ISO 27001:n vaatimus 4.1 – Organisaation kontekstin ymmärtäminen

Mitä ovat sisäiset ja ulkoiset ongelmat?

ISO ei itse asiassa tarjoa paljon apua sen selittämisessä, mikä sisäinen tai ulkoinen ongelma voisi olla. Organisaatio, joka on uusi tietoturvan hallinnassa, voi tuhlata arvokasta aikaa tämän vaatimuksen selvittämiseen.

Se on todella kiinni organisaation kulttuurista ja luonteesta, mukana olevista ihmisistä, sen lähtökohdasta ja riskialttiista arvosta. Esimerkkinä voidaan mainita, että pieni, hyvin johdettu organisaatio, jolla on selkeä päämäärä ja vähän mukana olevia ihmisiä, saattaa saada johtopäätöksensä ISMS:n tuloksiin vaikuttavista sisäisistä ja ulkoisista asioista 10 minuutin teekupillisen aikana (etenkin kaikkien Virtual Coachin esimerkkien kanssa).

Muut organisaatiot voivat kuitenkin kestää kauemmin. Suosittelemme yleisesti, että tämä on nopea aivoriihityyppinen harjoitus, jossa vältetään aluksi liiallinen analysointi – tunnistat lähes varmasti enemmän sisäisiä ja ulkoisia ongelmia, kun pääset käsiksi muihin vaatimuksiin, ja ne voidaan helposti lisätä tietoturvan hallintajärjestelmääsi ja matka kohti parempaa tietoturvaa jatkuu.

Kuinka tunnistaa sisäiset ongelmat

Harkitse alla olevaa IPOPS-lyhennettä tunnistaaksesi sisäiset ongelmat, jotka voivat vaikuttaa ISMS:n tuloksiin. Tämä voi olla tauluharjoitusta, post-it-muistiinpanoja tai yksinkertaisesti tallentaa muistiinpanoja, jotka lataat myöhemmin osoittaaksesi, että ymmärrät ongelmat. Hanki oikeat ihmiset huoneeseen tai puhelimeen ja aloita keskustelu!

Katso kuvasta perusesimerkki siitä, mitä voidaan tehdä ja jotka voidaan ladata osaksi todisteita tai kirjoittaa yksityiskohtaisemmin ja testata edelleen muiden sidosryhmien kanssa organisaation luonteesta riippuen. UKAS ISO 27001 -standardin ulkopuolisten tarkastajien näkökulmasta he etsivät luottamusta siihen, että organisaatio on ymmärtänyt asiat, jotka voivat vaikuttaa ISMS:n lopputulokseen (ja dokumentoinut ne), ennen kuin käyttävät todisteita eteenpäin.

Tämä auttaa tunnistamaan kiinnostuneet osapuolet, määrittämään soveltamisalan, dokumentoimaan tavoitteesi, rakentamaan omaisuusluettelon ja tekemään tietoturvariskianalyysin ennen sopivien käytäntöjen ja valvontatoimien kehittämistä soveltuvuuslausunnon mukaisesti.

Se kaikki on hyvin loogista kulkua ja alkaa tästä yksinkertaisesta harjoituksesta!

Esimerkkejä sisäisistä ongelmista

Olemme antaneet alla muutamia ideoita ja esimerkkejä alueista, joilla saatat löytää sisäisiä ongelmia, jotka vaikuttavat ISMS:n lopputulokseen, mutta monia asioita voidaan harkita riippuen organisaatiosta, sen toimialasta, koosta, laajuudesta ja tuotteiden ja palveluiden luonteesta. jne.

Suosittelemme, että olet käytännöllinen ja varmista, että siitä ei tule suurta strategiaharjoitusta tai väitöskirjatyötä, kun sitä ei vaadita. Kyse ei ole niinkään siitä, mihin sisäinen ongelma "ämpäri" tapahtuu, vaan tällaisen yksinkertaisen portfolioanalyysin ideana on auttaa aivoja käynnistämään sisäiset ongelmat.

