Mikä on soveltuvuuslausunto?
Yksinkertaisesti sanottuna tavoitteenaan suojella arvokasta tietovarallisuutta ja hallita tietojenkäsittelylaitteita SoA ilmoittaa, mitä ISO 27001 -valvontaa ja -käytäntöjä organisaatio soveltaa. Se vertailee ISO 27001 -standardissa asetettua liitteen A valvontaa (kuvattu ISO-standardiasiakirjan takana vertailutavoitteina ja -kontrolleina).
Soveltuvuusselvitys löytyy ISO 6.1.3 -standardin päävaatimusten kohdasta 27001, joka on osa laajempaa 6.1:tä, joka keskittyy toimiin riskien ja mahdollisuuksien käsittelemiseksi.
SoA on siksi olennainen osa pakollista ISO 27001 -dokumentaatiota, joka on esitettävä ulkopuoliselle tarkastajalle, kun ISMS:lle tehdään riippumaton auditointi esim. UKAS-auditointisertifiointielimen toimesta.
Keitä ISO 27001 koskee?
ISO 27001 soveltuu kaikentyyppisiin ja -kokoisiin organisaatioihin, mukaan lukien julkiset ja yksityiset yritykset, julkisyhteisöt ja voittoa tavoittelemattomat organisaatiot. Yhteinen lanka organisaation koosta, tyypistä, maantieteellisestä sijainnista tai toimialasta riippumatta on, että organisaatio pyrkii esittelemään parhaita käytäntöjä tietoturvan hallinnassa. Parhaat käytännöt voidaan tietysti tulkita eri tavalla.
ISO-standardissa on kyse tietoturvariskien hallintajärjestelmän kehittämisestä. Riippuen siis organisaation johtajuuden halusta tietoriskiin ja riskien hallintaan liittyvien resurssien laajuudesta, sovellettavat kontrollit ja käytännöt voivat vaihdella huomattavasti organisaatioittain, mutta silti ne täyttävät ISO 27001 -valvontatavoitteet.
On kuitenkin selvää, että ISO 27001 -sertifioinnin saavuttaminen hyväksytyn ISO-sertifiointielimen suorittaman riippumattoman auditoinnin kautta tarkoittaa, että organisaatio on saavuttanut tunnustetun hallintatason (standardina paras käytäntö) tietoresursseille ja käsittelylaitoksille.
ISO 27001 -sertifikaatti antaa kiinnostuneille osapuolille, kuten tehokkaille asiakkaille ja tulevaisuudennäkymille, korkeamman tason luottamusta kuin itse kehitetyt menetelmät tai vaihtoehtoiset standardit, joilla ei ole samaa riippumatonta auditointia tai kansainvälistä tunnustusta.
Hanki opas
ISO 27001 menestys
Kaikki mitä sinun tulee tietää saavuttaaksesi ISO 27001 ensimmäistä kertaa
Hanki ilmainen opasMiksi SoA on tärkeä?
Yhdessä tietoturvan hallintajärjestelmän Scope (ISO 4.3:n 27001) kanssa SoA tarjoaa yhteenvetoikkunan organisaation käyttämistä ohjauksista. SoA on perusedellytys ISMS:n ISO-sertifioinnin saavuttamiselle ja laajuuden ohella yksi ensimmäisistä asioista, joita tilintarkastaja tarkastelee tarkastustyössään.
Tämän dokumentaation on oltava saatavilla tarkastettavaksi vaiheen 1 sertifiointiauditoinnin aikana, vaikka siihen perehdytään vain vaiheen 2 auditoinnin aikana, jolloin auditoija testaa joitain ISO 27001 -kontrolleista ja varmistaa, että ne eivät vain kuvaa, vaan myös osoittavat riittävästi. valvontatavoitteet saavutetaan.
Tarkastaja tarkastelee tietovarastoa, harkitsee riskejä, niiden arviointia ja hoitoja sekä etsii fyysistä näyttöä siitä, että organisaatio on toteuttanut tyydyttävästi ne kontrollit, jotka se väittää vähentävän riskiä.
