ISO 27001-krav 6.1 – Handlinger for å adressere risikoer og muligheter

Hva innebærer punkt 6.1?

Å dokumentere med klarhet i beskrivelsen, og deretter demonstrere hvordan du håndterer risiko under ISO 27001 er avgjørende for en uavhengig sertifisering for ISO 27001 og driften av et vellykket styringssystem for informasjonssikkerhet (ISMS).

Klausul 6.1.1 – Generelle aspekter ved planlegging rundt risiko for ISO 27001

På dette tidspunktet bør du se tilbake på det tidligere arbeidet ditt i seksjonene 4 og 5 – spesielt 4.1, 4.2, 4.3 og seksjon 5 i ISO 27001. Dette vil hjelpe deg med å bestemme risikoene og mulighetene som må håndteres fra din tidligere problemer, interesserte parter og omfang for å:

• sikre at styringssystemet for informasjonssikkerhet kan oppnå de tiltenkte resultatene
• "forhindre eller redusere uønskede effekter"
• «oppnå kontinuerlig forbedring».

Organisasjonen må ha planer på plass som dekker handlingene den vil ta for å identifisere, vurdere og behandle disse risikoene og mulighetene og hvordan den vil integrere og implementere disse handlingene i sine prosesser for styringssystem for informasjonssikkerhet. Dette bør inkludere hvordan de vil evaluere effektiviteten til disse handlingene og overvåke dem over tid.

Dette betyr ganske enkelt å dokumentere prosessen for risikoidentifikasjon, vurdering og behandling, for så å vise at den fungerer i praksis med håndtering av hver risiko, ideelt for å vise at den blir tolerert (f.eks. etter at vedlegg A-kontroller er tatt i bruk), avsluttes eller kanskje overføres til andre partier.

ISO 27001 bryter også dette kravet til risikostyring ned i mer dybde. I tillegg er det andre risikoorienterte standarder som ISO 31000 å lære av, hvor prinsippene for ISO 27001 risikoplanlegging har stammet fra.

Klausul 6.1.2 – Risikovurdering for informasjonssikkerhet for ISO 27001

ISO 27001-standarden krever at en organisasjon etablerer og vedlikeholder risikovurderingsprosesser for informasjonssikkerhet som inkluderer risikoaksept og vurderingskriterier. Den fastsetter også at alle vurderinger skal være konsistente, gyldige og gi «sammenlignbare resultater».

Det betyr å tydelig beskrive tilnærmingen som tas og betyr å produsere en risikometodikk – vi har skrevet mer om å utvikle den her.

Organisasjoner må anvende vurderingsprosessene for å identifisere risikoer knyttet til konfidensialitet, integritet og tilgjengelighet (CIA) til informasjonsmidlene innenfor det definerte omfanget av ISMS.

De fleste ISO-sertifiserte revisorer vil forvente at metodikken går utover enkle sannsynlighets- og konsekvensbeskrivelser, for også å forklare hva som skjer (f.eks.) når en konflikt oppstår mellom én risiko (f.eks. tilgjengelighetsbasert) og en annen (f.eks. konfidensialitetsbasert).

Risikoer må tildeles risikoeiere i organisasjonen som vil bestemme risikonivået, vurdere de potensielle konsekvensene dersom risikoen skulle materialisere seg, sammen med "realistisk sannsynlighet for at risikoen inntreffer".

Når risikoen er evaluert, må den prioriteres for risikobehandling og deretter styres i samsvar med den dokumenterte metodikken.

Klausul 6.1.3 – Behandling av informasjonssikkerhetsrisiko for ISO 27001

Du forventes å velge passende risikobehandlingsalternativer basert på risikovurderingsresultatene, f.eks. behandle med vedlegg A-kontroller, avslutte, overføre eller kanskje behandle på annen måte. ISO 27001-standarden bemerker at vedlegg A også inkluderer kontrollmålene, men at kontrollene som er oppført er "ikke uttømmende" og at ytterligere kontroller kan være nødvendig.