Joten asetatko ne ihmisten, organisaation tai muualle, on vähemmän tärkeää (jotkut voivat olla myös ulkoisia asioita) – juuri sisäisten tai ulkoisten asioiden tunnistaminen on tärkeää, jotta voit rakentaa sinulle toimivan tietoturvan hallintajärjestelmän. !

Otat myös huomioon ihmisten ympärillä olevan organisaation luonnetta, esim. filosofiaa tehdä kaikki kotona, ulkoistaa jne. – kaikki nämä näkökohdat aiheuttavat "ongelmia", jotka saattavat vaikuttaa ISMS:ään.

Saatat esimerkiksi pystyä hallitsemaan henkilöstöä sisäisesti paremmin kuin tavarantoimittajia, mutta saattaa olla perusteita ottaa toimittajat mukaan prosesseihinsa, koska he tarjoavat haluamiasi palveluita. Muista, että liiketoimintatavoitteesi ovat etusijalla – tämä on ongelmien tunnistamisen ytimessä – johda liiketoimintaa haluamallasi tavalla ja varmista, että ISMS suojaa arvokasta tietoasi ja kiinnostuneiden osapuolten tietoja.

Kaikki asiaankuuluvat asiat tulisi sitten harkita yksityiskohtaisempaa riskianalyysiä varten myöhemmin – kaikki asiat eivät kuitenkaan ole todellisuudessa riskejä, ja jotkut ovat tärkeämpiä kuin toiset, joten voit priorisoida suurempia asioita. Suosittelemme siis välttämään riskianalyysiä tai syvällistä pohdintaa siitä, mitä jos, ja keskittymään ongelmien tunnistamiseen.

Tiedot omaisuutena, jotka ovat sisäisiä ongelmia, jotka vaikuttavat ISMS:n tuloksiin

Mitä tietoa luodaan, käsitellään, tallennetaan, hallinnoidaan ja mikä on todellista arvoa organisaatiolle ja sen osapuolille (seuraavaksi 4.2 tekemäsi sidosryhmäanalyysin mukaisesti)? Henkilötiedot, arkaluonteiset asiakasideat ja IPR, taloustiedot, brändi, koodikannat jne?

Tämä on aivan ISMS:n ytimessä, jossa tietovarat ovat kaiken muun perusta – näiden resurssien varhainen tunnistaminen tekee myös tietovaraston hallinnasta helppoa A8.1:lle.

Harkitse sitten itse tietoon liittyviä mahdollisia ongelmia – erityisesti luottamuksellisuutta, eheyttä ja saatavuutta. Ota huomioon muut alla olevat osa-alueet, kun etsit ideoita siitä, mistä ongelmat voisivat löytyä.

Ihmiset liittyivät sisäisiin ongelmiin, jotka saattavat vaikuttaa ISMS:n suunniteltuun tulokseen
Ei ole yllätys, että henkilöresurssien turvallisuus on tärkeä osa ISMS:ää, sillä liite A 7 onkin omistettu sille, ja kaikki myöhemmät käytännöt, valvonta ja hallinta ovat todennäköisesti ihmisten mielessä, sekä sisäiset työntekijät että ulkoiset resurssit, kuten toimittajia.

Siksi harkitse olemassa olevia ongelmia:

• rekrytointi – esim. haasteita pätevien ihmisten palkkaamisessa, suuri/matala henkilöstön vaihtuvuus
• perehdytys – esim. saavatko he juuri nyt tietoturvakoulutusta, toimiiko se
• elämänhallinnassa – esim. pitää heidät sitoutuneina ja osoittaa noudattavansa käytäntöjä ja valvontaa, – pitääkö henkilöstö todellakin tietoturvaa seksikkäänä ja jännittävänä vai onko se kulttuurinen haaste saada joku lukitsemaan kannettava tietokone vessassa
• roolien vaihtaminen ja poistuminen – esim. tietovarojen ja palvelujen käyttö ja poistaminen

