ISO 27001 – Vedlegg A.18: Samsvar

Hva er formålet med vedlegg A.18.1?

Vedlegg A.18.1 handler om overholdelse av juridiske og kontraktsmessige krav. Målet er å unngå brudd på juridiske, lovpålagte, regulatoriske eller kontraktsmessige forpliktelser knyttet til informasjonssikkerhet og eventuelle sikkerhetskrav.

Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering.

A.18.1.1 Identifikasjon av gjeldende lovgivning og kontraktskrav

En god kontroll beskriver hvordan alle relevante lovpålagte, forskriftsmessige, kontraktsmessige krav, og organisasjonens tilnærming for å oppfylle disse kravene eksplisitt skal identifiseres, dokumenteres og holdes oppdatert for hvert informasjonssystem og organisasjonen. Enkelt sagt må organisasjonen sikre at den holder seg oppdatert med og dokumenterer lover og regler som påvirker oppnåelsen av forretningsmålene og resultatene av ISMS.

Det er viktig at organisasjonen forstår lover, reguleringer og kontraktskrav som den må overholde, og disse bør registreres sentralt i registeret for å muliggjøre enkel administrasjon og koordinering. Identifiseringen av hva som er relevant vil i stor grad avhenge av; Hvor organisasjonen er lokalisert eller opererer; Hva er arten av organisasjonens virksomhet; og Arten av informasjon som håndteres i organisasjonen. Identifikasjonen av relevante lover, reguleringer og kontraktskrav vil sannsynligvis inkludere engasjement med juridiske eksperter, reguleringsorganer og kontraktsansvarlige.

Dette er et område som ofte fanger organisasjoner ut ettersom det generelt er langt mer lovverk og reguleringer som påvirker organisasjonen enn først antatt. Revisor vil se etter hvordan organisasjonen har identifisert og registrert sine juridiske, regulatoriske og kontraktsmessige forpliktelser; ansvaret for å oppfylle slike krav og eventuelle nødvendige retningslinjer, prosedyrer og andre kontroller som kreves for å oppfylle kontrollene.

I tillegg vil de se etter at dette registeret opprettholdes regelmessig mot enhver relevant endring – spesielt i lovgivning på tvers av fellesområder som de forventer at enhver organisasjon skal bli påvirket av.

A.18.1.2 Immaterielle rettigheter

En god kontroll beskriver hvordan hensiktsmessige prosedyrer sikrer overholdelse av lov-, forskrifts- og kontraktskrav knyttet til immaterielle rettigheter og bruk av proprietære programvareprodukter. Enkelt sagt bør organisasjonen implementere hensiktsmessige prosedyrer som sikrer at den overholder alle kravene, enten de er lovmessige, forskriftsmessige eller kontraktsmessige – relatert til bruken av programvareprodukter eller immaterielle rettigheter.

Det er to aspekter ved IPR-styring å vurdere; Beskyttelse av IPR eid av organisasjonen; og Forebygging av misbruk eller brudd på andres IPR. Førstnevnte vil også bli adressert med A.13.24 for taushetsplikt og konfidensialitetsavtaler, der vi også foreslår at firmaer administrerer sine bredere hovedkontrakter med tredjeparter fra, og også innenfor A.15 for forsyningskjeden spesifikt. For ansatte vil A7.1.2 Ansettelsesvilkår også dekke IPR.

Retningslinjer, prosesser og tekniske kontroller vil sannsynligvis være nødvendig for begge disse aspektene. Innenfor aktivaregistre og akseptable brukspolicyer er det sannsynlig at IPR-hensyn må gjøres – for eksempel hvor en eiendel er eller inneholder IPR-beskyttelse av denne eiendelen, må man vurdere IPR-aspektet. Kontroller for å sikre at kun autorisert og lisensiert programvare er i bruk i organisasjonen bør omfatte regelmessig inspeksjon og revisjon.

Revisor vil ønske å se at registre over lisenser eid av organisasjonen for bruk av andres programvare og andre eiendeler føres og oppdateres. Av spesiell interesse for dem vil det være å sikre at når lisenser inkluderer et maksimalt antall brukere eller installasjoner, at dette antallet ikke overskrides og bruker- og installasjonsnumre revideres med jevne mellomrom for å kontrollere samsvar. Revisor vil også se på hvordan organisasjonen beskytter sin egen IPR, som kan omfatte; Datatap og forebyggingskontroller; Retningslinjer og bevisstgjøringsprogrammer rettet mot brukeropplæring; eller Taushetserklæring og konfidensialitetsavtaler som fortsetter etter oppsigelse av arbeidsforholdet.

A.18.1.3 Beskyttelse av poster

En god kontroll beskriver hvordan arkiver er beskyttet mot tap, ødeleggelse, forfalskning, uautorisert tilgang og uautorisert utgivelse, i samsvar med lov-, forskrifts-, kontraktsmessige og forretningsmessige krav.

Ulike typer registreringer vil sannsynligvis kreve forskjellige nivåer og metoder for beskyttelse. Det er avgjørende at arkivene er tilstrekkelig og proporsjonalitetsbeskyttet mot tap, ødeleggelse, forfalskning, uautorisert tilgang eller frigivelse. Beskyttelsen av registre må være i samsvar med relevant lovgivning, regulering eller kontraktsmessige forpliktelser. Det er spesielt viktig å forstå hvor lenge journaler må, bør eller kan oppbevares i og hvilke tekniske eller fysiske problemer som kan påvirke disse over tid – med tanke på at noen lovgivning kan trumfe andre for oppbevaring og beskyttelse. Revisor vil kontrollere at det er tatt hensyn til arkivbeskyttelse basert på forretningskrav, juridiske, regulatoriske og kontraktsmessige forpliktelser.

