ISO 27001 -vaatimus 6.2 – Tietoturvatavoitteet ja niiden saavuttamisen suunnittelu

Mitä lauseke 6.2 sisältää?

Tämän vaatimuksen täyttämisessä on tärkeää, että olet jo ymmärtänyt organisaation ja sen kontekstin (4.1), määrittänyt kiinnostuneiden osapuolten vaatimukset (4.2), selvittänyt laajuutesi (4.3) ja ainakin aloittanut riskinarvioinnin ja -hoidon (6.1) .

Tarkka vaatimus 6.2:lle on:

”Aseta sovellettavat (ja mikäli mahdollista, mitattavissa olevat) tietoturvatavoitteet ottaen huomioon tietoturvavaatimukset, riskien arvioinnin ja käsittelyn tulokset. Selvitä, mitä tehdään, mitä resursseja tarvitaan, kuka on vastuussa, milloin ne valmistuvat ja miten tuloksia arvioidaan."

Joten tämä standardin lauseke 6.2 tiivistyy olennaisesti kysymykseen; 'Mistä tiedät, toimiiko tietoturvan hallintajärjestelmäsi suunnitellusti?'

Kuinka asettaa tavoitteet 6.2

Kun harkitset tietoturvan hallintajärjestelmältäsi haluamiasi tavoitteita, varmista, että ne ovat liiketoimintakeskeisiä ja auttavat sinua pyörittämään (parempaa) turvallisempaa ja tehokkaampaa organisaatiota sen sijaan, että vain rastittaisit ruutuja ja näyttävät hyvältä sivulla. Ajattele, mitä kiinnostuneet tahot haluavat nähdä myös mitattuna ja valvottavana.

Esimerkiksi miksi asiakkaat ostavat sinulta ja mikä he olisivat huolissaan tietoturvan kannalta pieleen menevästä? Millainen tiedonvarmistustaso, mitkä toimenpiteet ja seuranta olisivat heille tärkeitä, jos he katsoisivat tarkasti ISMS:täsi?

Keskity mielekkäiden tavoitteiden kehittämiseen, älä vain lukuisiin toimenpiteisiin tai tavoitteisiin, jotka tarkoittavat, että käytät kaiken aikasi hallintoon etkä tuota lisäarvoa organisaatiolle.

Saatat hyvinkin jo mitata ja seurata tavoitteitasi, joten muista pohtia, mitä olet jo tekemässä ja mikä saattaa vaatia lisäponnistusta. ISO ei yritä saada ketään kiinni mittauspuolella, he haluavat vain olla varmoja, että mittaat sitä, mikä on tärkeää, ja monet älykkäät yritykset tekevät sen jo epäsuorasti, ellei selkeämmin.

Sido työsi tähän tiukasti 9.3:n johdon arviointeihin ja laita todisteet tuloksista johdon tarkastuslautakunnan työtilaan tai linkitä siihen erityisissä tarkastuskokouksissa ja auditoinneissa.

Voit esitellä suorituskyvyn mittaustuloksia useilla tavoilla, kuten käyttämällä toimintojärjestelmien vientiä, hyödyntämällä automatisoitua raportointia ISMS.onlinessa (esim. tapauksia varten) ja tarvittaessa käyttämällä yksinkertaisia ​​KPI-mittareita, jotka on lisätty johdon tarkistustyötilaan.

Alliantistilla, ISMS.onlinen takana olevalla ohjelmisto- ja palveluyrityksellä, keksimme noin 7 tietoturvatavoitetta, joista yksi:

"Turvallisen ja luotettavan pilvipalvelun toimittaminen käyttäjille (ja muille kiinnostuneille osapuolille), jotka tarvitsevat luottamusta ja varmuutta, että alusta sopii heidän tarkoitukseensa jakaa ja käsitellä arkaluonteisia tietoja."

Kun hylkäät vain tämän yhden tavoitteen, on selvää, että siitä syntyy useita mitattavissa olevia, toimivia alueita. Esimerkiksi:

• Turvallinen – mitä se tarkoittaa luottamuksellisuuden ja eheyden kannalta?
• Luotettava – mitä se tarkoittaa suojatun pilviohjelmistopalvelun saatavuuden kannalta?