Organisaation sisäiset ongelmat, jotka vaikuttavat ISMS:n tuloksiin

Mitkä ovat organisaation kohtaamat ongelmat, jotka voivat vaikuttaa ISMS:n lopputulokseen? Esimerkiksi nopea kasvu tuo mukanaan henkilöstö- ja rakenneongelmia, jotka saattavat vaikuttaa käytäntöjen ymmärtämiseen ja tuntemiseen tai että asiat muuttuvat niin nopeasti, ettei yksityiskohtaisia ​​ja johdonmukaisia ​​prosesseja voi helposti saada pohjaan.

Onko organisaation johtajuudessa ja hallituksen tai osakkeenomistajien paineita, jotka aiheuttavat ongelmia (nämä voivat olla sekä positiivisia että negatiivisia)? Kansainvälisessä toiminnassa mukana oleville ihmisille tulee erilaiset kulttuuriset normit.

Toinen ihmisiin ja organisaatioon liittyvä sisäinen ongelma saattaa liittyä siihen, ettet halua monia heistä työllistyä tai heidän on vaikea löytää hyviä, joten luota sen sijaan ulkoistamiseen. Tämä tuo mukanaan toimittajien (ja toimittajien henkilöstön) tarpeen, joten se on ongelma, joka liittyy asianosaisten analyysiin, jonka teet seuraavaksi kohdassa 4.2.

Tuotteiden ja palveluiden sisäiset ongelmat, jotka voivat vaikuttaa ISMS:n tuloksiin

Mitä tuotteita ja palveluita organisaatio toimittaa ja millaisia ​​ongelmia sen ympärillä ilmenee, mikä saattaa aiheuttaa tietoriskiä? Esimerkiksi jos organisaatio on innovaattori ja IPR-suoja on tärkeä tuotejohtajuuden kannalta, se on asia, joka on otettava huomioon ISMS:ssä.

Jos organisaatio luottaa suureen fyysiseen omaisuuteen esim. valmistajana, joka todennäköisesti tuo lisää fyysisiä turvallisuusongelmia, kun taas pieni pilviohjelmistojen toimittaja saattaa keskittyä paljon enemmän asioihin, kuten immateriaalioikeuksien suojaamiseen digitaalisilta hakkereilta ja ongelmiin, jotka liittyvät heidän tuotteensa menestyksen riippuvuuteen ja vakuutus hosting-toimittajista jne.

Järjestelmät ja prosessit sisäisinä ongelmina, jotka vaikuttavat ISMS:n suunniteltuun lopputulokseen

Ihmiset ajattelevat usein tietokoneita ja digitaalitekniikkaa, kun käytetään sanaa "järjestelmä". Manuaaliset ja paperipohjaiset järjestelmät ovat kuitenkin myös avainalueita ongelmien ilmetessä, joten muista ottaa ne myös huomioon.

Jokaisella yllä ryhmitellyllä alueella on järjestelmiä ja prosesseja - jotka voivat olla implisiittisiä (olemme aina tehneet niin emmekä koskaan dokumentoineet sitä) tai ne voidaan kääriä joukkoon dokumentteja, joita kukaan ei voi koskaan seurata…… .pohdittuasi yllä olevia IPOP-alueita, mieti niiden ympärillä olevia järjestelmiä ja prosesseja – esimerkiksi jos palkkaat henkilöstöä säännöllisesti, mutta sinulla ei ole muodollista prosessia ja järjestelmiä, jotka osoittavat arvioinnin ja seulonnan tietoturvallisuuden näkökulmasta, sinulla on ongelma (ei vähiten ISO 7:n liitteen A27001 vuoksi).

