ISO 27001:2022 Bilag A 5.24 – Planlægning og forberedelse af informationssikkerhedshændelsesstyring

Hvad er formålet med ISO 27001:2022 Annex A 5.24?

Målet med ISO 27001:2022 bilag A 5.24 er at sikre en konsekvent og praktisk tilgang til styring af informationssikkerhed hændelser, hændelser og svagheder.

At definere, hvordan ledelsen etablerer ansvar og procedurer for at håndtere svagheder, hændelser og sikkerhedshændelser, er definitionen af ​​passende kontrol.

Udtrykket hændelse refererer til en situation, hvor et tab af fortrolighed, integritet eller tilgængelighed er sket.

For at planlægge en hændelsesreaktion, hændelsesreaktion eller svaghedsreaktion skal din ledelse definere disse procedurer forud for en hændelse. Disse procedurer er lette at udvikle, da resten af ​​dette bilag A-kontrol præciserer dem. Du skal demonstrere, at disse formelle, dokumenterede procedurer fungerer sammen med din revisor.

Hvad er formålet med bilag A 5.24?

En hændelsesstyringstilgang til informationssikkerhed kan ses i bilag A Kontrol 5.24.

Denne kontrol beskriver, hvordan organisationer skal håndtere hændelser relateret til informationssikkerhed ved at skabe effektive processer, planlægge tilstrækkeligt og definere klart definerede roller og ansvarsområder.

Den lægger vægt på konstruktiv kommunikation og professionelle reaktioner på højtryksscenarier, især når man beskæftiger sig med kommercielt følsomme personlige oplysninger.

Dens formål er at minimere enhver kommerciel eller operationel skade forårsaget af kritiske informationssikkerhedshændelser ved at etablere et standardsæt af hændelseshåndteringsprocedurer.

Ejerskab af ISO 27001:2022 Bilag A 5.24

I en bredere forstand bruges en hændelsesstyringsstrategi typisk til at håndtere servicerelaterede hændelser. Kontrol 5.24 i bilag A omhandler specifikt hændelser og brud i forbindelse med informationssikkerhed.

På grund af disse begivenheders følsomme karakter bør CISO'er eller tilsvarende til en organisation tage ejerskab af kontrol 5.24.

Da CISO'er normalt er ansat af store virksomheder, kan ejerskabet også besiddes af COO eller Service Manager i henhold til organisationens art.

Vejledning om roller og ansvar

For at opnå de mest effektive resultater inden for hændelseshåndtering skal en organisations personale arbejde sammen om at løse specifikke problemer.

Bilag A Kontrol 5.24 specificerer 5 hovedretningslinjer for, hvordan organisationer kan gøre deres informationshåndteringsoperationer mere effektive og sammenhængende.

Det er afgørende for organisationer at:

1. Udvikle og dokumentere en homogen metode til rapportering af sikkerhedshændelser. Dette bør også omfatte etablering af et enkelt kontaktpunkt for alle sådanne arrangementer.
2. Implementer Incident Management-processer til håndtering af informationssikkerhedsrelaterede hændelser på tværs af forskellige tekniske og administrative områder:
• Administration
• Dokumentation
• Detektion
• Triage
• Prioritering
• Analyse
• Kommunikation

Opret en hændelsesprocedure, så hændelser kan vurderes og reageres på af organisationen. En virksomhed bør også overveje behovet for at lære af hændelser, når de er blevet løst. Dette forhindrer gentagelser og giver personalet en historisk kontekst til fremtidige scenarier.

Sørg for, at kun uddannet og kompetent personale er involveret i hændelser. Sørg desuden for, at de har fuld adgang til proceduredokumentation og får regelmæssig genopfriskningsuddannelse, der er direkte relateret til informationssikkerhedshændelser.

Identificer medarbejdernes træningsbehov i at løse informationssikkerhedsrelaterede hændelser ved at etablere en proces. Personalet bør have lov til at fremhæve faglige udviklingsbehov i forbindelse med informationssikkerhed og leverandørspecifikke certificeringer.

Vejledning om håndtering af hændelser

En organisation bør håndtere informationssikkerhedshændelser at sikre, at alle mennesker, der er involveret i at løse dem, forstår tre hovedområder:

1. En hændelses opløsningstid.
2. Mulige følger.
3. Hændelsens sværhedsgrad.

Alle processer skal arbejde harmonisk sammen for at opretholde disse tre variabler som topprioriteter:

• I bilag A Kontrol 5.24 skal otte hovedaktiviteter behandles ved løsning af informationssikkerhedsrelaterede hændelser.
• Eventpotentiale skal evalueres ud fra strenge kriterier, der validerer det som en godkendt sikkerhedshændelse.
• Hændelser og hændelser relateret til informationssikkerhed bør håndteres som følger, enten manuelt eller via procesautomatisering:
• Overvågning (se bilag A Kontrol 8.15 og 8.16).
• Detektion (se bilag A Kontrol 88.16).
• Klassificering (se bilag A Kontrol 5.25).
• Analyse.
• Rapportering (se bilag A Kontrol 6.8).

