ISO 27001:n vaatimus 7.5 – Dokumentoitu tieto

Mitä lauseke 7.5 sisältää?

Yksi ISO 27001:n tärkeimmistä vaatimuksista on siksi kuvata tietoturvan hallintajärjestelmäsi ja sitten osoittaa, kuinka sen aiotut tulokset saavutetaan organisaatiossa. On erittäin tärkeää, että kaikki ISMS:ään liittyvä on dokumentoitua, hyvin ylläpidettyä ja helposti löydettävissä, jos organisaatio haluaa saada riippumattoman ISO 27001 -sertifikaatin UKAS:n kaltaiselta taholta.

ISO 27001 -standardin lauseke 7.5 on jaettu seuraavasti:

Kohta 7.5.1 – ISO 27001:n yleiset asiakirjat

ISMS:n on sisällettävä selkeästi:

• Kuvaus siitä, miten se täyttää 4.1–10.2 perusvaatimukset, mukaan lukien riskinarviointi ja -käsittely, joka johtaa liitteen A valvontatoimien valintaan.
• Asiaankuuluvat liitteen A hallintalaitteet, jotka ovat osa sovellettavuusselvitystä – mikä käytännössä tarkoittaa, että sinulla on oltava luettelossa kaikki kontrollit. Vaikka organisaatio päättäisi, että valvonta ei ole relevantti, sen tulee dokumentoida, että jos sillä ei ole esimerkiksi liitteessä A 11.1.6 olevan toimitus- ja lastausalueiden tarvetta, koska se on puhtaasti digitaalista liiketoimintaa, sen on osoitettava tarkastajalle, että se on ei ole olemassa riskiä eikä tarvetta tällaiselle valvonnalle.

Kohta 7.5.2 – ISO 27001 -standardin dokumentoitujen tietojen luominen ja päivittäminen

ISO 27001 haluaa selkeyttä dokumentaatioon, etsii tunnistusta ja kuvausta, muotoa, tarkistusta ja hyväksyntää soveltuvuuden ja riittävyyden osalta sen tarkoitukseen. Näiden vaatimusten vivahteet on helppo unohtaa, mutta käytännössä tämä tarkoittaa tekijän, päivämäärän, otsikon, viitteen jne. huomioon ottamista, ja että hyväksyntäprosessi on myös erittäin tärkeä liitteen A 5.1.2 mukauttamiseksi, kuten alla kuvataan.

Kohta 7.5.3 – ISO 27001 -standardin dokumentoitujen tietojen valvonta

ISMS:n ytimessä on tietojen luottamuksellisuuden, eheyden ja saatavuuden periaate. Sama koskee itse ISMS:ää, sen on oltava saatavilla tarvittaessa ja riittävästi suojattu luottamuksellisuuden menettämiseltä, luvattomalta käytöltä tai mahdolliselta eheyden vaarantumiselta.

Pelkästään ISMS-sisällön tyhjentäminen tiimin jaetulle asemalle ja sen hallitsematon tai tehoton käyttöoikeus johtaisi lähes varmasti ongelmiin organisaatiolle auditoinnissa. Vastaavasti sen jättäminen henkilökohtaiselle ajomatkalle saavuttamattomille niille, jotka tarvitsevat tietoa ISMS:stä, olisi yhtä lailla ongelmallista, joten tehokkaan valvonnan kannalta on otettava huomioon useita alueita. ISO etsii organisaatiota, joka käsittelee seuraavia näkökohtia:

• jakamisen ja jakelun selkeys, pääsyn valvonta joihinkin tai kaikkiin ISMS:iin – pitäen mielessä, että käyttöoikeudet lukemiseen, päivittämiseen, hyväksymiseen, poistamiseen jne. saattavat joutua eroamaan sidosryhmien roolin mukaan
• tallennus ja säilytys, mukaan lukien muutosten hallinta (vanhempien versioiden näyttäminen, historialliset hyväksynnät jne.)
• myös säilyttämistä ja hävittämistä on harkittava

Tämä vaatimus on myös linjassa liitteessä A.5.1.2 korostetun politiikkojen säännöllisen tarkastelun kanssa, jota käsitellään myös jäljempänä.

Kuinka paljon on kirjoitettava, jotta ISMS:n dokumentaatio voidaan hyväksyä tarkastajalle?