Ongelmana on, että saatat palkata ihmisiä, joista tulee sisäinen vihollinen joko tietämättömyyden vuoksi tietoturvasta tai siksi, että he ovat sabotoijia, etkä koskaan ajatellut sitä. Sama koskee kaikkia organisaation järjestelmiä ja prosesseja, jotka ovat tietoturvan piirissä – millaisia ​​ongelmia ilmenee, kun tietojen luottamuksellisuus, eheys tai saatavuus voivat olla uhattuna?

Kuinka tunnistaa ulkoiset ongelmat

Yksi ulkoisen analyysin vanhoista suosikeista on PESTLE (poliittinen, taloudellinen, sosiologinen, teknologinen, oikeudellinen ja ympäristöllinen), ja sitä on hyvä käyttää tässä harjoituksessa, ja se on jälleen pidettävä käytännöllisenä ja keskittynyt ISMS:n tuloksiin vaikuttaviin kysymyksiin pikemminkin kuin syvä strateginen työ. Tämä harjoitus vaatii yleensä paljon vähemmän selitystä, ja sinun on epäilemättä tarpeeksi helppo käydä läpi ja harkita tietoturvan näkökulmasta.

Vältä jälleen liiallista analysointia ja yrittämistä pakottaa asioita ämpäriin sen vuoksi – jokin laukeaa tai ei, ja siihen voi aina palata myöhemmin. ISMS:n lopputulokseen vaikuttavat sisäiset ongelmat laukaisevat myös ulkoisia ongelmia – esimerkiksi jos organisaatio päätti, että se ei tee kaikkea sisäisesti ja tarvitsee toimittajia, niin ulkoiset ongelmat näiden toimittajien kanssa ja niiden PESTLE-näkökohdat tulevat sekoitukseen.

Poliittiset ulkoiset kysymykset

Mitkä poliittiset asiat voivat vaikuttaa organisaatioon ja tuloksiin? Esimerkkejä voivat olla Brexit ja tietyt politiikan muutokset alalla, jotka vaikuttavat investointeihin tai kasvuun ja jotka voivat johtaa erilaisiin työtapoihin ja erilaisiin lähestymistapoihin tiedonhallintaan.

Politiikka (ja voimakkaat henkilötietoja väärinkäyttävät sosiaalisen median pelaajat) toivat GDPR:n, joka aiheutti lainsäädännöllisiä muutoksia, mikä lisäsi painetta asiakkaisiin, jotka puolestaan ​​pakottavat toimittajat hankkimaan itsenäisesti sertifioidut ISO 27001 -tietoturvan hallintajärjestelmät, jotka auttavat heitä hallitsemaan kokonaistarjontaansa. ketjuriski.

Tämä on esimerkki ongelmasta, joka ulottuu moniin PESTLE-piirteisiin, ja se on ulkoinen ongelma, joka kohtaa melkein kaikkia organisaatioita.

Talouden ulkoiset kysymykset

Miten markkinasi talous ja toimitusketju vaikuttavat organisaatioon? Johtaako se enemmän tai vähemmän ongelmiin tavarantoimittajien, asiakkaiden kanssa, mitkä tietoturvan kulmat voivat katketa ​​kustannusten vähentämisen areenalla ja johtaa lisääntyneeseen riskiin tai uhkaan (ja tietysti myös mahdollisuuteen)?

Esimerkkejä voivat olla halvempi työvoima, vähemmän koulutusta ja vähemmän aikaa töiden tekemiseen tai kyvyttömyys hankkia kunnollisia teknologisia järjestelmiä, jotka auttaisivat parantamaan toimintaa, koska varat on priorisoitava muualle (Vinkki – katso Business Case Planner -raporttimme saadaksesi ohjeita tuottoa varten tietoturvan investoinneista.)

Sosiologiset ulkoiset kysymykset

Miten yhteiskunta tai yleisösi demografiset muutokset muuttuvat ja vaikuttavat yritykseesi – esimerkiksi aina yhteydessä olevat kansalaiset tarjoavat mahdollisuuksia ja uhkia, ja dataan joskus enemmän/vähemmän välittävän henkilöstön sukupolvi tuo mukanaan myös hyviä ja huonoja puolia.

