ISO 27001 – Liite A.6: Tietoturvan organisaatio

Mikä on liitteen A.6.1 tavoite?

Liite A.6.1 koskee sisäistä organisaatiota. Tämän liite A -alueen tavoitteena on luoda johtamiskehys tietoturvan toteuttamisen ja toiminnan käynnistämiseksi ja valvomiseksi organisaatiossa.

Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin. Ymmärrämme nämä vaatimukset ja mitä ne tarkoittavat nyt hieman tarkemmin.

A.6.1.1 Tietoturvaroolit ja -vastuut

Kaikki tietoturvavastuut on määriteltävä ja jaettava. Tietoturvavastuut voivat olla yleisiä (esim. tietojen suojaaminen) ja/tai erityisiä (esim. vastuu tietyn luvan myöntämisestä).

Tietovarantojen tai omaisuusryhmien omistajuus tulee ottaa huomioon vastuita määriteltäessä. Joitakin esimerkkejä liiketoiminnallisista rooleista, joilla on todennäköisesti jonkin verran merkitystä tietoturvalle: Osastojen päälliköt; Liiketoimintaprosessien omistajat; Huoltojohtaja; HR-päällikkö; ja sisäinen tarkastaja.

Tarkastaja pyrkii saamaan varmuuden siitä, että organisaatio on riittävällä ja oikeasuhteisella tavalla organisaation koon ja luonteen mukaan tehnyt selväksi, kuka on vastuussa mistäkin. Pienemmille organisaatioille on yleensä epärealistista liittää näihin rooleihin ja vastuisiin kokopäiväisiä rooleja.

Sellaisenaan tiettyjen tietoturvavastuiden selventäminen olemassa olevissa työtehtävissä on tärkeää, esim. Operations Director tai CEO voi olla myös CISO:n, Chief Information Security Officer, vastine, jolla on kattava vastuu kaikesta ISMS:stä. CTO saattaa omistaa kaiken teknologiaan liittyvän tietovarannon jne.

A.6.1.2 Tehtävien eriyttäminen

Ristiriitaiset tehtävät ja vastuualueet on erotettava toisistaan, jotta vähennetään mahdollisuuksia organisaation omaisuuden luvattomaan tai tahattomaan muuttamiseen tai väärinkäyttöön.

Organisaation tulee kysyä itseltään, onko tehtävien eriyttämistä harkittu ja toteutettu tarvittaessa. Pienemmät organisaatiot voivat kamppailla tämän kanssa, mutta periaatetta tulisi soveltaa mahdollisimman pitkälle ja ottaa käyttöön hyvää hallintotapaa ja valvontaa korkeamman riskin/arvokkaamman tietovarallisuuden osalta, jotka otetaan osaksi riskien arviointia ja hoitoa.

A.6.1.3 Yhteydenpito viranomaisiin

Asianmukaisia ​​yhteyksiä asianomaisiin viranomaisiin on ylläpidettävä. Muista tätä valvontaa mukauttaessasi miettiä lakisääteisiä velvollisuuksia ottaa yhteyttä viranomaisiin, kuten poliisiin, tiedotusvaltuutettuun tai muihin sääntelyelimiin esimerkiksi GDPR:n suhteen.

Harkitse, miten tämä yhteydenotto otetaan, kuka tekee, missä olosuhteissa ja mitä tietoja annetaan.

A.6.1.4 Yhteydenpito erityisiin eturyhmiin

Asianmukaisia ​​yhteyksiä erityisiin sidosryhmiin tai muihin asiantuntijafoorumeihin ja ammattiyhdistyksiin tulee myös ylläpitää. Kun mukautat tätä ohjausta erityistarpeisiisi, muista, että jäsenyydet ammattijärjestöissä, toimialajärjestöissä, foorumeissa ja keskusteluryhmissä otetaan huomioon tässä hallinnassa.

On tärkeää ymmärtää kunkin näiden ryhmien luonne ja mihin tarkoitukseen ne on perustettu (esim. onko sillä kaupallinen tarkoitus).

A.6.1.5 Tietoturva projektinhallinnassa

Tietoturva on huomioitava projektinhallinnassa projektityypistä riippumatta. Tietoturvan tulee olla juurtunut organisaation rakenteeseen ja projektinhallinta on tässä avainalue. Suosittelemme mallikehysten käyttöä projekteissa, jotka sisältävät yksinkertaisen toistettavan tarkistuslistan osoittamaan, että tietoturvaa harkitaan.

Tarkastaja pyrkii varmistamaan, että kaikkien projekteihin osallistuvien ihmisten tehtävänä on pohtia tietoturvallisuutta projektin elinkaaren kaikissa vaiheissa, joten tämä tulisi myös huomioida osana koulutusta ja tietoisuutta A.7.2.2:n HR Securityn mukaisesti. .

Älykkäät organisaatiot yhdistävät myös A.6.1.5:n henkilötietoja koskeviin velvoitteisiin ja harkitsevat sisäänrakennettua turvallisuutta sekä tietosuojavaikutusten arviointeja (DPIA) ja vastaavia prosesseja osoittaakseen, että ne noudattavat yleistä tietosuoja-asetusta (GDPR) ja tietosuojalakia. 2018

ISMS.online sisältää yksinkertaiset, käytännölliset viitekehykset ja mallit tietoturvaan projektinhallinnassa sekä DPIA:n ja muiden asiaan liittyvien henkilötietojen arviointeihin, kuten Legitimate Interest Assessment (LIA:t).

Mikä on liitteen A.6.2 tavoite?