SoA ja laajuus kattavat organisaation tuotteet ja palvelut, sen tietovarat, prosessointitilat, käytössä olevat järjestelmät, mukana olevat ihmiset ja liiketoimintaprosessit, olipa kyseessä sitten virtuaalinen yhden henkilön yritys tai monitoimipaikkainen kansainvälinen operaatio, jossa työskentelee tuhansia työntekijöitä.
Tehokkaat koulutetut asiakkaat, joilla on merkittävä tietoriski (esim. GDPR:n tai muiden kaupallisten tietoresurssien vuoksi), saattavat haluta nähdä laajuuden ja vaatimustenmukaisuuden ennen ostamista toimittajalta varmistaakseen, että ISO-sertifiointi todella koskee heidän liiketoimintaansa liittyviä osa-alueita. omaisuutta.
Ei ole hyvä hankkia Iso-Britannian pääkonttorille ISO-sertifikaatti, jossa on laajuus ja soA, kun todellinen tietojenkäsittelyriski tapahtuu offshore-rakennuksessa, jonka resurssit eivät ole voimassa! Tämä on itse asiassa yksi syy siihen, miksi sertifiointielimet rohkaisevat nyt "koko organisaation" soveltamisalaa, mikä voi tietysti tarkoittaa, että vaaditaan paljon laajempi ja syvällisempi soveltuvuuslausunto.
Yhteenvetona voidaan todeta, että hyvin esitetty ja helposti ymmärrettävä vaatimustenmukaisuustodistus osoittaa sovellettavien ja toteutettujen liitteen A kontrollien välisen suhteen, kun otetaan huomioon riskit ja tietovarat. Se antaa tarkastajalle tai muulle asiasta kiinnostuneelle valtavan varmuuden siitä, että organisaatio ottaa tietoturvan johtamisen vakavasti, varsinkin jos tämä kaikki yhdistetään kokonaisvaltaiseksi tietoturvan hallintajärjestelmäksi.
Mikä on liite A ISO 27001?
ISO 27001:n liite A on luettelo tietoturvallisuuden valvontatavoitteista ja -toimenpiteistä, jotka on otettava huomioon ISO 27001 -standardin käyttöönoton aikana. ISO:lle käytetty tekninen termi koskee valvonnan "perustelua". SoA osoittaa, onko liitteen A ohjaus:
- Sovellettavissa ja toteutettu nyt kontrollina
- Sovellettavissa, mutta ei toteutettu kontrollina (esim. se saattaa olla osa parannusta tulevaisuutta varten ja sisällytetty 10.2:een osana parannusta tai johto on valmis sietämään riskin, kun otetaan huomioon muut toteutetut valvontaprioriteetit)
- Ei sovelleta (huomaa, että jos jotakin ei pidetä soveltuvana, tarkastaja pyrkii ymmärtämään, miksi näin on, myös siitä tulee pitää dokumentoitu kirjaa vakuutustodistuksessa).
Säätimet on tarkistettava ja päivitettävä säännöllisesti 3 vuoden ISO-sertifioinnin elinkaaren aikana. Tämä on osa jatkuvaa tietoturvan hallinnan kehittämisfilosofiaa, joka on sisällytetty standardiin. Kyberrikollisuuden kasvun nopeutuessa myös kyberturvallisuus etenee nopeasti, joten mikä tahansa vähemmän kuin vuosittainen valvonnan tarkastus voisi lisätä organisaation uhkia.
Kuinka monta säädintä ISO:27001:ssä on?
ISO 27001:2022 -standardin liitteen A hallintalaitteet on organisoitu uudelleen, konsolidoitu ja modernisoitu. 93 ohjausobjektia (114:stä vuonna 2013) on nyt luokiteltu neljään avainhallintaryhmään edellisen version 14 toimialueen sijaan.
1. Organisaation hallintalaitteet (37 valvontaa)
Mitä se kattaa:
Nämä kontrollit keskittyvät hallintoon, riskienhallintaan, toimintaturvallisuuteen ja vaatimustenmukaisuuteen.
