ISO 27001 – Bilag A.6: Organisation af informationssikkerhed

Hvad er formålet med bilag A.6.1?

Bilag A.6.1 handler om intern organisering. Målet i dette bilag A-område er at etablere en ledelsesramme til at igangsætte og kontrollere implementeringen og driften af ​​informationssikkerhed i organisationen.

Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering. Lad os forstå disse krav, og hvad de betyder i lidt mere dybde nu.

A.6.1.1 Informationssikkerhedsroller og -ansvar

Alt informationssikkerhedsansvar skal defineres og tildeles. Informationssikkerhedsansvar kan være generelt (f.eks. beskyttelse af information) og/eller specifikt (f.eks. ansvaret for at give en bestemt tilladelse).

Der bør tages hensyn til ejerskabet af informationsaktiver eller grupper af aktiver, når ansvarsområder identificeres. Nogle eksempler på de forretningsroller, der sandsynligvis vil have en vis informationssikkerhedsrelevans omfatter; afdelingsledere; Ejere af forretningsprocesser; Facility manager; HR-chef; og intern revisor.

Revisor vil søge at opnå sikkerhed for, at organisationen har gjort det klart, hvem der er ansvarlig for hvad på en passende og forholdsmæssig måde i forhold til organisationens størrelse og karakter. For mindre organisationer er det generelt urealistisk at have fuldtidsroller forbundet med disse roller og ansvarsområder.

Som sådan er det vigtigt at afklare specifikke informationssikkerhedsansvar inden for eksisterende jobroller, f.eks. kan driftsdirektøren eller CEO også svare til CISO, Chief Information Security Officer, med det overordnede ansvar for alle ISMS. CTO'en kan eje alle teknologirelaterede informationsaktiver osv.

A.6.1.2 Funktionsadskillelse

Modstridende pligter og ansvarsområder skal adskilles for at reducere mulighederne for uautoriseret eller utilsigtet ændring eller misbrug af nogen af ​​organisationens aktiver.

Organisationen skal spørge sig selv, om adskillelsen af ​​opgaver er blevet overvejet og implementeret, hvor det er relevant. Mindre organisationer kan døje med dette, men princippet bør så vidt muligt anvendes, og god styring og kontrol skal indføres for informationsaktiver med højere risiko/højere værdi, indfanget som en del af risikovurderingen og -behandlingen.

A.6.1.3 Kontakt med myndigheder

Der skal opretholdes passende kontakter til relevante myndigheder. Husk, når du tilpasser denne kontrol, at tænke på det juridiske ansvar for at kontakte myndigheder såsom politiet, informationskommissærens kontor eller andre tilsynsmyndigheder, fx omkring GDPR.

Overvej, hvordan denne kontakt skal tages, af hvem, under hvilke omstændigheder og arten af ​​de oplysninger, der skal gives.

A.6.1.4 Kontakt med særlige interessegrupper

Der skal også opretholdes passende kontakter til særlige interesseorganisationer eller andre specialiserede sikkerhedsfora og faglige sammenslutninger. Når du tilpasser denne kontrol til dine specifikke behov, skal du huske, at medlemskab af faglige organisationer, brancheorganisationer, fora og diskussionsgrupper alle tæller med i denne kontrol.

Det er vigtigt at forstå karakteren af ​​hver af disse grupper og til hvilket formål de er oprettet (f.eks. ligger der et kommercielt formål bag).

A.6.1.5 Informationssikkerhed i projektledelse

Informationssikkerhed skal behandles i projektledelsen, uanset projekttype. Informationssikkerhed bør forankres i organisationens struktur, og projektledelse er et nøgleområde herfor. Vi anbefaler brugen af ​​skabelonrammer til projekter, der inkluderer en simpel gentagelig tjekliste for at vise, at informationssikkerhed overvejes.

Revisor vil se efter at se, at alle personer involveret i projekter har til opgave at overveje informationssikkerhed på alle stadier af projektets livscyklus, så dette bør også dækkes som en del af uddannelsen og bevidstheden i overensstemmelse med HR-sikkerhed for A.7.2.2 .

Smarte organisationer vil også kombinere A.6.1.5 med relaterede forpligtelser for persondata og overveje sikkerhed ved design sammen med Data Protection Impact Assessments (DPIA) og lignende processer for at demonstrere overholdelse af den generelle databeskyttelsesforordning (GDPR) og databeskyttelsesloven 2018.

ISMS.online inkorporerer enkle, praktiske rammer og skabeloner til informationssikkerhed i projektledelse samt DPIA og andre relaterede persondatavurderinger, f.eks. Legitimate Interest Assessments (LIA).

Hvad er formålet med bilag A.6.2?

