ISO 27001-vereiste 8.3 – Inligtingsekuriteitsrisikobehandeling

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Spring na onderwerp

Wat behels klousule 8.3?

Kragtens klousule 8.3 is die vereiste dat die organisasie die inligtingsekuriteitsrisikobehandelingsplan moet implementeer en gedokumenteerde inligting oor die resultate van daardie risikobehandeling behou. Hierdie vereiste is dus gemoeid met die versekering dat die risikobehandelingsprosesse beskryf in klousule 6.1, Aksies om risiko's en geleenthede aan te spreek, werklik plaasvind. Dit moet bewyse en duidelike ouditspore van resensies en aksies insluit, wat die bewegings van die risiko oor tyd toon soos resultate van beleggings na vore kom (nie die minste gee ook die organisasie sowel as die ouditeur vertroue dat die risikobehandelings hul doelwitte bereik). Soos ander dele van klousule 8 word dit reeds bereik as die organisasie die algehele ISMS aangespreek het met die benadering soos uiteengesit in klousule 7.5.

Voldoen aan die vereistes vir 8.3

Om aan die vereistes vir 8.3 te voldoen, moet jy kan bewys dat die risikobehandelingsplan beskryf in klousule 6.1 geïmplementeer word.

Soos in 6.1 meer volledig beskryf, moet dit die bewyse agter die behandeling insluit. In eenvoudige terme kan 'behandeling' werk wees wat jy intern doen om die risiko te beheer en te verdra, of dit kan stappe beteken wat jy neem om die risiko oor te dra (bv. na 'n verskaffer), of dit kan wees om 'n risiko heeltemal te beëindig. Die beheermaatreëls wat gekies word om die risiko's te bestuur, moet die wat in Bylae A van die standaard beskryf word, in ag neem, maar is nie beperk nie. Hierdie Bylae A-kontroles vorm die verklaring van toepaslikheid (SoA) wat al die beheermaatreëls beskryf en waarom dit deur die organisasie geïmplementeer is, al dan nie.

Hoe om 'n risikobehandeling te skep en jou risikobehandelingsproses te bestuur

Risikobehandeling moet saam met risikobepaling oorweeg word en uiteindelik ook in die SoA ingevoer word.

Tipies vind organisasies dat die bestuur en bewys van risiko die mees komplekse deel van ISO 27001 is. Lees ons onlangse artikel Inligtingsekuriteitsrisikobestuur verduidelik om risikobestuur meer volledig te verken. Dit kan dae, weke of maande se werk neem om 'n ten volle operasionele risiko-oplossing te vestig.

Daardie poging beteken die vestiging van die ooreenstemmende risikobepalingsmetodologie, 'n manier om die bewyse van die hele sekuriteitsrisikobestuursproses te dokumenteer en vas te lê, asook om daardeur te gaan vir die eerste volledige stel risiko's en behandelings.

Die ISMS.online-sagteware-oplossing kan daardie tyd besnoei en 'n massiewe hoeveelheid werk op die proses bespaar met die ingesluit risikobestuurnutsmiddels en -metodes. ISMS.online bied ook:

'n Sjabloonbeleid vir Klousule 8. van ISO 27001:2013
'n Sjabloonbeleid en -metodologie vir klousule 6.1 wat 'n omvattende dog pragmatiese benadering tot risiko-identifikasie, ontleding en behandeling insluit, sowel as deurlopende monitering en hersiening
Eenvoudige risikobestuursinstrumente, soos beskryf in die bogenoemde beleid en metodologie, wat die behandelingsplan opstel en in stand hou
'n Hele bank van gewilde risiko's tesame met voorgestelde Bylae A-kontroles om aan te skakel en die risiko rondom te behandel
Werkruimtes om al die werk wat gedoen is vas te lê, wat die behoud van die gedokumenteerde inligting binne die gereedskap moontlik maak en bied skakels terug na die kontroles en beleide wat gebruik word om die risiko's en kwessies aan te spreek
Dinamies geskepte Verklaring van Toepaslikheid, wat terugskakel na die Bylae A Kontroles
Een saamgevoegde plek om die hele ISMS veilig te bestuur

Word tot 5 keer vinniger gesertifiseer met ISMS.online

Voldoening hoef nie ingewikkeld te wees nie – ISMS.online is ontwerp om jou te help om ISO 27001-sertifisering vinnig en bekostigbaar te bereik sonder enige opleiding nodig.
Ons het die ISO 27001-proses vaartbelyn gemaak met ons metode van versekerde resultate, 'n 80% voorsprong, jou eie 24/7 virtuele afrigter, maklike aanboord en kundige ondersteuning.

