ISO 27001 -vaatimus 6.1 – Toimet riskeihin ja mahdollisuuksiin puuttumiseksi

Mitä lauseke 6.1 sisältää?

Selkeä dokumentointi kuvauksessa ja sitten sen osoittaminen, miten käsittelet riskejä ISO 27001 -standardin mukaisesti, on olennaista riippumattoman ISO 27001 -sertifikaatin ja onnistuneen tietoturvan hallintajärjestelmän (ISMS) toiminnan kannalta.

Lauseke 6.1.1 – Yleiset näkökohdat riskien suunnittelussa ISO 27001:lle

Tässä vaiheessa sinun tulee tarkastella aiempaa työtäsi kohdissa 4 ja 5 – erityisesti ISO 4.1:n kohdissa 4.2, 4.3, 5 ja 27001. Tämä auttaa sinua määrittämään riskit ja mahdollisuudet, joihin sinun on puututtava aikaisemmat asiat, asianosaiset ja laajuus, jotta:

• varmistaa, että tietoturvan hallintajärjestelmä voi saavuttaa aiotut tulokset
• "estää tai vähentää ei-toivottuja vaikutuksia"
• "saavuttaa jatkuvaa parannusta".

Organisaatiolla tulee olla suunnitelmat, jotka kattavat toimenpiteet näiden riskien ja mahdollisuuksien tunnistamiseksi, arvioimiseksi ja käsittelemiseksi sekä kuinka se integroi ja toteuttaa ne tietoturvan hallintajärjestelmäprosesseihinsa. Tämän pitäisi sisältää se, kuinka he arvioivat näiden toimien tehokkuutta ja seuraavat niitä ajan mittaan.

Yksinkertaisesti tämä tarkoittaa riskien tunnistamis-, arviointi- ja hoitoprosessin dokumentointia ja sen osoittamista, että se toimii käytännössä jokaisen riskin hallinnan kanssa, ihannetapauksessa osoittaakseen, että se siedetään (esim. liitteen A valvontaa on sovellettu), lopetetaan tai ehkä siirretään. muille puolueille.

ISO 27001 murtaa tämän riskienhallinnan vaatimuksen myös syvemmälle. Lisäksi on oppimisen arvoisia muita riskilähtöisiä standardeja, kuten ISO 31000, joista ISO 27001 -riskien suunnittelun periaatteet ovat lähtöisin.

Kohta 6.1.2 – Tietoturvariskin arviointi ISO 27001:lle

ISO 27001 -standardi edellyttää, että organisaatio luo ja ylläpitää tietoturvariskien arviointiprosesseja, jotka sisältävät riskien hyväksymis- ja arviointikriteerit. Siinä määrätään myös, että kaikkien arvioiden on oltava johdonmukaisia, päteviä ja niiden on tuotettava "vertailukelpoisia tuloksia".

Tämä tarkoittaa lähestymistavan selkeää kuvaamista ja riskimetodologian tuottamista – olemme kirjoittaneet lisää sen kehittämisestä täällä.

Organisaatioiden tulee soveltaa arviointiprosesseja tunnistaakseen riskit, jotka liittyvät tietovarojen luottamuksellisuuteen, eheyteen ja saatavuuteen (CIA) ISMS:n määritellyn soveltamisalan sisällä.

Useimmat ISO-sertifioidut auditoijat odottavat tämän menetelmän menevän yksinkertaisia ​​todennäköisyys- ja vaikutuskuvauksia pidemmälle ja selittävän myös, mitä tapahtuu (esimerkiksi), kun yhden riskin (esim. saatavuuteen perustuva) ja toisen (esim. luottamuksellisuuspohjainen) välillä ilmenee ristiriita.

Riskit on osoitettava organisaatiossa riskien omistajille, jotka määrittävät riskin tason, arvioivat mahdolliset seuraukset, jos riski toteutuu, sekä "riskin toteutumisen realistinen todennäköisyys".

Kun riski on arvioitu, se on priorisoitava riskien käsittelyssä ja sen jälkeen hallittava dokumentoidun menetelmän mukaisesti.

Lauseke 6.1.3 – Tietoturvariskien käsittely ISO 27001:lle

Sinun odotetaan valitsevan riskinarvioinnin tulosten perusteella sopivat riskinhoitovaihtoehdot, esim. käsitellä liitteen A kontrolleilla, lopettaa, siirtää tai ehkä käsitellä jollain muulla tavalla. ISO 27001 -standardissa todetaan, että liite A sisältää myös valvontatavoitteet, mutta että luetellut tarkastukset eivät ole tyhjentäviä ja lisätarkastuksia saatetaan tarvita.

