende statutêre, regulatoriese, kontraktuele vereistes, en die organisasie se benadering om aan hierdie vereistes te voldoen, uitdruklik geïdentifiseer, gedokumenteer en op datum gehou moet word vir elke inligtingstelsel en die organisasie. Eenvoudig gestel, moet die organisasie verseker dat dit op hoogte bly van wetgewing en regulasies wat die bereiking van sy besigheidsdoelwitte en die uitkomste van die ISMS beïnvloed en dokumenteer.

Dit is belangrik dat die organisasie die wetgewing, regulasies en kontraktuele vereistes verstaan ​​waaraan dit moet voldoen en dit moet sentraal in die register aangeteken word om die bestuur en koördinering maklik te maak. Die identifisering van wat relevant is sal grootliks afhang van; Waar die organisasie geleë is of bedryf word; Wat die aard van die organisasie se besigheid is; en Die aard van inligting wat binne die organisasie hanteer word. Die identifisering van die relevante wetgewing, regulasies en kontraktuele vereistes sal waarskynlik skakeling met regskenners, regulerende liggame en kontrakbestuurders insluit.

Dit is 'n gebied wat organisasies dikwels uitvang aangesien daar oor die algemeen baie meer wetgewing en regulasies die organisasie beïnvloed as wat eers oorweeg word. Die ouditeur sal kyk hoe die organisasie sy wetlike, regulatoriese en kontraktuele verpligtinge geïdentifiseer en aangeteken het; die verantwoordelikhede om aan sulke vereistes te voldoen en enige nodige beleide, prosedures en ander beheermaatreëls wat nodig is om die beheermaatreëls na te kom.

Daarbenewens sal hulle kyk om te sien dat hierdie register op 'n gereelde basis bygehou word teen enige relevante verandering - veral in wetgewing oor gemeenskaplike gebiede wat hulle sou verwag dat enige organisasie geraak sal word.

A.18.1.2 Intellektuele Eiendomsregte

'n Goeie kontrole beskryf hoe die toepaslike prosedures voldoen aan wetgewende, regulatoriese en kontraktuele vereistes wat verband hou met intellektuele eiendomsregte en gebruik van eiendomsprogrammatuurprodukte verseker. Eenvoudig gestel, moet die organisasie toepaslike prosedures implementeer wat verseker dat dit aan al sy vereistes voldoen, hetsy dit wetgewende, regulatoriese of kontraktuele is – wat verband hou met sy gebruik van sagtewareprodukte of intellektuele eiendomsregte.

Daar is twee aspekte van IPR-bestuur om te oorweeg; Beskerming van IPR wat deur die organisasie besit word; en Voorkoming van misbruik of skending van ander se IPR. Eersgenoemde sal ook aangespreek word met A.13.24 vir nie-openbaarmaking en vertroulikheidsooreenkomste, waar ons ook voorstel dat firmas hul breër meesterkontrakte met derde partye bestuur vanaf, en ook binne A.15 vir voorsieningsketting spesifiek. Vir personeel sal A7.1.2 Diensvoorwaardes ook IPR dek.

Beleide, prosesse en tegniese kontroles sal waarskynlik vir beide hierdie aspekte nodig wees. Binne bateregisters en aanvaarbare gebruiksbeleide is dit waarskynlik dat IPR-oorwegings gemaak sal moet word – bv. waar 'n bate IPR is of bevat, moet beskerming van hierdie bate die IPR-aspek oorweeg. Kontroles om te verseker dat slegs gemagtigde en gelisensieerde sagteware binne die organisasie gebruik word, moet gereelde inspeksie en oudit insluit.

Die ouditeur sal wil sien dat registers van lisensies wat deur die organisasie besit word vir die gebruik van ander se sagteware en ander bates gehou en bygewerk word. Van besondere belang vir hulle sal wees om te verseker dat waar lisensies 'n maksimum aantal gebruikers of installasies insluit, dat hierdie getal nie oorskry word nie en dat gebruikers- en installasienommers periodiek geoudit word om nakoming na te gaan. Die ouditeur sal ook kyk hoe die organisasie sy eie IPR beskerm, wat kan insluit; Dataverlies en voorkomingskontroles; Beleide en bewusmakingsprogramme gerig op gebruikersopvoeding; of Nie-openbaarmaking en vertroulikheidsooreenkomste wat na diensbeëindiging voortduur.

A.18.1.3 Beskerming van rekords

'n Goeie kontrole beskryf hoe rekords beskerm word teen verlies, vernietiging, vervalsing, ongemagtigde toegang en ongemagtigde vrystelling, in ooreenstemming met die wetgewende, regulatoriese, kontraktuele en besigheidsvereistes.

