ISO 27001 krav

1. Anvendelsesområde

ISO 27001-standarden dækker forskellige aspekter af informationssikkerhedsstyring, herunder etablering, implementering, vedligeholdelse og løbende forbedring af et ISMS inden for en organisations kontekst. Standarden gælder for organisationer af alle typer, størrelser og arter.

Kravene i ISO 27001-standarden er designet til at sikre, at organisationer har passende foranstaltninger på plads til at beskytte deres informationsaktiver. Disse krav dækker en lang række områder.

2. Normative referencer

ISO 27001 i sig selv er baseret på en risikostyringstilgang og giver en ramme for organisationer til at etablere, implementere, vedligeholde og løbende forbedre et informationssikkerhedsstyringssystem (ISMS). De normative referencer i ISO 27001 omfatter flere andre ISO/IEC-standarder, der giver vejledning om forskellige aspekter af informationssikkerhedsstyring. Disse omfatter:

• ISO/IEC 27000: Denne standard er en normativ reference i ISO 27001 og fungerer som et overblik og et ordforråd for informationssikkerhedsstyringssystemer. Den definerer nøgleudtryk og begreber, der bruges i hele ISO 27000-familien af ​​dokumenter og skitserer omfanget og målene for hvert medlem af familien.
• ISO/IEC 27002: Også kendt som Code of Practice for Information Security Management, denne standard giver vejledning om valg og implementering af sikkerhedskontroller. Det tilbyder et omfattende sæt af bedste praksis for organisationer til at beskytte deres informationsaktiver og håndtere sikkerhedsrisici effektivt.
• ISO/IEC 27005: Denne standard fokuserer på risikostyring og giver vejledning om risikovurderingsprocessen og risikobehandlingen. Det hjælper organisationer med at identificere og vurdere informationssikkerhedsrisici og udvikle passende risikobehandlingsplaner for at mindske disse risici.
• ISO/IEC 27006: Denne standard giver vejledning om certificeringsprocessen for informationssikkerhedsstyringssystemer. Den skitserer kravene til certificeringsorganer og revisorer til at vurdere og certificere organisationers overholdelse af ISO 27001.
• ISO/IEC 27007: Disse retningslinjer er specifikt designet til revision af informationssikkerhedsstyringssystemer. De giver vejledning om revisionsprocessen, herunder planlægning, gennemførelse og rapportering af revisioner, for at sikre, at en organisations ISMS implementeres og vedligeholdes effektivt.
• ISO/IEC 27008: Disse retningslinjer fokuserer på styring af informationssikkerhed. De giver vejledning om etablering, implementering, vedligeholdelse og løbende forbedring af ledelsessystemet for informationssikkerhed i en organisation.

3. Vilkår og definitioner

Afsnittet med termer og definitioner tjener det formål at give en fælles forståelse og sprog for alle parter, der er involveret i implementeringen af ​​standarden.

4. Organisationens kontekst

4.1 – Forståelse af organisationen og dens kontekst

ISO 27001-krav 4.1 har til formål at sikre, at organisationer har en omfattende forståelse af deres interne og eksterne miljø for effektivt at styre deres informationssikkerhedsrisici.

Dette involverer at identificere og vurdere de faktorer, der kan påvirke organisationens evne til at nå sine informationssikkerhedsmål.

Ved at forstå deres interne og eksterne kontekst kan organisationer identificere og vurdere de risici, der er forbundet med deres informationssikkerhedsstyringssystem.

Dette sætter dem i stand til at udvikle et skræddersyet og effektivt system, der mindsker de identificerede risici og sikrer overholdelse af gældende love og regler.

4.2 – Forståelse af interesserede parters behov og forventninger

ISO 27001-krav 4.2 er, at organisationer skal identificere og forstå deres interessenters behov og forventninger. Dette omfatter kunder, leverandører, medarbejdere, aktionærer og andre interesserede parter.

Formålet er at sikre, at organisationens informationssikkerhedsstyringssystem (ISMS) lever op til disse parters krav.

For at opfylde dette krav skal organisationer først identificere deres interessenter og forstå deres specifikke behov og forventninger.

Dette indebærer overvejelse af juridiske og regulatoriske krav, kontraktlige forpligtelser og andre eksterne og interne spørgsmål, der er relevante for organisationens formål og påvirker dens evne til at opnå det tilsigtede resultat af dens ISMS.

4.3 – Bestemmelse af omfanget af informationssikkerhedsstyringssystemet

ISO 27001 Krav 4.3 definerer grænserne og omfanget af organisationens Information Security Management System (ISMS).

Dette indebærer at identificere og dokumentere de informationsaktiver, processer, procedurer, personer, systemer og netværk, der er omfattet af ISMS'ens anvendelsesområde.

