ISO 27001-krav 4.1 – Forståelse af organisationens kontekst

Hvad er interne og eksterne problemer?

ISO tilbyder faktisk ikke meget hjælp i sin forklaring af, hvad et internt eller eksternt problem kan være. For en organisation, der er ny inden for informationssikkerhedsstyring, kan det spilde værdifuld tid på bare at finde ud af dette krav.

Det er virkelig ned til kulturen og karakteren af ​​organisationen, de involverede mennesker, dens udgangspunkt og værdien i fare. Som et eksempel kan en lille veldrevet organisation med et klart formål og få involverede personer nå frem til sine konklusioner om interne og eksterne spørgsmål, der påvirker ISMS-resultaterne over en 10 minutters kop te (især med alle eksemplerne i den virtuelle coach).

Men andre organisationer kan tage længere tid. Vi foreslår generelt, at dette er en hurtig brainstorming-øvelse, der undgår overanalyse i starten – du vil næsten helt sikkert identificere flere interne og eksterne problemer, efterhånden som du kommer ind på de andre krav, og disse kan nemt tilføjes som implementering af dit informationssikkerhedsstyringssystem og rejsen mod bedre informationssikkerhed fortsætter.

Sådan identificeres interne problemer

Overvej IPOPS-akronymet nedenfor for at identificere de interne problemer, der kan påvirke resultaterne af en ISMS. Dette kan være en whiteboard-øvelse, post-it-session eller blot at fange noter, som du vil uploade senere for at demonstrere din forståelse af problemerne. Få de rigtige personer i et rum eller i telefonen, og start samtalen!

Se på billedet for et grundlæggende eksempel på, hvad der kan gøres, og som kan uploades som en del af beviset, eller skrives mere detaljeret op og testes yderligere med andre interessenter afhængigt af organisationens art. Fra et UKAS ISO 27001 eksterne revisorperspektiv vil de lede efter tillid til, at organisationen har forstået de problemer, der kan påvirke resultatet af ISMS (og dokumenteret dem), før de bruger beviserne til at gå videre.

Det vil så hjælpe med at identificere interesserede parter, sætte et omfang, dokumentere dine mål, opbygge en aktivopgørelse og lave informationssikkerhedsrisikoanalyser, før du udvikler passende politikker og kontroller i overensstemmelse med erklæringen om anvendelighed.

Det hele er et meget logisk flow og starter lige her med denne enkle øvelse!

Eksempler på interne problemstillinger

Vi har givet et par ideer og eksempler nedenfor på områder, hvor du kan finde interne problemer, der påvirker resultatet af ISMS, men der er mange spørgsmål, der kan overvejes afhængigt af organisationen, dens sektor, størrelse, omfang og art af produkterne og tjenesterne etc.

Vi foreslår, at du er praktisk og sikrer, at det ikke bliver en større strategiøvelse eller afhandling, når det ikke er påkrævet. Det handler også mindre om, hvor du "spander" det interne problem, ideen med simpel porteføljeanalyse som denne er at hjælpe hjernen med at udløse de interne problemer.

Så om du placerer dem under mennesker, organisation eller andre steder er mindre vigtigt (nogle kan også være eksterne problemer) - det er identifikationen af ​​de interne eller eksterne problemer, der er vigtig, så du kan bygge et informationssikkerhedsstyringssystem, der fungerer for dig !

Du vil også overveje arten af ​​organisationen omkring mennesker, f.eks. er filosofien om at gøre alt i huset, outsource osv. – disse aspekter giver alle anledning til 'problemer', der kan påvirke ISMS.

For eksempel kan du være i stand til at kontrollere personale internt bedre end leverandører, men det kan være, der er et argument for at have leverandører med deres processer involveret, fordi de tilbyder de tjenester, du ønsker. Husk, at dine forretningsmål kommer først – dette er lige i hjertet af problemidentifikationen – drev virksomheden, som du vil, og sørg for, at ISMS beskytter dine værdifulde oplysninger og dine interesserede parter.

Alle relevante emner bør så overvejes til en mere detaljeret risikoanalyse senere - dog er ikke alle emner faktisk risici, og nogle er vigtigere end andre, så du kan vælge at prioritere omkring de større emner. Så vi vil foreslå, at du undgår risikoanalysen eller enhver dyb overvejelse af hvad nu hvis du på dette stadium og koncentrerer dig om at identificere problemerne.

Information som aktiver, der er interne problemer, der påvirker ISMS-resultater

Hvilken information skabes, håndteres, opbevares, administreres og af reel værdi for organisationen og dens interesserede parter (i overensstemmelse med interessentanalysen, du vil lave i 4.2 næste gang)? Personlige data, følsomme kundeideer og IPR, finansielle oplysninger, brand, kodebaser osv.?

Dette er lige i hjertet af ISMS'et, hvor informationsaktiverne er grundlaget for alt andet - at identificere disse aktiver tidligt gør også styringen af ​​informationsaktiverne let for A8.1.

Overvej derefter potentielle problemer omkring selve informationen – især fortrolighed, integritet og tilgængelighed, idet du tager højde for de andre områder nedenfor, når du går efter at udløse ideer om, hvor problemerne kan findes.

