Kuinka välttää tuhoisat olettamukset ISO 27001 -standardin lausekkeella 9
Monet ammatilliset oppimiset ovat todella hyödyllisiä vain yritysmaailmassa. Mutta on yksi periaate, joka auttaa minua elämäni kaikissa osissa, aina lasten kouluttamisesta joka aamu sen unelmien Covidin jälkeisen loman suunnitteluun. Se on tämä:
- Olettamus on kaikkien katastrofien äiti
Jos teet vain oletuksia sen sijaan, että tarkastaisit asioita, et huomaa ongelmia ja ongelmia, kun ne ovat vielä pieniä ja helppoja korjata. Huomaat ne vasta, kun niitä on mahdotonta ohittaa ja ne ovat todennäköisesti tuhoisia.
Onneksi on helppoa ratkaisu. Älä tee olettamuksia. Korvaa ne käytännöllisillä, rakentavilla ja jäsennellyillä tarkastukset. Se voi tuntua tylsältä ja tylsältä, mutta se on aina välttämätöntä.
Miksi valvonnalla on väliä
Yksityiskohtiin keskittyvän kykynsä ansiosta yksi kollegoistamme aiemmassa roolissa:
- Auttoi silloista asiakastaan välttämään suuria taloudellisia ja mainevaurioita
- Pelasti monien virheellisten merenalaisten olentojen hengen
- Esti suuren kansainvälisen välikohtauksen
Hän auditoi merenalaista varastoyksikköä ennen sen asentamista merenpohjaan. Hän sai selville, että toimittaja oli käyttänyt siihen vääränlaista maalia. Maali hajoaisi nopeasti. Silloin varastoyksikkö hajoaisi nopeasti. Sitten se rikkoutuisi.
Yksikkö on suunniteltu sisältämään turvallisesti radioaktiivista materiaalia merenalaisia mittauksia varten.
Voitte kuvitella loput.
Kaikki luulivat, että maalitöiden tarkistaminen oli ajanhukkaa. Miten joku saattoi saada jotain niin perustavanlaatuista väärin? Kollegamme itse asiassa kritisoitiin liian nirsoinnista. Mutta jälleen kerran tosielämä osoitti, että olettamus on kaikkien katastrofien äiti.
ISO 27001 -valvonta
Koska auditointi on niin tärkeää, ISO 27001 kattaa sen yksityiskohtaisesti. Kohta 9 ISO 27001 pyytää sinua miettimään, miten:
- Mittaa ja aseta tavoitteet ISMS:n tehokkuudelle (Lauseke 9.1)
- Tarkista se säännöllisesti varmistaaksesi, että se osuu näihin kohteisiin (Lauseke 9.2)
- Pidä ylempi johtosi ajan tasalla (Lauseke 9.3)
Tämä antaa sinulle erittäin hyödyllisen infosec-valvonnan tarkistuslistan riippumatta siitä, oletko sitä vai et yhteensopiva tai sertifioitu. Vaikka meidän täytyy tavoittaa Lauseke 10.2 erittäin tärkeä viimeinen yksityiskohta:
- Harkitse parannusten tekemistä ISMS:ään sen perusteella, mitä olet löytänyt
Lauseke 9.1: ISMS:n tavoitteiden mittaaminen ja asettaminen
Tutkimaton ISMS ei ole hankkimisen arvoinen. Mutta tutkiaksesi sitä kunnolla sinun on tiedettävä, mitä etsit, mistä etsit ja kuka sitä etsii. Lauseke 9.1 pyytää sinua suunnittelemaan:
- Mitkä osat sinun tarvitsemasi ISMS pitää silmällä
- Kuinka aiot seurata, mitata, analysoida ja arvioida niitä
- Kuinka usein teet kaikki nämä tarkastukset
- Kuka tarkastaa
- Kuinka he raportoivat havainnoistaan
Varmista, että dokumentoit kaiken. Yksittäiset selkeät käytännön ohjeet estävät ihmisiä tekemästä olettamuksia. Tiedämme, minne he voivat johtaa…
Lauseke 9.2: ISMS:n auditointi
Nyt olet valmis todellisuuteen sisäinen tarkastus, kuten kohdassa 9.2 on määritelty. Täällä voit tarkistaa maalipinnan ja potkaista renkaita. Myös hampaiden läpi imeminen on vaihtoehto.
