ISO 27001-vereiste 7.5 – Gedokumenteerde inligting

Wat behels klousule 7.5?

Een van die hoofvereistes vir ISO 27001 is dus om jou inligtingsekuriteitbestuurstelsel te beskryf en dan te demonstreer hoe die beoogde uitkomste daarvan vir die organisasie bereik word. Dit is ongelooflik belangrik dat alles wat met die ISMS verband hou, gedokumenteer, goed onderhou en maklik is om te vind as die organisasie 'n onafhanklike ISO 27001-sertifisering van 'n liggaam soos UKAS wil behaal.

ISO 27001 klousule 7.5 word soos volg afgebreek:

Klousule 7.5.1 – Algemene dokumentasie vir ISO 27001

Die ISMS moet duidelik insluit:

• 'n Beskrywing van hoe dit 4.1 tot 10.2 van die kernvereistes aanspreek, insluitend die risikobepaling en behandeling wat lei tot die keuse van die Bylae A-kontroles.
• Die betrokke Bylae A-kontroles wat deel is van die verklaring van toepaslikheid – wat effektief beteken dat jy alle kontroles moet laat lys. Selfs as 'n organisasie besluit dat 'n kontrole nie relevant is nie, moet dit dokumenteer dat bv. as dit nie 'n behoefte het vir aflewerings- en laaiareas in Bylae A 11.1.6 nie omdat dit 'n suiwer digitale besigheid is, dit die ouditeur moet wys dat dit beskou word daar is geen risiko en geen behoefte aan daardie beheer nie.

Klousule 7.5.2 – Skep en opdatering van gedokumenteerde inligting vir ISO 27001

ISO 27001 wil duidelikheid hê in dokumentasie, op soek na identifikasie en beskrywing, formaat, hersiening en goedkeuring vir geskiktheid en toereikendheid om die doel daarvan te dien. Dit is maklik om die nuanses van hierdie vereistes te mis, maar prakties beteken dit inagneming van outeur, datum, titel, verwysing, ens., en daardie goedkeuringsproses is ook baie belangrik vir die aaneensluiting met Bylae A 5.1.2 soos hieronder beskryf.

Klousule 7.5.3 – Beheer van gedokumenteerde inligting vir ISO 27001

Die kern van die ISMS is die beginsel van vertroulikheid, integriteit en beskikbaarheid vir die inligting. Dit is dieselfde vir die ISMS self, dit moet beskikbaar wees wanneer nodig en voldoende beskerm teen verlies van vertroulikheid, ongemagtigde gebruik of moontlike integriteit-kompromie.

Deur bloot die ISMS-inhoud op die span se gedeelde ry te stort en dit onbeheerd te hê of met oneffektiewe toegangstoestemmings sou byna seker tot probleme vir die organisasie in 'n oudit lei. Net so sal dit net so 'n probleem wees om dit op 'n persoonlike dryfkrag te laat wat ontoeganklik is vir diegene wat van die ISMS moet weet, so oorweging moet gegee word aan talle gebiede vir effektiewe beheer. ISO soek 'n organisasie om die volgende aspekte aan te spreek:

• duidelikheid oor deel en verspreiding, kontroles oor toegang tot sommige of al die ISMS – met inagneming van die toegangstoestemmings vir lees, opdatering, goedkeuring, uitvee, ens. mag verskil op grond van die rol van belanghebbendes
• berging en bewaring, insluitend beheer van veranderinge (wat ouer weergawes, historiese goedkeurings, ens.)
• bewaring en wegdoening moet ook oorweeg word

Hierdie vereiste strook ook met die gereelde hersiening van beleide uitgelig in Bylae A.5.1.2 wat ook hieronder aangeraak word.

Hoeveel moet geskryf word vir dokumentasie van die ISMS om as aanvaarbaar deur 'n ouditeur beskou te word?

Een vraag wat dikwels oor inligtingsekuriteitbestuurdokumentasie gevra word, is 'hoeveel is genoeg'. Die kort antwoord is dat dit gaan oor kwaliteit, nie kwantiteit nie. Solank as wat die organisasie voldoen aan die vereistes hieronder opgesom, en kan aantoon dat dit nie lang breedvoerige dokumentasie benodig nie, sal die ouditeur dit ongetwyfeld in ag neem tydens 'n oudit – bv omdat dit 'n klein organisasie is met min deelnemers rondom die ISMS , stabiel, duidelik, goed onderhou en eenvoudig in werking.

Is dokumentasie vir die inligtingsekuriteitbestuurstelsel 'woordstyldokumente' of word ander vorme van inhoud toegelaat?

Navrae oor watter soort dokumentasie verwag word, is een van die ander gereelde vrae oor klousule 7.5 dokumentasie vir die inligtingsekuriteitbestuurstelsel. Trouens, ISO 27001 stel dit duidelik in sy nota tersyde klousule 7.5.1:

"Die omvang van gedokumenteerde inligting vir 'n inligtingsekuriteitbestuurstelsel kan van een organisasie tot 'n ander verskil as gevolg van:"

• die grootte van organisasie en sy tipe aktiwiteite, prosesse, produkte en dienste;
• die kompleksiteit van prosesse en hul interaksies; en
• die bevoegdheid van persone.

'n Aantal ISO 27001 inligtingsekuriteitsdokumentasie-'toolkit'-verskaffers het die mite voortgesit dat gedokumenteerde inligting vir 'n ISMS word-dokumente en Excel-sigblaaie moet wees. Dit is duidelik dat hierdie dokumente 'n plek in 'n ISMS kan hê (bv. waar prente of komplekse prosesse ook gekommunikeer moet word), maar moet spaarsamig gebruik word gegewe die koms van beter aanlynhulpmiddels.