Tyypillisesti liitteen A valvontamenetelmiä käytetään yksinään pienemmissä organisaatioissa, vaikka onkin hyväksyttävää suunnitella tai tunnistaa kontrollit mistä tahansa lähteestä. Tällä tavalla useiden suojausstandardien hallinta voi tarkoittaa, että käytät ohjausta esimerkiksi muista standardeista, kuten NIST tai SOC2, noudattamalla Trust Services Criteria -periaatteita.

Jos riippumaton auditoija auditoi ISO 27001 -standardin, on järkevää keskittyä liitteen A valvontaan, koska he tuntevat ne hyvin.

Jos asiakkaan on täytettävä tietyt standardit, esim. DSPT for Health Iso-Britannian NHS:ssä, on järkevää kartoittaa riskien käsittely myös niihin ja antaa asiakkaalle luottamus siihen, että tietoturvasi on vankka ja vastaa myös heidän etujaan.

Valtuutetut riskinomistajat hallitsevat riskienhallintasuunnitelmansa (tai delegoivat sen ihmisille tekemään sen puolestaan) ja tekevät lopulta päätöksen mahdollisista tietoturvariskistä – loppujen lopuksi ei ole järkevää aina lopettaa siirtoa tai jatkaa panostamista hallintaan. riskistä.

On tarpeen laatia soveltuvuusselvitys, joka sisältää organisaation tarpeellisiksi katsomat tarkastukset sekä perusteet sisällyttämiselle riippumatta siitä, onko ne toteutettu vai ei, ja perustelut tarkastusten poissulkemiselle liitteestä A.

Tämä on melko merkittävä työ (ISMS.online on yksinkertaistanut ja automatisoinut valtavasti), mikä osoittaa, että organisaatio on tarkastellut huolellisesti kaikkia ISO 27001:n tärkeiksi katsomien hallintatoimintojen alueita.

ISO 27001:n soveltuvuuslausunnon ymmärtäminen

Soveltuvuusselvitys (SOA) sisältää edellä mainitut tarvittavat valvontatoimenpiteet ja perustelut niiden sisällyttämiselle tai poissulkemiselle. Se sopii erinomaisesti sisäiseen hallintaan ja jakamiseen asianomaisten osapuolten kanssa. Tämä yhdessä turvallisuuspolitiikan, laajuuden ja varmenteen (jos saavutetaan) kanssa antaa heille paremman käsityksen siitä, missä heidän etunsa ja huolenaiheensa saattavat olla tietoturvan hallintajärjestelmässäsi.

Kuinka saavuttaa lauseke 6.1

Tyypillisesti riskien tunnistamisen, arvioinnin ja käsittelyn suunnitteleminen yllä olevien vaatimusten täyttämiseksi on yksi aikaa vievistä ISMS-järjestelmän käyttöönoton elementeistä. Se edellyttää, että organisaatio määrittelee menetelmän riskien johdonmukaista arviointia varten ja ylläpitää selkeää kirjaa jokaisesta riskistä, sen arvioinnista ja hoitosuunnitelmasta.

Lisäksi tietueiden tulee osoittaa säännölliset tarkastelut ajan mittaan ja todisteet suoritetusta hoidosta. Tämä sisältää ne liitteen A valvontatoimet, jotka olet ottanut käyttöön osana tätä käsittelyä, ja niitä hyödynnetään soveltuvuuslausunnon luomisessa (ja ylläpidossa).

Ei ole ihme, että vanhanaikaiset taulukkolaskentamenetelmät voivat olla monimutkaisia ​​ja vaikeita ylläpitää, kun mennään riskienhallinnan perusmenetelmiä pidemmälle (jota vaaditaan ISO 27001 -standardissa). Se on yksi syistä, miksi organisaatiot etsivät nyt ohjelmistoratkaisuja tämän prosessin hallintaan.

Tee siitä yksinkertaisempi ISMS.onlinen avulla

ISMS.online-alusta sisältää riskienhallintapolitiikan, -menetelmät ja esikonfiguroidun tietoturvariskinhallintatyökalun. Mukana on myös yleisten tietoturvariskien pankki, joka voidaan nostaa ylös, sekä ehdotetut liite A -kontrollit, jotka säästävät viikkoja.

Tämän yhdistäminen yhdeksi integroiduksi ratkaisuksi, joka auttaa sinua saavuttamaan, ylläpitämään ja parantamaan koko ISMS-järjestelmääsi, on täysin järkevää. Loppujen lopuksi, miksi tuhlata aikaa yrittämällä rakentaa se itse, kun tarkoitukseen rakennettu ratkaisu on jo olemassa?