ISO 27001-vereistes

1. Omvang

Die ISO 27001-standaard dek verskeie aspekte van inligtingsekuriteitbestuur, insluitend die vestiging, implementering, instandhouding en voortdurende verbetering van 'n ISMS binne die konteks van 'n organisasie. Die standaard is van toepassing op organisasies van alle tipes, groottes en aard.

Die vereistes uiteengesit in die ISO 27001-standaard is ontwerp om te verseker dat organisasies toepaslike maatreëls in plek het om hul inligtingsbates te beskerm. Hierdie vereistes dek 'n wye reeks gebiede.

2. Normatiewe verwysings

ISO 27001 self is gebaseer op 'n risikobestuursbenadering en bied 'n raamwerk vir organisasies om 'n inligtingsekuriteitbestuurstelsel (ISMS) daar te stel, te implementeer, in stand te hou en voortdurend te verbeter. Die normatiewe verwysings in ISO 27001 sluit verskeie ander ISO/IEC-standaarde in wat leiding verskaf oor verskeie aspekte van inligtingsekuriteitbestuur. Dit sluit in:

• ISO/IEC 27000: Hierdie standaard is 'n normatiewe verwysing in ISO 27001 en dien as 'n oorsig en woordeskat vir inligtingsekuriteitbestuurstelsels. Dit definieer sleutelterme en -konsepte wat regdeur die ISO 27000-familie van dokumente gebruik word en skets die omvang en doelwitte van elke lid van die gesin.
• ISO/IEC 27002: Ook bekend as die Praktykkode vir Inligtingsekuriteitsbestuur, bied hierdie standaard leiding oor die keuse en implementering van sekuriteitskontroles. Dit bied 'n omvattende stel beste praktyke vir organisasies om hul inligtingsbates te beskerm en sekuriteitsrisiko's effektief te bestuur.
• ISO/IEC 27005: Hierdie standaard fokus op risikobestuur en verskaf leiding oor die risikobeoordelingsproses en risikobehandeling. Dit help organisasies om inligtingsekuriteitsrisiko's te identifiseer en te assesseer, en gepaste risikobehandelingsplanne te ontwikkel om daardie risiko's te versag.
• ISO/IEC 27006: Hierdie standaard verskaf leiding oor die sertifiseringsproses vir inligtingsekuriteitbestuurstelsels. Dit skets die vereistes vir sertifiseringsliggame en ouditeure om organisasies se voldoening aan ISO 27001 te assesseer en te sertifiseer.
• ISO/IEC 27007: Hierdie riglyne is spesifiek ontwerp vir die ouditering van inligtingsekuriteitbestuurstelsels. Hulle verskaf leiding oor die ouditproses, insluitend beplanning, uitvoering en verslagdoening oor oudits, om te verseker dat 'n organisasie se ISBS effektief geïmplementeer en in stand gehou word.
• ISO/IEC 27008: Hierdie riglyne fokus op die bestuur van inligtingsekuriteit. Hulle verskaf leiding oor die vestiging, implementering, instandhouding en voortdurende verbetering van die bestuurstelsel vir inligtingsekuriteit binne 'n organisasie.

3. Terme en definisies

Die terme en definisies-afdeling dien die doel om 'n gemeenskaplike begrip en taal te verskaf vir alle partye betrokke by die implementering van die standaard.

4. Konteks van die Organisasie

4.1 – Verstaan ​​die organisasie en sy konteks

ISO 27001-vereiste 4.1 is daarop gemik om te verseker dat organisasies 'n omvattende begrip van hul interne en eksterne omgewing het om hul inligtingsekuriteitsrisiko's effektief te bestuur.

Dit behels die identifisering en assessering van die faktore wat die organisasie se vermoë kan beïnvloed om sy inligtingsekuriteitsdoelwitte te bereik.

Deur hul interne en eksterne konteks te verstaan, kan organisasies die risiko's wat verband hou met hul inligtingsekuriteitbestuurstelsel identifiseer en assesseer.

Dit stel hulle in staat om 'n pasgemaakte en doeltreffende stelsel te ontwikkel wat die geïdentifiseerde risiko's versag en voldoening aan toepaslike wette en regulasies verseker.

4.2 – Verstaan ​​die behoeftes en verwagtinge van belanghebbende partye

ISO 27001-vereiste 4.2 is vir organisasies om die behoeftes en verwagtinge van hul belanghebbendes te identifiseer en te begryp. Dit sluit kliënte, verskaffers, werknemers, aandeelhouers en ander belanghebbende partye in.