Miksi tämä luokka yhdistettiin ja päivitettiin:
- Yksinkertaistettu vaatimustenmukaisuus ja riskienhallinta – Aiemmin vaatimustenmukaisuuteen liittyvät hallintalaitteet olivat hajallaan useille aloille (esim. A.18 – Vaatimustenmukaisuus ja A.6 – Tietoturvan organisaatio).
- Keskity moderniin turvallisuuden hallintaan – Riskien arviointi, uhkien tiedustelu ja toimittajien turvallisuus on nyt yhdistetty tähän kategoriaan, jotta ne mukautuvat kehittyviin liiketoimintakäytäntöihin.
- Parempi integraatio ISO 31000 (riskinhallinta) -standardin kanssa – Auttaa organisaatioita yhdenmukaistamaan riskinarviointi- ja hoitomenetelmät maailmanlaajuisten standardien kanssa.
Tämän luokan tärkeimmät säätimet:
- A.5.7 – Uhkien tiedustelu (uusi) – Lisätty käsittelemään reaaliaikaista uhkien seurantaa ja tiedustelutietojen jakamista.
- A.5.21 – Tietoturvahäiriöiden hallinta (yhdistetty) – Kokoaa aikaisemmat häiriötilanteet ja lokivaatimukset.
- A.5.31 – Lakisääteiset, lakisääteiset ja sopimusperusteiset vaatimukset (Yhdistetty) – Yhdistää A.18.1.1 (Sovellettavan lainsäädännön ja sopimusvaatimusten tunnistaminen) ja A.18.1.4 (Yksityisyys ja henkilötietojen suoja) yhdeksi vaatimustenmukaisuuskehykseksi.
2. Henkilösäätimet (8 säädintä)
Mitä se kattaa:
Nämä valvontatoimenpiteet koskevat ihmisten turvallisuusriskejä, mukaan lukien turvallisuustietoisuus, koulutus ja työntekijöiden vastuut.
Miksi tämä luokka yhdistettiin ja päivitettiin:
- Ihmiset ovat heikoin lenkki – Suuri osa tietoturvaloukkauksista johtuu inhimillisistä virheistä, tietojenkalastelusta tai manipuloinnista.
- Aiemmin hajallaan useille verkkotunnuksille – A.7 (Human Resource Security) ja A.12 (Operational Security) sisälsivät ihmisiin liittyviä ohjausobjekteja, mikä vaikeutti turvallisuustietoisuuden ja koulutuksen kokonaisvaltaista hallintaa.
- Vastaa kyberturvallisuustyöntekijöiden koulutustrendejä – Tietoturvatietoisuusohjelmat painottavat nyt jatkuvaa oppimista, simuloituja tietojenkalasteluhyökkäyksiä ja roolipohjaista turvallisuuskoulutusta.
Tämän luokan tärkeimmät säätimet:
- A.6.3 – Tietoturvatietoisuus, koulutus ja koulutus (yhdistetty) – Yhdistää kohdan A.7.2.2 (tietoturvatietoisuus, koulutus ja koulutus) kohdan A.6.2 (sisäisen organisaation vastuut) elementteihin keskittyäkseen entistä vahvemmin jatkuvaan työntekijöiden sitoutumiseen.
- A.6.1 – Seulonta (päivitetty) – Vahvistettu sisältämään urakoitsijan taustatarkistukset ja kolmannen osapuolen riskinäkökohdat.
3. Fyysiset kontrollit (14 kontrollia)
Mitä se kattaa:
Tämä osio keskittyy fyysisiin turvatoimiin tilojen, laitteiden ja datakeskusten suojaamiseksi.
Miksi tämä luokka yhdistettiin ja päivitettiin:
- Redundanttien fyysisten turvatoimien yhdistäminen – Vuoden 2013 versiossa oli erilliset hallintalaitteet kiinteistön turvallisuuden eri osa-alueille, ja ne on nyt virtaviivaistettu yhdeksi luokkaksi.
