ISO 27001 Krav 7.5 – Dokumenteret information

Hvad indebærer paragraf 7.5?

Et af hovedkravene til ISO 27001 er derfor at beskrive dit informationssikkerhedsstyringssystem og derefter at demonstrere, hvordan dets tilsigtede resultater opnås for organisationen. Det er utrolig vigtigt, at alt relateret til ISMS er dokumenteret, velholdt og nemt at finde, hvis organisationen ønsker at opnå en uafhængig ISO 27001 certificering fra et organ som UKAS.

ISO 27001 paragraf 7.5 er opdelt som følger:

Punkt 7.5.1 – Generel dokumentation for ISO 27001

ISMS skal klart indeholde:

• En beskrivelse af, hvordan den imødekommer 4.1 til 10.2 i kernekravene, herunder den risikovurdering og -behandling, der fører til udvælgelsen af ​​bilag A-kontrollerne.
• De relevante bilag A kontroller, der er en del af erklæringen om anvendelighed – hvilket reelt betyder, at du skal have alle kontroller opført. Selvom en organisation beslutter, at en kontrol ikke er relevant, skal den dokumentere, at hvis den f.eks. ikke har et behov for leverings- og læsseområder i bilag A 11.1.6, fordi det er en ren digital forretning, så skal den vise revisoren, at den har mente, at der ikke er nogen risiko og intet behov for denne kontrol.

Punkt 7.5.2 – Oprettelse og opdatering af dokumenteret information til ISO 27001

ISO 27001 ønsker klarhed i dokumentation, leder efter identifikation og beskrivelse, format, gennemgang og godkendelse for egnethed og tilstrækkelighed til at tjene sit formål. Det er let at gå glip af nuancerne i disse krav, men i praksis betyder det, at der tages hensyn til forfatter, dato, titel, reference osv., og denne godkendelsesproces er også meget vigtig for at passe sammen med bilag A 5.1.2 som beskrevet nedenfor.

Punkt 7.5.3 – Kontrol af dokumenterede oplysninger til ISO 27001

Kernen i ISMS er princippet om fortrolighed, integritet og tilgængelighed for oplysningerne. Det er det samme for selve ISMS, det skal være tilgængeligt, når det kræves, og tilstrækkeligt beskyttet mod tab af fortrolighed, uautoriseret brug eller potentiel kompromittering af integriteten.

Blot at dumpe ISMS-indholdet på teamets fællesdrev og have det ukontrolleret eller med ineffektive adgangstilladelser ville næsten helt sikkert føre til problemer for organisationen i en revision. På samme måde ville det være et problem at efterlade det på et personligt drev utilgængeligt for dem, der har brug for at vide om ISMS, så der skal tages hensyn til adskillige områder for effektiv kontrol. ISO leder efter en organisation til at løse følgende aspekter:

• deling og distributionsklarhed, kontrol over adgang til nogle af eller hele ISMS'en - med tanke på adgangstilladelserne til læsning, opdatering, godkendelse, sletning osv. kan det være nødvendigt at variere baseret på interessentrollen
• opbevaring og bevaring, herunder kontrol af ændringer (viser ældre versioner, historiske godkendelser osv.)
• opbevaring og bortskaffelse skal også overvejes

Dette krav stemmer også overens med den regelmæssige gennemgang af politikker, der er fremhævet i bilag A.5.1.2, også berørt nedenfor.

Hvor meget skal der skrives for at dokumentation for ISMS'et anses for acceptabelt af en revisor?

Et spørgsmål, der ofte stilles om informationssikkerhedsstyringsdokumentation, er 'hvor meget er nok'. Det korte svar er, at det handler om kvalitet, ikke kvantitet. Så længe organisationen overholder kravene, der er opsummeret nedenfor, og kan påvise, at den ikke har brug for lang udførlig dokumentation, vil revisor uden tvivl tage højde for det under en revision – fx fordi det er en lille organisation med få deltagere omkring ISMS. , stabil, overskuelig, velholdt og enkel i betjening.

Er dokumentation for informationssikkerhedsstyringssystemet 'word style-dokumenter' eller er andre former for indhold tilladt?

Forespørgsler om, hvilken slags dokumentation der forventes, er et af de andre ofte stillede spørgsmål om paragraf 7.5 dokumentation for informationssikkerhedsstyringssystemet. Faktisk angiver ISO 27001 klart i sin note til side klausul 7.5.1:

"Omfanget af dokumenteret information for et informationssikkerhedsstyringssystem kan variere fra en organisation til en anden på grund af:"

• organisationens størrelse og dens type aktiviteter, processer, produkter og tjenester;
• kompleksiteten af ​​processer og deres interaktioner; og
• personers kompetence.

En række udbydere af ISO 27001 informationssikkerhedsdokumentation 'toolkit' har fastholdt myten om, at dokumenteret information til et ISMS skal være word-dokumenter og excel-regneark. Det er klart, at disse dokumenter kan have en plads i et ISMS (f.eks. hvor billeder eller komplekse processer også skal kommunikeres), men de bør bruges sparsomt i betragtning af fremkomsten af ​​bedre onlineværktøjer.