Die doel is om te verseker dat die organisasie se inligtingsekuriteitbestuurstelsel (ISMS) aan die vereistes van hierdie partye voldoen.

Om aan hierdie vereiste te voldoen, moet organisasies eers hul belanghebbendes identifiseer en hul spesifieke behoeftes en verwagtinge verstaan.

Dit behels die oorweging van wetlike en regulatoriese vereistes, kontraktuele verpligtinge en ander eksterne en interne kwessies wat relevant is tot die organisasie se doel en sy vermoë om die beoogde uitkoms van sy ISMS te bereik, beïnvloed.

4.3 – Bepaling van die omvang van die Inligtingsekuriteitbestuurstelsel

ISO 27001-vereiste 4.3 definieer die grense en omvang van die organisasie se inligtingsekuriteitbestuurstelsel (ISMS).

Dit behels die identifisering en dokumentasie van die inligtingsbates, prosesse, prosedures, mense, stelsels en netwerke wat binne die bestek van die ISBS ingesluit is.

Die omvang moet al die organisasie se inligtingsbates insluit, beide fisies en digitaal, asook die prosesse en prosedures wat gebruik word om dit te bestuur.

4.4 – Inligtingsekuriteitbestuurstelsel

ISO 27001-vereiste 4.4 skets die nodige elemente vir die vestiging, implementering, instandhouding en voortdurende verbetering van 'n inligtingsekuriteitbestuurstelsel (ISMS).

Die ISMS is ontwerp om die sekuriteit van inligting en data te verseker, asook om die regte en vryhede van individue te beskerm.

ISO 27001 bied 'n omvattende stel vereistes vir die vestiging en instandhouding van 'n doeltreffende ISMS wat die vertroulikheid, integriteit en beskikbaarheid van inligting beskerm.

5. Leierskap

5.1 – Leierskap en toewyding

ISO 27001-vereiste 5.1 verduidelik dat die organisasie se topbestuur leierskap en toewyding tot die inligtingsekuriteitbestuurstelsel (ISMS) moet toon. Dit behels verskeie sleutelverantwoordelikhede.

Bestuur moet die ISMS monitor en evalueer om die doeltreffendheid daarvan te verseker. Dit behels die uitvoer van interne oudits en die neem van die nodige regstellende stappe om enige geïdentifiseerde swakhede of nie-konformiteite aan te spreek.

5.2 – Inligtingsekuriteitsbeleid

ISO 27001-vereiste 5.2 vereis dat organisasies 'n inligtingsekuriteitsbeleid moet hê wat deur topbestuur goedgekeur word.

Hierdie beleid dien as 'n riglyn vir die bestuur van die organisasie se inligtingsekuriteit en behoort verskeie faktore soos besigheidstrategie, regulasies, wetgewing en huidige en geprojekteerde inligtingsekuriteitsrisiko's en -bedreigings in ag te neem.

Dit moet areas dek soos inligtingoordrag, veilige opstelling en hantering van gebruikerseindpunttoestelle, netwerksekuriteit, inligtingsekuriteitvoorvalbestuur, rugsteun, kriptografie en sleutelbestuur, inligtingklassifikasie en -hantering, bestuur van tegniese kwesbaarhede en veilige ontwikkeling.

5.3 – Organisatoriese rolle, verantwoordelikhede en owerhede

ISO 27001-vereiste 5.3 gee 'n uiteensetting van die vereiste vir organisasies om rolle, verantwoordelikhede en owerhede met betrekking tot inligtingsekuriteit te definieer en toe te ken.

Dit is van kardinale belang om te verseker dat alle individue en groepe binne die organisasie bewus is van hul spesifieke rolle en verantwoordelikhede met betrekking tot inligtingsekuriteit.

Die dokument beklemtoon die behoefte aan skeiding van pligte, wat beteken dat verskillende individue of groepe verantwoordelik moet wees vir verskillende aspekte van inligtingsekuriteit.

Dit help om te verhoed dat enige enkele persoon oormatige beheer oor die organisasie se inligtingsekuriteit het. Verder vereis die dokument van organisasies om te verseker dat personeel voldoende opgelei is en oor die nodige vaardighede beskik om hul rolle en verantwoordelikhede te vervul.