Personer relateret til interne problemer, der kan påvirke det tilsigtede resultat af ISMS
Det er ingen overraskelse, at menneskelig ressourcesikkerhed er en vigtig del af ISMS, faktisk er bilag A 7 dedikeret til det, og alle de efterfølgende politikker, kontroller og ledelse vil sandsynligvis være med mennesker i tankerne, både interne medarbejdere såvel som eksterne ressourcer som f.eks. leverandører.

Overvej derfor eventuelle eksisterende problemer med:

• rekruttering – fx udfordringer med at ansætte kompetente folk, høj/lav personaleomsætning
• induktion – får de fx undervisning i informationssikkerhed lige nu, virker det
• i livsledelse – f.eks. at holde dem engageret og vise deres overholdelse af politikker og kontroller, – finder personalet faktisk informationssikkerhed sexet og spændende, eller er det en kulturel udfordring at få nogen til at låse deres bærbare computer, når de går på toilettet
• ændring af roller og exit – fx udføres adgang til og fjernelse af informationsaktiver og tjenester

Organisatoriske interne problemer, der påvirker ISMS-resultater

Hvilke problemer står organisationen over for, som kan påvirke resultatet af ISMS? For eksempel bringer hurtig vækst problemer med personale og struktur, der kan påvirke forståelsen og kendskabet til politikkerne, eller at tingene ændrer sig så hurtigt, at du ikke nemt kan bunde ud i detaljerede og konsistente processer.

Er der organisationsledelse og bestyrelses- eller aktionærpres, der vil forårsage problemer (disse kan være positive såvel som negative)? Internationale operationer vil have forskellige kulturelle normer for de involverede mennesker.

Et andet internt problem forbundet med mennesker og organisationen kan være det faktum, at du ikke vil have mange af dem ansat eller kæmper for at finde gode, så stol i stedet på outsourcing. Det medfører et behov for leverandører (og personale hos leverandørerne), så det er et spørgsmål, der skal hænge sammen med den analyse af interesserede parter, du skal lave i næste 4.2.

Interne problemer med produkter og tjenester, der kan påvirke ISMS-resultaterne

Hvad er de produkter og tjenester, der leveres af organisationen, og hvilken slags problemer opstår omkring det, der kan forårsage informationsrisiko? For eksempel, hvis organisationen er en innovatør, og IPR-beskyttelse er vigtig for produktledelse, er det et spørgsmål, der skal overvejes i ISMS.

Hvis organisationen er afhængig af store fysiske ejendomme, f.eks. som en producent, vil det sandsynligvis medføre flere fysiske sikkerhedsproblemer, hvorimod en lille cloud-softwareudbyder kan være meget mere fokuseret på spørgsmål som IPR-beskyttelse fra digitale hackere og problemerne omkring afhængigheden af ​​deres produkts succes og forsikring på hostingleverandører mv.

Systemer og processer som interne problemer, der påvirker det tilsigtede resultat af ISMS

Folk tænker ofte på computere og digital teknologi, når ordet 'system' bruges. Men manuelle og papirbaserede systemer er også nøgleområder for problemer, så husk også at overveje dem for problemer.

Hvert af de ovennævnte områder vil have systemer og processer involveret i sig – det kan være implicit (vi har altid gjort det på den måde og aldrig dokumenteret det) eller kan være pakket ind i en masse dokumentation, som ingen nogensinde kunne følge…… .efter at have overvejet IPOP-områderne ovenfor, tænk på systemerne og processerne interne problemstillinger omkring dem – for eksempel hvis du ansætter personale regelmæssigt, men ikke har en formel proces og systemer, der demonstrerer evaluering og screening fra et informationssikkerhedsperspektiv, har du et problem (ikke mindst fordi bilag A7 til ISO 27001).

Et problem er, at du måske ansætter folk, der vil blive fjenden indeni, enten på grund af uvidenhed om informationssikkerhed, eller fordi de er en sabotør, og du har aldrig overvejet det. Det er det samme med alle de systemer og processer på tværs af organisationen, der er omfattet af informationssikkerhed – hvilken slags problemer opstår, hvor fortroligheden, integriteten eller tilgængeligheden af ​​oplysningerne kan være truet?

Hvordan man identificerer de eksterne problemer

En af de gamle favoritter til ekstern analyse er PESTLE (Politisk, Økonomisk, Sociologisk, Teknologisk, Juridisk og Miljømæssig), og den har fordele til brug i denne øvelse, igen for at blive holdt praktisk og fokuseret på spørgsmål, der påvirker ISMS-resultaterne snarere end som en dybt strategisk stykke arbejde. Denne øvelse kræver generelt meget mindre forklaring, og du vil uden tvivl finde den let nok at gennemgå og overveje ud fra et informationssikkerhedsperspektiv.

