Alta löydät ISO 27001:2013 -standardin ydinvaatimukset. Jos etsit päivitettyä
ISO 27001:2022 -ydinvaatimusten täyttämiseksi napsauta alla olevaa painiketta.
Mitä lauseke 7.5 sisältää?
Yksi ISO 27001:n tärkeimmistä vaatimuksista on siksi kuvata tietoturvan hallintajärjestelmäsi ja sitten osoittaa, kuinka sen aiotut tulokset saavutetaan organisaatiossa. On erittäin tärkeää, että kaikki ISMS:ään liittyvä on dokumentoitua, hyvin ylläpidettyä ja helposti löydettävissä, jos organisaatio haluaa saada riippumattoman ISO 27001 -sertifikaatin UKAS:n kaltaiselta taholta.
ISO 27001 -standardin lauseke 7.5 on jaettu seuraavasti:
Kohta 7.5.1 – ISO 27001:n yleiset asiakirjat
ISMS:n on sisällettävä selkeästi:
- Kuvaus siitä, miten se täyttää 4.1–10.2 perusvaatimukset, mukaan lukien riskinarviointi ja -käsittely, joka johtaa liitteen A valvontatoimien valintaan.
- Asiaankuuluvat liitteen A hallintalaitteet, jotka ovat osa sovellettavuusselvitystä – mikä käytännössä tarkoittaa, että sinulla on oltava luettelossa kaikki kontrollit. Vaikka organisaatio päättäisi, että valvonta ei ole relevantti, sen tulee dokumentoida, että jos sillä ei ole esimerkiksi liitteessä A 11.1.6 olevan toimitus- ja lastausalueiden tarvetta, koska se on puhtaasti digitaalista liiketoimintaa, sen on osoitettava tarkastajalle, että se on ei ole olemassa riskiä eikä tarvetta tällaiselle valvonnalle.
Kohta 7.5.2 – ISO 27001 -standardin dokumentoitujen tietojen luominen ja päivittäminen
ISO 27001 haluaa selkeyttä dokumentaatioon, etsii tunnistusta ja kuvausta, muotoa, tarkistusta ja hyväksyntää soveltuvuuden ja riittävyyden osalta sen tarkoitukseen. Näiden vaatimusten vivahteet on helppo unohtaa, mutta käytännössä tämä tarkoittaa tekijän, päivämäärän, otsikon, viitteen jne. huomioon ottamista, ja että hyväksyntäprosessi on myös erittäin tärkeä liitteen A 5.1.2 mukauttamiseksi, kuten alla kuvataan.
Kohta 7.5.3 – ISO 27001 -standardin dokumentoitujen tietojen valvonta
ISMS:n ytimessä on tietojen luottamuksellisuuden, eheyden ja saatavuuden periaate. Sama koskee itse ISMS:ää, sen on oltava saatavilla tarvittaessa ja riittävästi suojattu luottamuksellisuuden menettämiseltä, luvattomalta käytöltä tai mahdolliselta eheyden vaarantumiselta.
Pelkästään ISMS-sisällön tyhjentäminen tiimin jaetulle asemalle ja sen hallitsematon tai tehoton käyttöoikeus johtaisi lähes varmasti ongelmiin organisaatiolle auditoinnissa. Vastaavasti sen jättäminen henkilökohtaiselle ajomatkalle saavuttamattomille niille, jotka tarvitsevat tietoa ISMS:stä, olisi yhtä lailla ongelmallista, joten tehokkaan valvonnan kannalta on otettava huomioon useita alueita. ISO etsii organisaatiota, joka käsittelee seuraavia näkökohtia:
- jakamisen ja jakelun selkeys, pääsyn valvonta joihinkin tai kaikkiin ISMS:iin – pitäen mielessä, että käyttöoikeudet lukemiseen, päivittämiseen, hyväksymiseen, poistamiseen jne. saattavat joutua eroamaan sidosryhmien roolin mukaan
- tallennus ja säilytys, mukaan lukien muutosten hallinta (vanhempien versioiden näyttäminen, historialliset hyväksynnät jne.)
- myös säilyttämistä ja hävittämistä on harkittava
Tämä vaatimus on myös linjassa liitteessä A.5.1.2 korostetun politiikkojen säännöllisen tarkastelun kanssa, jota käsitellään myös jäljempänä.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Kuinka paljon on kirjoitettava, jotta ISMS:n dokumentaatio voidaan hyväksyä tarkastajalle?
