Nedenfor finder du kernekravene i ISO 27001:2013. Hvis du leder efter den opdaterede
ISO 27001:2022 kernekrav, klik venligst på knappen nedenfor.
Hvad indebærer paragraf 7.5?
Et af hovedkravene til ISO 27001 er derfor at beskrive dit informationssikkerhedsstyringssystem og derefter at demonstrere, hvordan dets tilsigtede resultater opnås for organisationen. Det er utrolig vigtigt, at alt relateret til ISMS er dokumenteret, velholdt og nemt at finde, hvis organisationen ønsker at opnå en uafhængig ISO 27001 certificering fra et organ som UKAS.
ISO 27001 paragraf 7.5 er opdelt som følger:
Punkt 7.5.1 – Generel dokumentation for ISO 27001
ISMS skal klart indeholde:
- En beskrivelse af, hvordan den imødekommer 4.1 til 10.2 i kernekravene, herunder den risikovurdering og -behandling, der fører til udvælgelsen af bilag A-kontrollerne.
- De relevante bilag A kontroller, der er en del af erklæringen om anvendelighed – hvilket reelt betyder, at du skal have alle kontroller opført. Selvom en organisation beslutter, at en kontrol ikke er relevant, skal den dokumentere, at hvis den f.eks. ikke har et behov for leverings- og læsseområder i bilag A 11.1.6, fordi det er en ren digital forretning, så skal den vise revisoren, at den har mente, at der ikke er nogen risiko og intet behov for denne kontrol.
Punkt 7.5.2 – Oprettelse og opdatering af dokumenteret information til ISO 27001
ISO 27001 ønsker klarhed i dokumentation, leder efter identifikation og beskrivelse, format, gennemgang og godkendelse for egnethed og tilstrækkelighed til at tjene sit formål. Det er let at gå glip af nuancerne i disse krav, men i praksis betyder det, at der tages hensyn til forfatter, dato, titel, reference osv., og denne godkendelsesproces er også meget vigtig for at passe sammen med bilag A 5.1.2 som beskrevet nedenfor.
Punkt 7.5.3 – Kontrol af dokumenterede oplysninger til ISO 27001
Kernen i ISMS er princippet om fortrolighed, integritet og tilgængelighed for oplysningerne. Det er det samme for selve ISMS, det skal være tilgængeligt, når det kræves, og tilstrækkeligt beskyttet mod tab af fortrolighed, uautoriseret brug eller potentiel kompromittering af integriteten.
Blot at dumpe ISMS-indholdet på teamets fællesdrev og have det ukontrolleret eller med ineffektive adgangstilladelser ville næsten helt sikkert føre til problemer for organisationen i en revision. På samme måde ville det være et problem at efterlade det på et personligt drev utilgængeligt for dem, der har brug for at vide om ISMS, så der skal tages hensyn til adskillige områder for effektiv kontrol. ISO leder efter en organisation til at løse følgende aspekter:
- deling og distributionsklarhed, kontrol over adgang til nogle af eller hele ISMS'en - med tanke på adgangstilladelserne til læsning, opdatering, godkendelse, sletning osv. kan det være nødvendigt at variere baseret på interessentrollen
- opbevaring og bevaring, herunder kontrol af ændringer (viser ældre versioner, historiske godkendelser osv.)
- opbevaring og bortskaffelse skal også overvejes
Dette krav stemmer også overens med den regelmæssige gennemgang af politikker, der er fremhævet i bilag A.5.1.2, også berørt nedenfor.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvor meget skal der skrives for at dokumentation for ISMS'et anses for acceptabelt af en revisor?
Et spørgsmål, der ofte stilles om informationssikkerhedsstyringsdokumentation, er 'hvor meget er nok'. Det korte svar er, at det handler om kvalitet, ikke kvantitet. Så længe organisationen overholder kravene, der er opsummeret nedenfor, og kan påvise, at den ikke har brug for lang udførlig dokumentation, vil revisor uden tvivl tage højde for det under en revision – fx fordi det er en lille organisation med få deltagere omkring ISMS. , stabil, overskuelig, velholdt og enkel i betjening.
Er dokumentation for informationssikkerhedsstyringssystemet 'word style-dokumenter' eller er andre former for indhold tilladt?
Forespørgsler om, hvilken slags dokumentation der forventes, er et af de andre ofte stillede spørgsmål om paragraf 7.5 dokumentation for informationssikkerhedsstyringssystemet. Faktisk angiver ISO 27001 klart i sin note til side klausul 7.5.1:
"Omfanget af dokumenteret information for et informationssikkerhedsstyringssystem kan variere fra en organisation til en anden på grund af:"
- organisationens størrelse og dens type aktiviteter, processer, produkter og tjenester;
- kompleksiteten af processer og deres interaktioner; og
- personers kompetence.
En række udbydere af ISO 27001 informationssikkerhedsdokumentation 'toolkit' har fastholdt myten om, at dokumenteret information til et ISMS skal være word-dokumenter og excel-regneark. Det er klart, at disse dokumenter kan have en plads i et ISMS (f.eks. hvor billeder eller komplekse processer også skal kommunikeres), men de bør bruges sparsomt i betragtning af fremkomsten af bedre onlineværktøjer.