Tekniset ulkoiset kysymykset

Miten teknologisen muutoksen nopeutuminen aiheuttaa ongelmia ISMS:n tuloksille? Päivittäiset muutokset käyttöjärjestelmissä on korjattu verrattuna (esimerkiksi) kerran vuodessa aiemmin? Tämä johtaa paljon dynaamisemman hallinnan tarpeeseen, jota monilla organisaatioilla on vaikeuksia ylläpitää. Jos hallintaa ei oteta huomioon, se lisää kybermurron uhkaa ja menetyksen todennäköisyys kasvaa.

Missä tekoäly, koneoppiminen, pilvi ja kaikki muut tekniset muotisanat aiheuttavat ongelmia organisaatiollesi ulkoisesti?

Lainsäädännölliset ulkoiset kysymykset

Yksi ISO 27001:n yleisimmistä epäonnistumisista on kyvyttömyys korostaa tehokkaasti tietoisuutta sovelluslainsäädäntöön ja -sääntelyyn liittyvistä asioista ja sitten hallita niitä. Tämä PESTLEn osa on loistava lähtökohta noudattamista koskevalle liitteelle A18 – jos tarkastajasi tietää enemmän kuin sinä lainsäädännöstä ja määräyksistä, jotka vaikuttavat organisaatioosi (ja siten myös ISMS:ään), he eivät ole vaikuttuneita.

Se menee paljon muutakin kuin tietosuojaa, GDPR:ää, tietokonevalvontaa, ihmisoikeuksia ja immateriaalioikeuksia koskevaa lainsäädäntöä, joten harkitse tätä aluetta vakavasti kaikkien tietojesi suhteen. Et välttämättä tarvitse asianajajaa, mutta jos osoitat, että olet harkinnut organisaatioon vaikuttavaa lainsäädäntöä, riskien käsittelyn, politiikan ja valvonnan luominen on myös kohdennetumpaa ja merkityksellisempää.

Saattaa olla, että riskinottohalusi johonkin on melko korkea, mutta jos sovellettava lainsäädäntö tai määräys asettaa riman, sinun on kehitettävä politiikkaa ja valvontaa sen noudattamiseksi sen sijaan, että se olisi mielestäsi kunnossa!

Ulkoiset ympäristökysymykset

PESTLE käsittelee ympäristöä tyypillisesti vihreänä asiana, mutta se voi olla myös laajempi "ympäristösi". Yksinkertaiset ympäristönäkökohdat saattavat tarkoittaa, että pyrit käyttämään vähemmän paperia, matkustamaan vähemmän – hienoa, mitä ongelmia siitä on ISMS:lle?

Esimerkiksi ISMS:n kehittämisessä se voi olla mahdollisuus muuttaa käytäntöjä tulostusta tai mobiilityökäytäntöjen kehittämistä jne. – nämä ovat pari yksinkertaista ideaa, jotka heräävät kun ajattelee ympäristöpaperia ja matkailuasioita.

Laajemmat "ympäristöongelmat" saattavat olla asioita, joita tapahtuu kilpailijoissasi ja laajemmissa voimissasi (ajattele Porters 5 voimaa yksinkertaisena esimerkkinä) – mitä ulkoisen ympäristön ongelmia siellä tapahtuu, mikä saattaa vaikuttaa ISMS-tuloksiisi?

Tiedät, että asiakkaiden neuvotteluvoimasi kasvaa tietoturvan suhteen. Kuitenkin, jos kaikki kilpailijasi saavat itsenäisesti ISO 27001 -sertifikaatin ja ajattelet vain rastiruutujen/käden heiluttamisen vaatimustenmukaisuutta, se on ulkoinen asia, jota sinun kannattaa harkita perusteellisemmin ollaksesi kilpailukykyisiä, puhumattakaan turvallisuudesta ja luotettavuudesta.