ISO 27001 – Bilag A.18: Overholdelse

Hvad er formålet med bilag A.18.1?

Bilag A.18.1 handler om overholdelse af lov- og kontraktkrav. Målet er at undgå brud på juridiske, lovbestemte, regulatoriske eller kontraktlige forpligtelser i forbindelse med informationssikkerhed og eventuelle sikkerhedskrav.

Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering.

A.18.1.1 Identifikation af gældende lovgivning og kontraktlige krav

En god kontrol beskriver, hvordan alle relevante lovgivningsmæssige, regulatoriske, kontraktmæssige krav og organisationens tilgang til at opfylde disse krav eksplicit skal identificeres, dokumenteres og holdes ajour for hvert informationssystem og organisationen. Sagt på en enkel måde skal organisationen sikre, at den holder sig ajour med og dokumenterer lovgivning og regulering, der påvirker opnåelsen af ​​dens forretningsmål og resultaterne af ISMS.

Det er vigtigt, at organisationen forstår de love, regler og kontraktmæssige krav, som den skal overholde, og disse bør registreres centralt i registret for at muliggøre nem styring og koordinering. Identifikationen af, hvad der er relevant, vil i høj grad afhænge af; Hvor organisationen er beliggende eller opererer; Hvad arten af ​​organisationens virksomhed er; og arten af ​​information, der håndteres i organisationen. Identifikationen af ​​den relevante lovgivning, regulering og kontraktmæssige krav vil sandsynligvis omfatte engagement med juridiske eksperter, regulerende organer og kontraktansvarlige.

Dette er et område, der ofte fanger organisationer ud, da der generelt er langt mere lovgivning og regulering, der påvirker organisationen, end først antaget. Revisoren vil se på, hvordan organisationen har identificeret og registreret sine juridiske, regulatoriske og kontraktlige forpligtelser; ansvaret for at opfylde sådanne krav og eventuelle nødvendige politikker, procedurer og andre kontroller, der er nødvendige for at opfylde kontrollerne.

Derudover vil de se efter, at dette register vedligeholdes regelmæssigt mod enhver relevant ændring – især i lovgivningen på tværs af fælles områder, som de ville forvente, at enhver organisation vil blive påvirket af.

A.18.1.2 Immaterielle rettigheder

En god kontrol beskriver, hvordan de relevante procedurer sikrer overholdelse af lovmæssige, regulatoriske og kontraktlige krav relateret til immaterielle rettigheder og brug af proprietære softwareprodukter. Sagt på en enkel måde bør organisationen implementere passende procedurer, der sikrer, at den overholder alle dens krav, uanset om de er lovgivningsmæssige, regulatoriske eller kontraktmæssige - relateret til dens brug af softwareprodukter eller intellektuelle ejendomsrettigheder.

Der er to aspekter af IPR-forvaltning at overveje; Beskyttelse af IPR ejet af organisationen; og Forebyggelse af misbrug eller brud på andres IPR. Førstnævnte vil også blive behandlet med A.13.24 for fortroligheds- og fortrolighedsaftaler, hvor vi også foreslår, at virksomheder administrerer deres bredere masterkontrakter med tredjeparter fra, og også inden for A.15 for forsyningskæden specifikt. For personalet vil A7.1.2 Ansættelsesvilkår også dække IPR.

Politikker, processer og tekniske kontroller vil sandsynligvis være nødvendige for begge disse aspekter. Inden for aktivregistre og politikker for acceptabel brug er det sandsynligt, at der skal tages IPR-overvejelser – f.eks. hvor et aktiv er eller indeholder IPR-beskyttelse af dette aktiv, skal der tages hensyn til IPR-aspektet. Kontroller for at sikre, at kun autoriseret og licenseret software er i brug i organisationen, bør omfatte regelmæssig inspektion og revision.

Revisor vil ønske at se, at registre over licenser ejet af organisationen til brug af andres software og andre aktiver føres og opdateres. Af særlig interesse for dem vil det være at sikre, at hvor licenser omfatter et maksimalt antal brugere eller installationer, at dette antal ikke overskrides, og at bruger- og installationsnumre revideres med jævne mellemrum for at kontrollere overholdelse. Revisor vil også se på, hvordan organisationen beskytter sin egen IPR, hvilket kan omfatte; Datatab og forebyggelseskontrol; Politikker og oplysningsprogrammer rettet mod brugeruddannelse; eller Tavsheds- og fortrolighedsaftaler, der fortsætter efter ansættelsesforholdets ophør.