- Enemmän keskittymistä etätyöhön ja mobiiliturvallisuuteen – Hybridityömalleista on tulossa normi, joten turvatarkastukset käsittelevät nyt kotoa käsin tapahtuvan työn turvallisuusriskejä.
- IoT:n ja älykkään rakennuksen turvallisuusnäkökohdat – Fyysiset turvatarkastukset on päivitetty sisältämään IoT-tietoturvariskit ja tekoälypohjaisen valvonnan.
Tämän luokan tärkeimmät säätimet:
- A.7.4 – Fyysisen turvallisuuden valvonta (uusi) – Koskee turvakameroita, älylukkoja ja reaaliaikaista tunkeutumisen havaitsemista.
- A.7.5 – Työskentely suojatuilla alueilla (päivitetty) – Sisältää nyt suojatun etätyöskentelyn vaatimukset hybridi- ja etätyövoiman riskien vähentämiseksi.
4. Tekniset hallintalaitteet (34 kontrollia)
Mitä se kattaa:
Tämä ryhmä keskittyy IT-infrastruktuurin turvallisuuteen, pilviturvallisuuteen, kulunvalvontaan ja salaukseen.
Miksi tämä luokka yhdistettiin ja päivitettiin:
- Cyber Threat Landscape on kehittynyt – Vuoden 2013 versio ei täysin käsitellyt nykyaikaisia kyberuhkia, mukaan lukien lunnasohjelmat, pilvipohjaiset hyökkäykset ja tekoälyyn perustuva hakkerointi.
- Pilvipalveluiden ja SaaS-riskien nousu – Uusi pilvitietoturvahallinta (A.5.23 – Information Security for Cloud Services) käsittelee monipilviympäristöjä ja jaetun vastuun malleja.
- Tietosuoja ja tietosuoja - Uudet hallintalaitteet, kuten A.8.11 (Data Masking) ja A.8.12 (Data Leakage Prevention), ovat GDPR:n, ISO 27701:n ja maailmanlaajuisten tietosuojamääräysten mukaisia.
Tämän luokan tärkeimmät säätimet:
- A.8.11 – Tietojen peittäminen (uusi) – Suojaa henkilökohtaisia tunnistetietoja ja arkaluontoisia tietoja käyttämällä tokenisointi- ja anonymisointitekniikoita.
- A.8.12 – Tietovuotojen esto (uusi) – Toteuttaa DLP-käytännöt luvattoman tiedonsiirron estämiseksi.
- A.8.9 – Määritysten hallinta (uusi) – Korjaa pilvi- ja SaaS-sovellusten virheelliset määritykset, jotka ovat suuri tietomurtojen syy.
- A.8.23 – Verkkosuodatus (uusi) – Suojaa käyttäjiä haitallisilta verkkosivustoilta, tietojenkalasteluyritykseltä ja haittaohjelmien saastuttamilta latauksilta.
- A.8.28 – Suojattu koodaus (päivitetty) – Vahvistaa suojatun ohjelmistokehityksen elinkaaren (SDLC) käytäntöjä ohjelmistojen haavoittuvuuksien vähentämiseksi.
Yhteenveto muutoksista ISO 27001:2013:sta
| ISO 27001:2013 (114 säädintä) | ISO 27001:2022 (93 säädintä) | Syy muutokseen |
|---|---|---|
| 14 ohjausaluetta | 4 pääkontrolliryhmää | Yksinkertaistaa hallintaa ja mukautuu nykyaikaisten kyberturvallisuuskehysten kanssa |
| Tarpeeton vaatimustenmukaisuuden valvonta | Yhdistetty osaksi A.5.31 | Yhdistää laki-, säädös- ja sopimusvaatimukset |
| Erilliset HR-, Awareness- ja Incident-hallintalaitteet | Konsolidoitu People Controls -hallintaan | Keskity entistä vahvemmin turvallisuuskulttuuriin ja työntekijöiden tietoisuuteen |
| Puuttuivat nykyaikaiset kyberturvallisuusuhat | Lisätty uhkatietoa, pilvitietoturvaa ja DLP:tä | Korjaa kiristysohjelmat, pilviriskit ja nykyaikaiset hyökkäysvektorit |
ISO 27001:2022 ohjausominaisuudet ja NIST CSF:n kohdistus
ISO 27001:2022 otettu käyttöön ohjausominaisuudet parantaa luokittelua ja yhdenmukaistamista kyberturvallisuuskehysten kanssa, kuten NIST CSF. Nämä attribuutit auttavat organisaatioita yhdistämään ohjausobjektinsa laajempiin tietoturva-alueisiin, mikä helpottaa kehysten välisten vaatimustenmukaisuuden käyttöönottoa.
