ISO 27001 – Bylae A.6: Organisasie van Inligtingsekuriteit

Wat is die doel van Aanhangsel A.6.1?

Bylae A.6.1 handel oor interne organisasie. Die doelwit in hierdie Bylae A-area is om 'n bestuursraamwerk daar te stel om die implementering en werking van inligtingsekuriteit binne die organisasie te inisieer en te beheer.

Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal. Kom ons verstaan ​​​​die vereistes en wat dit beteken nou in 'n bietjie meer diepte.

A.6.1.1 Inligtingsekuriteitsrolle en -verantwoordelikhede

Alle inligtingsekuriteitsverantwoordelikhede moet gedefinieer en toegewys word. Inligtingsekuriteitsverantwoordelikhede kan algemeen wees (bv. beskerming van inligting) en/of spesifiek (bv. die verantwoordelikheid om 'n bepaalde toestemming te verleen).

Oorweging moet gegee word aan die eienaarskap van inligtingsbates of groepe bates wanneer verantwoordelikhede geïdentifiseer word. Enkele voorbeelde van die besigheidsrolle wat waarskynlik 'n mate van inligtingsekuriteitsrelevansie sal hê, sluit in; Departementshoofde; Besigheidsproses eienaars; Fasiliteitsbestuurder; HR bestuurder; en Interne Ouditeur.

Die ouditeur sal versekering probeer verkry dat die organisasie duidelik gemaak het wie vir wat verantwoordelik is op 'n voldoende en proporsionele wyse volgens die grootte en aard van die organisasie. Vir kleiner organisasies is dit oor die algemeen onrealisties om voltydse rolle te hê wat verband hou met hierdie rolle en verantwoordelikhede.

As sodanig is dit belangrik om spesifieke inligtingsekuriteitsverantwoordelikhede binne bestaande posrolle uit te klaar, bv. die Bedryfsdirekteur of HUB kan ook die ekwivalent wees van die CISO, die Hoofinligtingsekuriteitsbeampte, met oorkoepelende verantwoordelikheid vir al die ISMS. Die CTO kan al die tegnologieverwante inligtingsbates ens besit.

A.6.1.2 Skeiding van pligte

Botsende pligte en verantwoordelikheidsareas moet geskei word om die geleenthede vir ongemagtigde of onbedoelde wysiging of misbruik van enige van die organisasie se bates te verminder.

Die organisasie moet homself afvra of die skeiding van pligte oorweeg is en waar toepaslik geïmplementeer is. Kleiner organisasies kan dalk hiermee sukkel, maar die beginsel moet so ver moontlik toegepas word en goeie bestuur & kontroles in plek gestel word vir die hoër risiko/hoërwaarde inligtingsbates, vasgelê as deel van die risiko-evaluering en -behandeling.

A.6.1.3 Kontak met owerhede

Toepaslike kontakte met relevante owerhede moet behou word. Onthou wanneer u hierdie kontrole aanpas om na te dink oor die wetlike verantwoordelikhede om owerhede soos die Polisie, die Inligtingskommissaris se kantoor of ander regulerende liggame te kontak, bv. rondom GDPR.

Oorweeg hoe daardie kontak gemaak moet word, deur wie, onder watter omstandighede, en die aard van die inligting wat verskaf moet word.

A.6.1.4 Kontak met spesiale belangegroepe

Toepaslike kontakte met spesiale belangegroepe of ander spesialis sekuriteitsforums en professionele verenigings moet ook behou word. Wanneer u hierdie beheer by u spesifieke behoeftes aanpas, onthou dat lidmaatskap van professionele liggame, bedryfsorganisasies, forums en besprekingsgroepe almal by hierdie beheer tel.

Dit is belangrik om die aard van elkeen van hierdie groepe te verstaan ​​en vir watter doel hulle opgestel is (bv. is daar 'n kommersiële doel daaragter).

A.6.1.5 Inligtingsekerheid in projekbestuur

Inligtingsekerheid moet in projekbestuur aangespreek word, ongeag die tipe projek. Inligtingsekuriteit moet in die struktuur van die organisasie ingeburger wees en projekbestuur is 'n sleutelarea hiervoor. Ons beveel die gebruik van sjabloonraamwerke aan vir projekte wat 'n eenvoudige herhaalbare kontrolelys insluit om te wys dat inligtingsekuriteit oorweeg word.

Die ouditeur sal kyk om te sien dat alle mense betrokke by projekte getaak is om inligtingsekuriteit in alle stadiums van die projeklewensiklus te oorweeg, so dit moet ook gedek word as deel van die opvoeding en bewustheid in ooreenstemming met MH-sekuriteit vir A.7.2.2 .

Slim organisasies sal ook A.6.1.5 aansluit met verwante verpligtinge vir persoonlike data en sekuriteit deur ontwerp oorweeg tesame met Databeskermingsimpakbepalings (DPIA) en soortgelyke prosesse om voldoening aan die Algemene Databeskermingsregulasie (GDPR) en die Databeskermingswet te demonstreer 2018.