Omfanget bør omfatte alle organisationens informationsaktiver, både fysiske og digitale, samt de processer og procedurer, der bruges til at administrere dem.

4.4 – Informationssikkerhedsstyringssystem

ISO 27001-krav 4.4 skitserer de nødvendige elementer for at etablere, implementere, vedligeholde og løbende forbedre et informationssikkerhedsstyringssystem (ISMS).

ISMS er designet til at sikre informations- og datasikkerheden samt beskytte individers rettigheder og friheder.

ISO 27001 giver et omfattende sæt af krav til etablering og vedligeholdelse af et effektivt ISMS, der beskytter fortroligheden, integriteten og tilgængeligheden af ​​oplysninger.

5. Lederskab

5.1 – Ledelse og engagement

ISO 27001 Krav 5.1 forklarer, at organisationens øverste ledelse skal udvise lederskab og engagement i informationssikkerhedsstyringssystemet (ISMS). Dette involverer flere nøgleansvar.

Ledelsen skal overvåge og evaluere ISMS'et for at sikre dets effektivitet. Dette indebærer udførelse af interne revisioner og udførelse af nødvendige korrigerende handlinger for at løse eventuelle identificerede svagheder eller uoverensstemmelser.

5.2 – Informationssikkerhedspolitik

ISO 27001 Krav 5.2 kræver, at organisationer har en informationssikkerhedspolitik, der er godkendt af topledelsen.

Denne politik tjener som en rettesnor for styring af organisationens informationssikkerhed og bør tage højde for forskellige faktorer såsom forretningsstrategi, regler, lovgivning og aktuelle og forventede informationssikkerhedsrisici og -trusler.

Den bør dække områder som informationsoverførsel, sikker konfiguration og håndtering af brugerens slutpunktsenheder, netværkssikkerhed, håndtering af informationssikkerhedshændelser, backup, kryptografi og nøglehåndtering, informationsklassificering og -håndtering, styring af tekniske sårbarheder og sikker udvikling.

5.3 – Organisatoriske roller, ansvar og myndigheder

ISO 27001-krav 5.3 beskriver kravet til organisationer om at definere og tildele roller, ansvar og myndigheder relateret til informationssikkerhed.

Dette er afgørende for at sikre, at alle individer og grupper i organisationen er bevidste om deres specifikke roller og ansvar i forhold til informationssikkerhed.

Dokumentet understreger behovet for adskillelse af opgaver, hvilket betyder, at forskellige individer eller grupper bør være ansvarlige for forskellige aspekter af informationssikkerhed.

Dette er med til at forhindre, at en enkelt person har overdreven kontrol over organisationens informationssikkerhed. Desuden kræver dokumentet, at organisationer sikrer, at personalet er tilstrækkeligt uddannet og besidder de nødvendige færdigheder til at opfylde deres roller og ansvar.

6. Planlægning

6.1 – Handlinger for at imødegå risici og muligheder

ISO 27001-krav 6.1 er fokuseret på at sikre, at organisationer identificerer, vurderer, behandler og overvåger informationssikkerhedsrisici og -muligheder.

Dette indebærer en systematisk tilgang til at håndtere risici og træffe passende foranstaltninger for at afbøde dem.

Dette krav understreger vigtigheden af ​​en proaktiv og omfattende tilgang til håndtering af informationssikkerhedsrisici for at beskytte personoplysninger og sikre informationssystemers integritet og tilgængelighed.

6.2 – Informationssikkerhedsmål og planlægning for at nå dem

ISO 27001-krav 6.2 kræver, at organisationer etablerer informationssikkerhedsmål og udvikler en plan for at nå dem.

Disse mål skal være specifikke, målbare, opnåelige, relevante og tidsbestemte (SMART) og bør stemme overens med organisationens overordnede forretningsmål. Planen skal skitsere de trin, ressourcer og tidslinje, der er nødvendige for at nå de ønskede mål.

Regelmæssig gennemgang af informationssikkerhedsmål og -planer er nødvendig for at sikre deres relevans og effektivitet. Eventuelle ændringer i organisationen bør overvejes og indarbejdes i planerne efter behov.

7. Support

7.1 – Ressourcer

ISO 27001-krav 7.1 sikrer, at en organisation har de nødvendige ressourcer til at opretholde sikkerheden i sine informationssystemer.

Dette omfatter identifikation og dokumentation af personale, hardware, software og andre ressourcer, der er nødvendige for informationssikkerhed.

Organisationen skal sikre, at disse ressourcer er tilgængelige og tilgængelige, når det er nødvendigt.

Som beskrevet før med krav 5.3, kræver ISO 27001 faktisk ikke, at ISMS'et skal bemandes med fuldtidsressourcer, blot at rollerne, ansvaret og myndighederne er klart defineret og ejet – forudsat at det rigtige niveau af ressourcer vil blive anvendt som påkrævet.