Yksi tietoturvan hallinnan dokumentaatiosta usein kysytty kysymys on, kuinka paljon on tarpeeksi. Lyhyt vastaus on, että kyse on laadusta, ei määrästä. Niin kauan kuin organisaatio noudattaa alla tiivistettyjä vaatimuksia ja pystyy osoittamaan, ettei se tarvitse pitkää monisanaista dokumentaatiota, tilintarkastaja ottaa sen epäilemättä huomioon auditoinnissa – esim. koska kyseessä on pieni organisaatio, jolla on vähän osallistujia ISMS:n ympärillä. , vakaa, selkeä, hyvin huollettu ja yksinkertainen käyttää.
Onko tietoturvan hallintajärjestelmän dokumentaatio "sanatyylisiä asiakirjoja" vai onko muunlainen sisältö sallittu?
Tiedustelut siitä, millaista dokumentaatiota odotetaan, on yksi muista usein kysytyistä kysymyksistä tietoturvan hallintajärjestelmän kappaleen 7.5 dokumentaatiosta. Itse asiassa ISO 27001 toteaa selvästi huomautuksensa oheisessa lausekkeessa 7.5.1:
"Tietoturvallisuuden hallintajärjestelmän dokumentoidun tiedon määrä voi vaihdella organisaatioittain seuraavista syistä:"
- organisaation koko ja sen toimintojen, prosessien, tuotteiden ja palvelujen tyyppi;
- prosessien ja niiden vuorovaikutusten monimutkaisuus; ja
- henkilöiden pätevyys.
Useat ISO 27001 -tietoturvadokumentaation "työkalupakkauksen" toimittajat ovat pitäneet yllä myyttiä, jonka mukaan ISMS:n dokumentoitujen tietojen on oltava Word-asiakirjoja ja Excel-laskentataulukoita. On selvää, että näillä asiakirjoilla voi olla paikka ISMS:ssä (esim. siellä, missä myös kuvia tai monimutkaisia prosesseja on viestittävä), mutta niitä tulisi käyttää säästeliäästi parempien verkkotyökalujen myötä.
Verkkopalvelut, kuten ISMS.online, helpottavat dokumenttien käsittelyä perinteisemmällä tavalla ja tarjoavat myös tehokkaampia tapoja hallita dokumentaatiota, mikä parantaa hallintaa ja koordinointia, parempia tapoja jakaa ja julkaista yleisölle sekä helpottaa koko alla olevan kohdan 7.5 vaatimusten mukaista dokumentin hallintaprosessia huomattavasti. Se tarkoittaa myös sitä, että vanhat ajat, jolloin aikaa kului dokumenttien etusivuilla, joilla näkyivät kaikki versiomuutokset ja sähköpostitse lähetetyt hyväksynnät, ovat kaukana takanapäin!
Liite 7.5 liitteen A ohjaimiin
Kun ajatellaan, että lausekkeen 7.5 vaatimukset sopivat myös liitteiden valvontatavoitteisiin, on vielä järkevämpää ajatella yhdistettyä hyvin koordinoitua hallintajärjestelmää vanhanaikaisten asiakirjojen ja yhteisten tallennusasemien sijaan. Esimerkkejä kohdan 7.5 liittämisestä liitteen A ohjaimiin ovat:
Liite A 5.1.1
Tietoturvapolitiikat on määriteltävä, ja niiden on oltava johdon hyväksymiä, julkaistava ja tiedotettava työntekijöille ja asiaankuuluville ulkopuolisille tahoille. Asiakirjojen hyväksynnän osoittaminen sinänsä ei ole helppoa, ja sidosryhmät eivät todennäköisesti ymmärrä tai omaksu raskaita asiakirjoja, vaikka ne olisikin tiedotettu (mikä altistaa organisaation vaatimustenvastaisuudelle ja tietämättömyydestä johtuville tappioille).
Liite A 5.1.2
Tietoturvakäytäntöjen tarkastelu. ISO 27001 sanoo, että käytännöt tulee tarkistaa säännöllisesti suunnitelluin väliajoin (tai jos merkittäviä muutoksia tapahtuu) niiden jatkuvan sopivuuden varmistamiseksi. Riippumattomat ISO-auditoijat odottavat näkevänsä tämän tarkastelun vähintään kerran vuodessa kunkin politiikan osalta.
