Informationssikkerhed er en kritisk bekymring for virksomheder da de forsøger at tilpasse sig hurtige fremskridt inden for angrebsmetoder og -teknikker og efterfølgende ændringer i regulatoriske krav. Svigt af en organisationens informationssikkerhed foranstaltninger kan have flere negative konsekvenser for organisationen og dens interessenter, herunder tab af tillid.
For at forblive relevant og konkurrere i nutidens forretningsverden bør enhver virksomhed have et informationssikkerhedsstyringsprogram (ISGP) på plads. Heldigvis er der mulighed for at forbedre styringen af informationssikkerheden og den overordnede risikostyring i forretningsmiljøet ved at tilpasse det til overholdelseskrav som f.eks. ISO 27001 og udløberen ISO 27014-standarden.
ISO/IEC 27014 er en standard i ISO / IEC 27000 serien.
Denne standard er "designet til at hjælpe organisationer med effektivt at administrere deres informationssikkerhedsstrategier." Standarden giver "anvisninger om principperne og koncepterne for informationssikkerhedsstyring, hvorfra organisationer kan evaluere, lede, overvåge, kommunikere og sikre informationssikkerhedsrelateret praksis i organisationen.
Den elleve sider lange standard opsummerer styringsstandarder for informationsteknologi og inkluderer en struktur med seks principper og fem processer. Standarden betragter it-styring som et samspil med styring af informationsteknologi, som alle er komponenter i den bredere ramme for organisatorisk styring. I december 2020 blev endnu et ISO/IEC 27014:2020-vejledningsdokument udgivet, som efterfølger den første udgave fra 2013.
Vi er så glade for, at vi fandt denne løsning, den gjorde det nemmere at passe sammen.
Et styrende organ er et kollektiv af individer, der har myndighed og ansvar for at formulere politikker og lede en organisations generel bane. Det kollektive organ er ansvarlig for beslutningstagning og implementering på vegne af sine medarbejdere, interessenter og organisationen.
Ledelsesorganets primære funktion er at varetage organisationens privilegier og interesser samt alle, der arbejder inden for organisationens rammer. Dette organ opnår dette ved at sikre, at organisationen fungerer effektivt og er i stand til at nå de mål og prioriteter, den har forpligtet sig til. Derudover er det styrende organ ansvarlig for organisationens økonomi, personale og aktiver. En vigtig rolle for det styrende organ i enhver organisation er at gøre beslutninger, der vil fremme informationssikkerheden i organisationen.
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
Informationssikkerhedsstyringsprocesser er blevet udviklet for at hjælpe organisationer med at overvåge og administrere deres informationssikkerhedsindsats. De eksisterer dog ikke i et vakuum - de skal være det integreret i den overordnede virksomhedsledelse processer, hvis de skal være effektive (og det gælder for mange relaterede sikkerhedsaktiviteter, såsom risikostyring). Det styrende organ og topledelsen er ansvarlige for udførelsen af fire styringssystemer i henhold til ISO/IEC 27014:2020.
En af informationssikkerhedsstyringsprocesserne er evaluering. Evaluering er en vigtig proces, hvor den aktuelle tilstand af en proces eller komponent i en organisation bliver gransket. Dette hjælper med at bestemme, hvad der er både rigtigt og forkert med den pågældende proces eller komponent.
Retning er en af informationssikkerhedsstyringsprocesserne. Det omfatter planlægning, etablering og gennemgang af politiske standarder og procedurer og evaluering af overholdelse af personale med etablerede begrænsninger.
Overvågning er en af informationssikkerhedsprocesserne. Det er ledelsesaktiviteter, der sikrer tilgængeligheden, integriteten, autentificeringen og fortroligheden af systemerne og netværkene samt kontrollerer, at medarbejderne bruger disse systemer og netværk korrekt på en måde, som følger sikkerhedspolitikker.
Kommunikation er nøglen, når det kommer til informationssikkerhedsstyringsprocesser. Du er betroet til at holde din virksomhed og dens forskellige aktiver sikre, men det kan ikke være en isoleret proces.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Informationssikkerhedsstyring bør sikre, at informationssikkerhedsforanstaltninger er robuste og integrerede. Standarden etablerer seks "handlingsorienterede" principper på højt niveau for informationssikkerhedsstyring. Dette inkluderer følgende:
Bekymringer over informationsteknologi eller cybersikkerhed kan trænge ind i organisationens rammer og funktioner. På alle ledelsesniveauer, informationssikkerhed bør kombineres med informationsteknologi (IT) og andre funktioner. Topledelsen bør sikre, at informationssikkerheden imødekommer virksomhedens generelle strategiske interesser og skal skabe ansvarlighed og ansvar på tværs af organisationen.
Sikkerhedsstyring, herunder ressourcefordeling og budgettering, bør være styret af en organisations risikovillighed, som igen bør være påvirket af en risikobaseret tilgang, der tager hensyn til: tab af konkurrencefordele, regulerings- og ansvarsbekymringer, driftsforsinkelser, skade på omdømme, og økonomisk tab.
Sørg for, at informationssikkerhedsrisici analyseres korrekt før man går i gang med nye operationer, såsom investeringer, opkøb, fusioner, introduktion af nye teknologier, outsourcing-aftaler og kontrakter med eksterne leverandører. Derudover indarbejde informationssikkerhed ind i interne bureauprocesser, såsom projektledelse, indkøb, økonomistyring, lov- og reguleringsoverholdelse og organisatorisk risikostyring. Topledelsen bør udvikle en informationssikkerhedstilgang, der er tilpasset organisationens mål, hvilket betyder, at agenturets og organisationens informationssikkerhedsbehov er konsekvente.