6. Beplanning

6.1 – Aksies om risiko's en geleenthede aan te spreek

ISO 27001-vereiste 6.1 is daarop gefokus om te verseker dat organisasies inligtingsekuriteitsrisiko's en -geleenthede identifiseer, assesseer, behandel en monitor.

Dit behels 'n sistematiese benadering tot die bestuur van risiko's en die neem van toepaslike stappe om dit te versag.

Hierdie vereiste beklemtoon die belangrikheid van 'n proaktiewe en omvattende benadering tot die bestuur van inligtingsekuriteitsrisiko's ten einde persoonlike data te beskerm en die integriteit en beskikbaarheid van inligtingstelsels te verseker.

6.2 – Inligtingsekuriteitsdoelwitte en beplanning om dit te bereik

ISO 27001-vereiste 6.2 vereis dat organisasies inligtingsekuriteitsdoelwitte daarstel en 'n plan ontwikkel om dit te bereik.

Hierdie doelwitte moet spesifiek, meetbaar, haalbaar, relevant en tydgebonde (SMART) wees en moet ooreenstem met die organisasie se algehele besigheidsdoelwitte. Die plan moet die stappe, hulpbronne en tydlyn uiteensit wat nodig is om die verlangde doelwitte te bereik.

Gereelde hersiening van inligtingsekuriteitsdoelwitte en -planne is nodig om die relevansie en doeltreffendheid daarvan te verseker. Enige veranderinge in die organisasie moet oorweeg word en in die planne geïnkorporeer word soos nodig.

7. Ondersteuning

7.1 – Hulpbronne

ISO 27001-vereiste 7.1 verseker dat 'n organisasie die nodige hulpbronne het om die sekuriteit van sy inligtingstelsels te handhaaf.

Dit sluit in die identifisering en dokumentasie van die personeel, hardeware, sagteware en ander hulpbronne wat nodig is vir inligtingsekuriteit.

Die organisasie moet verseker dat hierdie hulpbronne beskikbaar en toeganklik is wanneer nodig.

Soos voorheen beskryf met Vereiste 5.3, vereis ISO 27001 nie eintlik dat die ISMS deur voltydse hulpbronne beman moet word nie, net dat die rolle, verantwoordelikhede en owerhede duidelik omskryf en besit word – met die veronderstelling dat die regte vlak van hulpbron toegepas sal word as vereis word.

7.2 – Bevoegdheid

ISO/IEC 27001-vereiste 7.2 beskryf hoe die organisasie sal verseker dat dit:

• Bepaal die bevoegdheid van die mense wat die werk op die ISMS doen wat die prestasie daarvan kan beïnvloed.
• Mense wat bekwaam geag word op grond van die relevante onderwys, opleiding of ondervinding.
• Waar nodig, opgetree om die nodige bevoegdheid te verkry en die doeltreffendheid van die aksies geëvalueer.
• Behou bewyse van bogenoemde vir ouditdoeleindes.

Deur te verseker dat personeel bekwaam is, kan organisasies hul inligtingsekuriteitsprestasie effektief bestuur en persoonlike data beskerm.

Lees meer oor 7.2

7.3 - Bewustheid

ISO 27001-vereiste 7.3 bepaal dat organisasies moet verseker dat alle personeel bewus is van die belangrikheid van inligtingsekuriteit en hul rolle en verantwoordelikhede om dit in stand te hou.

Dit sluit in die verskaffing van opleiding en opvoeding oor inligtingsekuriteitonderwerpe, om te verseker dat personeel die organisasie se sekuriteitsbeleide en -prosedures verstaan, en die gevolge daarvan om dit nie te volg nie.

ISO 27001 soek bevestiging dat die persone wat die werk doen bewus is van:

• Die inligtingsekuriteitsbeleid.
• Hul bydrae tot die doeltreffendheid van die ISMS, insluitend voordele uit sy verbeterde prestasie.
• Wat gebeur wanneer die inligtingsekuriteitbestuurstelsel nie aan sy vereistes voldoen nie.

Deur te verseker dat personeel bekwaam is, kan organisasies hul inligtingsekuriteitsprestasie effektief bestuur en persoonlike data beskerm.