Liite A 18.2
Tämä liitteen A mukainen kontrolli koskee tietoturvakatselmuksia, ja hyvin toteutettuna se integroituu saumattomasti lausekkeeseen 7.5, joka koskee tietoturvallisuuden hallintajärjestelmän (ISMS) dokumentaation hallintaa, mukaan lukien riippumattomat katselmoinnit, vaatimustenmukaisuuden tarkastukset ja tarvittaessa myös teknisen vaatimustenmukaisuuden tarkastukset. Vanhanaikaisten dokumenttien tarkistaminen, versionhallinta, päivitysten näyttäminen ja sitten hyväksyminen silloin, kun niiden ei tarvitse olla varsinaisia dokumentteja, voi todella hidastaa tietoturvallisuuden hallintajärjestelmän ylläpitäjiä. Se voi myös viivästyttää tai menettää henkilöstön sitoutumista ja johtaa vaatimustenvastaisuuteen.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Kuinka hallita dokumentaatiota ISMS:ssäsi?
Lauseke 7.5 on helppo ymmärtää väärin ja sekaantua, mikä johtaa tarkastuksen epäonnistumiseen tai ehkä ratkaisun ylisuunnitteluun ja liian kauan sellaisen hallintajärjestelmän rakenteen rakentamiseen, jota on liian vaikea ylläpitää ensimmäisessä muutoksessa. ISMS.online Business Case Planner tarkastelee rakentamisen ja ostamisen vaihtoehtoja, joten tarkista se, jos harkitset oman ratkaisusi luomista.
On todella vaikeaa onnistua ja täyttää kaikki kohdan 7.5 ja siihen liittyvien liitteen A vaatimusten vaatimukset. Siksi monet organisaatiot etsivät tarkoitukseen rakennettua ISMS-ohjelmistoratkaisua ja haluavat jotain, jolla on ISMS.onlinen ominaisuudet.
Loppujen lopuksi et tuhlaa aikaa oman CRM- tai rahoitusjärjestelmän rakentamiseen, kun muut ovat jo käyttäneet aikaa oikean ratkaisun kehittämiseen, joka voidaan toimittaa suoraan käyttövalmiiksi murto-osalla tee-se-itse-ratkaisun kustannuksista. ei kuulu organisaation ydinosaamiseen.
ISMS.online tarjoaa helposti seurattavan rakenteen kaikille vaadituille dokumenteille. Se noudattaa täsmälleen samaa rakennetta kuin itse standardi, joten sinä ja tilintarkastaja voitte helposti ja nopeasti siirtyä tarvittaviin dokumentteihin. Siinä on sisäänrakennetut roolit ja käyttöoikeudet dokumenttien käyttämiseen, muokkaamiseen, hyväksymiseen ja jakamiseen. Mukana on myös automaattinen versionhallinta ja muistutuksia tarkistuksista. Olemme menneet askeleen pidemmälle ja sisällyttäneet käytäntö- ja valvontadokumentaation, jota voit ottaa käyttöön, mukauttaa ja täydentää suoraan paketista.
ISMS.online-ohjelmistoratkaisun avulla voit keskittyä tietoturvallisuuden hallintaan (ISMS) liittyviin tavoitteisiisi. ISMS.online tekee hallinnosta helppoa, joten voit helposti luoda, hallita, koordinoida, hallita ja jakaa dokumentaatiotasi sidosryhmille, mukaan lukien käytäntöpakettien kautta, mikä lisää vaatimustenmukaisuuden luotettavuutta kokonaisvaltaisesti. Se antaa sinulle myös kaikki työkalut standardin edellyttämien monien työprosessien suorittamiseen. Siksi sanomme myös, että tarjoamamme asiakirjat ovat "käytännön kannalta hyödynnettäviä". Ne ovat enemmän kuin yksinkertaisia asiakirjapohjia, joiden tulkinta ja prosessien esittely on sinun vastuullasi. ISMS.online on kokonainen tietoturvallisuuden hallintaratkaisu yhdessä paikassa.
Hanki sertifiointi jopa 5 kertaa nopeammin ISMS.onlinen avulla
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista – ISMS.online on suunniteltu auttamaan sinua saavuttamaan ISO 27001 -sertifikaatti nopeasti ja edullisesti ilman koulutusta.
Olemme virtaviivaistaneet ISO 27001 -prosessia Assured Results -menetelmällämme, 80-prosenttisella Headstartilla, omalla 24/7 Virtual Coachilla, helpolla käyttöönotolla ja asiantuntijatuella.
Varaa alustademo ja katso, miten ISMS.online voi auttaa yritystäsi.