Bespreek 'n platformdemonstrasie om te sien hoe ISMS.online jou besigheid kan help

Bespreek 'n demo

Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo

ISO 27001-vereiste 8.3 – Inligtingsekuriteitsrisikobehandeling

Spring na onderwerp

Wat behels klousule 8.3?

Voldoen aan die vereistes vir 8.3

Hoe om 'n risikobehandeling te skep en jou risikobehandelingsproses te bestuur

Word tot 5 keer vinniger gesertifiseer met ISMS.online

Kry 'n voorsprong van 81%.

ISO 27001:2022 vereistes

4.1 Verstaan ​​die organisasie en sy konteks

4.2 Begrip van die behoeftes en verwagtinge van belangstellendes

4.3 Bepaling van die omvang van die ISMS

4.4 Inligtingsekuriteitbestuurstelsel (ISMS)

5.1 Leierskap en toewyding

5.2 Inligtingsveiligheidsbeleid

5.3 Organisatoriese rolle, verantwoordelikhede en owerhede

6.1 Aksies om risiko's en geleenthede aan te spreek

6.2 Inligtingsekuriteitsdoelwitte en beplanning om dit te bereik

7.1 hulpbronne

7.2 bevoegdheid

7.3 Bewustheid

7.4 kommunikasie

7.5 Gedokumenteerde inligting

8.1 Operasionele beplanning en beheer

8.2 Inligtingssekuriteit risiko-assessering

8.3 Behandeling van inligtingsekuriteitsrisiko's

9.1 Monitering, meting, analise en evaluering

9.2 Interne Oudit

9.3 Bestuur hersiening

10.1 Nie-konformiteit en regstellende aksie

10.2 Voortdurende verbetering

ISO 27001:2022 Bylae A Kontroles Organisatoriese kontroles

'N 5.1 Inligtingsveiligheidsbeleide

'N 5.2 Rolle en verantwoordelikhede vir inligtingsekuriteit

'N 5.3 Skeiding van pligte

'N 5.4 Bestuursverantwoordelikhede

'N 5.5 Kontak met regeringsowerhede

'N 5.6 Kontak met spesiale belangegroepe

'N 5.7 Bedreiging Intelligensie

'N 5.8 Inligtingsekuriteit in projekbestuur

'N 5.9 Inventaris van inligting en ander geassosieerde bates

'N 5.10 Aanvaarbare gebruik van inligting en ander geassosieerde bates

'N 5.11 Teruggawe van bates

'N 5.12 Klassifikasie van inligting

'N 5.13 Etikettering van inligting

'N 5.14 Inligtingsoordrag

'N 5.15 Toegangsbeheer

'N 5.16 Identiteitsbestuur

'N 5.17 Verifikasie inligting

'N 5.18 Toegangsregte

'N 5.19 Inligtingsekuriteit in Verskaffersverhoudings

'N 5.20 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste

'N 5.21 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting

'N 5.22 Monitering en Hersiening en Veranderingsbestuur van Verskafferdienste

'N 5.23 Inligtingsekuriteit vir gebruik van wolkdienste

'N 5.24 Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur

'N 5.25 Assessering en besluit oor inligtingsekuriteitsgebeurtenisse

'N 5.26 Reaksie op inligtingsekuriteitsinsidente

'N 5.27 Leer uit inligtingsekuriteitsinsidente

'N 5.28 Versameling van bewyse

'N 5.29 Inligtingsekuriteit tydens ontwrigting

'N 5.30 IKT-gereedheid vir besigheidskontinuïteit

'N 5.31 Wetlike, statutêre, regulatoriese en kontraktuele vereistes

'N 5.32 Intellektuele eiendomsregte

'N 5.33 Beskerming van rekords

'N 5.34 Privaatheid en beskerming van PII

'N 5.35 Onafhanklike oorsig van inligtingsekuriteit

'N 5.36 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit

'N 5.37 Gedokumenteerde bedryfsprosedures

Mense beheer

'N 6.1 Screening

'N 6.2 Terme en diensvoorwaardes

'N 6.3 Inligtingsekuriteitsbewustheid, onderwys en opleiding

'N 6.4 Dissiplinêre Proses

'N 6.5 Verantwoordelikhede na beëindiging of verandering van diens

'N 6.6 Vertroulikheid of nie-openbaarmakingsooreenkomste

'N 6.7 Afstand werk

'N 6.8 Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

'N 7.1 Fisiese sekuriteitsgrense

'N 7.2 Fisiese toegang

4.1 Verstaan die organisasie en sy konteks

ISO 27001:2022 Bylae A Kontroles

Organisatoriese kontroles