ISO/IEC 27001 - ISO/IEC 27001

ISO/IEC 27001 er en internasjonal standard for håndtering av informasjonssikkerhet. Standarden ble opprinnelig utgitt i fellesskap av International Organization for Standardization (ISO) og International Electrotechnical Commission (IEC) i 2005 og deretter revidert i 2013. Den beskriver krav om etablering, implementering, vedlikehold og kontinuerlig forbedring av et informasjonssikkerhetsstyringssystem (ISMS) ) - Målet er å hjelpe organisasjoner med å gjøre informasjonskapasiteten de har sikrere. En europeisk oppdatering av standarden ble publisert i 2017. Organisasjoner som oppfyller standardens krav kan velge å bli sertifisert av et akkreditert sertifiseringsorgan etter vellykket gjennomføring av en revisjon . Effektiviteten av ISO/IEC 27001-sertifiseringsprosessen og den generelle standarden har blitt behandlet i en nylig storskala studie.

Hvordan standarden fungerer

De fleste organisasjoner har en rekke informasjon sikkerhetskontroller . Uten et system for styring av informasjonssikkerhet (ISMS) har kontrollene imidlertid en tendens til å være noe uorganiserte og usammenhengende, ofte implementert som punktløsninger for spesifikke situasjoner eller bare som et konvensjonelt spørsmål. Sikkerhetskontroller i drift tar vanligvis for seg visse aspekter ved informasjonsteknologi (IT) eller datasikkerhet spesielt; forlate ikke-IT-informasjonsmidler (for eksempel papirarbeid og proprietær kunnskap) mindre beskyttet i det hele tatt. Videre kan planlegging av forretningskontinuitet og fysisk sikkerhet styres ganske uavhengig av IT eller informasjonssikkerhet, mens personalepraksis kan nevne lite behovet for å definere og tildele informasjonssikkerhetsroller og ansvar i hele organisasjonen.

ISO/IEC 27001 krever at ledelsen:

• Systematisk undersøke organisasjonens informasjonssikkerhetsrisiko under hensyntagen til truslene, sårbarhetene og konsekvensene;
• Utforme og implementere en sammenhengende og omfattende pakke med kontroller for informasjonssikkerhet og/eller andre former for risikobehandling (for eksempel unngåelse av risiko eller risikooverføring) for å håndtere de risikoene som anses som uakseptable; og
• Vedta en overordnet styringsprosess for å sikre at informasjonssikkerhetskontrollene kontinuerlig oppfyller organisasjonens informasjonssikkerhetsbehov.

Vær oppmerksom på at ISO/IEC 27001 er designet for å dekke mye mer enn bare IT.

Hvilke kontroller som skal testes som en del av sertifisering til ISO/IEC 27001 er avhengig av sertifiseringsrevisor. Dette kan omfatte alle kontroller som organisasjonen har ansett å være innenfor ISMS -omfanget, og denne testen kan være i hvilken som helst dybde eller grad som vurderes av revisor etter behov for å teste at kontrollen er implementert og fungerer effektivt.

Ledelsen bestemmer omfanget av ISMS for sertifiseringsformål og kan begrense det til, for eksempel, en enkelt forretningsenhet eller et sted. ISO/IEC 27001 -sertifikatet betyr ikke nødvendigvis at resten av organisasjonen, utenfor området som er omfattet, har en tilstrekkelig tilnærming til informasjonssikkerhetsstyring.

Andre standarder i ISO/IEC 27000 -standardfamilien gir ytterligere veiledning om visse aspekter ved utforming, implementering og drift av et ISMS, for eksempel om risikostyring av informasjonssikkerhet ( ISO/IEC 27005 ).

ISO/IEC 27001 historie

BS 7799 var en standard som opprinnelig ble utgitt av BSI Group i 1995. Den ble skrevet av den britiske regjeringen Department of Trade and Industry (DTI) og besto av flere deler.