7.2 – Kompetence

ISO/IEC 27001-krav 7.2 skitserer, hvordan organisationen vil sikre, at den har:

• Bestemte kompetencen hos de personer, der udfører arbejdet på ISMS, som kunne påvirke dets ydeevne.
• Personer, der vurderes at være kompetente på baggrund af den relevante uddannelse, træning eller erfaring.
• Hvor det var påkrævet, truffet handling for at erhverve den nødvendige kompetence og evalueret effektiviteten af ​​handlingerne.
• Beholdt bevis for ovenstående til revisionsformål.

Ved at sikre, at personalet er kompetent, kan organisationer effektivt styre deres informationssikkerhedsydelse og beskytte personlige data.

Læs mere om 7.2

7.3 - Bevidsthed

ISO 27001-krav 7.3 angiver, at organisationer skal sikre, at alt personale er opmærksomme på vigtigheden af ​​informationssikkerhed og deres roller og ansvar i at opretholde den.

Dette inkluderer at tilbyde træning og undervisning om emner vedrørende informationssikkerhed, at sikre, at personalet forstår organisationens sikkerhedspolitikker og -procedurer og konsekvenserne af ikke at følge dem.

ISO 27001 søger bekræftelse på, at de personer, der udfører arbejdet, er opmærksomme på:

• Informationssikkerhedspolitikken.
• Deres bidrag til effektiviteten af ​​ISMS, herunder fordele ved dets forbedrede ydeevne.
• Hvad sker der, når informationssikkerhedsstyringssystemet ikke er i overensstemmelse med dets krav.

Ved at sikre, at personalet er kompetent, kan organisationer effektivt styre deres informationssikkerhedsydelse og beskytte personlige data.

Læs mere om 7.3

7.4 – Kommunikation

ISO 27001-krav 7.4 fokuserer på behovet for, at organisationer etablerer effektiv kommunikationspraksis for at sikre, at informationssikkerhedsmålene nås. Dette omfatter kommunikation med relevante interessenter, kommissæren i tilfælde af et brud på persondatasikkerheden og mellem alle involverede parter.

ISO 27001 krav 7.4 leder efter følgende:

• Hvad skal man kommunikere om ISMS.
• Hvornår vil det blive meddelt.
• Hvem skal være en del af den kommunikation.
• Hvem står for kommunikationen.
• Hvordan det hele sker, dvs. hvilke systemer og processer der vil blive brugt til at demonstrere det sker og er effektivt

7.5 – Dokumenteret information

ISO 27001-krav 7.5 for ISO 27001 beder dig beskrive dit informationssikkerhedsstyringssystem og derefter demonstrere, hvordan dets tilsigtede resultater opnås for organisationen.

Det er utrolig vigtigt, at alt relateret til ISMS er dokumenteret og velholdt, nemt at finde, hvis organisationen ønsker at opnå en uafhængig ISO 27001 certificering fra et organ som UKAS.

ISO-certificerede revisorer tager stor tillid fra god husholdning og vedligeholdelse af et velstruktureret informationssikkerhedsstyringssystem.

8. Betjening

8.1 – Operationel planlægning og kontrol

ISO 27001-krav 8.1 er fokuseret på at sikre sikkerheden af ​​en organisations information ved at planlægge og kontrollere dens drift.

Dette involverer identifikation og vurdering af risici forbundet med organisationens drift og implementering af passende sikkerhedskontroller for at afbøde disse risici.

Organisationen skal også udvikle og implementere politikker og procedurer for at beskytte sine oplysninger mod uautoriseret adgang, brug, offentliggørelse, ændring eller ødelæggelse.

Dette krav er meget nemt at påvise beviser imod, hvis organisationen allerede har "vist sin funktion". Ved at udvikle informationssikkerhedsstyringssystemet til at overholde krav 6.1, 6.2 og især 7.5, hvor hele ISMS er velstruktureret og dokumenteret, opnår dette samtidig 8.1.

8.2 – Informationssikkerhedsrisikovurdering

ISO 27001-krav 8.2 kræver, at organisationer udfører en informationssikkerhedsrisikovurdering (ISRA) med planlagte intervaller, eller når der sker væsentlige ændringer.

Formålet med dette krav er at sikre, at organisationer er opmærksomme på potentielle risici for deres informationssikkerhedsstyringssystem og kan tage nødvendige skridt for at afbøde dem.

Processen involverer identificering, vurdering og styring af risici for organisationens informationsaktiver. Dette omfatter analyse af organisationens informationsaktiver, identificering af trusler og sårbarheder forbundet med disse aktiver og evaluering af den potentielle effekt af et sikkerhedsbrud.

8.3 – Informationssikkerhedsrisikobehandling

ISO 27001-krav 8.3 beskriver kravet til organisationer om at identificere, vurdere og behandle informationssikkerhedsrisici.