Onlinetjenester som ISMS.online muliggør mere traditionel dokumenthåndtering og tilbyder også mere effektive måder at håndtere dokumentation på, der kan vise bedre kontrol og koordinering, bedre måder at dele og publicere til målgrupper på, og som gør hele processen med dokumenthåndtering i henhold til kravene i afsnit 7.5 nedenfor meget nemmere. Det betyder også, at de gamle dage med at spilde tid på forsider af dokumenter, der viste alle versionsændringer og godkendelser via e-mail, for længst er forbi!
Sammenføjning af 7.5 med bilag A kontroller
Når man tænker på, at paragraf 7.5-kravene også stemmer overens med kontrolmålene i bilagene, giver det endnu mere mening at tænke på et samlet, velkoordineret ledelsessystem i stedet for gammeldags dokumenter og delte drev til opbevaring. Eksempler på, hvor klausul 7.5 skal forenes med bilag A-kontrollerne omfatter:
Bilag A 5.1.1
Ud over at være definerede skal informationssikkerhedspolitikker godkendes af ledelsen, offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter. Det er ikke let at påvise godkendelse af dokumenter i sig selv, og offentliggørelse af tunge dokumenter vil sandsynligvis ikke blive fordøjet eller forstået af interessenterne, selvom de er blevet kommunikeret (hvilket efterlader organisationen i risiko for manglende overholdelse og trussel om tab på grund af uvidenhed).
Bilag A 5.1.2
Gennemgang af politikkerne for informationssikkerhed. ISO 27001 siger, at politikker bør revideres regelmæssigt med planlagte intervaller (eller hvis der sker væsentlige ændringer) for at sikre deres løbende egnethed. Uafhængige ISO-revisorer vil forvente at se denne gennemgang udføres mindst årligt for hver politik.
Bilag A 18.2
Denne Annex A-kontrol handler om gennemgang af informationssikkerhed, og hvis den udføres korrekt, integreres den pænt med klausul 7.5 for dokumentationsstyring af et ISMS, herunder uafhængige gennemgange, kontroller for overholdelse og, hvor det er relevant, teknisk overholdelse. Gennemgang, versionskontrol, visning af opdateringer og derefter godkendelse af gammeldags dokumenter, hvor de ikke behøver at være dokumenter i sig selv, kan virkelig forsinke administratorer af ISMS. Det kan også forsinke eller miste medarbejderengagement og føre til manglende overholdelse.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvordan administrerer man dokumentation i dit ISMS?
Klausul 7.5 er let at misforstå og flakse rundt, hvilket fører til en revisionsfejl eller måske overudvikle en løsning på og bruge alt for lang tid på at opbygge en ledelsessystemstruktur, der er for svær at vedligeholde ved første ændring. ISMS.online business case planner ser på mulighederne for build versus buy, så tjek det ud, hvis du overvejer at skabe din egen løsning.
Det er virkelig svært at få det rigtige ud af og opfylde alle kravene i klausul 7.5 og de relaterede bilag A-kontroller. Det er derfor, mange organisationer leder efter en specialbygget ISMS-softwareløsning og ønsker noget med ISMS.onlines karakteristika.
Når alt kommer til alt, ville du ikke spilde tid på at konstruere dit eget CRM- eller økonomisystem, når andre allerede har brugt tid på at udvikle den rigtige løsning, der kan leveres direkte ud af kassen til en brøkdel af prisen på en gør-det-selv-løsning, der er ikke en del af organisationens kernekompetencer.
ISMS.online tilbyder en letforståelig struktur for al den nødvendige dokumentation. Den følger præcis den samme struktur som selve standarden, så du og en revisor nemt og hurtigt kan navigere til den nødvendige dokumentation. Den har indbyggede roller og tilladelser til adgang til, redigering, godkendelse og deling. Der er også automatisk versionskontrol og påmindelser om gennemgange. Vi er endda gået et skridt videre og har inkluderet politik- og kontroldokumentation, som du kan implementere, tilpasse og tilføje til direkte fra starten.
Ved at bruge ISMS.online-softwareløsningen kan du fokusere på dine ISMS-mål. ISMS.online gør administrationen let, så du nemt kan oprette, kontrollere, koordinere, administrere og dele din dokumentation med interessenter, herunder gennem Policy Packs, der øger den samlede tillid til compliance. Det giver dig også alle værktøjerne til at udføre de mange arbejdsprocesser, der kræves af standarden. Det er også derfor, vi siger, at de dokumenter, vi leverer, er "handlingsrettede". De er mere end blot simple dokumentskabeloner, der giver dig mulighed for at fortolke og finde en måde at demonstrere dine processer på. ISMS.online er en komplet ISMS-løsning samlet ét sted.
Bliv certificeret op til 5 gange hurtigere med ISMS.online
Overholdelse behøver ikke at være kompliceret – ISMS.online er designet til at hjælpe dig med at opnå ISO 27001-certificering hurtigt og til en overkommelig pris uden behov for uddannelse.
Vi har strømlinet ISO 27001-processen med vores Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, nem onboarding og ekspertsupport.
Book en platformdemo for at se, hvordan ISMS.online kan hjælpe din virksomhed.