En vellykket afslutning på en informationssikkerhedshændelse bør omfatte følgende procedurer:

• Afhængigt af hændelsestypen kræves respons og eskalering (se bilag A Kontrol 5.26).
• Sag til sag aktivering af krisestyring eller forretningskontinuitetsplaner.
• Genopretning fra en hændelse på en måde, der minimerer enhver operationel eller økonomisk skade.
• Kommunikation med alle interne og eksterne parter vedrørende hændelsesrelaterede hændelser.
• Evnen til at samarbejde med internt og eksternt personale (se bilag A Kontrol 5.5 og 5.6).
• Alle hændelseshåndteringsaktiviteter skal logges, let tilgængelige og gennemsigtige.

Overholdelse af eksterne og interne retningslinjer og regler vedrørende håndtering af bevismateriale (herunder data og samtaler) (se bilag A Kontrol 5.28).

En grundig undersøgelse og årsagsanalyse vil blive gennemført, når hændelsen er blevet løst.

En omfattende beskrivelse af eventuelle forbedringer, der er nødvendige for at forhindre hændelsen i at gentage sig, herunder eventuelle ændringer i hændelseshåndteringsprocessen.

Vejledning om retningslinjer for rapportering

En Incident Management-politik bør fokusere på rapporteringsaktiviteter for at sikre, at information formidles nøjagtigt i hele organisationen. Rapporteringsaktiviteter bør koncentreres om fire hovedområder:

1. En informationssikkerhedshændelse kræver, at der udføres specifikke handlinger.
2. Ved hjælp af hændelsesskemaer kan personalet registrere information klart og kortfattet.
3. Informer personalet om resultatet af informationssikkerhedshændelser, når de er blevet løst gennem feedbackprocesser.
4. Alle relevante oplysninger om en hændelse dokumenteres i hændelsesrapporter.

Bilag A Kontrol 5.24 har brug for vejledning i, hvordan man overholder eksterne rapporteringskrav (f.eks. lovgivningsmæssige retningslinjer og gældende lovgivning). På trods af dette bør organisationer koordinere et svar, der opfylder alle lovmæssige, lovgivningsmæssige og sektorspecifikke krav ved at dele oplysninger om hændelser med alle relevante parter.

Medfølgende bilag A kontrol

• ISO 27001:2022 Bilag A 5.25
• ISO 27001:2022 Bilag A 5.26
• ISO 27001:2022 Bilag A 5.5
• ISO 27001:2022 Bilag A 5.6
• ISO 27001:2022 Bilag A 6.8
• ISO 27001:2022 Bilag A 8.15
• ISO 27001:2022 Bilag A 8.16

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001:2022 Bilag A 5.24 erstatter ISO 27001:2013 Bilag A 16.1.1 ('Håndtering af informationssikkerhedshændelser og forbedringer').

Det erkendes i bilag A 5.24, at organisationer skal gennemgå grundige forberedelser for at være modstandsdygtige og compliant, når de står over for informationssikkerhedshændelser.

I denne henseende giver 27001:2022 A.5.24 en omfattende oversigt over de trin, en organisation skal tage på tværs af rolledelegering, hændelsesstyring og rapporteringsfunktioner, samt henvisninger til andre ISO-kontroller, der hjælper organisationer med at få et mere omfattende overblik over hændelsen. ledelsen som helhed, ikke kun relateret til informationssikkerhedshændelser.

Der er tre adskilte områder at overveje, når hændelseshåndteringsoperationer opdeles ISO 27001: 2022 Bilag A 5.24 i modsætning til ISO 27001:2013 Bilag A 16.1.1:

• Ansvar og roller.
• Processer til håndtering af hændelser.
• Rapporteringsprocessen.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrol.

Informationssikkerhed Incident Management: Hvordan hjælper ISMS.online?

ISMS.online giver en integreret politik til at adressere 16.1.1 – 16.1.7 gennem hele livscyklussen og indbyggede værktøjer, som du kan bruge til at demonstrere dette. Håndtering af sikkerhedshændelser er en enkel, ubesværet proces med ISMS.online's Security Incident Management Tool. En omfattende hændelsesstyringsplan guider en hændelse gennem alle nøglestadier og sikrer, at standarden overholdes på en pragmatisk, men kompatibel måde.

Med ISMS.online kan du hurtigt tilpasse det efter behov. Den forudbyggede statistik og rapporteringsindsigt hjælper med at gøre ledelsesgennemgange meget mere ligetil og sparer tid, da de binder elegant sammen med relaterede dele af ISMS. Vil du knytte en specifik hændelse til en forbedring, en risiko, en revision, eller et informationsaktiv og de politikker, du skal overveje?

En overskrift af sporet for sikkerhedshændelser er vist nedenfor, som hjælper med at synliggøre alt det arbejde, der udføres. Det er nemt og undgår også dobbeltarbejde. For at sikre, at du først fokuserer på de vigtigste ting, kan du filtrere dem og administrere ressourcer, kategorier og hændelsestyper.

ISMS.online giver dig mulighed for at:

• Implementer et ISMS, der overholder ISO 27001-kravene.
• Demonstrere overholdelse af standardens krav ved at udføre opgaver og indsende bevis.
• Sikre overholdelse af loven ved at tildele opgaver og følge fremskridt.
• Sikre overholdelse ved hjælp af et dedikeret team af rådgivere.

Kontakt os i dag for at planlæg en demo.