Dette indebærer at identificere og vurdere risici forbundet med behandlingen af ​​personoplysninger og implementere passende sikkerhedsforanstaltninger for at afbøde disse risici. Disse foranstaltninger kan omfatte adgangskontrol, kryptering og sikkerhedskopiering af data.

Organisationer bør sikre, at alle eksternt leverede processer, produkter eller tjenester, der er relevante for informationssikkerhedsstyringssystemet, kontrolleres. Dokumenteret information om resultaterne af behandling af informationssikkerhedsrisiko bør også opbevares.

9. Præstationsevaluering

9.1 – Overvågning, måling, analyse og evaluering

ISO 27001-krav 9.1 kræver, at organisationer evaluerer, hvordan ISMS'en fungerer, og ser på effektiviteten af ​​informationssikkerhedsstyringssystemet.

Hvis organisationen søger certificering til ISO 27001, vil den uafhængige revisor, der arbejder i et certificeringsorgan tilknyttet UKAS (eller et tilsvarende akkrediteret organ internationalt for ISO-certificering), se nærmere på følgende områder:

• Hvad den har besluttet at overvåge og måle, ikke kun målene, men også processerne og kontrollerne.
• Hvordan det vil sikre valide resultater i måling, overvågning, analyse og evaluering.
• Hvornår den måling, overvågning, evaluering og analyse finder sted, og hvem gør det.
• Hvordan resultaterne bliver brugt.

Som alt andet med ISO/IEC-standarder, herunder ISO 27001, er dokumenteret information vigtig - så at beskrive det og derefter demonstrere, at det sker, er nøglen til succes!

9.2 – Intern revision

Krav 9.2 i ISO 27001 siger, at en organisation skal udføre interne audits med planlagte intervaller for at give information om, hvorvidt informationssikkerhedsstyringssystemet:

• Overholder organisationens egne krav til dets informationssikkerhedsstyringssystem; og opfylder kravene i ISO 27001 international standard.
• Om ISMS er effektivt implementeret og vedligeholdt.

Dette krav sikrer, at organisationer regelmæssigt vurderer og forbedrer deres informationssikkerhedsstyringssystem for at beskytte deres informationsaktiver og opfylde deres sikkerhedsmål.

9.3 – Ledelsesgennemgang

ISO 27001-krav 9.3 kræver, at organisationer udfører regelmæssige ledelsesgennemgange for at sikre den løbende egnethed, tilstrækkelighed og effektivitet af deres informationssikkerhedsstyringssystem.

Disse gennemgange bør udføres med planlagte intervaller, mindst årligt, og bør involvere den øverste ledelse eller en udpeget repræsentant.

Formålet med ledelsesgennemgangen er at vurdere organisationens informationssikkerhedspolitikker, procedurer og kontroller samt dens risikovurdering og risikostyringsprocesser.

Det involverer også en evaluering af organisationens overholdelse af gældende love og regler.

Under gennemgangen bør organisationen vurdere effektiviteten af ​​sit informationssikkerhedsstyringssystem og identificere eventuelle nødvendige ændringer for at sikre overholdelse af ISO 27001-standarden. Gennemgangen bør også tage højde for organisationens præstationer med hensyn til at opfylde sine informationssikkerhedsmål.

10. Forbedring

10.1 – Uoverensstemmelse og korrigerende handling

ISO 27001-krav 10.1 angiver, at organisationer skal etablere en proces til at identificere, dokumentere og adressere eventuelle afvigelser fra ISO 27001-standarden, som omtales som afvigelser.

Afvigelser kan omfatte manglende opfyldelse af kravene i standarden, mangler i informationssikkerhedsstyringssystemet eller andre problemer, der kan føre til et sikkerhedsbrud.

Når en uoverensstemmelse er identificeret, skal organisationen træffe korrigerende handlinger for at afhjælpe den. Den korrigerende handling bør være passende i forhold til sværhedsgraden af ​​afvigelsen og designet til at forhindre lignende problemer i at opstå i fremtiden.

Effektiviteten af ​​den korrigerende handling skal gennemgås regelmæssigt for at sikre, at afvigelsen ikke gentager sig.

10.2 – Kontinuerlig forbedring

ISO 27001-krav 10.2 siger, at organisationer løbende skal forbedre deres informationssikkerhedsstyringssystem (ISMS).

Det betyder, at organisationer regelmæssigt skal gennemgå og opdatere deres ISMS for at sikre dets effektivitet og overensstemmelse med organisationens mål, lovmæssige og regulatoriske krav og ISO 27001-standarden.

Den løbende forbedringsproces bør overvåges og revideres for at sikre dens effektivitet, og eventuelle nødvendige ændringer bør foretages for at forbedre egnetheden, tilstrækkeligheden og effektiviteten af ​​ISMS.