Periaatteessa tarkistat, että ISMS:si:
- Täyttää kaikki sille asettamasi tavoitteet
- Hyvin ajettu ja huollettu oikein
Yksi tarkastus ei riitä. Sinun täytyy suunnitella säännöllisiä tarkastuksia. Jokaisessa uudessa auditoinnissa on viitattava aikaisempiin, jotta tiedät varmasti, että otat esiin kaikki ongelmat ja vastaat niihin. Jokainen uusi tarkastus on siis dokumentoitava ja raportoitava selkeästi ja johdonmukaisesti.
Sinun on myös asetettava tietyt henkilöt vastuuseen jokaisesta tarkastuksesta. Niillä tulee olla selkeä soveltamisala jokaiselle tarkastukselle. Ja mikä tärkeintä, niiden on oltava objektiivisia. Valitse tilintarkastajat, jotka kyseenalaistavat olettamuksesi, eivät vahvista niitä.
Ja jokaisen auditoinnin tulee olla myönteinen, arvoa lisäävä prosessi. Ihannetapauksessa tarkastajat etsivät vaatimustenmukaisuutta ja ehkä työskentelevät tarkastettavan kanssa mahdollisten parannusten löytämiseksi. Tarkastaja EI etsi poikkeamia. Se vain sattuu joskus huomaamaan ne.
Kohta 9.3: Ylimmän johdon pitäminen ajan tasalla
Oletus, että ylin johto tietää, miten asiat menevät, on aina virhe. Sinun on varmistettava, että he ymmärtävät, ostavat ja (tarvittaessa) muokkaavat ISMS:si. Loppujen lopuksi as Lauseke 5 toteaa, he ovat viime kädessä vastuussa ISMS:stäsi.
Niin, lauseke 9.3 pyytää sinua suorittamaan säännöllisiä, suunniteltuja johdon arviointeja. Päivität ylimmälle johdolle, kuinka hyvin olet ISMS suojelee organisaatiotasi ja kattaa:
- Tietyt havaitut ongelmat ja kuinka olet korjannut ne
- Yleinen suorituskyky asettamiasi tavoitteita vastaan
- Kaikki kommentit tai palaute kiinnostuneet osapuolet
- Mitä tilintarkastajasi kertovat sinulle
- Yksityiskohdat meneillään riskinarviointi ja hoitoon
- Parannukset, joita suunnittelet tai olet tehnyt
Sinun tulisi myös hyödyntää heidän kattavaa yleiskuvaansa organisaatiostasi. Varmista, että he jakavat tiedot kaikista sisäisistä tai ulkoisista ongelmista, jotka voivat vaikuttaa ISMS:n laajuus ja toiminta. Ja tietysti saat heidät kiinni aiemmista arvosteluista johtuviin toimiin.
Niin, ja yksi suuri oletus on haastettava. Yleensä ihmiset olettavat, että johtamisjärjestelmän tarkistus on tehtävä kokouksena. Mutta missä kohdassa 9.2 niin sanotaan? Vihjemme: Se ei…
Viimeinen oletus, jonka haluamme välttää
Joten näin Lauseke 9 ISO 27001 -standardin avulla voit korvata epämääräiset oletukset käytännöllisillä, rakentavilla ja jäsennellyillä auditoinneilla. Sitten voit noudattaa lauseketta 10.2 ja toimia niiden mukaisesti.
Toivottavasti olemme näyttäneet sinulle, miten prosessi toimii, ja antaneet sinulle hyödyllisiä vinkkejä, joiden avulla voit pitää silmällä omia infosec-toimiasi.
Mutta se kuulostaa juuri siltä, mitä haluamme välttää: olettamukselta! Joten jos tämä viesti on ollut hyödyllinen tai inspiroiva, meille varmasti.