Onlinetjenester som ISMS.online letter dokumenter på den mere traditionelle måde og tilbyder også mere effektive måder at administrere dokumentation på, der kan vise bedre kontrol og koordinering, bedre måder til deling og publicering til publikum og gøre hele processen med dokumentationsstyring til kravene i punkt 7.5 nedenfor meget lettere. Det betyder også, at de gamle dages spildtid med forsider af dokumenter, der viser alle versionsændringer og godkendelser via e-mail, for længst er forbi!

Sammenføjning af 7.5 med bilag A kontroller

Når man tænker på, at paragraf 7.5-kravene også stemmer overens med kontrolmålene i bilagene, giver det endnu mere mening at tænke på et samlet, velkoordineret ledelsessystem i stedet for gammeldags dokumenter og delte drev til opbevaring. Eksempler på, hvor klausul 7.5 skal forenes med bilag A-kontrollerne omfatter:

Bilag A 5.1.1

Ud over at være defineret skal informationssikkerhedspolitikker godkendes af ledelsen, offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter. Det er ikke let at demonstrere godkendelse af dokumenter i sig selv, og publicering af tunge dokumenter vil næppe blive fordøjet eller forstået af interessenterne, selvom de er blevet kommunikeret (og efterlader organisationen i risiko for manglende overholdelse og trussel om tab ved uvidenhed).

Bilag A 5.1.2

Gennemgang af politikkerne for informationssikkerhed. ISO 27001 siger, at politikker bør revideres regelmæssigt med planlagte intervaller (eller hvis der sker væsentlige ændringer) for at sikre deres løbende egnethed. Uafhængige ISO-revisorer vil forvente at se denne gennemgang udføres mindst årligt for hver politik.

Bilag A 18.2

Denne bilag A-kontrol handler om informationssikkerhedsgennemgange, og den er udført godt, den integrerer pænt med paragraf 7.5 for dokumentationsstyring af et ISMS, herunder uafhængige anmeldelser, kontrol for overholdelse og hvor det er relevant også teknisk overholdelse. Gennemgang, versionskontrol, visning af opdateringer og derefter godkendelse af gamle formede dokumenter, hvor de ikke behøver at være dokumenter i sig selv, kan virkelig bremse administratorer af ISMS. Det kan også forsinke eller miste personaleengagementet og føre til manglende overholdelse.

Hvordan administrerer man dokumentation i dit ISMS?

Klausul 7.5 er let at misforstå og flakse rundt, hvilket fører til en revisionsfejl eller måske overudvikle en løsning på og bruge alt for lang tid på at opbygge en ledelsessystemstruktur, der er for svær at vedligeholde ved første ændring. ISMS.online business case planner ser på mulighederne for build versus buy, så tjek det ud, hvis du overvejer at skabe din egen løsning.

Det er virkelig svært at få ret og opfylde alle kravene i paragraf 7.5 og de tilhørende bilag A-kontroller. Det er derfor, mange organisationer leder efter en specialbygget ISMS-softwareløsning og vil have noget med ISMS.onlines egenskaber.

Når alt kommer til alt, ville du ikke spilde tid på at konstruere dit eget CRM- eller økonomisystem, når andre allerede har brugt tid på at udvikle den rigtige løsning, der kan leveres direkte ud af kassen til en brøkdel af prisen på en gør-det-selv-løsning, der er ikke en del af organisationens kernekompetencer.

ISMS.online giver en let at følge struktur for al den nødvendige dokumentation. Den følger nøjagtig samme struktur som selve standarden, så du og en revisor nemt og hurtigt kan navigere til den nødvendige dokumentation. Det har indbygget roller og tilladelser til at få adgang til, redigere, godkende og dele. Der er også automatisk versionskontrol og påmindelser om anmeldelser. Vi er endda gået et skridt videre og inkluderet politik- og kontroldokumentation, som du kan vedtage, tilpasse og tilføje til lige ud af kassen.

Brug af ISMS.online-softwareløsningen giver dig mulighed for at fokusere på dine ISMS-mål. ISMS.online laver let arbejde med administrationen, så du nemt kan oprette, kontrollere, koordinere, administrere og dele din dokumentation til interessenter, herunder gennem Policy Packs, som øger den ende til anden tillid til overholdelse. Det vil også give dig alle værktøjer til at udføre de mange arbejdsprocesser, som standarden kræver. Det er også grunden til, at vi siger, at de dokumenter, vi leverer, er 'handlingspligtige'. De er mere end simple dokumentskabeloner, der giver dig mulighed for at fortolke og finde en måde at demonstrere dine processer på...ISMS.online er en hel ISMS-løsning samlet ét sted.

Bliv certificeret op til 5 gange hurtigere med ISMS.online

Overholdelse behøver ikke at være kompliceret – ISMS.online er designet til at hjælpe dig med at opnå ISO 27001-certificering hurtigt og til en overkommelig pris uden behov for uddannelse.
Vi har strømlinet ISO 27001-processen med vores Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, nem onboarding og ekspertsupport.

Book en platformdemo for at se, hvordan ISMS.online kan hjælpe din virksomhed