ISMS.online inkorporeer eenvoudige, praktiese raamwerke en sjablone vir inligtingsekuriteit in projekbestuur sowel as DPIA en ander verwante persoonlike data-assesserings, bv. Legitieme Interest Assessments (LIA).

Wat is die doel van Aanhangsel A.6.2?

Bylae A.6.2 handel oor mobiele toestelle en telewerk. Die doel in hierdie Bylae A-area is om 'n bestuursraamwerk daar te stel om die veiligheid van telewerk en die gebruik van mobiele toestelle te verseker.

A.6 lyk na 'n vreemde plek om mobiele toestelle en telewerkbeleide te dek, maar dit doen dit, en byna alles in A.6.2 sluit aan by ander Bylae A-kontroles, aangesien baie van die werkslewe selfoon en telewerk insluit.

Telewerk in hierdie geval sluit ook tuiswerkers en diegene in satellietliggings in wat dalk nie dieselfde fisiese infrastruktuurkontroles as (sê) die Hoofkantoor benodig nie, maar wat nietemin blootstelling het aan waardevolle inligting en verwante bates.

A.6.2.1 Mobiele toestelbeleid

'n Beleid en ondersteunende sekuriteitsmaatreëls moet aangeneem word om die risiko's te bestuur wat deur selfone en ander mobiele toestelle soos skootrekenaars, tablette ens. foon. Die gebruik van mobiele toestelle en telewerk is terselfdertyd 'n uitstekende geleentheid vir buigsame werk en 'n potensiële sekuriteitskwesbaarheid.

BYOD of Bring Your Own Device is ook 'n groot deel van die oorweging. Alhoewel daar geweldige voordele is om personeel in staat te stel om hul eie toestelle te gebruik, sonder voldoende beheer oor lewensgebruik en veral uitgang, kan die bedreigings ook aansienlik wees.

'n Organisasie moet seker wees dat wanneer mobiele toestelle gebruik word of personeel buite die perseel werk, sy inligting en dié van kliënte en ander belanghebbende partye beskerm bly en ideaal binne sy beheer. Dit word al hoe moeiliker met verbruikerswolkberging, outomatiese rugsteun en toestelle wat persoonlik besit word wat deur familielede gedeel word.

'n Organisasie moet dit oorweeg om 'n "Verdediging in Diepte"-strategie te implementeer met 'n kombinasie van komplementêre fisiese, tegniese en beleidskontroles. Een van die belangrikste aspekte is opvoeding, opleiding en bewustheid rondom die gebruik van mobiele toestelle in openbare plekke ook, om die risiko van 'gratis' wifi te vermy wat inligting vinnig kan kompromitteer of die ongenooide waarnemers beperk om na die skerm te kyk op die treinreis tuis.

Die ouditeur sal wil sien dat daar duidelike beleide en kontroles ingestel is wat verseker dat inligting veilig bly wanneer daar weg van organisatoriese fisiese terreine gewerk word. Beleide moet die volgende areas dek:

• registrasie en bestuur
• fisiese beskerming
• beperkings op watter sagteware geïnstalleer kan word, watter dienste en toepassings bygevoeg en toegang verkry kan word, gebruik van gemagtigde en ongemagtigde ontwikkelaars
• bedryf toestelopdaterings en pleistertoepassings
• die inligting klassifikasie toeganklik en enige ander bate toegang beperkings (bv geen infrastruktuur kritieke bate toegang)
• kriptografie, wanware en antivirus verwagtinge
• aanteken, deaktiveer op afstand, uitvee, uitsluit en 'vind my toestel' vereistes
• rugsteun en berging
• familie- en ander gebruikerstoegangsvoorwaardes (indien BYOD) bv. skeiding van rekeninge
• gebruik in openbare plekke
• konneksie en vertroude netwerke

A.6.2.2 Telewerk

'n Beleid en ondersteunende sekuriteitsmaatreëls moet ook geïmplementeer word om inligting te beskerm waartoe toegang verkry word, verwerk of gestoor word by telewerkterreine. Telewerk verwys na huiswerk en ander werk buite die perseel, soos op verskaffers- of kliëntepersele. Vir telewerkpersoneel is onderwys, opleiding en bewustheid met betrekking tot potensiële risiko's van kritieke belang.

Die ouditeur sal verwag om besluite te sien wat verband hou met die gebruik van mobiele toestelle en telewerk en sekuriteitsmaatreëls gebaseer op toepaslike risiko-assessering, wat die behoefte aan buigsame werk balanseer teen die potensiële bedreigings en kwesbaarhede wat so gebruik sou inhou.

Telewerk is ook nou verwant aan baie van die ander Bylae A-beheerareas in A.6, A.8, A.9, A .10, A.11, A.12 en A.13, dus sluit dié aan as deel van die kantoor- en telewerkbenadering om duplisering en leemtes te vermy. A.7 is ook noodsaaklik om reg te kry vir sifting en werwing van telewerkers en bestuur oor die lewensiklus word die sleutel om by oudits in te sluit en aan ouditeure te demonstreer dat telewerkers nie 'n swak bestuurde bedreiging is nie.