Ohjausominaisuudet standardissa ISO 27001:2022
| Ominaisuus | Tuotetiedot | NIST CSF -kartoitus |
|---|---|---|
| Ohjaus | Määrittää, onko ohjaus ehkäisevä, etsivä tai korjaava | Tunnista, Suojaa, Tunnista, Vastaa, Palauta |
| Tietoturvaominaisuudet | Määrittää mikä CIA-kolmikon periaate (Luottamuksellisuus, eheys, saatavuus) ohjaus suojaa | Suojaa, havaitse, palauta |
| Kyberturvallisuuden käsitteet | Karttaa ohjauksen kyberturvallisuuskonsepteihin, kuten hallinto, identiteetin hallinta, uhkien havaitseminen, tietoturva, joustavuus | Kaikki NIST CSF -toiminnot |
| Toiminnalliset valmiudet | Määrittää tukemansa suojausalueen, kuten seuranta, lokikirjaus, tapauksiin reagointi, kulunvalvonta | Suojaa, havaitse, vastaa |
| Turvallisuus Domains | Linkkejä laajemmille turvallisuusalueille, kuten verkkoturvallisuus, tietosuoja, riskienhallinta, pilviturvallisuus | Tunnista, Suojaa, Tunnista |
ISO 27001:2022 Ohjauskartoitus NIST CSF:ään
| ISO 27001:2022 -ohjaus | Ohjaus | CIA:n omaisuus | Kyberturvallisuuskonsepti | Toimintakyky | Security Domain | NIST CSF -toiminto |
|---|---|---|---|---|---|---|
| A.5.7 – Uhkatieto | ehkäisevä | Luottamuksellisuus, rehellisyys | Uhkien seuranta ja havaitseminen | Kirjaaminen, analyysi | Riskienhallinta | Tunnista, Tunnista |
| A.8.11 – Tietojen peittäminen | ehkäisevä | Luottamuksellisuus | Tietosuoja, Yksityisyys | Tietoturva | Tiedonhallinta | Suojella |
| A.8.12 – Tietovuotojen esto | Ennaltaehkäisevä, etsivä | Luottamuksellisuus | Endpoint Security, Network Security | Valvonta, Ennaltaehkäisy | Cloud & Endpoint Security | Suojaa, havaitse |
| A.8.9 – Kokoonpanon hallinta | ehkäisevä | Eheys, saatavuus | Turvallisuuden kovettuminen | Järjestelmän ylläpito | Network Security | Suojella |
Ohjausmääritteiden käytön edut
- Parannettu hallinto ja vaatimustenmukaisuus – Helpottaa tarkastusten perustelemista ISO 27001-, NIST- ja SOC 2 -auditoinneissa.
- Parannettu kehysten välinen kohdistus – Auttaa kartoittamaan NIST CSF:n, CIS 18:n ja ISO 27701:n ohjaimia.
- Vahvempi riskiin perustuva lähestymistapa – Organisaatiot voivat priorisoida valvontaa riskitekijöiden ja turvallisuustavoitteiden perusteella.
- Pilvi- ja etätyösuojaus – Ohjausattribuutit tuovat esiin uusia riskejä pilvipalveluissa, hybridityövoimassa ja toimitusketjun tietoturvassa.