Verskillende tipes rekords sal waarskynlik verskillende vlakke en metodes van beskerming vereis. Dit is van kritieke belang dat rekords voldoende en proporsionaliteit beskerm word teen verlies, vernietiging, vervalsing, ongemagtigde toegang of vrylating. Die beskerming van rekords moet voldoen aan enige relevante wetgewing, regulasie of kontraktuele verpligtinge. Dit is veral belangrik om te verstaan ​​hoe lank rekords gehou moet, moet of kan word en watter tegniese of fisiese kwessies dit mettertyd kan beïnvloed – met inagneming dat sommige wetgewing ander kan troef vir behoud en beskerming. Die ouditeur sal nagaan om te sien dat oorwegings vir die beskerming van rekords gemaak is op grond van besigheidsvereistes, wetlike, regulatoriese en kontraktuele verpligtinge.

A.18.1.4 Privaatheid en beskerming van persoonlik identifiseerbare inligting

'n Goeie kontrole beskryf hoe privaatheid en beskerming van persoonlik identifiseerbare inligting verseker word vir relevante wetgewing en regulasies. Enige inligting wat hanteer word wat persoonlik identifiseerbare inligting (PII) bevat, is waarskynlik onderhewig aan die verpligtinge van wetgewing en regulasie. PII sal veral waarskynlik hoë vereistes vir vertroulikheid en integriteit hê, en in sommige gevalle ook beskikbaarheid (bv. gesondheidsinligting, finansiële inligting). Onder sekere wetgewing (bv. die GDPR) word sommige tipes PII as addisioneel "sensitief" gedefinieer en vereis verdere kontroles om nakoming te verseker.

Dit is belangrik dat bewusmakingsveldtogte saam met personeel en belanghebbendes gebruik word om 'n herhaalde begrip van individuele verantwoordelikheid vir die beskerming van PII en privaatheid te verseker. Die ouditeur sal kyk hoe PII hanteer word, indien die toepaslike kontroles geïmplementeer is, word dit gemonitor, hersien en waar nodig verbeter. Hulle sal ook kyk of daar aan hanteringsvereistes voldoen word, en behoorlik geoudit word. Bykomende verantwoordelikhede bestaan ​​ook, byvoorbeeld GDPR sal 'n gereelde oudit verwag vir areas waar persoonlike data in gevaar is. Slim organisasies sal hierdie oudits saam met hul ISO 27001-oudits verbind en duplisering of gapings vermy.

A.18.1.5 Regulering van kriptografiese kontroles

'n Goeie kontrole beskryf hoe kriptografiese kontroles gebruik word in ooreenstemming met alle relevante ooreenkomste, wetgewing en regulasies. Die gebruik van kriptografiese tegnologieë is onderhewig aan wetgewing en regulering in baie gebiede en dit is belangrik dat 'n organisasie dié verstaan ​​wat van toepassing is en beheermaatreëls en bewusmakingsprogramme implementeer wat voldoening aan sulke vereistes verseker. Dit is veral waar wanneer kriptografie vervoer of gebruik word in gebiede anders as die organisasie of gebruiker se normale woon- of bedryfsplek. Oorgrens-invoer/uitvoerwette kan vereistes insluit wat verband hou met kriptografiese tegnologieë of gebruik. Die ouditeur sal kyk dat oorwegings vir die toepaslike regulering van kriptografiese kontroles gemaak is en relevante kontroles en bewusmakingsprogramme geïmplementeer is om voldoening te verseker.

Wat is die doel van Aanhangsel A.18.2?

Bylae A.18.2 handel oor inligtingsekuriteitoorsig. Die doelwit in hierdie aanhangsel is om te verseker dat inligtingsekuriteit geïmplementeer en bedryf word in ooreenstemming met die organisatoriese beleide en prosedures.

A.18.2.1 Onafhanklike oorsig van inligtingsekuriteit

'n Goeie kontrole beskryf die organisasie se benadering tot die bestuur van inligtingsekuriteit en die implementering daarvan (dws beheerdoelwitte, kontroles, beleide, prosesse en prosedures vir inligtingsekuriteit) word onafhanklik hersien met beplande tussenposes of wanneer beduidende veranderinge plaasvind.