A.18.1.3 Beskyttelse af optegnelser

En god kontrol beskriver, hvordan optegnelser er beskyttet mod tab, ødelæggelse, forfalskning, uautoriseret adgang og uautoriseret frigivelse, i overensstemmelse med lovgivningen, regulatoriske, kontraktmæssige og forretningsmæssige krav.

Forskellige typer registrering vil sandsynligvis kræve forskellige niveauer og metoder til beskyttelse. Det er afgørende, at optegnelser er tilstrækkeligt og proportionalitetsbeskyttet mod tab, ødelæggelse, forfalskning, uautoriseret adgang eller frigivelse. Beskyttelsen af ​​optegnelser skal overholde enhver relevant lovgivning, regulering eller kontraktlige forpligtelser. Det er især vigtigt at forstå, hvor længe registreringer skal, bør eller kunne opbevares i, og hvilke tekniske eller fysiske problemer, der kan påvirke disse over tid – med tanke på, at noget lovgivning kan overtrumfe andre for opbevaring og beskyttelse. Revisor vil kontrollere, at der er taget hensyn til beskyttelse af registre på baggrund af forretningskrav, lovmæssige, regulatoriske og kontraktlige forpligtelser.

A.18.1.4 Privatliv og beskyttelse af personligt identificerbare oplysninger

En god kontrol beskriver, hvordan privatlivets fred og beskyttelse af personhenførbare oplysninger er sikret for relevant lovgivning og regulering. Enhver håndteret information, der indeholder personligt identificerbare oplysninger (PII), er sandsynligvis underlagt forpligtelserne i lovgivning og regulering. PII har især høje krav til fortrolighed og integritet, og i nogle tilfælde også tilgængelighed (f.eks. helbredsoplysninger, økonomiske oplysninger). Under noget lovgivning (f.eks. GDPR) er nogle typer PII defineret som yderligere "følsomme" og kræver yderligere kontroller for at sikre overholdelse.

Det er vigtigt, at oplysningskampagner bruges sammen med personale og interessenter for at sikre en gentagen forståelse af individuelt ansvar for at beskytte PII og privatliv. Revisor vil se på, hvordan PII håndteres, hvis de relevante kontroller er blevet implementeret, bliver de overvåget, gennemgået og om nødvendigt forbedret. De vil også se efter at kontrollere, at håndteringskravene bliver opfyldt og revideret på passende vis. Der er også yderligere ansvar, for eksempel vil GDPR forvente en regelmæssig revision for områder, hvor persondata er i fare. Smarte organisationer vil binde disse revisioner sammen med deres ISO 27001-revisioner og undgå dobbeltarbejde eller huller.

A.18.1.5 Regulering af kryptografiske kontroller

En god kontrol beskriver, hvordan kryptografiske kontroller anvendes i overensstemmelse med alle relevante aftaler, love og regler. Brugen af ​​kryptografiske teknologier er underlagt lovgivning og regulering i mange territorier, og det er vigtigt, at en organisation forstår dem, der er gældende, og implementerer kontroller og oplysningsprogrammer, der sikrer overholdelse af sådanne krav. Dette gælder især, når kryptografi transporteres eller bruges i andre områder end organisationens eller brugerens normale bopæl eller drift. Grænseoverskridende import/eksportlovgivning kan omfatte krav vedrørende kryptografiske teknologier eller brug. Revisoren vil se på, at der er foretaget overvejelser for passende regulering af kryptografiske kontroller, og at relevante kontroller og oplysningsprogrammer er implementeret for at sikre overholdelse.

Hvad er formålet med bilag A.18.2?

Bilag A.18.2 handler om informationssikkerhedsgennemgange. Formålet med dette bilag er at sikre, at informationssikkerheden implementeres og drives i overensstemmelse med de organisatoriske politikker og procedurer.

A.18.2.1 Uafhængig gennemgang af informationssikkerhed

En god kontrol beskriver organisationens tilgang til styring af informationssikkerhed og implementeringen heraf (dvs. kontrolmål, kontroller, politikker, processer og procedurer for informationssikkerhed) gennemgås uafhængigt med planlagte intervaller, eller når der sker væsentlige ændringer.