Lees meer oor 7.3

7.4 – Kommunikasie

ISO 27001-vereiste 7.4 fokus op die behoefte vir organisasies om effektiewe kommunikasiepraktyke te vestig om te verseker dat inligtingsekuriteitsdoelwitte bereik word. Dit sluit kommunikasie met relevante belanghebbendes, die Kommissaris in die geval van 'n persoonlike data-oortreding, en tussen alle betrokke partye in.

ISO 27001-vereiste 7.4 soek die volgende:

• Wat om te kommunikeer oor die ISMS.
• Wanneer dit gekommunikeer sal word.
• Wie sal deel wees van daardie kommunikasie.
• Wie doen die kommunikasie.
• Hoe dit alles gebeur, maw watter stelsels en prosesse sal gebruik word om te demonstreer dat dit gebeur en effektief is

7.5 – Gedokumenteerde inligting

ISO 27001-vereiste 7.5 vir ISO 27001 vra jou om jou inligtingsekuriteitbestuurstelsel te beskryf en dan te demonstreer hoe die beoogde uitkomste daarvan vir die organisasie bereik word.

Dit is ongelooflik belangrik dat alles wat met die ISMS verband hou, gedokumenteer en goed onderhou word, maklik om te vind, as die organisasie 'n onafhanklike ISO 27001-sertifisering van 'n liggaam soos UKAS wil bereik.

ISO-gesertifiseerde ouditeure put groot vertroue uit goeie huishouding en instandhouding van 'n goed gestruktureerde inligtingsekuriteitbestuurstelsel.

8. Operasie

8.1 – Operasionele Beplanning en Beheer

ISO 27001-vereiste 8.1 is daarop gefokus om die sekuriteit van 'n organisasie se inligting te verseker deur sy bedrywighede te beplan en te beheer.

Dit behels die identifisering en assessering van risiko's wat verband hou met die organisasie se bedrywighede en die implementering van toepaslike sekuriteitskontroles om daardie risiko's te versag.

Die organisasie moet ook beleide en prosedures ontwikkel en implementeer om sy inligting te beskerm teen ongemagtigde toegang, gebruik, openbaarmaking, wysiging of vernietiging.

Hierdie vereiste is baie maklik om bewyse teen te demonstreer as die organisasie reeds 'sy werking gewys het'. In die ontwikkeling van die inligtingsekuriteitbestuurstelsel om aan vereistes 6.1, 6.2 en in die besonder 7.5 te voldoen waar die hele ISMS goed gestruktureer en gedokumenteer is, behaal dit terselfdertyd ook 8.1.

8.2 – Inligtingsekuriteit Risiko-evaluering

ISO 27001-vereiste 8.2 vereis van organisasies om 'n inligtingsekuriteitsrisiko-evaluering (ISRA) met beplande tussenposes of wanneer beduidende veranderinge plaasvind, uit te voer.

Die doel van hierdie vereiste is om te verseker dat organisasies bewus is van potensiële risiko's vir hul inligtingsekuriteitbestuurstelsel en die nodige stappe kan neem om dit te versag.

Die proses behels die identifisering, assessering en bestuur van risiko's vir die organisasie se inligtingsbates. Dit sluit in die ontleding van die organisasie se inligtingsbates, die identifisering van bedreigings en kwesbaarhede wat met daardie bates geassosieer word, en die evaluering van die potensiële impak van 'n sekuriteitskending.

8.3 – Inligtingsekuriteitsrisikobehandeling

ISO 27001-vereiste 8.3 beskryf die vereiste vir organisasies om inligtingsekuriteitsrisiko's te identifiseer, te assesseer en te hanteer.

Dit behels die identifisering en assessering van risiko's wat verband hou met die verwerking van persoonlike data en die implementering van toepaslike sekuriteitsmaatreëls om daardie risiko's te versag. Hierdie maatreëls kan toegangsbeheer, enkripsie en datarugsteun insluit.

Organisasies moet verseker dat enige ekstern verskafde prosesse, produkte of dienste relevant tot die inligtingsekuriteitbestuurstelsel beheer word. Gedokumenteerde inligting van die resultate van die inligtingsekuriteitsrisikobehandeling moet ook behou word.

9. Prestasie-evaluering

9.1 – Monitering, Meting, Analise en Evaluering

ISO 27001-vereiste 9.1 vereis van organisasies om te evalueer hoe die ISMS presteer en kyk na die doeltreffendheid van die inligtingsekuriteitbestuurstelsel.

