Hoe om rampspoedige aannames te vermy met ISO 27001 Klousule 9
Baie professionele leerstellings is net werklik nuttig in die sakewêreld. Maar daar is een beginsel wat my in elke deel van my lewe help, van om die kinders elke oggend skool toe te kry tot die beplanning van daardie droom na-Covid-vakansie. Dit is hierdie:
- Aanname is die moeder van alle rampe
As jy net aannames maak eerder as om dinge werklik na te gaan, sal jy nie probleme en probleme opspoor wanneer hulle nog klein is en maklik om reg te stel nie. Jy sal hulle eers sien as hulle onmoontlik is om te mis en waarskynlik rampspoedig is.
Gelukkig is daar 'n maklike oplossing. Moenie aannames maak nie. Vervang hulle met praktiese, konstruktiewe, gestruktureerde oudits. Dit kan vervelig en vervelig lyk, maar dit is altyd noodsaaklik.
Waarom toesig saak maak
Deur sy aandag-tot-detail-kragte, in 'n vorige rol: een van ons kollegas:
- Sy destydse kliënt gehelp om groot finansiële en reputasieskade te vermy
- Het die lewens van baie onberispelike ondersese wesens gered
- Voorkom 'n groot internasionale voorval
Hy was besig om 'n ondersese bergingseenheid te oudit voor die installasie op die seevloer. Hy het uitgevind dat 'n verskaffer die verkeerde soort verf daarop gebruik het. Die verf sou vinnig verval. Dan sou die stooreenheid vinnig verval. Dan sou dit oopbreek.
Die eenheid is ontwerp om radioaktiewe materiaal veilig te bevat vir ondersese metingsdoeleindes.
Jy kan jou die res voorstel.
Almal het aangeneem dat dit 'n mors van tyd was om die verfwerk na te gaan. Hoe kan iemand dalk iets so basies so verkeerd kry? Ons kollega is eintlik gekritiseer omdat hy te kieskeurig was. Maar weereens het die werklike lewe bewys dat aanname die moeder van alle rampe is.
Toesig in ISO 27001
Omdat ouditering so belangrik is, dek ISO 27001 dit in detail. Klousule 9 van ISO 27001 vra jou om deur te dink hoe jy:
- Meet en stel teikens vir jou ISMS se doeltreffendheid (Klousule 9.1)
- Oudit dit gereeld om seker te maak dat dit daardie teikens bereik (Klousule 9.2)
- Hou jou senior bestuur op hoogte (Klousule 9.3)
Dit gee jou 'n baie nuttige infosec-toesigkontrolelys, of jy nou is of nie voldoen of gesertifiseer is. Al moet ons uitreik na Klousule 10.2 vir 'n baie belangrike laaste detail:
- Oorweeg dit om verbeterings aan jou ISMS te maak op grond van wat jy gevind het
Klousule 9.1: Meet en stel teikens vir jou ISMS
'n Onondersoekte ISMS is nie die moeite werd om te hê nie. Maar om dit behoorlik te ondersoek, moet jy weet waarna jy soek, waar jy soek en wie daarna soek. Klousule 9.1 vra jou om te beplan:
- Watter dele van jou ISMS wat jy nodig het dop te hou
- Hoe jy dit gaan monitor, meet, analiseer en evalueer
- Hoe gereeld jy al daardie kontroles sal uitvoer
- Wie doen die kontrole
- Hoe hulle hul bevindings sal rapporteer
Maak seker dat jy dit alles dokumenteer. Om 'n enkele stel duidelike praktiese riglyne te hê, sal mense keer om aannames te maak. Ons weet waarheen hulle kan lei...
Klousule 9.2: Oudit van jou ISMS
Nou is jy gereed vir jou werklike interne Oudit, soos gespesifiseer in klousule 9.2. Dit is hier waar jy die verfwerk nagaan en die bande skop. Om deur jou tande te suig is ook 'n opsie.
Basies, jy kyk of jou ISMS:
- Voldoen aan al die teikens wat jy daarvoor gestel het
- Word goed bestuur en behoorlik onderhou
Net een oudit sal nie die werk doen nie. Jy moet beplan vir gereelde oudits. Elke nuwe oudit moet na vorige oudit verwys, sodat jy verseker weet dat jy enige kwessies optel en daarop reageer. Elke nuwe oudit moet dus duidelik en konsekwent gedokumenteer en gerapporteer word.
Jy moet ook spesifieke mense vir elke oudit verantwoordelik maak. Hulle moet 'n duidelike omvang vir elke oudit hê. En uiters belangrik, hulle moet objektief wees. Kies ouditeure wat jou aannames sal uitdaag, nie bevestig nie.
En elke oudit moet 'n positiewe, waardetoevoegende proses wees. Ideaal gesproke soek ouditeure na ooreenstemming en werk miskien saam met die geouditeerde om potensiële verbeterings te vind. Jou ouditeur soek NIE afwykings nie. Dit gebeur net dat hulle hulle soms raaksien.
Klousule 9.3: Hou senior bestuur op hoogte
Om te aanvaar dat senior bestuur weet hoe dit gaan, is altyd 'n fout. Jy moet seker maak dat hulle jou ISMS verstaan, inkoop en (waar nodig) vorm. Na alles, as Klousule 5 notas, hulle is uiteindelik verantwoordelik vir jou ISMS.
So, klousule 9.3 vra jou om gereelde, beplande bestuursoorsigte uit te voer. Jy sal senior bestuur opdateer oor hoe goed jou ISMS beskerm jou organisasie, wat dek:
- Spesifieke kwessies opgemerk en hoe jy dit reggestel het
- Algemene prestasie teenoor die teikens wat jy gestel het
- Enige kommentaar of terugvoer van belanghebbende partye
- Wat jou ouditeure vir jou sê
- Besonderhede van deurlopende risiko-assessering en behandeling
- Verbeterings wat jy beplan om aan te bring of laat maak
Jy moet ook gebruik maak van hul groot prentjie oor jou organisasie. Maak seker dat hulle besonderhede deel van enige interne of eksterne kwessies wat die omvang en werking van jou ISMS. En natuurlik sal jy hulle inhaal oor aksies wat voortspruit uit vorige resensies.
O, en daar is een groot aanname om uit te daag. Mense neem gewoonlik aan dat die bestuurstelselhersiening as 'n vergadering gedoen moet word. Maar waar staan dit in klousule 9.2? Ons wenk: Dit doen nie...
Een laaste aanname wat ons wil vermy
So dis hoe Klousule 9 van ISO 27001 help jou om vae aannames te vervang met praktiese, konstruktiewe, gestruktureerde oudits. Dan kan jy Klousule 10.2 volg en daarvolgens optree.
Hopelik het ons jou gewys hoe die proses werk en jou 'n paar nuttige wenke gegee om jou te help om 'n ogie te hou oor jou eie infosec-maatreëls.
Maar dit klink soos presies wat ons wil vermy: 'n aanname! So as hierdie pos nuttig of inspirerend was, Laat weet ons vir seker.