Det er godt at få en uafhængig gennemgang af sikkerhedsrisici og kontroller for at sikre upartiskhed og objektivitet samt drage fordel af friske øjne. Det betyder ikke, at det skal være eksternt, bare drage fordel af, at en anden kollega gennemgår politikker ud over hovedforfatteren/administratoren. Disse gennemgange bør udføres med planlagte, regelmæssige intervaller, og når der sker væsentlige sikkerhedsrelevante ændringer – ISO fortolker regelmæssigt til at være mindst årligt.

Revisor vil være på udkig efter både regelmæssig uafhængig sikkerhedsgennemgang og gennemgang, når der sker væsentlige ændringer, samt have tillid til, at der er en plan for regelmæssige gennemgange. De vil også kræve bevis for, at anmeldelser er blevet udført, og at eventuelle problemer eller forbedringer, der er identificeret i anmeldelserne, håndteres korrekt.

A.18.2.2 Overholdelse af sikkerhedspolitikker og -standarder

ISMS-ledere bør regelmæssigt gennemgå overholdelse af informationsbehandling og -procedurer inden for deres ansvarsområde. Politikker er kun effektive, hvis de håndhæves, og overholdelse testes og gennemgås med jævne mellemrum. Det er normalt linjeledelsens ansvar at sikre, at deres underordnede personale overholder organisationens politikker og kontroller, men dette bør suppleres med lejlighedsvis uafhængig gennemgang og revision. Hvor manglende overholdelse er identificeret, skal den logges og administreres med identifikation af, hvorfor den opstod, hvor ofte den forekommer, og behovet for eventuelle forbedringshandlinger, enten i forbindelse med kontrollen eller bevidstheden, uddannelsen eller træningen af ​​brugeren, der forårsagede manglende overholdelse.

Revisoren vil se efter at både; Proaktive forebyggende politikker, kontroller og oplysningsprogrammer er på plads, implementeret og effektive; og Reaktiv overholdelsesovervågning, gennemgang og revision er også på plads. De vil også se efter, at der er dokumentation for, hvordan der foretages forbedringer over tid for at sikre en forbedring af overholdelsesniveauer eller vedligeholdelse, hvis overholdelse allerede er på 100 %. Dette hænger sammen med de vigtigste krav i ISO 27001 for 9 og 10 omkring interne revisioner, ledelsesgennemgange, forbedringer og også afvigelser. Personalets bevidsthed og engagement i overensstemmelse med A 7.2.2 er også vigtigt at knytte til denne del for at sikre overholdelse.

A.18.2.3 Teknisk overensstemmelsesgennemgang

Informationssystemer bør regelmæssigt gennemgås for overensstemmelse med organisationens informationssikkerhedspolitikker og -standarder. Automatiserede værktøjer bruges normalt til at kontrollere systemer og netværk for teknisk overensstemmelse, og disse bør identificeres og implementeres efter behov. Hvor værktøjer som disse bruges, er det nødvendigt at begrænse deres brug til få autoriseret personale som muligt og nøje at kontrollere og koordinere, hvornår de bruges for at forhindre kompromittering af systemets tilgængelighed og integritet. Tilstrækkelige niveauer af compliancetestning vil afhænge af forretningskrav og risikoniveauer, og revisor vil forvente at se beviser for, at disse overvejelser bliver gjort. De vil også forvente at kunne inspicere testplaner og optegnelser.

Hvordan hjælper ISMS.online med overholdelse?

ISMS.online gør meget af compliance-siden af ​​informationssikkerhed betydeligt nemmere. De indbyggede godkendelsesprocesser og automatiserede påmindelser om anmeldelser gør livet meget lettere og tilbyder en 'levende plan' for at vise revisorer, at du har kontrol over ISMS. Det forhåndsudfyldte risikoværktøj for gældende lovgivning omfatter mange almindelige områder af lovgivning og regulering, som ofte overses, samt gør hele dette område af ledelse lettere. Interne og eksterne revisioner, korrigerende handlinger, forbedringer og afvigelser kan alle nemt administreres med de forudbyggede værktøjer og funktioner. Overholdelse af menneskelige ressourcer, uanset om det er personale, leverandører eller andre, kan også nemt demonstreres med Policy Pack-værktøjet. ISMS.online-partnere tilbyder også specialistuafhængige sundhedstjek og revisionssupport, der arbejder inde på din platform, hvis det kræves.