ISO 27001 – Liite A.18: Vaatimustenmukaisuus

Mikä on liitteen A.18.1 tavoite?

Liite A.18.1 koskee laki- ja sopimusvaatimusten noudattamista. Tavoitteena on välttää tietoturvaan liittyvien lakisääteisten, lakisääteisten, määräysten tai sopimusvelvoitteiden sekä mahdollisten turvallisuusvaatimusten rikkomista.

Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin.

A.18.1.1 Sovellettavan lainsäädännön ja sopimusvaatimusten tunnistaminen

Hyvä valvonta kuvaa, kuinka kaikki asiaankuuluvat lakisääteiset lakisääteiset, säädökset, sopimusvaatimukset ja organisaation lähestymistapa näiden vaatimusten täyttämiseksi tulee yksilöidä, dokumentoida ja pitää ajan tasalla kunkin tietojärjestelmän ja organisaation osalta. Yksinkertaisesti sanottuna organisaation on varmistettava, että se pysyy ajan tasalla ja dokumentoi lait ja määräykset, jotka vaikuttavat sen liiketoimintatavoitteiden saavuttamiseen ja ISMS:n tuloksiin.

On tärkeää, että organisaatio ymmärtää lait, määräykset ja sopimusvaatimukset, joita sen tulee noudattaa, ja ne tulee kirjata keskitetysti rekisteriin hallinnan ja koordinoinnin helpottamiseksi. Sen tunnistaminen, mikä on olennaista, riippuu suurelta osin; missä organisaatio sijaitsee tai toimii; mikä on organisaation liiketoiminnan luonne; ja organisaatiossa käsiteltävien tietojen luonne. Asiaankuuluvien lakien, säädösten ja sopimusvaatimusten tunnistaminen sisältää todennäköisesti yhteistyötä lakiasiantuntijoiden, sääntelyelinten ja sopimusjohtajien kanssa.

Tämä on ala, joka saa organisaatiot usein kiinni, koska organisaatioon vaikuttaa yleensä paljon enemmän lainsäädäntöä ja säännöksiä kuin aluksi ajatellaan. Tarkastaja tarkastelee, kuinka organisaatio on tunnistanut ja kirjannut lailliset, säädökset ja sopimusvelvoitteensa; vastuut tällaisten vaatimusten täyttämisestä ja kaikki tarvittavat periaatteet, menettelyt ja muut valvontatoimet, joita vaaditaan valvontatoimien täyttämiseksi.

Lisäksi he huolehtivat siitä, että tätä rekisteriä ylläpidetään säännöllisesti, jotta kaikki asiaankuuluvat muutokset tapahtuvat – erityisesti yleisten alojen lainsäädännössä, joihin he odottavat vaikuttavan mihin tahansa organisaatioon.

A.18.1.2 Immateriaalioikeudet

Hyvä valvonta kuvaa, kuinka asianmukaisilla menettelyillä varmistetaan immateriaalioikeuksiin ja ohjelmistotuotteiden käyttöön liittyvien lakien, säädösten ja sopimusten vaatimusten noudattaminen. Yksinkertaisesti sanottuna organisaation tulee ottaa käyttöön asianmukaiset menettelyt, joilla varmistetaan, että se noudattaa kaikkia sen ohjelmistotuotteiden käyttöön tai immateriaalioikeuksiin liittyviä vaatimuksia, olivatpa ne sitten lainsäädännöllisiä, säädöksiä tai sopimusperusteisia.

IPR-hallinnassa on otettava huomioon kaksi näkökohtaa; Organisaation omistamien immateriaalioikeuksien suojaaminen; ja muiden immateriaalioikeuksien väärinkäytön tai rikkomisen estäminen. Ensin mainittua käsitellään myös kohdassa A.13.24 salassapito- ja luottamuksellisuussopimuksissa, joissa ehdotamme myös, että yritykset hallinnoivat laajempia pääsopimuksiaan kolmansien osapuolten kanssa sekä A.15:ssä erityisesti toimitusketjun osalta. Henkilöstön osalta A7.1.2 Työehdot kattavat myös immateriaalioikeudet.

