ISO IEC TR 27008

Wat is inligtingsekuriteitskontroles?

Inligtingsekuriteitskontroles is stappe wat geneem word om inligtingsekuriteitskwesbaarhede soos toestelfoute, datadiefstal, stelseloortredings en onbedoelde wysigings aan digitale inligting of prosesse te versag.

Dit sekuriteitskontroles word gewoonlik toegepas in reaksie op 'n inligtingsekuriteitsrisiko evaluering om die beskikbaarheid, vertroulikheid en privaatheid van data en netwerke beter te beveilig.

Hierdie kontroles beskerm die vertroulikheid, integriteit en beskikbaarheid van inligting op die gebied van inligtingsekuriteit.

Tipes inligtingsekuriteitskontroles

Sekuriteitsprotokolle, prosedures, skedules, toestelle en toepassings val almal in die kategorie van inligtingsekuriteitskontroles.

1. Voorkomende sekuriteitskontroles, sekuriteitsprotokolle wat bedoel is om kuberveiligheidsongelukke te voorkom
2. Speursekuriteitskontroles wat daarop gemik is om kuberveiligheidspersoneel te identifiseer en te waarsku oor 'n poging tot kuberveiligheidindringing of potensiële sekuriteitskending.
3. Korrektiewe sekuriteitskontroles word gebruik na 'n kuberveiligheidsgebeurtenis om help om dataverlies en toestel- of netwerkontwrigting te versag en om sensitiewe besigheidstelsels en -bedrywighede maklik te herstel.

Daarbenewens kan sekuriteitsmaatreëls volgens hul doel gekategoriseer word, soos volg:

Toegangskontroles:

Dit sluit in fisiese toegangsmonitors soos gewapende wagte by gebouuitgange, slotte en omtrekheinings.

Prosedure kontrole:

Bedreigingsbewustheid instruksie, opleiding vir sekuriteitsraamwerk en insidentreaksieprosesse en -prosedures.

Tegniese kontroles:

Dit sluit in multi-faktor rekening stawing by die punt van inskrywing (aanmelding) en logiese toegangskontroles, antivirustoepassings en firewalls.

Voldoeningskontroles:

Dit sluit privaatheidsreëls, raamwerke en vereistes in, sowel as kuberveiligheidsbenaderings en -standaarde.

Wat is die doel van ISO 27008?

ISO 27008 is geskep om:

• Help met die voorbereiding en implementering van ISMS-oudits en die metode van inligtingsrisikobestuur;
• Voorsien riglyne vir die ouditering van inligtingsekuriteitskontroles in ooreenstemming met ISO/IEC 27002 se beheermaatreëls leiding;
• Verbeter ISMS-oudits deur die verhoudings tussen ISMS-prosesse en nodige kontroles te optimaliseer;
• Verseker dat die oudithulpbronne doeltreffend en doeltreffend gebruik word.
• Voeg waarde toe en verbeter die konsekwentheid en voordeel van die ISO 27k-spesifikasies deur die verskil tussen die opdatering van die ISMS in beginsel te oorbrug en, waar nodig, die nagaan van bewyse van toegepaste ISMS-kontroles (bv. die evaluering van sekuriteitselemente van sakebedrywighede, IT-strukture en IT-bedryfstelsels) omgewings in ISO27k-gebruikersorganisasies);

Wat is die omvang van ISO 27008?

ISO 27008 verskaf leiding aan alle ouditeure oor beheerstelsels vir inligtingsekuriteitbestuur. Dit lei die inligtingsrisikobestuursproses sowel as interne, eksterne en derdeparty-assesserings van 'n ISMS deur die assosiasie tussen die ISMS en sy gepaardgaande kontroles te demonstreer.

Dit sluit riglyne in oor hoe om te toets tot watter mate die nodige “inligtingsekuriteitbestuurstelselkontroles” toegepas word. Daarbenewens help dit organisasies wat ISO/IEC 27001 of ISO/IEC 27002 implementeer om aan voldoeningskriteria te voldoen en dien as 'n tegniese platform vir inligtingstegnologiebestuur.

Hoe werk ISO 27008?

ISO 27008 definieer algemene prosedures, nie tegnieke vir enige spesifieke beheer of vorme van beheermaatreëls nie.

Dit definieer sistematiese resensies en skets dan die verskillende benaderings en vorme van resensies wat van toepassing is op inligtingsekuriteitskontroles. Laastens bespreek dit die praktyke wat nodig is vir 'n suksesvolle hersieningsproses.

Verwantskap met ISO 27001 en ISO 27002

ISO 27008 is baie soortgelyk aan die ISO 27007 ouditspesifikasie vir inligtingsekuriteitbestuurstelsels.

Anders as ISO 27007, wat fokus op die hersiening van die bestuurstelselkomponente van 'n ISMS soos gedefinieer in ISO 27001, fokus ISO 27008 egter op die ouditering van spesifieke inligtingsekuriteitskontroles, soos dié wat in ISO 27002 gelys is en uiteengesit word in ISO 27001 se Bylae A.

ISO 27008 "fokus op evaluerings van inligtingsekuriteitskontroles, insluitend regulatoriese nakoming, teen 'n organisasie-gevestigde inligtingsekuriteit implementeringstandaard.

Dit is egter nie bedoel om gedetailleerde riglyne te verskaf oor voldoeningstoetsing met betrekking tot die berekening, risiko-evaluering of oudit van 'n ISMS, soos gespesifiseer in ISO 27004, ISO 27005, of 27007, onderskeidelik.

Wie moet ISO 27008 implementeer?

ISO 27008 is bedoel vir interne en eksterne ouditeure wat verantwoordelik is vir die hersiening van inligtingbestuurskontroles wat deel is van 'n ISBS. Dit sal egter voordelig wees vir enigiemand wat 'n ontleding of assessering van 'n ISMS se kontroles doen, hetsy as deel van 'n gestruktureerde ouditprosedure of andersins. Die dokument is hoofsaaklik bedoel vir inligtingsekuriteitouditeure wat verantwoordelik is om te verifieer dat 'n organisasie se inligtingsekuriteitskontroles tegnies voldoen aan ISO/IEC 27002 en alle ander beheervereistes wat deur die organisasie gebruik word.

ISO 27008 sal hulle op die volgende maniere bystaan:

• Herken en begryp die omvang van moontlike kwessies en swakhede in inligtingsekuriteitskontroles.
• Identifiseer en begryp die moontlike gevolge van onvoldoende versagte rekenaartegnologie risiko's en swakhede vir die maatskappy.
• Prioritiseer risikobeheerpraktyke wat met inligtingbestuur verband hou.
• Maak seker dat voorheen gevind of nuut ontdekte kwesbaarhede of defekte voldoende opgelos is.

ISO 27008 is van toepassing op 'n wye reeks organisasies, insluitend openbare en private besighede, regeringsagentskappe en nie-winsgewende organisasies.