ISO 27001-krav 6.2 – Informasjonssikkerhetsmål og planlegging for å oppnå dem

Hva innebærer punkt 6.2?

For å takle dette kravet er det viktig å allerede ha forstått organisasjonen og dens kontekst (4.1), bestemt kravene til interesserte parter (4.2), etablert omfanget (4.3) og i det minste begynt å utføre risikovurderingen og behandlingen (6.1) .

Det nøyaktige kravet for 6.2 er:

"Etablere gjeldende (og hvis det er praktisk mulig, målbare) informasjonssikkerhetsmål, med hensyn til informasjonssikkerhetskravene, resultater fra risikovurdering og behandling. Bestem hva som skal gjøres, hvilke ressurser som kreves, hvem som vil være ansvarlig, når de vil bli fullført og hvordan resultatene vil bli evaluert."

Så denne klausulen 6.2 i standarden koker i hovedsak ned til spørsmålet; 'Hvordan vet du om styringssystemet for informasjonssikkerhet fungerer etter hensikten?'

Hvordan sette mål for 6.2

Når du vurderer målene du ønsker fra styringssystemet for informasjonssikkerhet, sørg for at de er forretningsfokuserte og er ting som vil hjelpe deg å drive en (mer) sikker organisasjon med bedre resultater i stedet for bare å krysse av i bokser og se pent ut på en side. Tenk på hva interessentene ønsker å se målt og overvåket også.

For eksempel, hvorfor kjøper kunder fra deg og hva ville de være bekymret for at skulle gå galt fra et informasjonssikkerhetsperspektiv? Hvilket nivå av informasjonssikkerhet, hvilke tiltak og overvåking ville vært viktig for dem hvis de så nøye på ISMS-en din?

Konsentrer deg om å utvikle meningsfulle mål, ikke bare mange tiltak eller mål som vil bety at du bruker all din tid på administrasjon og ingen verdiøkning for organisasjonen.

Det kan godt hende du allerede måler og overvåker målene dine, så husk å vurdere hva du allerede gjør, samt hva som kan trenge mer innsats. ISO prøver ikke å fange noen på målesiden, de vil bare være sikker på at du måler det som betyr noe, og mange smarte bedrifter vil allerede gjøre det implisitt om ikke mer eksplisitt.

Knyt arbeidet ditt her tett med ledelsesgjennomgangene i 9.3 og legg bevisene dine for resultatene inn i styrets arbeidsområde for ledervurderinger, eller lenk til det for enkelhets skyld i spesifikke gjennomgangsmøter og revisjoner.

Du kan demonstrere resultatene av ytelsesmålingen din på forskjellige måter, fra å bruke eksport av driftssystemene dine, utnytte den automatiserte rapporteringen på tvers av ISMS.online (f.eks. for hendelser) og, hvis det er relevant, ved å bruke enkle KPIer lagt til i arbeidsområdet for ledelsesgjennomgang.

Hos Alliantist, programvare- og tjenesteselskapet bak ISMS.online, kom vi opp med omtrent 7 informasjonssikkerhetsmål, hvorav ett er:

"Levering av en sikker, pålitelig skytjeneste for brukere (og andre interesserte parter) som trenger tillit og sikkerhet for at plattformen er egnet for deres formål med å dele og jobbe med sensitiv informasjon."

Når du bryter ned bare det ene målet, er det klart at det er en rekke målbare, handlingsbare områder som springer ut av det. For eksempel:

• Sikkert – hva betyr det når det gjelder konfidensialitet og integritet?
• Pålitelig – hva betyr det når det gjelder tilgjengeligheten av den sikre skyprogramvaretjenesten?

Hvordan gjøre informasjonssikkerhetsmål målbare og handlingsdyktige

Et mål på pålitelighetssuksess for Alliantist bygger på ovenstående i tilgjengeligheten av systemer som ISMS.online for kunder å bruke. Så vi har målet (pålitelighet av tjenesten), et mål (oppetid) og kan deretter sette et oppetidsmål, i dette tilfellet minimum 99.5 % tilgjengelighet (som vi kontinuerlig oppnår 100 % mot).

Deretter vurderte vi målingsfrekvensen, eieren som var ansvarlig, og hvor kilden til dataene for måling ville komme fra for bevisene. Vi la deretter til det i ISMS.online som en KPI som blir adressert som en del av ledelsens vurderinger, og selvfølgelig fordi det er en grunnleggende beregning for suksess med programvaretjenesten vår, blir den også overvåket kontinuerlig operasjonelt også.

Kilden til disse dataene er fra oppetidsloggene. Noen andre mer strategiske beregninger, f.eks. kunde-, revisor- og interessenters tillit til vårt ISMS generelt måles sjeldnere, mer subjektive i noen henseender, men ikke desto mindre viktige som en del av den bredere ISMS-ytelsen.

Dette er en flott mulighet til å utvikle beregninger som betyr noe for organisasjonen din hvis du ikke allerede har gjort det. Vi oppfordrer til færre og bedre administrerte i stedet for mye og dårlig administrert tilnærming. Hvis organisasjonen din har avdelinger og spesifikke områder av virksomheten påvirket forskjellig med konfidensialitet, integritet og tilgjengelighet (CIA) som rettferdiggjør å bryte ned tiltak for hvert område, vil ISO forvente å se denne sammenbruddet i tillegg til de mer strategiske målene på høyt nivå.

Andre beregninger som også er nyttige for å demonstrere CIA er også ganske åpenbare fra noen av kravene satt av ISO 27001 rundt håndtering av hendelser, risikovurderinger/vurderinger, forbedringer og korrigerende handlinger osv. I ISMS.online har vi en rekke verktøy som automatisk gir ytelsesstatistikk som er nyttig for å demonstrere effektiv ytelse til ISMS.

Disse inkluderer sporing av hendelseshåndtering, forbedringer og korrigerende handlinger og en rekke andre også som gjør mye av målstyringen til en null innsats i stedet for å kaste bort tid med regneark og powerpoint.

Hvordan definere prosess og ansvar for evaluering av informasjonssikkerhetsmål

Når du har definert målene dine, bestemt målene dine og frekvensen for måling, er det nødvendig å vise hvordan du vil gå i gang med å evaluere resultatene og deretter iverksette tiltak for eventuelle nødvendige endringer eller forbedringer i ISMS.

Hos Alliantist setter vi sammen et team med representanter fra toppledelsen for å danne ISMS-styret. ISMS-styret er ansvarlig for å sette mål for hvert av tiltakene. Vår driftsdirektør eier målene som påvirker ISMS fra et produksjons- og driftsperspektiv.

Kildedataene delegeres til relevante ansatte til bevis, som alle er hentet fra eksisterende systemer og enkelt oppsummert i KPIer og statistikkrapportering som utgjør en del av de vanlige ledelsesgjennomgangene i tråd med paragraf 9.3.