Näillä molemmilla puolilla tarvitaan todennäköisesti käytäntöjä, prosesseja ja teknisiä valvontatoimia. Omaisuusrekistereissä ja hyväksyttävän käytön käytännöissä on todennäköistä, että IPR-näkökohdat on otettava huomioon – esimerkiksi silloin, kun omaisuus on tai sisältää tämän omaisuuden IPR-suojauksen, on otettava huomioon immateriaalioikeusnäkökohta. Tarkastuksiin, joilla varmistetaan, että organisaatiossa käytetään vain valtuutettuja ja lisensoituja ohjelmistoja, tulee sisältyä säännöllinen tarkastus ja auditointi.

Tarkastaja haluaa huolehtia siitä, että rekisterit organisaation omistamista käyttöoikeuksista muiden ohjelmistojen ja muun omaisuuden käyttöön pidetään ja päivitetään. Heille on erityisen kiinnostavaa varmistaa, että jos lisenssit sisältävät enimmäismäärän käyttäjiä tai asennuksia, tätä määrää ei ylitetä, ja käyttäjien ja asennusten lukumäärää tarkastetaan säännöllisesti vaatimustenmukaisuuden tarkistamiseksi. Tarkastaja tarkastelee myös, kuinka organisaatio suojelee omia immateriaalioikeuksiaan, joita voivat olla; Tietojen katoamisen ja eston hallinta; Käyttäjien koulutusta koskevat politiikat ja tiedotusohjelmat; tai salassapito- ja salassapitosopimukset, jotka jatkuvat työsuhteen päättymisen jälkeen.

A.18.1.3 Tietueiden suojaus

Hyvä kontrolli kuvaa, kuinka tietueet suojataan katoamiselta, tuhoutumiselta, väärentämiseltä, luvattomalta käytöltä ja luvattomalta luovutukselta lainsäädännön, säädösten, sopimusten ja liiketoiminnan vaatimusten mukaisesti.

Erityyppiset tietueet vaativat todennäköisesti erilaisia ​​suojaustasoja ja -menetelmiä. On erittäin tärkeää, että tietueet suojataan asianmukaisesti ja oikeasuhteisesti katoamista, tuhoutumista, väärentämistä, luvatonta pääsyä tai luovuttamista vastaan. Tietueiden suojauksen tulee noudattaa asiaankuuluvia lakeja, määräyksiä tai sopimusvelvoitteita. Erityisen tärkeää on ymmärtää, kuinka kauan tietueita on, pitäisi tai voidaan säilyttää ja mitkä tekniset tai fyysiset seikat voivat vaikuttaa niihin ajan myötä – kun otetaan huomioon, että jotkut säädökset saattavat syrjäyttää toiset säilyttämisen ja suojan kannalta. Tarkastaja tarkistaa, että asiakirjojen suojaamista koskevia näkökohtia on harkittu liiketoiminnan vaatimusten, lakisääteisten, säännösten ja sopimusvelvoitteiden perusteella.

A.18.1.4 Yksityisyys ja henkilötietojen suoja

Hyvä kontrolli kuvaa, kuinka yksityisyys ja henkilötietojen suojaus varmistetaan asiaankuuluvan lainsäädännön ja säädösten osalta. Kaikki käsitellyt tiedot, jotka sisältävät henkilökohtaisia ​​tunnistetietoja (PII), ovat todennäköisesti lainsäädännön ja määräysten velvoitteiden alaisia. Erityisen todennäköisesti henkilökohtaisilla tiedoilla on korkeat vaatimukset luottamuksellisuuden ja eheyden sekä joissakin tapauksissa myös saatavuuden suhteen (esim. terveystiedot, taloudelliset tiedot). Joissakin lainsäädännöissä (esim. GDPR) tietyntyyppiset henkilökohtaiset tunnistetiedot määritellään lisäksi "arkaluonteisiksi" ja vaativat lisävalvontaa noudattamisen varmistamiseksi.