Yksi tietoturvan hallinnan dokumentaatiosta usein kysytty kysymys on, kuinka paljon on tarpeeksi. Lyhyt vastaus on, että kyse on laadusta, ei määrästä. Niin kauan kuin organisaatio noudattaa alla tiivistettyjä vaatimuksia ja pystyy osoittamaan, ettei se tarvitse pitkää monisanaista dokumentaatiota, tilintarkastaja ottaa sen epäilemättä huomioon auditoinnissa – esim. koska kyseessä on pieni organisaatio, jolla on vähän osallistujia ISMS:n ympärillä. , vakaa, selkeä, hyvin huollettu ja yksinkertainen käyttää.

Onko tietoturvan hallintajärjestelmän dokumentaatio "sanatyylisiä asiakirjoja" vai onko muunlainen sisältö sallittu?

Tiedustelut siitä, millaista dokumentaatiota odotetaan, on yksi muista usein kysytyistä kysymyksistä tietoturvan hallintajärjestelmän kappaleen 7.5 dokumentaatiosta. Itse asiassa ISO 27001 toteaa selvästi huomautuksensa oheisessa lausekkeessa 7.5.1:

"Tietoturvallisuuden hallintajärjestelmän dokumentoidun tiedon määrä voi vaihdella organisaatioittain seuraavista syistä:"

• organisaation koko ja sen toimintojen, prosessien, tuotteiden ja palvelujen tyyppi;
• prosessien ja niiden vuorovaikutusten monimutkaisuus; ja
• henkilöiden pätevyys.

Useat ISO 27001 -tietoturvadokumentaation "työkalupakkauksen" toimittajat ovat pitäneet yllä myyttiä, jonka mukaan ISMS:n dokumentoitujen tietojen on oltava Word-asiakirjoja ja Excel-laskentataulukoita. On selvää, että näillä asiakirjoilla voi olla paikka ISMS:ssä (esim. siellä, missä myös kuvia tai monimutkaisia ​​prosesseja on viestittävä), mutta niitä tulisi käyttää säästeliäästi parempien verkkotyökalujen myötä.

Online-palvelut, kuten ISMS.online, helpottavat asiakirjoja perinteisemmällä tavalla ja tarjoavat myös tehokkaampia tapoja hallita dokumentaatiota, joka voi osoittaa paremman hallinnan ja koordinoinnin, parempia tapoja jakaa ja julkaista yleisöille ja tehdä koko dokumentaation hallinnan prosessista lauseke 7.5 alla paljon helpompaa. Se tarkoittaa myös sitä, että vanhat ajat, jolloin tuhlattiin aikaa asiakirjojen etusivuilla, joista näkyy kaikki versiomuutokset ja hyväksynnät sähköpostitse, ovat jo menneet!

Liite 7.5 liitteen A ohjaimiin

Kun ajatellaan, että lausekkeen 7.5 vaatimukset sopivat myös liitteiden valvontatavoitteisiin, on vielä järkevämpää ajatella yhdistettyä hyvin koordinoitua hallintajärjestelmää vanhanaikaisten asiakirjojen ja yhteisten tallennusasemien sijaan. Esimerkkejä kohdan 7.5 liittämisestä liitteen A ohjaimiin ovat:

Liite A 5.1.1

Tietoturvapolitiikan on määrittelyn lisäksi oltava johdon hyväksymiä, julkaistava ja tiedotettava työntekijöille ja asiaankuuluville ulkopuolisille osapuolille. Asiakirjojen hyväksynnän osoittaminen sinänsä ei ole helppoa, ja sidosryhmät eivät todennäköisesti ymmärrä tai ymmärrä raskaan sarjan asiakirjojen julkaisemista, vaikka ne olisikin välitetty (jolloin organisaatio on vaarassa noudattaa vaatimuksia ja menettää tietämättömyyden vuoksi).

Liite A 5.1.2

Tietoturvakäytäntöjen tarkastelu. ISO 27001 sanoo, että käytännöt tulee tarkistaa säännöllisesti suunnitelluin väliajoin (tai jos merkittäviä muutoksia tapahtuu) niiden jatkuvan sopivuuden varmistamiseksi. Riippumattomat ISO-auditoijat odottavat näkevänsä tämän tarkastelun vähintään kerran vuodessa kunkin politiikan osalta.