Dit is goed om 'n onafhanklike oorsig van sekuriteitsrisiko's en -kontroles te kry om onpartydigheid en objektiwiteit te verseker, asook om voordeel te trek uit vars oë. Dit beteken nie dat dit ekstern moet wees nie, trek net voordeel uit 'n ander kollega wat beleide behalwe die hoofouteur/administrateur hersien. Hierdie hersiening moet met beplande, gereelde tussenposes uitgevoer word en wanneer enige beduidende sekuriteitsrelevante veranderinge plaasvind – ISO interpreteer gereeld om ten minste jaarliks ​​te wees.

Die ouditeur sal op soek wees na beide gereelde onafhanklike sekuriteitsoorsig en hersiening wanneer beduidende veranderinge plaasvind, sowel as vertroue neem dat daar 'n plan vir gereelde hersiening is. Hulle sal ook bewyse vereis dat hersiening uitgevoer is en dat enige kwessies of verbeterings wat in die resensies geïdentifiseer is, toepaslik bestuur word.

A.18.2.2 Voldoening aan sekuriteitsbeleide en -standaarde

ISMS-bestuurders moet gereeld die nakoming van inligtingverwerking en prosedures binne hul verantwoordelikheidsgebied hersien. Beleide is slegs effektief as dit afgedwing word en nakoming op 'n gereelde periodieke basis getoets en hersien word. Dit is gewoonlik die verantwoordelikheid van die lynbestuur om te verseker dat hul ondergeskikte personeel aan organisatoriese beleide en beheermaatreëls voldoen, maar dit moet aangevul word deur af en toe onafhanklike hersiening en oudit. Waar nie-nakoming geïdentifiseer word, moet dit aangeteken en bestuur word, met die identifisering van hoekom dit plaasgevind het, hoe gereeld dit voorkom en die behoefte aan enige verbeteringsaksies hetsy met betrekking tot die beheer of met die bewustheid, opvoeding of opleiding van die gebruiker wat die nie-nakoming.

Die ouditeur sal kyk om te sien dat beide; Proaktiewe voorkomende beleide, kontroles en bewusmakingsprogramme is in plek, geïmplementeer en doeltreffend; en Reaktiewe voldoeningsmonitering, hersiening en oudit is ook in plek. Hulle sal ook kyk om te sien dat daar bewyse is van hoe verbeterings oor tyd aangebring word om 'n verbetering in voldoeningsvlakke of instandhouding te verseker as voldoening reeds op 100% is. Dit sluit aan by die hoofvereistes van ISO 27001 vir 9 en 10 rondom interne oudits, bestuursoorsigte, verbeterings en ook nie-konformiteite. Personeelbewustheid en -betrokkenheid in ooreenstemming met A 7.2.2 is ook belangrik om by hierdie deel aan te sluit vir voldoeningsvertroue.

A.18.2.3 Tegniese Voldoeningsoorsig

Inligtingstelsels moet gereeld hersien word vir voldoening aan die organisasie se inligtingsekuriteitsbeleide en -standaarde. Outomatiese gereedskap word gewoonlik gebruik om stelsels en netwerke na te gaan vir tegniese voldoening en dit moet geïdentifiseer en geïmplementeer word soos toepaslik. Waar instrumente soos hierdie gebruik word, is dit nodig om die gebruik daarvan te beperk tot 'n paar gemagtigde personeel as moontlik en om noukeurig te beheer en te koördineer wanneer dit gebruik word om te verhoed dat stelselbeskikbaarheid en -integriteit in die gedrang kom. Voldoende vlakke van voldoeningstoetsing sal afhang van besigheidsvereistes en risikovlakke, en die ouditeur sal verwag om bewyse te sien van hierdie oorwegings wat gemaak word. Hulle sal ook verwag om toetsskedules en rekords te kan inspekteer.

Hoe help ISMS.online met nakoming?

ISMS.online maak baie van die voldoeningskant van inligtingsekuriteit aansienlik makliker. Die ingeboude goedkeuringsprosesse en outomatiese aanmanings vir resensies maak die lewe baie makliker en bied 'n 'lewende plan' om ouditeure te wys dat jy in beheer van die ISMS is. Die vooraf ingevulde toepaslike wetgewingrisiko-instrument sluit baie algemene areas van wetgewing en regulering in wat gereeld oor die hoof gesien word, asook om daardie hele area van bestuur makliker te maak. Interne en eksterne oudits, regstellende aksies, verbeterings en nie-konformiteite word alles maklik bestuur met die voorafgeboude gereedskap en kenmerke. Voldoening aan menslike hulpbronne, of dit nou personeel, verskaffers of ander is, word ook maklik gedemonstreer met die Policy Pack-instrument. ISMS.online-vennote bied ook spesialis-onafhanklike gesondheidsondersoeke en ouditondersteuning wat binne jou platform werk indien nodig.