ISO 27001 -vaatimus 8.3 – Tietoturvariskien käsittely

Mitä lauseke 8.3 sisältää?

Kohdan 8.3 mukaan vaatimus on, että organisaatio toteuttaa tietoturvariskien käsittelysuunnitelman ja säilyttää dokumentoidut tiedot riskien käsittelyn tuloksista. Tämä vaatimus koskee siis sen varmistamista, että kohdassa 6.1, Toimet riskeihin ja mahdollisuuksiin puuttumiseksi, kuvatut riskinkäsittelyprosessit todella toteutuvat. Tähän tulee sisältyä todisteita ja selkeitä tarkastelujen ja toimien auditointiketjuja, jotka osoittavat riskin liikkeet ajan mittaan investointien tulosten ilmetessä (etenkin myös antamalla organisaatiolle ja tarkastajalle luottamusta siihen, että riskien käsittelyt saavuttavat tavoitteensa). Kuten muutkin lausekkeen 8 osat, tämä saavutetaan jo, jos organisaatio on käsitellyt yleistä ISMS:ää kohdassa 7.5 esitetyllä lähestymistavalla.

Täyttää 8.3

Kohdan 8.3 vaatimusten täyttämiseksi sinun on kyettävä osoittamaan, että kohdassa 6.1 kuvattu riskinhallintasuunnitelma on toteutettu.

Kuten kohdassa 6.1 kuvataan tarkemmin, tämän on sisällettävä hoidon taustalla olevat todisteet. Yksinkertaisesti sanottuna "hoito" voi olla työtä, jota teet sisäisesti hallitaksesi ja sietääksesi riskiä, ​​tai se voi tarkoittaa toimenpiteitä, joita otat riskin siirtämiseksi (esim. toimittajalle), tai se voi olla riskin lopettamista kokonaan. Riskien hallintaan valituissa kontrolleissa on otettava huomioon standardin liitteessä A kuvatut, mutta ei rajoitu niihin. Nämä liitteen A kontrollit muodostavat soveltuvuusselvityksen (SoA), jossa kuvataan kaikki kontrollit ja miksi organisaatio on tai ei ole ottanut ne käyttöön.

Kuinka luoda riskihoito ja hallita riskienhoitoprosessiasi

Riskien käsittelyä tulisi harkita riskinarvioinnin ohella, ja se tulee viime kädessä ottaa huomioon myös SoA:ssa.

Yleensä organisaatiot huomaavat, että riskien hallinta ja osoittaminen on ISO 27001:n monimutkaisin osa. Lue äskettäinen artikkeli Tietoturvariskien hallinta selitettynä tutkiaksesi riskienhallintaa tarkemmin. Täysin toimivan riskiratkaisun löytäminen voi viedä päiviä, viikkoja tai kuukausia työtä.

Tämä pyrkimys tarkoittaa yhdenmukaisen riskinarviointimenetelmän luomista, tapaa dokumentoida ja kerätä todisteet koko turvallisuusriskien hallintaprosessista sekä käydä läpi ensimmäiset riskit ja hoidot.

ISMS.online-ohjelmistoratkaisu voi lyhentää tätä aikaa ja säästää valtavasti työtä prosessissa mukana tulevien riskinhallintatyökalujen ja -menetelmien avulla. ISMS.online tarjoaa myös:

• Mallikäytäntö standardin ISO 8:27001 lausekkeelle 2013
• Lausekkeen 6.1 mallipolitiikka ja menetelmät, jotka sisältävät kattavan mutta käytännöllisen lähestymistavan riskien tunnistamiseen, analysointiin ja hoitoon sekä jatkuvan seurannan ja arvioinnin
• Yksinkertaiset riskinhallintatyökalut, jotka on kuvattu yllä olevassa politiikassa ja metodologiassa, jotka tuottavat ja ylläpitävät hoitosuunnitelman
• Kokonainen joukko suosittuja riskejä sekä ehdotetut liitteen A hallintalaitteet, jotka liittyvät riskiin ja niiden hoitoon
• Työtilat, jotka tallentavat kaiken tehdyn työn, mahdollistavat dokumentoidun tiedon säilyttämisen työkaluissa ja tarjoavat linkkejä takaisin riskien ja ongelmien ratkaisemiseen käytettyihin ohjauksiin ja käytäntöihin.
• Dynaamisesti luotu soveltuvuuslausunto, josta on linkki liitteen A valvontaan
• Yksi yhdistetty paikka koko ISMS:n turvalliseen hallintaan

Hanki sertifiointi jopa 5 kertaa nopeammin ISMS.onlinen avulla

Vaatimustenmukaisuuden ei tarvitse olla monimutkaista – ISMS.online on suunniteltu auttamaan sinua saavuttamaan ISO 27001 -sertifikaatti nopeasti ja edullisesti ilman koulutusta.
Olemme virtaviivaistaneet ISO 27001 -prosessia Assured Results -menetelmällämme, 80-prosenttisella Headstartilla, omalla 24/7 Virtual Coachilla, helpolla käyttöönotolla ja asiantuntijatuella.

Varaa alustan esittely nähdäksesi, kuinka ISMS.online voi auttaa yritystäsi