Liite A 18.2

Tämä liitteen A hallinta koskee tietoturvatarkastuksia, ja se integroituu siististi lausekkeeseen 7.5, joka koskee ISMS:n dokumentaation hallintaa, mukaan lukien riippumattomat tarkastukset, vaatimustenmukaisuuden ja tarvittaessa myös teknisen vaatimustenmukaisuuden tarkistukset. Tarkastus, versionhallinta, päivitysten näyttäminen ja sitten vanhojen hyväksyminen muokatut asiakirjat, joissa niiden ei tarvitse olla asiakirjoja sinänsä, voivat todella hidastaa ISMS:n ylläpitäjiä. Se voi myös viivästyttää tai menettää henkilöstön sitoutumisen ja johtaa noudattamatta jättämiseen.

Kuinka hallita dokumentaatiota ISMS:ssäsi?

Lauseke 7.5 on helppo ymmärtää väärin ja sekaantua, mikä johtaa tarkastuksen epäonnistumiseen tai ehkä ratkaisun ylisuunnitteluun ja liian kauan sellaisen hallintajärjestelmän rakenteen rakentamiseen, jota on liian vaikea ylläpitää ensimmäisessä muutoksessa. ISMS.online Business Case Planner tarkastelee rakentamisen ja ostamisen vaihtoehtoja, joten tarkista se, jos harkitset oman ratkaisusi luomista.

On todella vaikea saada oikealle ja täyttää kaikki lausekkeen 7.5 vaatimukset ja siihen liittyvät liitteen A hallintalaitteet. Tästä syystä monet organisaatiot etsivät tarkoitukseen rakennettua ISMS-ohjelmistoratkaisua ja haluavat jotain, jolla on ISMS.onlinen ominaisuudet.

Loppujen lopuksi et tuhlaa aikaa oman CRM- tai rahoitusjärjestelmän rakentamiseen, kun muut ovat jo käyttäneet aikaa oikean ratkaisun kehittämiseen, joka voidaan toimittaa suoraan käyttövalmiiksi murto-osalla tee-se-itse-ratkaisun kustannuksista. ei kuulu organisaation ydinosaamiseen.

ISMS.online tarjoaa helposti seurattavan rakenteen kaikille vaadituille asiakirjoille. Se noudattaa täsmälleen samaa rakennetta kuin itse standardi, joten sinä ja tilintarkastaja voitte helposti ja nopeasti navigoida vaadittuun dokumentaatioon. Siinä on sisäänrakennetut roolit ja käyttöoikeudet, muokkaus, hyväksyminen ja jakaminen. Siellä on myös automaattinen versionhallinta ja muistutukset arvosteluista. Olemme jopa menneet askeleen pidemmälle ja lisänneet käytäntö- ja valvontadokumentaatiota, jonka voit ottaa käyttöön, mukauttaa ja lisätä heti käyttöön.

ISMS.online-ohjelmistoratkaisun avulla voit keskittyä ISMS-tavoitteisiisi. ISMS.online tekee hallinnosta kevyen työn, joten voit helposti luoda, hallita, koordinoida, hallita ja jakaa dokumentaatiosi sidosryhmille, mukaan lukien Policy Packs -paketit, jotka lisäävät lopullista luottamusta noudattamiseen. Se antaa sinulle myös kaikki työkalut standardien vaatimien monien työprosessien suorittamiseen. Tästä syystä sanomme myös, että toimittamamme asiakirjat ovat "toimikelpoisia". Ne ovat enemmän kuin yksinkertaisia ​​asiakirjamalleja, joiden avulla voit tulkita ja löytää tapa esitellä prosessejasi… ISMS.online on kokonainen ISMS-ratkaisu yhdessä paikassa.

Hanki sertifiointi jopa 5 kertaa nopeammin ISMS.onlinen avulla

Vaatimustenmukaisuuden ei tarvitse olla monimutkaista – ISMS.online on suunniteltu auttamaan sinua saavuttamaan ISO 27001 -sertifikaatti nopeasti ja edullisesti ilman koulutusta.
Olemme virtaviivaistaneet ISO 27001 -prosessia Assured Results -menetelmällämme, 80-prosenttisella Headstartilla, omalla 24/7 Virtual Coachilla, helpolla käyttöönotolla ja asiantuntijatuella.

Varaa alustan esittely nähdäksesi, kuinka ISMS.online voi auttaa yritystäsi