Mitä ohjaimia minun pitäisi sisällyttää?
Soveltuvuusselvitys on tärkein linkki tietoturvariskinarvioinnin ja hoitotyön välillä, ja se näyttää "missä" olet valinnut tietoturvavalvonnan toteuttamiseksi 93-valvontatavoitteista. (Hyvä SoA pystyy myös porautumaan ja näyttämään, kuinka ne on myös toteutettu.)
Vaikka liitteen A hallintalaitteet tarjoavat hyödyllisen tarkistuslistan harkittavaksi, pelkkä kaikkien 93 säädön toteuttaminen "alhaalta ylöspäin" voi olla kallista ja jättää huomiotta standardin perustavoitteet. Valitettavasti jotkut tietoturvakonsultit ja -palveluntarjoajat, jotka kauppaavat "täydellisiä ISO 27001 -dokumentaatiotyökaluja", kannattavat tätä lähestymistapaa, mutta se on väärä tapa hoitaa tietoturvan hallintaa.
ISO 27001 -standardin 4.1-10.2 ydinvaatimukset ovat syynsä olemassa. Ne auttavat omaksumaan organisaation liiketoiminta- ja strategialähtöisen lähestymistavan, jossa katsot ylhäältä alas. Otettuaan huomioon asiat, asianosaiset, laajuuden ja tietovarat organisaatio voi tunnistaa riskit, arvioida ne ja harkita hoitokeinoja niille riskeille.
Arvokkaisiin tietoihin ja käsittelylaitoksiin, laitteisiin, asiaan liittyviin henkilöihin jne. liittyvät riskit tulee arvioida tietojen luottamuksellisuus, eheys ja saatavuus (CIA) mielessä.
Tämä CIA:n erittely on myös tärkeä näkökohta, jonka tarkastaja ymmärtää ja osoittaa, että organisaatio on ottanut riskin kokonaisvaltaisemmin huomioon. Ratkaisevaa se tarkoittaa myös sitä, että SoA on kehitetty tällä kattavammalla lähestymistavalla sen sijaan, että vain yksi osa olisi otettu huomioon esimerkiksi tietomurron aiheuttaman tiedon menettämisen riskinä.
Vaikka organisaatio tarkastelee toiminnastaan aiheutuvia riskejä ylhäältä päin, on syytä mainita, että yksi liitteen A valvonta-alueista, jota sovelletaan aina, on "Valvonta: A.5.31 – Laki-, laki-, säädös- ja sopimusvaatimukset. Tämä tarkoittaa, että otat huomioon myös asiaankuuluvien lakien, määräysten ja sopimusvaatimusten vaatimukset. Tämä on saamassa paljon näkyvämpää EU:n GDPR:n ansiosta EU:n kansalaisten tietoja käsitteleville henkilöille ja yhä enemmän myös kaikkialla maailmassa muiden tietosuojastandardien, kuten Etelä-Afrikan POPI:n, Brasilian LGPD:n ja Kalifornian CCPA:n, myötä.
Ymmärtääksemme tietosuojamääräysten odotukset, se myös sanelee tehokkaasti, että monet ISO 27001 -säätimistä vaaditaan, olivatpa ne mielestäsi tai eivät. Joten älykäs tarkastaja odottaa ymmärtävänsä organisaatioosi vaikuttavan sovellettavan lainsäädännön ja sen, kuinka se myös kertoo soA-perustelussa sovellettavien kontrollien valinnasta.
Tietyt tietoturvariskit voitaisiin tietysti lopettaa kokonaan, siirtää toiselle osapuolelle, käsitellä tai sietää. Kaikki liitteen A hallintakeinot auttavat sinua harkitsemaan ja tarvittaessa toteuttamaan riskejä koskevaa siirto-, hoito- tai sietofilosofiaa. SoA näyttää sitten, mitä turvallisuustoimenpiteitä liitteen A ohjaimista käytät ja kuinka olet ne toteuttanut eli käytäntösi ja menettelysi.