Den første delen, som inneholder de beste fremgangsmåtene for styring av informasjonssikkerhet, ble revidert i 1998; etter en lang diskusjon i de verdensomspennende standardorganene, ble det til slutt vedtatt av ISO som ISO/IEC 17799, "Information Technology - Code of practice for information security management." i 2000. ISO/IEC 17799 ble deretter revidert i juni 2005 og til slutt innlemmet i ISO 27000 -serien av standarder som ISO/IEC 27002 i juli 2007.

Den andre delen av BS7799 ble første gang utgitt av BSI i 1999, kjent som BS 7799 del 2, med tittelen "Information Security Management Systems - Specification with guidance for use." BS 7799-2 fokuserte på hvordan man implementerer et informasjonssikkerhetsstyringssystem (ISMS), med henvisning til informasjonssikkerhetsstyringsstrukturen og kontrollene identifisert i BS 7799-2. Dette ble senere ISO/IEC 27001: 2005. BS 7799 del 2 ble vedtatt av ISO som ISO/IEC 27001 i november 2005.

BS 7799 del 3 ble utgitt i 2005, og dekker risikoanalyse og styring. Den er i samsvar med ISO/IEC 27001: 2005.

Svært lite referanse eller bruk er gjort til noen av BS -standardene i forbindelse med ISO/IEC 27001.

Sertifisering

Et ISMS kan være sertifisert i samsvar med ISO/IEC 27001 av en rekke akkrediterte registratorer over hele verden. Sertifisering mot noen av de anerkjente nasjonale variantene av ISO/IEC 27001 (f.eks. JIS Q 27001, den japanske versjonen) av et akkreditert sertifiseringsorgan er funksjonelt ekvivalent med sertifisering mot ISO/IEC 27001 selv.

I noen land kalles organene som verifiserer styringssystemers samsvar med spesifikke standarder "sertifiseringsorganer", mens de i andre ofte omtales som "registreringsorganer", "vurderings- og registreringsorganer", "sertifiserings-/ registreringsorganer", og noen ganger "registrarer".

ISO/IEC 27001-sertifiseringen, i likhet med andre ISO-styringssystemsertifiseringer, innebærer vanligvis en tre-trinns ekstern revisjonsprosess definert av ISO/IEC 17021 og ISO/IEC 27006 standarder:

• Fase 1 er en foreløpig, uformell gjennomgang av ISMS, for eksempel å kontrollere eksistensen og fullstendigheten av nøkkeldokumentasjon, for eksempel organisasjonens informasjonssikkerhetspolicy, Statement of Applicability (SoA) og Risk Treatment Plan (RTP). Dette stadiet tjener til å gjøre revisorene kjent med organisasjonen og omvendt.
• Trinn 2 er en mer detaljert og formell compliance revisjon , uavhengig testing av ISMS mot kravene i ISO / IEC 27001. Revisorene vil søke bevis for å bekrefte at styringssystemet er riktig utformet og gjennomført, og er faktisk i drift ( for eksempel ved å bekrefte at en sikkerhetskomité eller lignende lederorgan møtes regelmessig for å føre tilsyn med ISMS). Sertifiseringsrevisjoner utføres vanligvis av ISO/IEC 27001 Lead Auditors . Bestått dette stadiet resulterer i at ISMS er sertifisert i samsvar med ISO/IEC 27001.
• Pågående innebærer oppfølgingsgjennomganger eller revisjoner for å bekrefte at organisasjonen fortsatt overholder standarden. Sertifisering vedlikehold krever periodiske revurderinger for å bekrefte at ISMS fortsetter å fungere som angitt og tiltenkt. Disse bør skje minst årlig, men (etter avtale med ledelsen) utføres ofte oftere, spesielt mens ISMS fortsatt modnes.

