Sådan undgår du katastrofale antagelser med ISO 27001 klausul 9
Mange faglige læringer er kun virkelig nyttige i erhvervslivet. Men der er et princip, der hjælper mig i alle dele af mit liv, lige fra at få børnene i skole hver morgen til at planlægge den drømmeferie efter Covid. Det er dette:
- Antagelse er moderen til alle katastrofer
Hvis du bare gør antagelser i stedet for rent faktisk at tjekke tingene ud, vil du ikke fange problemer og problemer, når de stadig er små og nemme at løse. Du vil først se dem, når de er umulige at gå glip af og sandsynligvis katastrofale.
Heldigvis er der en nem løsninger. Gør ikke antagelser. Erstat dem med praktiske, konstruktive, strukturerede revisioner. Det kan virke kedeligt og kedeligt, men det er altid vigtigt.
Hvorfor tilsyn betyder noget
Gennem hans opmærksomhed på detaljer, i en tidligere rolle: en af vores kolleger:
- Hjalp sin daværende klient med at undgå større økonomisk og omdømmeskader
- Reddede livet for mange ulastelige undersøiske væsner
- Forebyggede en større international hændelse
Han auditerede en undersøisk lagerenhed før dens installation på havbunden. Han fandt ud af, at en leverandør havde brugt den forkerte slags maling på den. Malingen ville hurtigt henfalde. Så ville opbevaringsenheden hurtigt forfalde. Så ville den bryde op.
Enheden er designet til sikkert at indeholde radioaktivt materiale til undersøiske målinger.
Du kan forestille dig resten.
Alle antog, at det var spild af tid at tjekke malingen. Hvordan kunne nogen overhovedet få noget så grundlæggende så galt? Vores kollega blev faktisk kritiseret for at være for kræsen. Men endnu en gang beviste det virkelige liv, at antagelsen er moderen til alle katastrofer.
Tilsyn i ISO 27001
Fordi revision er så vigtigt, dækker ISO 27001 det i nogle detaljer. § 9 i ISO 27001 beder dig om at tænke igennem, hvordan du:
- Mål og sæt mål for din ISMS' effektivitet (Punkt 9.1)
- Revider den regelmæssigt for at sikre, at den rammer disse mål (Punkt 9.2)
- Hold din topledelse opdateret (Punkt 9.3)
Det giver dig en meget nyttig infosec tilsynstjekliste, uanset om du er det eller ej kompatibel eller certificeret. Selvom vi er nødt til at nå ud til Punkt 10.2 for en meget vigtig sidste detalje:
- Overvej at foretage forbedringer af dit ISMS baseret på det, du har fundet
Punkt 9.1: Måling og opsætning af mål for dit ISMS
En ikke-undersøgt ISMS er ikke værd at have. Men for at undersøge det ordentligt, skal du vide, hvad du leder efter, hvor du leder, og hvem der leder efter det. Punkt 9.1 beder dig om at planlægge:
- Hvilke dele af din ISMS du har brug for at holde øje med
- Hvordan du vil overvåge, måle, analysere og evaluere dem
- Hvor ofte vil du udføre alle disse kontroller
- Hvem foretager kontrollen
- Hvordan de vil rapportere deres resultater
Sørg for at dokumentere det hele. At have et enkelt sæt klare praktiske retningslinjer vil forhindre folk i at gøre antagelser. Vi ved, hvor de kan føre hen...
Punkt 9.2: Revision af dit ISMS
Nu er du klar til din faktiske intern revision, som specificeret i paragraf 9.2. Det er her du tjekker lakken og sparker dækkene. At sutte gennem tænderne er også en mulighed.
Dybest set kontrollerer du, at din ISMS:
- Opfylder alle de mål, du har sat for det
- Er veldrevet og ordentligt vedligeholdt
Bare én revision vil ikke gøre jobbet. Du skal planlægge regelmæssige revisioner. Hver ny revision skal referere til tidligere, så du ved med sikkerhed, at du opfanger og reagerer på eventuelle problemer. Så hver ny revision skal være klart og konsekvent dokumenteret og rapporteret.
Du skal også gøre specifikke personer ansvarlige for hver revision. De bør have et klart omfang for hver revision. Og det afgørende er, at de skal være objektive. Vælg revisorer, der vil udfordre dine antagelser, ikke bekræfte dem.
Og hver revision bør være en positiv, værdiskabende proces. Ideelt set leder revisorer efter overensstemmelser og arbejder måske sammen med den reviderede for at finde potentielle forbedringer. Din revisor leder IKKE efter uoverensstemmelser. Det sker bare, at nogle gange får de øje på dem.
Punkt 9.3: Holde den øverste ledelse i løkken
At antage, at den øverste ledelse ved, hvordan det går, er altid en fejl. Du skal sikre dig, at de forstår, køber ind og (hvor det er nødvendigt) former dit ISMS. Efter alt, som Punkt 5 Bemærk, at de i sidste ende er ansvarlige for dit ISMS.
Så, paragraf 9.3 beder dig om at gennemføre regelmæssige, planlagte ledelsesgennemgange. Du vil opdatere den øverste ledelse om, hvor godt din ismer beskytter din organisation og dækker:
- Specifikke problemer opdaget, og hvordan du har løst dem
- Generel præstation i forhold til de mål, du har sat
- Eventuelle kommentarer eller feedback fra interesserede parter
- Hvad dine revisorer fortæller dig
- Detaljer om igangværende risikovurdering og behandling
- Forbedringer, du planlægger at lave eller har lavet
Du bør også trække på deres store overblik over din organisation. Sørg for, at de deler detaljer om eventuelle interne eller eksterne problemer, der kan påvirke omfang og funktion af dit ISMS. Og selvfølgelig vil du indhente dem om handlinger, der stammer fra tidligere anmeldelser.
Åh, og der er én stor antagelse at udfordre. Folk antager normalt, at gennemgangen af ledelsessystemet skal udføres som et møde. Men hvor står der det i paragraf 9.2? Vores tip: Det gør ikke...
En sidste antagelse vil vi gerne undgå
Så det er sådan Punkt 9 af ISO 27001 hjælper dig med at erstatte vage antagelser med praktiske, konstruktive, strukturerede revisioner. Så kan du følge paragraf 10.2 og handle ud fra dem.
Forhåbentlig har vi vist dig, hvordan processen fungerer, og givet dig nogle nyttige tips til at hjælpe dig med at holde øje med dine egne infosec-foranstaltninger.
Men det lyder som præcis det, vi gerne vil undgå: en antagelse! Så hvis dette indlæg har været nyttigt eller inspirerende, lad os vide sikkert.