Kuinka tehdä tietoturvatavoitteista mitattavissa ja toteutettavissa

Yllä olevan pohjalta yksi Alliantistin luotettavuuden menestymisen mittari on ISMS.onlinen kaltaisten järjestelmien saatavuus asiakkaiden käyttöön. Meillä on siis tavoite (palvelun luotettavuus), mitta (käyttöaika), jonka jälkeen voimme asettaa käytettävyyden tavoitteen, tässä tapauksessa vähintään 99.5 %:n käytettävyyden (jolle saavutamme jatkuvasti 100 %).

Sitten pohdittiin mittaustiheyttä, vastuussa olevaa omistajaa ja sitä, mistä mittausdata tulee todisteeksi. Lisäsimme sen sitten ISMS.onlineen KPI:ksi, jota käsitellään osana johdon arviointeja, ja tietysti koska se on keskeinen mittari ohjelmistopalvelumme menestykselle, sitä seurataan jatkuvasti myös toiminnallisesti.

Tietojen lähde on käyttöaikalokeista. Joitakin muita strategisempia mittareita, kuten asiakkaiden, tarkastajien ja sidosryhmien luottamusta ISMS:ään yleisesti mitataan harvemmin, joissakin suhteissa subjektiivisempia, mutta silti tärkeitä osana laajempaa ISMS:n suorituskykyä.

Tämä on loistava tilaisuus kehittää mittareita, joilla on organisaatiollesi merkitystä, ellei sitä ole vielä tehty. Suosittelemme harvemmin ja paremmin hoidettuja paljon ja huonosti johdetun lähestymistavan sijaan. Jos organisaatiossasi on osastoja ja tiettyjä liiketoiminta-alueita, joihin on vaikuttanut eri tavalla luottamuksellisuus, eheys ja saatavuus (CIA), mikä oikeuttaisi toimenpiteiden purkamisen kullekin alueelle, ISO odottaa näkevänsä tämän jaottelun sekä korkean tason strategisemmat mittarit.

Muut mittarit, jotka ovat hyödyllisiä myös CIA:n osoittamisessa, ovat myös melko ilmeisiä joistakin ISO 27001:n asettamista vaatimuksista, jotka koskevat tapausten hallintaa, riskinarviointia/arviointia, parannuksia ja korjaavia toimia jne. ISMS.onlinessa meillä on useita työkaluja, jotka tarjoavat automaattisesti suorituskykytilastot, jotka auttavat osoittamaan ISMS:n tehokkaan suorituskyvyn.

Näitä ovat tapahtumanhallinnan seuranta, parannukset ja korjaavat toimet sekä monet muut, jotka tekevät suuresta osasta tavoitteiden hallinnasta vaivatonta harjoitusta sen sijaan, että tuhlattaisiin aikaa laskentataulukoiden ja powerpointin kanssa.

Miten määritellään tietoturvatavoitteiden arvioinnin prosessi ja vastuut

Kun olet määritellyt tavoitteesi, määrittänyt mittauksesi ja niiden mittaustiheyden, sinun on näytettävä, kuinka aiot arvioida tuloksia ja ryhtyä toimenpiteisiin ISMS:n tarvittavien muutosten tai parannusten tekemiseksi.

Alliantistilla kokosimme ryhmän ylimmän johdon edustajista muodostamaan ISMS Boardin. ISMS Board vastaa kunkin toimenpiteen tavoitteiden asettamisesta. Toimintajohtajamme omistaa tavoitteet, jotka vaikuttavat ISMS:ään tuotannon ja toiminnan näkökulmasta.

Lähdetiedot siirretään asianmukaisille henkilöstön jäsenille todisteeksi, joka kaikki on otettu olemassa olevista järjestelmistä ja yksinkertaisesti tiivistetty KPI:ksi ja tilastoraportoinneiksi, jotka ovat osa säännöllisiä johdon arviointeja lauseen 9.3 mukaisesti.