Vanligvis brukes vedlegg A-kontrollene alene i mindre organisasjoner, selv om det er akseptabelt å designe eller identifisere kontrollene fra enhver kilde. På den måten kan administrasjon av flere sikkerhetsstandarder bety at du bruker kontroller, for eksempel fra andre standarder som NIST eller SOC2 etter Trust Services Criteria-prinsippene.

Hvis det blir revidert av en uavhengig revisor for ISO 27001, er det veldig fornuftig å fokusere på vedlegg A-kontrollene, da de vil kjenne disse godt.

Hvis du trenger å oppfylle spesifikke standarder for en kunde, f.eks. DSPT for Health i Storbritannias NHS, er det fornuftig å også kartlegge risikobehandlingen til disse og gi kunden tillit til at informasjonssikkerheten din er robust og oppfyller deres interesser også.

Tilordnede risikoeiere administrerer risikobehandlingsplanene sine (eller delegerer til folk for å gjøre det for dem) og vil til slutt ta beslutningen om å akseptere eventuelle gjenværende informasjonssikkerhetsrisikoer – tross alt er det ikke fornuftig å alltid avslutte overføringen eller fortsette å investere i ledelsen av en risiko.

Det er nødvendig å lage en Anvendelseserklæring som inneholder kontrollene organisasjonen har ansett som nødvendige sammen med begrunnelsen for inkluderinger, enten de er implementert eller ikke, og begrunnelsen for utelukkelser av kontroller fra vedlegg A.

Dette er en ganske betydelig jobb (massivt forenklet og automatisert av ISMS.online) som viser at organisasjonen har sett nøye på alle områdene rundt disse kontrollene som ISO 27001 anser som viktige.

Forstå erklæringen om anvendelighet for ISO 27001

Anvendelseserklæringen (SOA) inneholder de nødvendige kontrollene som nevnt ovenfor og begrunnelsen for deres inkludering eller ekskludering. Det er flott for intern ledelse og for å dele med relevante interesserte parter. Dette sammen med sikkerhetspolicyen, omfanget og sertifikatet (hvis oppnådd) vil gi dem en bedre forståelse av hvor deres interesser og bekymringer kan være i styringssystemet for informasjonssikkerhet.

Hvordan oppnå punkt 6.1

Vanligvis er planlegging av hvordan du skal identifisere, evaluere og behandle risikoer, for å oppfylle kravene ovenfor, et av de mer tidkrevende elementene ved implementering av ISMS. Det krever at en organisasjon definerer en metodikk for konsekvent evaluering av risiko og opprettholder klare registreringer av hver risiko, dens vurdering og behandlingsplan.

Videre bør journalene vise regelmessige gjennomganger over tid, og bevis på behandlingen som har funnet sted. Dette vil inkludere hvilke av vedlegg A-kontrollene du har satt på plass som en del av behandlingen, og vil inngå i opprettelsen (og vedlikeholdet) av erklæringen om anvendelighet.

Det er ikke rart at gammeldagse regnearktilnærminger kan være komplekse og vanskelige å vedlikeholde når du går utover de helt grunnleggende tilnærmingene til risikostyring (som kreves for ISO 27001). Det er en av grunnene til at organisasjoner nå ser på programvareløsninger for å administrere denne prosessen.

Gjør det enklere med ISMS.online

ISMS.online-plattformen inkluderer en risikostyringspolicy, metodikk og et forhåndskonfigurert risikostyringsverktøy for informasjonssikkerhet. Vi inkluderer også en bank med vanlige informasjonssikkerhetsrisikoer som kan trekkes ned, sammen med de foreslåtte vedlegg A-kontrollene, og sparer deg for uker med arbeid.

Å slå sammen dette i én integrert løsning for å hjelpe deg med å oppnå, vedlikeholde og forbedre hele ISMS-en din gir perfekt mening. Tross alt, hvorfor kaste bort tid på å prøve å bygge det selv når det allerede finnes en spesialbygd løsning?