Igen undgå overanalyse og forsøg på at tvinge tingene ind i spande for dets skyld – noget vil udløse, eller det vil det ikke, og du kan altid vende tilbage til det senere. De interne problemer, der påvirker resultatet af ISMS, vil også udløse eksterne problemer – for eksempel hvis organisationen besluttede, at den ikke vil gøre alt internt og har brug for leverandører, så kommer eksterne problemer med disse leverandører og deres PESTLE-relaterede aspekter ind i blandingen.

Politiske eksterne spørgsmål

Hvilke politiske spørgsmål kan påvirke organisationen og påvirke resultaterne? Eksempler kunne omfatte Brexit og specifikke politiske ændringer i en sektor, der påvirker investeringer eller vækst, der kan føre til forskellige måder at arbejde på og forskellige tilgange til informationsstyring.

Politik (og magtfulde sociale mediespillere, der misbruger personlige data) medførte GDPR, som medførte regulatoriske ændringer, som øgede presset på kunderne, som igen tvinger leverandører til at opnå uafhængigt certificerede ISO 27001 informationssikkerhedsstyringssystemer for at hjælpe dem med at styre deres samlede forsyning kæderisiko.

Det er et eksempel på et problem, der spænder over mange aspekter af PESTLE, og det er et eksternt problem, som næsten alle organisationer står over for.

Økonomiske eksterne spørgsmål

Hvordan påvirker økonomien i dit marked og forsyningskæden organisationen? Fører det til mere eller mindre problemer med leverandører, kunder, hvilke informationssikkerhedshjørner kan blive skåret i en omkostningsreduktionsarena og føre til øget risiko eller trussel (og selvfølgelig også muligheder)?

Eksempler kan være billigere arbejdskraft, mindre uddannelse og mindre tid til at udføre arbejdet eller manglende råd til anstændige teknologiske systemer, der ville hjælpe med at forbedre driften, fordi midler skal prioriteres andre steder (Tip – se vores whitepaper for business case planner for at få vejledning om afkastet om investering fra informationssikkerhed.)

Sociologiske ydre problemstillinger

Hvordan ændrer samfundet eller dit publikum demografiske ændringer og påvirker din virksomhed – for eksempel altid på forbundne borgere tilbyder muligheder og trusler, og en generation af medarbejdere, der nogle gange har mere/mindre hensyn til data, bringer også positive og negative sider.

Teknologiske eksterne problemer

Hvordan skaber det stigende tempo i teknologiske forandringer problemer for ISMS-resultaterne? Daglige ændringer i operativsystemer, der bliver patchet i forhold til (f.eks.) én gang om året tidligere? Det fører til et behov for meget mere dynamisk ledelse, som mange organisationer kæmper for at opretholde, hvilket, hvis det ikke styres, øger truslen om et cyberbrud, og tab bliver mere sandsynligt.

Hvor skaber kunstig intelligens, machine learning, cloud og alle andre teknologiske buzzwords problemer for din organisation eksternt?

Lovgivningsmæssige eksterne spørgsmål

Et af de mest almindelige områder med fejl i ISO 27001 er manglende evne til effektivt at fremhæve bevidstheden om og derefter administrere applikationslovgivning og reguleringsproblemer. Denne del af PESTLE er et godt udgangspunkt for bilag A18 om compliance – hvis din revisor ved mere end dig om den lovgivning og regulering, der påvirker din organisation (og derfor ISMS), vil de ikke blive imponeret.

Det går langt ud over databeskyttelse, GDPR, computerovervågning, menneskerettigheder og intellektuel ejendomsret, så overvej dette område seriøst for enhver information i dit omfang. Du behøver ikke nødvendigvis en advokat, men at vise, at du har overvejet den gældende lovgivning, der påvirker organisationen, vil også gøre risikobehandling, politik og kontrol mere fokuseret og relevant.

Det kan være, at din risikovillighed for noget er ret høj, men hvis en gældende lovgivning eller regulering sætter barren, så bliver du nødt til at udvikle politikker og kontroller for at overholde det i stedet for blot det, du måske synes er okay!

Eksterne miljøspørgsmål

PESTLE behandler typisk miljøet som det grønne problem, men det kan også være dit bredere 'miljø'. Simple overvejelser omkring miljø kan betyde, at du sigter efter at bruge mindre papir, rejse mindre – fantastisk, hvad er problemerne for ISMS fra det?

For eksempel i udviklingen af ​​ISMS kan det være en mulighed for at ændre praksis omkring udskrivning eller udvikle mobile arbejdspolitikker osv. – dette er et par enkle ideer, der dukker op, når du tænker på miljøpapir og rejsespørgsmål.

Bredere 'miljøproblemer' kan være de ting, der foregår i dine konkurrenter og bredere kræfter (tænk Porters 5 styrker som et simpelt eksempel) – hvilke eksterne miljøproblemer sker der der, som kan påvirke dine ISMS-resultater?

Du ved, at dine kunders forhandlingsstyrke er stigende omkring informationssikkerhed. Men hvis dine konkurrenter alle bliver uafhængigt certificeret til ISO 27001, og du kun tænker på afkrydsningsfelt/håndviftende overholdelse, så er det et eksternt problem, du gerne vil overveje mere dybtgående for at være konkurrencedygtig endsige sikker og pålidelig.