ISO 27001-krav 6.2 – Informationssikkerhedsmål og planlægning for at nå dem

Hvad indebærer paragraf 6.2?

For at håndtere dette krav er det vigtigt allerede at have forstået organisationen og dens kontekst (4.1), fastlagt kravene fra interesserede parter (4.2), etableret dit omfang (4.3) og i det mindste begyndt at udføre din risikovurdering og behandling (6.1) .

Det nøjagtige krav til 6.2 er:

"Etabler relevante (og hvis det er praktisk muligt, målbare) informationssikkerhedsmål under hensyntagen til informationssikkerhedskravene, resultater fra risikovurdering og behandling. Bestem, hvad der vil blive gjort, hvilke ressourcer der kræves, hvem der vil være ansvarlig, hvornår de vil blive afsluttet, og hvordan resultaterne vil blive evalueret."

Så denne paragraf 6.2 i standarden koger i det væsentlige ned til spørgsmålet; 'Hvordan ved du, om dit informationssikkerhedsstyringssystem fungerer efter hensigten?'

Hvordan man opstiller mål for 6.2

Når du overvejer de mål, du ønsker med dit informationssikkerhedsstyringssystem, skal du sørge for, at de er forretningsfokuserede og er ting, der vil hjælpe dig med at drive en (mere) sikker, bedre ydende organisation i stedet for blot at afkrydse felter og se pæn ud på en side. Tænk på, hvad de interesserede parter også vil se målt og overvåget.

For eksempel, hvorfor køber kunder hos dig, og hvad ville de være bekymrede for, om at gå galt ud fra et informationssikkerhedsperspektiv? Hvilket niveau af informationssikkerhed, hvilke foranstaltninger og overvågning ville være vigtige for dem, hvis de så nøje på dit ISMS?

Koncentrer dig om at udvikle meningsfulde mål, ikke kun en masse foranstaltninger eller mål, der vil betyde, at du bruger al din tid på administration og ingen værditilvækst for organisationen.

Det kan godt være, at du allerede er i gang med at måle og overvåge dine mål, så husk at overveje, hvad du allerede gør, samt hvad der måske kræver mere indsats. ISO forsøger ikke at fange nogen på målesiden, de vil bare være sikre på, at du måler det, der betyder noget, og mange smarte virksomheder vil allerede gøre det implicit, hvis ikke mere eksplicit.

Bind dit arbejde tæt sammen med ledelsesanmeldelserne i 9.3, og læg dine beviser for resultaterne i dit bestyrelsesarbejdsområde for ledelsesvurderinger, eller link til det for at lette det i specifikke revisionsmøder og revisioner.

Du kan demonstrere resultaterne af din præstationsmåling på forskellige måder, lige fra brug af eksport af dine driftssystemer, udnyttelse af den automatiserede rapportering på tværs af ISMS.online (f.eks. for hændelser) og, hvis det er relevant, ved hjælp af simple KPI'er tilføjet i ledelsesgennemgangens arbejdsområde.

Hos Alliantist, software- og servicevirksomheden bag ISMS.online, kom vi op med omkring 7 informationssikkerhedsmål, hvoraf ét er:

"Levering af en sikker, pålidelig cloud-tjeneste til brugere (og andre interesserede parter), der har brug for tillid og sikkerhed for, at platformen er egnet til deres formål med at dele og arbejde med følsom information."

Når du nedbryder netop det ene mål, er det klart, at der er en række målbare, handlingsrettede områder, der udspringer af det. For eksempel:

• Sikker – hvad betyder det med hensyn til fortrolighed og integritet?
• Pålidelig – hvad betyder det med hensyn til tilgængeligheden af ​​den sikre cloud-softwaretjeneste?

Hvordan man gør informationssikkerhedsmål målbare og handlingsrettede

Med udgangspunkt i ovenstående er et mål for pålidelighedssucces for Alliantist i tilgængeligheden af ​​systemer som ISMS.online, som kunderne kan bruge. Så vi har målet (servicens pålidelighed), et mål (oppetid), så kan vi sætte et oppetidsmål, i dette tilfælde minimum 99.5% tilgængelighed (som vi konstant opnår 100% imod).

Derefter overvejede vi målehyppigheden, den ansvarlige ejer, og hvor kilden til dataene til måling ville komme fra for beviserne. Vi tilføjede det derefter til ISMS.online, som en KPI, der bliver behandlet som en del af ledelsesgennemgangene, og selvfølgelig, fordi det er en grundlæggende metrik for vores softwareservices succes, bliver den også løbende overvåget operationelt.

Kilden til disse data er fra oppetidsloggene. Nogle andre mere strategiske målinger, f.eks. kunde-, revisor- og interessenters tillid til vores ISMS overordnet, måles sjældnere, mere subjektive i nogle henseender, men ikke desto mindre vigtige som en del af den bredere ISMS-ydelse.

Dette er en fantastisk mulighed for at udvikle målinger, der betyder noget for din organisation, hvis du ikke allerede har gjort det. Vi opfordrer til færre og bedre styret i stedet for partier og dårligt styret tilgang. Hvis din organisation har afdelinger og specifikke områder af virksomheden, der påvirkes forskelligt af fortrolighed, integritet og tilgængelighed (CIA), som ville retfærdiggøre at nedbryde foranstaltninger for hvert område, ville ISO forvente at se denne opdeling såvel som de mere strategiske målinger på højt niveau.

Andre målinger, der også er nyttige til at demonstrere CIA, er også ret indlysende ud fra nogle af kravene stillet af ISO 27001 omkring håndtering af hændelser, risikovurderinger/gennemgange, forbedringer og korrigerende handlinger osv. I ISMS.online har vi en række værktøjer, der automatisk giver præstationsstatistikker, der er nyttige til at demonstrere effektiv ydeevne af ISMS.

Disse omfatter sporing af hændelsesstyring, forbedringer og korrigerende handlinger og en lang række andre, der gør meget af målstyringen til en øvelse uden indsats i stedet for at spilde tid med regneark og powerpoint.

Hvordan man definerer proces og ansvar for evaluering af informationssikkerhedsmål

Når du har defineret dine mål, bestemt dine mål og deres frekvens for måling, er det nødvendigt at vise, hvordan du vil gå i gang med at evaluere resultaterne og derefter tage skridt til eventuelle nødvendige ændringer eller forbedringer af dit ISMS.

Hos Alliantist sammensætter vi et team af repræsentanter fra topledelsen til at danne ISMS Board. ISMS Board er ansvarlig for at sætte målene for hver af foranstaltningerne. Vores driftsdirektør ejer de mål, der påvirker ISMS fra et produktions- og driftsperspektiv.

Kildedataene delegeres til relevante medarbejdere til dokumentation, som alt sammen hentes fra eksisterende systemer og blot opsummeres i KPI'er og statistikrapportering, der indgår i de regelmæssige ledelsesgennemgange i overensstemmelse med paragraf 9.3.