Bilag A.6.2 handler om mobile enheder og fjernarbejde. Målet i dette bilag A-område er at etablere en ledelsesramme for at sikre sikkerheden ved fjernarbejde og brug af mobile enheder.

A.6 virker som et mærkeligt sted at dække over mobilenheder og telearbejde, men det gør det, og næsten alt i A.6.2 hænger sammen med andre Annex A-kontroller, da meget af arbejdslivet omfatter mobil- og fjernarbejde.

Fjernarbejde omfatter i dette tilfælde også hjemmearbejdere og personer på satellit-lokaliteter, der måske ikke har brug for den samme fysiske infrastrukturkontrol som (f.eks.) hovedkontoret, men som ikke desto mindre er udsat for værdifuld information og relaterede aktiver.

A.6.2.1 Mobilenhedspolitik

Der skal vedtages en politik og understøttende sikkerhedsforanstaltninger for at håndtere de risici, der indføres ved brug af mobiltelefoner og andre mobile enheder såsom bærbare computere, tablets osv. Efterhånden som mobile enheder bliver stadig smartere, bliver dette politikområde meget mere betydningsfuldt ud over den traditionelle brug af en mobil telefon. Brugen af ​​mobile enheder og fjernarbejde er på samme tid en glimrende mulighed for fleksibelt arbejde og en potentiel sikkerhedssårbarhed.

BYOD eller Bring Your Own Device er også en stor del af overvejelsen. Selvom der er enorme fordele ved at gøre det muligt for personalet at bruge deres egne enheder, uden tilstrækkelig kontrol på livets brug og især exit, kan truslerne også være betydelige.

En organisation skal være sikker på, at når mobile enheder bruges, eller personalet arbejder off-site, forbliver dens oplysninger og oplysninger fra kunder og andre interesserede parter beskyttet og ideelt set inden for dens kontrol. Det bliver mere og mere vanskeligt med cloud storage til forbrugere, automatiseret backup og personligt ejede enheder, der deles af familiemedlemmer.

En organisation bør overveje at implementere en "Defence in Depth"-strategi med en kombination af supplerende fysiske, tekniske og politiske kontroller. Et af de vigtigste aspekter er uddannelse, træning og bevidsthed omkring brugen af ​​mobile enheder også på offentlige steder, idet man undgår risikoen for 'gratis' wifi, der hurtigt kan kompromittere information eller begrænse ubudne observatører i at se på skærmen på togrejsen hjem.

Revisor vil gerne se, at der er indført klare politikker og kontroller, som giver sikkerhed for, at information forbliver sikker, når man arbejder væk fra organisatoriske fysiske steder. Politikker bør dække følgende områder:

• registrering og styring
• fysisk beskyttelse
• restriktioner for hvilken software der kan installeres, hvilke tjenester og apps der kan tilføjes og få adgang til, brug af autoriserede og uautoriserede udviklere
• betjening af enhedsopdateringer og patch-applikationer
• den tilgængelige informationsklassificering og andre begrænsninger for aktivadgang (f.eks. ingen adgang til kritiske aktiver til infrastrukturen)
• forventninger til kryptografi, malware og antivirus
• krav til log på, fjerndeaktivering, sletning, lockout og 'find min enhed'
• backup og lagring
• familie og andre brugeradgangsbetingelser (hvis BYOD) f.eks. adskillelse af konti
• brug på offentlige steder
• forbindelse og betroede netværk

A.6.2.2 Fjernarbejde

En politik og understøttende sikkerhedsforanstaltninger skal også implementeres for at beskytte oplysninger, der tilgås, behandles eller opbevares på telearbejdssteder. Fjernarbejde refererer til hjemmearbejde og andet off-site arbejde, såsom på leverandør- eller kundesteder. For telearbejdende personale er uddannelse, træning og bevidsthed om potentielle risici afgørende.

Revisoren vil forvente at se beslutninger vedrørende brug af mobilenheder og fjernarbejde og sikkerhedsforanstaltninger baseret på passende risikovurdering, der balancerer behovet for fleksibelt arbejde mod de potentielle trusler og sårbarheder, som en sådan brug ville medføre.

Fjernarbejde er også tæt forbundet med mange af de andre kontrolområder i bilag A i A.6, A.8, A.9, A .10, A.11, A.12 og A.13, så sammenslut dem som en del af kontor- og fjernarbejde for at undgå dobbeltarbejde og huller. A.7 er også afgørende for at få det rigtige til screening og rekruttering af telearbejdere, og ledelsen i løbet af livscyklussen bliver nøglen til at inkludere i revisioner og demonstrere over for revisorer, at telearbejdere ikke er en dårligt styret trussel.