ISO 27001-krav 6.1 – Handlinger for at imødegå risici og muligheder

Hvad indebærer paragraf 6.1?

At dokumentere med klarhed i beskrivelsen og derefter demonstrere, hvordan du håndterer risici under ISO 27001 er afgørende for en uafhængig certificering for ISO 27001 og driften af ​​et vellykket informationssikkerhedsstyringssystem (ISMS).

Punkt 6.1.1 – Generelle aspekter i planlægning omkring risiko for ISO 27001

På dette tidspunkt bør du se tilbage på dit tidligere arbejde i afsnit 4 og 5 – især 4.1, 4.2, 4.3 og afsnit 5 i ISO 27001. Dette vil hjælpe dig med at bestemme de risici og muligheder, der skal håndteres fra din tidligere spørgsmål, interesserede parter og omfang for at:

• sikre, at informationssikkerhedsstyringssystemet kan opnå de tilsigtede resultater
• "forebygge eller reducere de uønskede virkninger"
• 'opnå løbende forbedringer'.

Organisationen skal have planer på plads, der dækker de handlinger, den vil tage for at identificere, vurdere og behandle disse risici og muligheder, og hvordan den vil integrere og implementere disse handlinger i sine processer til styring af informationssikkerhed. Dette bør omfatte, hvordan de vil evaluere effektiviteten af ​​disse handlinger og overvåge dem over tid.

Det betyder ganske enkelt at dokumentere processen for risikoidentifikation, vurdering og behandling og derefter vise, at den fungerer i praksis med håndtering af hver risiko, ideelt set for at vise, at den tolereres (f.eks. efter at bilag A-kontroller er blevet anvendt), afsluttet eller måske overført til andre partier.

ISO 27001 bryder også dette krav til risikostyring ned i mere dybde. Derudover er der andre risikoorienterede standarder som ISO 31000 at lære af, hvor principperne for ISO 27001 risikoplanlægning er udsprunget af.

Klausul 6.1.2 – Risikovurdering af informationssikkerhed for ISO 27001

ISO 27001-standarden kræver, at en organisation etablerer og vedligeholder informationssikkerhedsrisikovurderingsprocesser, der inkluderer risikoaccept og vurderingskriterier. Det foreskriver også, at enhver vurdering skal være konsistent, valid og give "sammenlignelige resultater."

Det betyder klart at beskrive den tilgang, der tages, og at producere en risikometodologi – vi har skrevet mere om udviklingen her.

Organisationer skal anvende vurderingsprocesserne til at identificere risici forbundet med fortroligheden, integriteten og tilgængeligheden (CIA) af informationsaktiverne inden for det definerede omfang af ISMS.

De fleste ISO-certificerede revisorer vil forvente, at metoden går ud over simple sandsynligheds- og konsekvensbeskrivelser, for også at forklare, hvad der sker (f.eks.), når der opstår en konflikt mellem én risiko (f.eks. tilgængelighedsbaseret) og en anden (f.eks. fortrolighedsbaseret).

Risici skal tildeles risikoejere i organisationen, som vil bestemme risikoniveauet, vurdere de potentielle konsekvenser, hvis risikoen skulle materialisere sig, sammen med "realistisk sandsynlighed for, at risikoen opstår".

Når risikoen er vurderet, skal den prioriteres til risikobehandling og derefter styres i overensstemmelse med den dokumenterede metode.

Klausul 6.1.3 – Behandling af informationssikkerhedsrisiko for ISO 27001

Du forventes at vælge passende risikobehandlingsmuligheder baseret på risikovurderingsresultaterne, f.eks. behandle med bilag A-kontroller, afslutte, overføre eller måske behandle på anden måde. ISO 27001-standarden bemærker, at bilag A også omfatter kontrolmålene, men at de anførte kontroller er "ikke udtømmende", og at yderligere kontroller kan være nødvendige.

Typisk bruges bilag A-kontrollerne alene i mindre organisationer, selvom det er acceptabelt at designe eller identificere kontrollerne fra enhver kilde. På den måde kan håndtering af flere sikkerhedsstandarder betyde, at du anvender kontroller, for eksempel fra andre standarder såsom NIST eller SOC2 efter Trust Services Criteria-principperne.

Hvis det bliver revideret af en uafhængig revisor for ISO 27001, giver det meget mening at fokusere på bilag A-kontrollerne, da de kender dem godt.

Hvis det er nødvendigt at opfylde specifikke standarder for en kunde, f.eks. DSPT for Health i det britiske NHS, giver det mening også at kortlægge risikobehandlingen til disse og give kunden tillid til, at din informationssikkerhed er robust og også opfylder deres interesser.

Tildelte risikoejere administrerer deres risikobehandlingsplaner (eller uddelegerer til folk for at gøre det for dem) og vil i sidste ende tage beslutningen om at acceptere eventuelle resterende informationssikkerhedsrisici – det giver trods alt ikke mening altid at afslutte overførslen eller fortsætte med at investere i ledelsen af en risiko.

Det er nødvendigt at udarbejde en Anvendelseserklæring, der indeholder de kontroller, organisationen har fundet nødvendige sammen med begrundelsen for optagelser, uanset om de er implementeret eller ej, og begrundelsen for udelukkelser af kontroller fra bilag A.

Dette er et ret betydeligt job (massivt forenklet og automatiseret af ISMS.online), der viser, at organisationen har set nøje på alle områder omkring de kontroller, som ISO 27001 anser for at være vigtige.

Forståelse af erklæringen om anvendelighed for ISO 27001

Statement of Applicability (SOA) indeholder de nødvendige kontroller som nævnt ovenfor og begrundelsen for deres medtagelse eller udelukkelse. Det er fantastisk til intern ledelse og til deling med relevante interesserede parter. Dette sammen med sikkerhedspolitikken, omfanget og certifikatet (hvis opnået) vil give dem en bedre forståelse af, hvor deres interesser og bekymringer kan være i dit informationssikkerhedsstyringssystem.

Sådan opnår du paragraf 6.1

Typisk er planlægning af, hvordan du vil identificere, evaluere og behandle risici, for at opfylde kravene ovenfor, et af de mere tidskrævende elementer i implementeringen af ​​dit ISMS. Det kræver, at en organisation definerer en metode til konsekvent evaluering af risiko og opretholder klare registreringer af hver risiko, dens vurdering og behandlingsplan.

Endvidere skal journalerne vise regelmæssige gennemgange over tid og dokumentation for den behandling, der har fundet sted. Dette vil inkludere hvilke af bilag A-kontrollerne du har indført som en del af denne behandling og vil indgå i oprettelsen (og vedligeholdelsen) af erklæringen om anvendelighed.

Det er ikke så mærkeligt, at gammeldags regnearkstilgange kan være komplekse og svære at vedligeholde, når man går ud over de helt basale tilgange til risikostyring (som er påkrævet for ISO 27001). Det er en af ​​grundene til, at organisationer nu ser på softwareløsninger til at styre denne proces.

Gør det nemmere med ISMS.online

ISMS.online-platformen inkluderer en risikostyringspolitik, -metode og et forudkonfigureret informationssikkerhedsrisikostyringsværktøj. Vi inkluderer også en bank med almindelige informationssikkerhedsrisici, som kan trækkes ned, sammen med de foreslåede bilag A-kontroller, hvilket sparer dig for ugers arbejde.

At samle dette i én integreret løsning for at hjælpe dig med at opnå, vedligeholde og forbedre hele dit ISMS giver perfekt mening. Når alt kommer til alt, hvorfor spilde tid på at prøve at bygge det selv, når der allerede er en specialbygget løsning?