Eksterne krav omfatter påkrævede love og regler, certificeringsstandarder og kontraktlige forpligtelser. Interne kriterier er delmængder af en større organisations overordnede mål og prioriteter. Uafhængige sikkerhedsvurderinger er den generelt aftalte metode til at etablere og spore overensstemmelse. Topledelsen skal sikre, at informationssikkerhedspraksis opfylder interne og eksterne standarder tilfredsstillende ved at se nærmere på uafhængige sikkerhedsrevisioner.
Der bør være koordinering og tilpasning mellem de forskellige interessenter i ISMS. For at opnå et sammenhængende forløb for informationssikkerhed skal topledelsen tilskynde til og facilitere samarbejdet om opgaver og aktiviteter for alle, der berøres af ISMS. Derudover bevis for sikkerhedsinstruktion, forberedelse, og oplysningsprogrammer bør stilles til rådighed. Informationssikkerhedsansvar bør inkorporeres i personalet og andre interessenters positioner, og alle bør omfavne deres ansvar for at bidrage til effektiviteten af ISMS.
Sikkerhedssucces måles ikke kun i form af effektivitet og pålidelighed, men også i form af dens indvirkning på virksomhedens overordnede mål og målsætninger. Topledelsen med ansvar for styring bør omfatte periodiske gennemgange af en præstationsmålingsplan til sporing, revision og forbedring, der omsætter informationssikkerhed til optimal forretningspræstation.
En skræddersyet hands-on session baseret på dine behov og mål
ISO 27014-dokumentet giver retningslinjer for informationssikkerhedsstyringsprincipper, -mål og -procedurer, som organisationer bør bruge til at evaluere, lede, overvåge og kommunikere informationssikkerhedsrelaterede processer i organisationen.
Som med de andre ISO27k-standarder er den "egnet til alle typer og størrelser af organisationer", især dem, hvor ISMS dækker hele organisationen eller blot en delmængde af den, eller hvor en enkelt ISMS strækker sig til flere virksomheder (såsom inden for en virksomhedsstruktur).
Korrekt informationssikkerhedsstyring garanterer, at den er i overensstemmelse med og understøtter virksomhedens mål, der er identificeret i strategier og politikker.
ISO 27014 lægger stor vægt på styringskomponenterne i ISO/IEC 27001 og fastlægger styringsmål inden for denne ramme. Det dækker inkorporering af informationssikkerhedsstyringsaktiviteter med andre styringsfunktioner og -mål. ISO 27014 specificerer yderligere kravene og forventningerne til det styrende organ fra et ISO27k ISMS.
ISO/IEC 27014:2020 er målrettet til følgende målgrupper:
Dette dokument gælder for alle typer og størrelser af organisationer.
På ISMS.online, gør vi det nemt for dig at dokumentere din informationssikkerhedsstyring, så den er i overensstemmelse med ISO 27014-standarden. Vi giver dig en logisk, brugbar, cloud-baseret informationsstyringsgrænseflade, der vil hjælpe din organisation med at kontrollere dens infosec-styringsprocesser og fremskridt i forhold til ISO 27014-standarden.
Vores cloud-baserede platform giver dig adgang til alle dine ISMS-ressourcer på ét sted. Vi har et internt team af informationssikkerhedseksperter, der kan give vejledning og besvare spørgsmål for at hjælpe dig på vej til ISO 27014-implementering, så du kan demonstrere din dedikation til bedste praksis for informationssikkerhedsstyring. Ring til ISMS.online på + 44 (0) 1273 041140 for at finde ud af mere om, hvordan vi kan hjælpe dig med at blive certificeret til ISO 27001.
Book en skræddersyet hands-on session baseret på dine behov og mål.
Siden migreringen har vi været i stand til at reducere tiden brugt på administration.
Samarbejd nemt, skab og vis, at du til enhver tid er på toppen af din dokumentation
Find ud af mereHåndter ubesværet trusler og muligheder og rapporter dynamisk om ydeevne
Find ud af mereTræf bedre beslutninger og vis, at du har kontrol med dashboards, KPI'er og relateret rapportering
Find ud af mereGør let arbejde med korrigerende handlinger, forbedringer, revisioner og ledelsesgennemgange
Find ud af mereGiv et lys over kritiske relationer og sammenkæde områder som aktiver, risici, kontroller og leverandører elegant
Find ud af mereVælg aktiver fra Asset Bank og opret dit Asset Inventory med lethed
Find ud af mereUd af boksen integrationer med dine andre vigtige forretningssystemer for at forenkle din overholdelse
Find ud af mereTilføj pænt andre områder af overholdelse, der påvirker din organisation for at opnå endnu mere
Find ud af mereEngager personale, leverandører og andre med dynamisk end-to-end compliance til enhver tid
Find ud af mereAdministrer due diligence, kontrakter, kontakter og relationer i løbet af deres livscyklus
Find ud af mereVisuelt kortlægge og administrere interesserede parter for at sikre, at deres behov bliver klart tilgodeset
Find ud af mereStærkt privatliv ved design og sikkerhedskontrol, der matcher dine behov og forventninger
Find ud af mereVi har alt hvad du behøver for at designe, bygge og implementere dit første ISMS.
Vi hjælper dig med at få mere ud af det infosec-arbejde, du allerede har udført.
Med vores platform kan du bygge ISMS din organisation virkelig har brug for.
100 % af vores brugere opnår ISO 27001-certificering første gang