Strukturen av standarden

Den offisielle tittelen på standarden er "Informasjonsteknologi - sikkerhetsteknikker - styringssystemer for informasjonssikkerhet - krav"

ISO/IEC 27001: 2013 har ti korte klausuler, pluss et langt vedlegg, som dekker:

1. Standarden

2. Hvordan det refereres til dokumentet

3. Gjenbruk av begrepene og definisjonene i ISO/IEC 27000

4. Organisatorisk kontekst og interessenter

5. Informasjonssikkerhetsledelse og støtte på høyt nivå for politikk

6. Planlegging av et informasjonssikkerhetsstyringssystem ; risikovurdering; risikobehandling

7. Støtte for et informasjonssikkerhetsstyringssystem

8. Gjør et informasjonssikkerhetsstyringssystem operativt

9. Gjennomgang av systemets ytelse

10. Korrigerende tiltak

Vedlegg A: Liste over kontroller og deres mål

Denne strukturen gjenspeiler andre ledelsesstandarder som ISO 22301 ( business continuity management ), og dette hjelper organisasjoner med å overholde flere ledelsessystemstandarder hvis de ønsker det. Vedlegg B og C fra 27001: 2005 er fjernet.

Kontroller

Klausul 6.1.3 beskriver hvordan en organisasjon kan reagere på risiko med en risikobehandlingsplan; en viktig del av dette er å velge passende kontroller. En veldig viktig endring i ISO/IEC 27001: 2013 er at det nå ikke er noe krav om å bruke vedlegg A -kontrollene for å håndtere informasjonssikkerhetsrisikoen. Den forrige versjonen insisterte på ("skal") at kontroller identifisert i risikovurderingen for å håndtere risikoene må ha blitt valgt fra vedlegg A. Dermed brukte nesten hver risikovurdering noensinne fullført under den gamle versjonen av ISO/IEC 27001 vedlegg A -kontroller, men en økende antall risikovurderinger i den nye versjonen bruker ikke vedlegg A som kontrollsett. Dette gjør at risikovurderingen kan bli enklere og mye mer meningsfull for organisasjonen og hjelper betraktelig med å etablere en riktig følelse av eierskap til både risiko og kontroll. Dette er hovedårsaken til denne endringen i den nye versjonen.

Det er 114 kontroller i 14 grupper og 35 kontrollkategorier:

A.5: Retningslinjer for informasjonssikkerhet (2 kontroller)

A.6: Organisering av informasjonssikkerhet (7 kontroller)

A.7: Sikkerhet for menneskelige ressurser - 6 kontroller som brukes før, under eller etter ansettelse

A.8: Kapitalforvaltning (10 kontroller)

A.9: Tilgangskontroll (14 kontroller)

A.10: Kryptografi (2 kontroller)

A.11: Fysisk og miljømessig sikkerhet (15 kontroller)

A.12: Driftssikkerhet (14 kontroller)

A.13: Kommunikasjonssikkerhet (7 kontroller)

A.14: Systemanskaffelse, utvikling og vedlikehold (13 kontroller)

A.15: Leverandørforhold (5 kontroller)

A.16: Håndtering av informasjonssikkerhet (7 kontroller)

A.17: Informasjonssikkerhetsaspekter ved forretningskontinuitetsstyring (4 kontroller)

A.18: Overholdelse; med interne krav, for eksempel retningslinjer, og med eksterne krav, for eksempel lover (8 kontroller)

Kontrollene gjenspeiler endringer i teknologi som påvirker mange organisasjoner - for eksempel cloud computing - men som nevnt ovenfor er det mulig å bruke og bli sertifisert til ISO/IEC 27001: 2013 og ikke bruke noen av disse kontrollene.

Se også

• ISO/IEC JTC 1/SC 27 - IT -sikkerhetsteknikker
• ISO/IEC 27000-serien
• ISO 9001
• BS 7799
• Cybersikkerhetsstandarder
• Internasjonal organisasjon for standardisasjon
• Liste over ISO -standarder

Referanser

Eksterne linker

• ISO nettsted