ISO 27001 -standardissa luetellut liitteen A valvontatavoitteet ja tarkastukset eivät ole ohjeellisia, mutta ne on otettava huomioon ja että sovellettavuuden perustelut ovat olennaisia ISO-sertifiointielimen riippumattoman sertifioinnin kannalta.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27002 ja soveltuvuuslausunto
Riippumatta siitä, onko riippumaton sertifiointi tavoite tai vain vaatimustenmukaisuus yhdessä täydentävän ISO 27002 -ohjeistuksen kanssa, liitteen A hallintalaitteet ovat positiivinen perusta mille tahansa organisaatiolle, joka haluaa parantaa tietoturva-asentoaan ja harjoittaa liiketoimintaansa turvallisemmin.
ISO 27002 on ISO 27001 -standardia täydentävä standardi, joka tarjoaa käytännesäännöt ja hyödylliset linjaukset tietoturvaohjauksille ja tarjoaa siten erittäin hyvän luettelon riskien hallinnan valvontatavoitteista ja valvonnasta sekä ohjeita niiden toteuttamiseen.
Se, mitä turvatoimenpiteitä (liite A) käytät näiden riskien hallitsemiseksi, riippuvat itse asiassa organisaatiostasi, sen riskinhalusta ja laajuudesta sekä sovellettavasta lainsäädännöstä. Mutta mikä tahansa se on, se on esitettävä soveltuvuusselvityksessä, jos haluat saavuttaa ISO 27001 -sertifikaatin!
Mitä tietoja SoA:n tulee sisällyttää?
Tehdään siis yhteenveto, mitä tietoja on sisällytettävä vähintään SoA:ta varten.
- Luettelo 93 liitteen A ohjaimesta
- Onko valvonta toteutettu vai ei
- Perustelut sen sisällyttämiselle tai poissulkemiselle
- Lyhyt kuvaus tai kuinka kukin soveltuva ohjausobjekti on toteutettu, viitaten käytäntöön ja säätimeen, joka kuvaa sitä oikein yksityiskohtaisesti
Kuten edellä mainittiin, SoA on ikkuna organisaation ISMS:ään. Jos et pysty näyttämään, kuinka tämä ikkuna avautuu tietoturvan hallintajärjestelmän syvyyteen ja yhdistettyyn luonteeseen, mikä voi aiheuttaa ongelmia. Kuvittele tilanne, jossa tilintarkastaja saapuu paikalle ja 93-kontrollit näyttävä taulukko on vanhentunut, kun varsinaiset johdon kontrollit ovat käytössä.
Yksi yleisimmistä syistä epäonnistua ISO 27001 -auditoinnissa on se, että tarkastaja ei pysty luottamaan ISMS:n hallintoon ja dokumentaatio on huonosti hallittu tai puuttuu. Erillinen SoA-dokumentti integroidun ja automatisoidun SoA-dokumentaation sijaan lisää tätä riskiä.
Kuinka luot soveltuvuuslausunnon?
Niin kauan kuin SoA:ssa on oikeat tiedot, se on tarkka ja ajan tasalla, voit luoda SoA:n paperista, laskentataulukoista, asiakirjoista tai ammattimaisista järjestelmistä, jotka automatisoivat sen osana laajempaa GRC-kykyään (Governance, Regulation & Compliance). .
Ihanteellisessa maailmassa SoA tuskin muutu (etenkään siksi, että sertifiointielimet voivat veloittaa SoA-version muutoksista). Sen, mikä sijaitsee SoA:n alla, eli ISMS:n itsensä sykkivä sydän, pitäisi kuitenkin olla dynaaminen elävänä hengittävänä esityksenä kehittyvästä tietoturvaympäristöstäsi.
SoA on tarkistettava, kun käytäntöjäsi ja valvontatoimiasi tarkistetaan (vähintään vuosittain), jotta se hyötyisi silti tehokkaasta prosessista, kun otetaan huomioon 114-kontrollit.