Liite A.6.2 koskee mobiililaitteita ja etätyötä. Tämän liite A -alueen tavoitteena on luoda hallintakehys etätyön ja mobiililaitteiden käytön turvallisuuden varmistamiseksi.

A.6 vaikuttaa oudolta paikalta suojata mobiililaitteita ja etätyökäytäntöjä, mutta se tekee niin, ja melkein kaikki kohdassa A.6.2 liittyy muihin liitteen A valvontatoimiin, koska suuri osa työelämästä sisältää mobiili- ja etätyön.

Etätyö sisältää tässä tapauksessa myös kotityöntekijät ja satelliiteissa työskentelevät, jotka eivät välttämättä tarvitse samoja fyysisen infrastruktuurin valvontaa kuin (sanotaan) pääkonttori, mutta jotka ovat kuitenkin altistuneet arvokkaalle tiedolle ja niihin liittyville resursseille.

A.6.2.1 Mobiililaitekäytäntö

Matkapuhelimien ja muiden mobiililaitteiden, kuten kannettavien tietokoneiden, tablettien jne. käytön aiheuttamien riskien hallitsemiseksi on otettava käyttöön politiikka ja sitä tukevat turvatoimenpiteet. Mobiililaitteiden kehittyessä älykkäämmäksi tämä toiminta-alue tulee paljon tärkeämmäksi perinteisen matkapuhelimen käytön lisäksi. puhelin. Mobiililaitteiden käyttö ja etätyö ovat samanaikaisesti erinomainen mahdollisuus joustavaan työskentelyyn ja mahdollinen tietoturvahaavoittuvuus.

BYOD tai Bring Your Own Device on myös tärkeä osa harkintaa. Vaikka henkilöstön omien laitteidensa käyttö tarjoaa valtavia etuja ilman riittävää valvontaa elämänkäytössä ja erityisesti poistumisessa, myös uhat voivat olla huomattavia.

Organisaation tulee olla varma siitä, että kun mobiililaitteita käytetään tai henkilökunta työskentelee paikan päällä, sen sekä asiakkaiden ja muiden kiinnostuneiden tieto on suojattu ja mieluiten sen hallinnassa. Siitä tulee yhä vaikeampaa kuluttajien pilvitallennustilan, automaattisen varmuuskopioinnin ja perheenjäsenten jakamien henkilökohtaisten laitteiden ansiosta.

Organisaation tulisi harkita "syväpuolustus"-strategian toteuttamista täydentävien fyysisten, teknisten ja poliittisten kontrollien yhdistelmällä. Yksi tärkeimmistä näkökohdista on koulutus, koulutus ja tietoisuus mobiililaitteiden käytöstä myös julkisilla paikoilla, jotta vältetään "ilmaisen" wifin riski, joka saattaa vaarantaa tiedot nopeasti tai estää kutsumattomia tarkkailijoita katsomasta näyttöä junamatkalla. Koti.

Tarkastaja haluaa nähdä, että käytössä on selkeät käytännöt ja valvontatoimenpiteet, jotka antavat varmuuden siitä, että tiedot pysyvät turvassa työskennellessäsi organisaation fyysisten toimipaikkojen ulkopuolella. Politiikkojen tulee kattaa seuraavat alueet:

• rekisteröinti ja hallinta
• fyysinen suojaus
• rajoitukset sille, mitä ohjelmistoja voidaan asentaa, mitä palveluita ja sovelluksia voidaan lisätä ja käyttää, valtuutettujen ja luvattomien kehittäjien käyttö
• laitepäivitysten ja korjaussovellusten käyttö
• saatavilla oleva tietojen luokittelu ja muut omaisuuden käyttörajoitukset (esim. ei infrastruktuurin kriittisen omaisuuden pääsyä)
• salaus, haittaohjelmat ja virustentorjunta odotukset
• sisäänkirjautumista, etäkäytön poistamista, poistamista, lukitusta ja "löydä laitteeni" -vaatimukset
• varmuuskopiointi ja tallennus
• perhe- ja muut käyttöehdot (jos BYOD) esim. tilien erottaminen
• käyttää julkisilla paikoilla
• yhteyksiä ja luotettavia verkkoja

A.6.2.2 Etätyö

Myös etätyömailla käsiteltyjen, käsiteltyjen tai tallennettujen tietojen suojaamiseksi on otettava käyttöön politiikka ja sitä tukevat turvatoimenpiteet. Etätyöllä tarkoitetaan kotityöskentelyä ja muuta paikan päällä tapahtuvaa työtä, kuten toimittaja- tai asiakastyömaalla. Etätyöntekijöille koulutus, koulutus ja tietoisuus mahdollisista riskeistä on kriittistä.

Tarkastaja odottaa näkevänsä mobiililaitteiden ja etätyön käyttöön ja turvatoimiin liittyviä päätöksiä asianmukaisen riskiarvioinnin perusteella, mikä tasapainottaa joustavan työskentelyn tarpeen ja käytön aiheuttamia mahdollisia uhkia ja haavoittuvuuksia.

Etätyö liittyy myös läheisesti moniin muihin liitteen A valvonta-alueisiin kohdissa A.6, A.8, A.9, A.10, A.11, A.12 ja A.13, joten liitä ne osaksi toimisto- ja etätyötapa päällekkäisyyksien ja aukkojen välttämiseksi. A.7 on myös olennainen etätyöntekijöiden seulonnan ja rekrytoinnin saaminen oikein, ja johtajuudesta koko elinkaaren ajan tulee keskeistä sisällyttää auditointeihin ja osoittaa tarkastajille, että etätyöntekijät eivät ole huonosti hallittu uhka.