On tärkeää, että henkilöstön ja sidosryhmien kanssa käytetään tiedotuskampanjoita, jotta varmistetaan toistuva ymmärrys henkilökohtaisesta vastuusta henkilökohtaisten tunnistetietojen ja yksityisyyden suojaamisessa. Tilintarkastaja tarkastelee, kuinka henkilökohtaisia ​​tunnistetietoja käsitellään, jos asianmukaiset kontrollit on toteutettu, seurataanko, tarkistetaanko niitä ja parannetaanko niitä tarvittaessa. He myös tarkistavat, että käsittelyvaatimukset täyttyvät, ja auditoidaan asianmukaisesti. Myös muita vastuita on olemassa, esimerkiksi GDPR odottaa säännöllistä auditointia alueilta, joilla henkilötiedot ovat vaarassa. Älykkäät organisaatiot yhdistävät nämä auditoinnit ISO 27001 -auditointiensa rinnalle ja välttävät päällekkäisyyksiä tai aukkoja.

A.18.1.5 Salauksen valvonta

Hyvä ohjaus kuvaa, kuinka salausohjausta käytetään kaikkien asiaankuuluvien sopimusten, lakien ja määräysten mukaisesti. Salausteknologioiden käyttö on monilla alueilla lainsäädännön ja määräysten alaista, ja on tärkeää, että organisaatio ymmärtää soveltuvat ja toteuttaa valvonta- ja tietoisuusohjelmia, jotka varmistavat tällaisten vaatimusten noudattamisen. Tämä pätee erityisesti silloin, kun kryptografiaa kuljetetaan tai käytetään muualla kuin organisaation tai käyttäjän tavanomaisessa asuin- tai toimintapaikassa. Rajat ylittävää tuontia/vientiä koskevat lait voivat sisältää salausteknologioihin tai käyttöön liittyviä vaatimuksia. Tarkastaja pyrkii varmistamaan, että salausvalvonnan asianmukaista sääntelyä on harkittu ja että asiaankuuluvat valvonta- ja tietoisuusohjelmat on toteutettu vaatimustenmukaisuuden varmistamiseksi.

Mikä on liitteen A.18.2 tavoite?

Liite A.18.2 koskee tietoturvatarkastuksia. Tämän liitteen tavoitteena on varmistaa, että tietoturva toteutetaan ja toimitaan organisaation toimintaperiaatteiden ja menettelytapojen mukaisesti.

A.18.2.1 Tietoturvan riippumaton katsaus

Hyvä kontrolli kuvaa organisaation lähestymistapaa tietoturvan hallintaan ja sen toteutusta (eli tietoturvan valvontatavoitteet, kontrollit, politiikat, prosessit ja menettelytavat) tarkastellaan itsenäisesti suunnitelluin väliajoin tai merkittävien muutosten tapahtuessa.

Turvallisuusriskeistä ja -valvonnasta on hyvä saada riippumaton katsaus puolueettomuuden ja objektiivisuuden varmistamiseksi sekä uusien katseiden hyödyntämiseksi. Tämä ei tarkoita, että sen on oltava ulkoinen, vaan hyödynnä vain toinen kollega, joka tarkistaa käytäntöjä päätekijän/järjestelmänvalvojan lisäksi. Nämä tarkistukset tulee tehdä suunnitelluin, säännöllisin väliajoin ja kun merkittäviä, turvallisuuteen liittyviä muutoksia tapahtuu – ISO tulkitsee säännöllisiksi vähintään vuosittain.

Tarkastaja etsii sekä säännöllistä riippumatonta turvallisuusarviointia että tarkastusta, kun merkittäviä muutoksia tapahtuu, sekä luottaa siihen, että säännöllisiä tarkastuksia varten on suunnitelma. He vaativat myös todisteita siitä, että tarkastelut on suoritettu ja kaikki katsauksissa havaitut ongelmat tai parannukset hoidetaan asianmukaisesti.