Laskentataulukon avaaminen säätimillä tarkistuslistana on helppoa ja melko nopeaa. Mutta sen tekeminen luottavaisin mielin siihen, että kaikki aikaisempi tietoturvasuunnittelu- ja toteutustyö resurssien, riskien ja kontrollien ympärillä on tehty oikeassa järjestyksessä ja ilmaistuna tiivistelmänä SoA, ei ole aivan niin suoraviivaista. Tarkastaja haluaa nähdä, mikä on laskentataulukon yksinkertaisen 114 rivin ylälinjan alla.
Ennen vanhaan SoA:n esittäminen 200-sivuisena monisanaisena asiakirjana merkitsi todella paljon työtä erityisesti sen pitämiseksi ajan tasalla käytäntöjen ja hallintalaitteiden kehittyessä. Nyt on olemassa paljon parempia ja helpompia tapoja automatisoida SoA ja hyödyntää ISMS:n muissa osissa jo tehtyä kovaa työtä.
Kuinka säästää aikaa, kun kirjoitat soveltamisilmoitusta
SoA:n kokoaminen kestää tyypillisesti kauan sen vuoksi, mikä sille tiedottaa. Jos ajattelemme sen luomiseen liittyviä vaiheita ja siihen tarvittavaa työtä, ei ole ihme:
- Harkitse ISMS:n kysymyksiä, kiinnostuneita osapuolia ja laajuutta
- Tunnista vaarassa olevat tietovarat ja käsittelylaitteet ja -laitteet
- Arvioi ja arvioi tietojen turvallisuuteen liittyviä riskejä käyttämällä luottamuksellisuutta, eheyttä ja saatavuutta
- Arvioi nämä riskit ja päätä sitten, mitkä liitteen A 114 tarkastuksesta ovat tarpeen
- Ymmärtää ja arvioida sovellettavaa lainsäädäntöä (ja tehokkaiden asiakkaiden tärkeimpiä sopimusvelvoitteita) korostaaksesi muita valvonta-alueita
- Päätä, miten valvonta toteutetaan politiikan, menettelyn, ihmisten, tekniikan jne. suhteen
- Luo sitten itse SoA-asiakirja niin, että soveltuvuuden perustelut ovat selvät
- Ihannetapauksessa linkittäminen valvontayksityiskohtiin, riskeihin ja omaisuuteen ISMS:n toimivuuden osoittamiseksi
- Ja hallitse sitä jatkuvasti. SoA on pieni mutta erittäin tärkeä osa erittäin kattavaa ISMS:ää. Hyvin tehtynä se luo organisaation auditoinnin menestykselle ja luottamuksen rakentamiselle älykkäille asiakkaille ja muille sidosryhmille. Huonosti tehtynä se melkein varmasti häiritsee ja viivästyttää sertifiointiin kuluvaa aikaa ja voi tarkoittaa liiketoiminnan menettämistä tai tulevaisuuden mahdollisuutta, jos sertifikaattia ei saada tai ylläpidetä.
Nopeuta SoA-prosessia ISMS.onlinen avulla
ISMS.online on kattava tietoturvan hallintajärjestelmä, joka muun muassa helpottaa tietovarantojen, riskien, käytäntöjen ja valvonnan hallintaa ja hallintaa yhdessä paikassa.
Se tarkoittaa myös, että SoA:n luominen voidaan automatisoida ja esittää yksinkertaisesti ja tehokkaasti. Siksi muiden etujen, kuten lyhyemmän ajan kustannukset ISO 27001 -menestyksen saavuttamiseksi, lisäksi se nopeuttaa myös ISO-sertifiointimatkaa.
Keskitä energiasi yrityksesi johtamiseen haluamallasi tavalla ja käytä aikaa siihen, mitä sinun on saavutettava menestyäksesi, murehtimatta vähemmän siitä, miten se tehdään. ISMS.online tekee työsi suorittamisesta niin helppoa, mukaan lukien SoA murto-osalla vaihtoehtojen kustannuksista ja ajasta.
Varaa alustan demoHyppää aiheeseen