Aanlyndienste soos ISMS.online fasiliteer dokumente op die meer tradisionele manier en bied ook meer effektiewe maniere om dokumentasie te bestuur wat beter beheer en koördinasie kan toon, beter maniere vir deel en publisering aan gehore en maak die hele proses van dokumentasiebestuur vir die vereistes van klousule 7.5 hieronder baie makliker. Dit beteken ook dat die ou dae van tydmors met voorblaaie van dokumente wat al die weergaweveranderings en goedkeurings per e-pos wys, lankal verby is!

Verbind 7.5 met Bylae A Kontroles

As jy oorweeg om klousule 7.5-vereistes ook te pas by die beheerdoelwitte in die Bylaes, maak dit selfs meer sin om te dink aan 'n saamgevoegde goed gekoördineerde bestuurstelsel in plaas van outydse dokumente en gedeelde aandrywers vir berging. Voorbeelde van waar om klousule 7.5 aan te sluit by die Bylae A-kontroles sluit in:

Bylae A 5.1.1

Benewens om gedefinieer te word, moet inligtingsekuriteitsbeleide deur bestuur goedgekeur word, gepubliseer en aan werknemers en relevante eksterne partye gekommunikeer word. Dit is nie maklik om goedkeuring vir dokumente op sigself te demonstreer nie, en die publikasie van swaargewigdokumente sal waarskynlik nie deur die belanghebbendes verteer of verstaan ​​word nie, selfs al is dit gekommunikeer (wat die organisasie in gevaar stel van nie-nakoming en dreigement van verlies deur onkunde).

Bylae A 5.1.2

Hersiening van die beleide vir inligtingsekuriteit. ISO 27001 sê dat beleide gereeld met beplande tussenposes hersien moet word (of as beduidende veranderinge plaasvind) om hul deurlopende geskiktheid te verseker. Onafhanklike ISO-ouditeure sal verwag om daardie hersiening ten minste jaarliks ​​vir elke beleid te sien.

Bylae A 18.2

Hierdie Bylae A-kontrole gaan oor inligtingsekuriteitoorsig en goed gedoen, dit integreer netjies met klousule 7.5 vir dokumentasiebestuur van 'n ISMS insluitend onafhanklike resensies, kontroles vir voldoening en waar toepaslik tegniese voldoening ook. Hersiening, weergawebeheer, wys opdaterings en dan goedkeuring van ou outydse dokumente waar dit nie per se dokumente hoef te wees nie, kan administrateurs van die ISMS regtig vertraag. Dit kan ook personeelbetrokkenheid vertraag of verloor en lei tot nie-nakoming.

Hoe om dokumentasie in jou ISMS te bestuur?

Klousule 7.5 is maklik om te misverstaan ​​en rond te swaai, wat lei tot 'n ouditmislukking, of miskien 'n oplossing te ontwerp en heeltemal te lank spandeer om 'n bestuurstelselstruktuur te bou wat te moeilik is om te onderhou by die eerste verandering. Die ISMS.aanlyn besigheidsgevalbeplanner kyk na die opsies vir bou versus koop, so kyk daarna as jy daaraan dink om jou eie oplossing te skep.

Dit is regtig moeilik om reg te kry en aan al die vereistes van klousule 7.5 en die verwante Bylae A-kontroles te voldoen. Dit is hoekom baie organisasies op soek is na 'n doelgemaakte ISMS-sagteware-oplossing en iets wil hê met die kenmerke van ISMS.online.

U sal immers nie tyd mors om u eie CRM of Finansies-stelsel te bou as ander reeds tyd spandeer het om die regte oplossing te ontwikkel wat direk uit die boks gelewer kan word vir 'n fraksie van die koste van 'n selfdoen-oplossing wat nie deel van die organisasie se kernbevoegdhede nie.

ISMS.online bied 'n maklik om te volg struktuur vir al die vereiste dokumentasie. Dit volg presies dieselfde struktuur as die standaard self sodat jy en 'n ouditeur maklik en vinnig na die vereiste dokumentasie kan navigeer. Dit het rolle en toestemmings ingebou vir toegang, redigering, goedkeuring en deel. Daar is ook outomatiese weergawebeheer en aanmanings vir resensies. Ons het selfs 'n stap verder gegaan en beleids- en beheerdokumentasie ingesluit wat jy direk uit die boks kan aanneem, aanpas en byvoeg.

Die gebruik van die ISMS.online sagteware oplossing sal jou toelaat om op jou ISMS doelwitte te fokus. ISMS.online maak ligte werk van die administrasie, sodat jy maklik jou dokumentasie kan skep, beheer, koördineer, bestuur en deel met belanghebbendes, insluitend deur beleidspakke wat die einde tot einde vertroue vir voldoening verhoog. Dit sal jou ook al die gereedskap gee om die baie werkprosesse wat deur die standaard vereis word, uit te voer. Dit is ook hoekom ons sê dat die dokumente wat ons verskaf 'optreebaar' is. Dit is meer as eenvoudige dokumentsjablone wat jou toelaat om te interpreteer en 'n manier te vind om jou prosesse te demonstreer ... ISMS.online is 'n hele ISMS-oplossing alles op een plek.

Word tot 5 keer vinniger gesertifiseer met ISMS.online

Voldoening hoef nie ingewikkeld te wees nie – ISMS.online is ontwerp om jou te help om ISO 27001-sertifisering vinnig en bekostigbaar te bereik sonder enige opleiding nodig.
Ons het die ISO 27001-proses vaartbelyn gemaak met ons metode van versekerde resultate, 'n 80% voorsprong, jou eie 24/7 virtuele afrigter, maklike aanboord en kundige ondersteuning.

Bespreek 'n platformdemonstrasie om te sien hoe ISMS.online jou besigheid kan help