ISO IEC TR 27008

Hvad er informationssikkerhedskontrol?

Informationssikkerhedskontroller er skridt, der tages for at afbøde sårbarheder i informationssikkerheden, såsom enhedsfejl, datatyveri, systembrud og utilsigtede ændringer af digitale oplysninger eller processer.

Disse sikkerhedskontroller anvendes normalt som reaktion på en informationssikkerhedsrisiko evaluering for bedre at sikre tilgængeligheden, fortroligheden og fortroligheden af ​​data og netværk.

Disse kontroller sikrer fortroligheden, integriteten og tilgængeligheden af ​​information inden for informationssikkerhed.

Typer af informationssikkerhedskontrol

Sikkerhedsprotokoller, procedurer, tidsplaner, enheder og applikationer falder alle ind under kategorien informationssikkerhedskontrol.

1. Forebyggende sikkerhedskontrol, sikkerhedsprotokoller, der har til formål at afværge cybersikkerhedsulykker
2. Detektiv sikkerhedskontrol rettet mod at identificere og advare cybersikkerhedspersonale om et forsøg på cybersikkerhedsindtrængen eller potentielt sikkerhedsbrud.
3. Korrigerende sikkerhedskontroller bruges efter en cybersikkerhedshændelse til hjælpe med at afbøde datatab og afbrydelse af enhed eller netværk og for nemt at gendanne følsomme forretningssystemer og operationer.

Derudover kan sikkerhedsforanstaltninger kategoriseres efter deres formål, som følger:

Adgangskontrol:

Disse omfatter fysiske adgangsmonitorer såsom bevæbnede vagter ved bygningsudgange, låse og hegn.

Procedurekontrol:

Trusselsbevidsthed instruktion, træning i sikkerhedsrammehåndhævelse og hændelsesresponsprocesser og -procedurer.

Teknisk kontrol:

Disse inkluderer multi-faktor kontogodkendelse ved indgangspunktet (login) og logisk adgangskontrol, antivirusprogrammer og firewalls.

Overholdelseskontrol:

Disse omfatter regler for beskyttelse af personlige oplysninger, rammer og krav samt tilgange og standarder for cybersikkerhed.

Hvad er formålet med ISO 27008?

ISO 27008 blev oprettet for at:

• Assisterer i forberedelsen og implementeringen af ​​ISMS-revisioner og metoden til informationsrisikostyring;
• Give retningslinjer for revision af informationssikkerhedskontroller i overensstemmelse med ISO/IEC 27002's kontrolvejledning;
• Forbedrer ISMS-revisioner ved at optimere forholdet mellem ISMS-processer og nødvendige kontroller;
• Sikrer, at revisionsressourcerne bruges effektivt og effektivt.
• Tilføj værdi og forbedrer konsistensen og fordelene ved ISO 27k-specifikationerne ved at bygge bro mellem forskellen mellem opdatering af ISMS i princippet og, hvor det er nødvendigt, kontrol af bevis for anvendte ISMS-kontroller (f.eks. evaluering af sikkerhedselementer i forretningsdrift, it-strukturer og it-drift miljøer i ISO27k brugerorganisationer);

Hvad er omfanget af ISO 27008?

ISO 27008 giver vejledning til alle revisorer om kontrol af informationssikkerhedsstyringssystemer. Det guider informationsrisikostyringsproces samt interne, eksterne og tredjepartsvurderinger af et ISMS ved at påvise sammenhængen mellem ISMS og dets medfølgende kontroller.

Den indeholder retningslinjer for, hvordan man tester, i hvilket omfang nødvendige "informationssikkerhedsstyringssystemer" anvendes. Derudover hjælper det organisationer, der implementerer ISO/IEC 27001 eller ISO/IEC 27002 med at opfylde overholdelseskriterier og fungerer som en teknisk platform for informationsteknologistyring.

Hvordan fungerer ISO 27008?

ISO 27008 definerer generelle procedurer, ikke teknikker til nogen bestemt kontrol eller former for kontrol.

Den definerer systematiske anmeldelser og skitserer derefter de forskellige tilgange og former for anmeldelser, der er anvendelige til kontrol med informationssikkerhed. Til sidst diskuteres den praksis, der kræves for en vellykket gennemgangsproces.

Forholdet til ISO 27001 og ISO 27002

ISO 27008 ligner meget ISO 27007 revisionsspecifikation for informationssikkerhedsstyringssystemer.

Men i modsætning til ISO 27007, som fokuserer på at gennemgå ledelsessystemkomponenterne i et ISMS som defineret i ISO 27001, fokuserer ISO 27008 på revision af specifikke informationssikkerhedskontroller, såsom dem, der er anført i ISO 27002 og detaljeret i ISO 27001's bilag A.

ISO 27008 "fokuserer på evalueringer af informationssikkerhedskontroller, herunder overholdelse af lovgivning, i forhold til en organisations-etableret implementeringsstandard for informationssikkerhed.

Det er dog ikke hensigten at give detaljerede retningslinjer for overensstemmelsestest med hensyn til beregning, risikoevaluering eller revision af et ISMS, som specificeret i ISO 27004, ISO 27005henholdsvis 27007.

Hvem skal implementere ISO 27008?

ISO 27008 er beregnet til interne og eksterne revisorer, der har ansvaret for at gennemgå informationsstyringskontroller, der er en del af et ISMS. Det ville dog være fordelagtigt for enhver, der foretager en analyse eller vurdering af en ISMS's kontroller, hvad enten det er som en del af en struktureret revisionsprocedure eller på anden måde. Dokumentet er primært beregnet til informationssikkerhedsrevisorer, der er ansvarlige for at verificere, at en organisations informationssikkerhedskontroller er teknisk i overensstemmelse med ISO/IEC 27002 og alle andre kontrolkrav, som organisationen anvender.

ISO 27008 vil hjælpe dem på følgende måder:

• Anerkend og forstå omfanget af mulige problemer og svagheder i informationssikkerhedskontrol.
• Identificere og forstå de mulige konsekvenser af utilstrækkeligt afbødede computerteknologiske risici og svagheder for virksomheden.
• Prioriter risikokontrolpraksis i forbindelse med informationshåndtering.
• Kontroller, at tidligere fundet eller nyopdagede sårbarheder eller defekter er blevet løst tilstrækkeligt.

ISO 27008 gælder for en bred vifte af organisationer, herunder offentlige og private virksomheder, offentlige myndigheder og non-profit organisationer.