A.18.2.2 Turvallisuuskäytäntöjen ja -standardien noudattaminen

ISMS-johtajien tulee säännöllisesti tarkistaa vastuualueensa tietojenkäsittelyn ja menettelyjen noudattaminen. Käytännöt ovat tehokkaita vain, jos niitä valvotaan ja niiden noudattamista testataan ja tarkistetaan säännöllisesti. Yleensä linjajohdon vastuulla on varmistaa, että heidän alainen henkilökuntansa noudattaa organisaation periaatteita ja valvontaa, mutta tätä tulisi täydentää satunnaisella riippumattomalla tarkastelulla ja auditoinnilla. Jos vaatimustenvastaisuutta havaitaan, se on kirjattava ja hallittava ja tunnistettava, miksi se tapahtui, kuinka usein se esiintyy ja tarve tehdä parannustoimia, jotka liittyvät joko valvontaan tai käyttäjän tietoisuuteen, kouluttamiseen tai koulutukseen, joka aiheutti virheen. noudattamatta jättäminen.

Tilintarkastajan tulee nähdä, että molemmat; Ennaltaehkäisevät politiikat, valvonta- ja tietoisuusohjelmat ovat käytössä, toteutettu ja tehokkaita. ja Reaktiivinen vaatimustenmukaisuuden seuranta, tarkistus ja auditointi ovat myös käytössä. He myös tarkastelevat, onko näyttöä siitä, kuinka parannuksia tehdään ajan mittaan, jotta varmistetaan vaatimustenmukaisuustason tai ylläpidon parantuminen, jos vaatimustenmukaisuus on jo 100 %. Tämä liittyy ISO 27001 -standardin 9 ja 10 päävaatimuksiin, jotka koskevat myös sisäisiä auditointeja, johdon tarkastuksia, parannuksia ja poikkeamia. Henkilöstön tietoisuus ja sitoutuminen kohdan A 7.2.2 mukaisesti on myös tärkeää sitoa tähän osaan vaatimustenmukaisuuden luottamuksen vuoksi.

A.18.2.3 Teknisen vaatimustenmukaisuuden tarkistus

Tietojärjestelmät tulee säännöllisesti tarkistaa organisaation tietoturvaperiaatteiden ja -standardien mukaisiksi. Automaattisia työkaluja käytetään yleensä järjestelmien ja verkkojen teknisen vaatimustenmukaisuuden tarkistamiseen, ja ne olisi tunnistettava ja otettava käyttöön tarpeen mukaan. Kun tällaisia ​​työkaluja käytetään, on tarpeen rajoittaa niiden käyttö vain muutamaan valtuutettuun henkilöstöön ja valvoa ja koordinoida huolellisesti niiden käyttöä, jotta järjestelmän saatavuudesta ja eheydestä ei vaarannu. Vaatimustenmukaisuuden testauksen riittävä taso riippuu liiketoiminnan vaatimuksista ja riskitasoista, ja tarkastaja odottaa näkevänsä todisteita näistä näkökohdista. He odottavat myös pystyvänsä tarkastamaan testausaikataulut ja -tiedot.

Miten ISMS.online auttaa noudattamisessa?

ISMS.online helpottaa huomattavasti tietoturvan vaatimustenmukaisuutta. Sisäänrakennetut hyväksymisprosessit ja automaattiset tarkistusmuistutukset tekevät elämästä paljon helpompaa ja tarjoavat "elämissuunnitelman" osoittamaan tarkastajille, että hallitset ISMS:ää. Ennalta täytetty sovellettavan lainsäädännön riskityökalu sisältää monia yleisiä lainsäädännön ja sääntelyn alueita, jotka jäävät usein huomiotta ja jotka helpottavat koko hallintaa. Sisäiset ja ulkoiset auditoinnit, korjaavat toimenpiteet, parannukset ja poikkeukset ovat kaikki helposti hallittavissa valmiilla työkaluilla ja ominaisuuksilla. Henkilöstön noudattaminen, olipa sitten henkilöstö, tavarantoimittajat tai muut, on helppo osoittaa myös Policy Pack -työkalulla. ISMS.online-kumppanit tarjoavat myös asiantuntijoiden riippumattomia terveystarkastuksia ja auditointitukea alustassasi tarvittaessa.