As die organisasie sertifisering vir ISO 27001 soek, sal die onafhanklike ouditeur wat werk in 'n sertifiseringsliggaam verbonde aan UKAS (of 'n soortgelyke geakkrediteerde liggaam internasionaal vir ISO-sertifisering) noukeurig na die volgende areas kyk:

• Wat dit besluit het om te monitor en te meet, nie net die doelwitte nie, maar ook die prosesse en kontroles.
• Hoe dit geldige resultate in die meting, monitering, ontleding en evaluering sal verseker.
• Wanneer daardie meting, monitering, evaluering en ontleding plaasvind en wie doen dit.
• Hoe die resultate gebruik word.

Soos alles anders met ISO/IEC-standaarde, insluitend ISO 27001, is gedokumenteerde inligting alles belangrik – so om dit te beskryf en dan te demonstreer dat dit gebeur, is die sleutel tot sukses!

9.2 – Interne Oudit

Vereiste 9.2 van ISO 27001 sê dat 'n organisasie interne oudits met beplande intervalle sal uitvoer om inligting te verskaf oor die vraag of die inligtingsekuriteitbestuurstelsel:

• Voldoen aan die organisasie se eie vereistes vir sy inligtingsekuriteitbestuurstelsel; en voldoen aan die vereistes van die ISO 27001 internasionale standaard.
• Of die ISMS effektief geïmplementeer en onderhou word.

Hierdie vereiste verseker dat organisasies gereeld hul inligtingsekuriteitbestuurstelsel assesseer en verbeter om hul inligtingsbates te beskerm en hul sekuriteitsdoelwitte te bereik.

9.3 – Bestuursoorsig

ISO 27001-vereiste 9.3 vereis van organisasies om gereelde bestuursoorsigte uit te voer om die deurlopende geskiktheid, toereikendheid en doeltreffendheid van hul inligtingsekuriteitbestuurstelsel te verseker.

Hierdie hersiening moet met beplande tussenposes uitgevoer word, ten minste jaarliks, en moet senior bestuur of 'n aangewese verteenwoordiger betrek.

Die doel van die bestuursoorsig is om die organisasie se inligtingsekuriteitsbeleide, prosedures en beheermaatreëls te assesseer, sowel as sy risikobepaling en risikobestuursprosesse.

Dit behels ook die evaluering van die organisasie se voldoening aan toepaslike wette en regulasies.

Tydens die hersiening moet die organisasie die doeltreffendheid van sy inligtingsekuriteitbestuurstelsel beoordeel en enige nodige veranderinge identifiseer om voldoening aan die ISO 27001-standaard te verseker. Die hersiening moet ook die organisasie se prestasie in die bereiking van sy inligtingsekuriteitsdoelwitte oorweeg.

10. Verbetering

10.1 – Nie-konformiteit en regstellende aksie

ISO 27001-vereiste 10.1 bepaal dat organisasies 'n proses moet instel om enige afwykings van die ISO 27001-standaard, waarna verwys word as nie-konformiteite, te identifiseer, dokumenteer en aan te spreek.

Nie-konformiteite kan insluit versuim om aan die vereistes van die standaard te voldoen, tekortkominge in die inligtingsekuriteitbestuurstelsel, of enige ander kwessies wat tot 'n sekuriteitskending kan lei.

Wanneer 'n nie-konformiteit geïdentifiseer word, moet die organisasie regstellende stappe neem om dit aan te spreek. Die regstellende aksie moet gepas wees vir die erns van die nie-konformiteit en ontwerp om te voorkom dat soortgelyke probleme in die toekoms voorkom.

Die doeltreffendheid van die regstellende aksie moet op 'n gereelde basis hersien word om te verseker dat die nie-konformiteit nie herhaal nie.

10.2 – Deurlopende verbetering

ISO 27001-vereiste 10.2 bepaal dat organisasies voortdurend hul inligtingsekuriteitbestuurstelsel (ISMS) moet verbeter.

Dit beteken dat organisasies hul ISMS gereeld moet hersien en bywerk om die doeltreffendheid en belyning daarvan met die organisasie se doelwitte, wetlike en regulatoriese vereistes en die ISO 27001-standaard te verseker.

Die voortdurende verbeteringsproses moet gemonitor en hersien word om die doeltreffendheid daarvan te verseker, en enige nodige veranderinge moet aangebring word om die geskiktheid, toereikendheid en doeltreffendheid van die ISMS te verbeter.