A.18.1.4 Personvern og beskyttelse av personlig identifiserbar informasjon

En god kontroll beskriver hvordan personvern og beskyttelse av personlig identifiserbar informasjon er sikret for relevant lov og forskrift. All informasjon som håndteres som inneholder personlig identifiserbar informasjon (PII) vil sannsynligvis være underlagt forpliktelsene i lov og forskrift. PII har spesielt høye krav til konfidensialitet og integritet, og i noen tilfeller også tilgjengelighet (f.eks. helseinformasjon, finansiell informasjon). I henhold til noen lovgivning (f.eks. GDPR) er noen typer PII definert som i tillegg "sensitive" og krever ytterligere kontroller for å sikre samsvar.

Det er viktig at bevissthetskampanjer brukes sammen med ansatte og interessenter for å sikre en gjentatt forståelse av individuelt ansvar for å beskytte PII og personvern. Revisor vil se på hvordan PII håndteres, om de nødvendige kontrollene er implementert, blir de overvåket, gjennomgått og om nødvendig forbedret. De vil også se etter å kontrollere at håndteringskravene blir oppfylt og revidert på passende måte. Ytterligere ansvar eksisterer også, for eksempel vil GDPR forvente en regelmessig revisjon for områder der personopplysninger er i fare. Smarte organisasjoner vil knytte disse revisjonene sammen med sine ISO 27001-revisjoner og unngå duplisering eller hull.

A.18.1.5 Regulering av kryptografiske kontroller

En god kontroll beskriver hvordan kryptografiske kontroller brukes i samsvar med alle relevante avtaler, lover og forskrifter. Bruken av kryptografiske teknologier er underlagt lover og regler i mange territorier, og det er viktig at en organisasjon forstår de som er aktuelle og implementerer kontroller og bevisstgjøringsprogrammer som sikrer overholdelse av slike krav. Dette gjelder spesielt når kryptografi transporteres eller brukes i andre territorier enn organisasjonens eller brukerens vanlige bosted eller drift. Grenseoverskridende import-/eksportlover kan inkludere krav knyttet til kryptografiske teknologier eller bruk. Revisor vil se etter at det er tatt hensyn til hensiktsmessig regulering av kryptografiske kontroller og at relevante kontroller og bevisstgjøringsprogrammer er implementert for å sikre samsvar.

Hva er formålet med vedlegg A.18.2?

Vedlegg A.18.2 handler om gjennomganger av informasjonssikkerhet. Målet i dette vedlegget er å sikre at informasjonssikkerhet implementeres og drives i samsvar med organisasjonens retningslinjer og prosedyrer.

A.18.2.1 Uavhengig gjennomgang av informasjonssikkerhet

En god kontroll beskriver organisasjonens tilnærming til å håndtere informasjonssikkerhet og implementeringen av den (dvs. kontrollmål, kontroller, policyer, prosesser og prosedyrer for informasjonssikkerhet) gjennomgås uavhengig med planlagte intervaller eller når det skjer vesentlige endringer.

Det er bra å få en uavhengig gjennomgang av sikkerhetsrisikoer og kontroller for å sikre upartiskhet og objektivitet samt dra nytte av friske øyne. Det betyr ikke at det må være eksternt, bare dra nytte av at en annen kollega gjennomgår retningslinjer i tillegg til hovedforfatteren/administratoren. Disse gjennomgangene bør utføres med planlagte, regelmessige intervaller og når det oppstår vesentlige sikkerhetsrelevante endringer – ISO tolker regelmessig til å være minst årlig.

Revisor vil se etter både regelmessig uavhengig sikkerhetsgjennomgang og gjennomgang når det skjer vesentlige endringer, samt ha tillit til at det er en plan for regelmessige gjennomganger. De vil også kreve bevis på at vurderinger har blitt utført og at eventuelle problemer eller forbedringer som er identifisert i vurderingene, blir håndtert på riktig måte.

A.18.2.2 Overholdelse av sikkerhetspolicyer og -standarder

ISMS-ledere bør regelmessig vurdere samsvar med informasjonsbehandling og prosedyrer innenfor sitt ansvarsområde. Retningslinjer er bare effektive hvis de håndheves og samsvar blir testet og gjennomgått med jevne mellomrom. Det er vanligvis linjeledelsens ansvar å sikre at deres underordnede ansatte overholder organisasjonens retningslinjer og kontroller, men dette bør suppleres med sporadiske uavhengige gjennomganger og revisjoner. Der det identifiseres manglende overholdelse, bør det logges og administreres, og identifisere hvorfor det oppstod, hvor ofte det oppstår og behovet for eventuelle forbedringstiltak enten knyttet til kontrollen eller bevisstheten, opplæringen eller opplæringen til brukeren som forårsaket manglende overholdelse.

Revisor vil se etter at både; Proaktive forebyggende retningslinjer, kontroller og bevisstgjøringsprogrammer er på plass, implementert og effektive; og Reaktiv samsvarsovervåking, gjennomgang og revisjon er også på plass. De vil også se etter at det er bevis på hvordan forbedringer gjøres over tid for å sikre en forbedring i samsvarsnivåer eller vedlikehold hvis samsvaret allerede er på 100 %. Dette samsvarer med hovedkravene i ISO 27001 for 9 og 10 rundt interne revisjoner, ledelsesgjennomganger, forbedringer og avvik også. Personalets bevissthet og engasjement i tråd med A 7.2.2 er også viktig for å knytte til denne delen for å sikre etterlevelse.

A.18.2.3 Gjennomgang av teknisk samsvar

Informasjonssystemer bør jevnlig gjennomgås for samsvar med organisasjonens retningslinjer og standarder for informasjonssikkerhet. Automatiserte verktøy brukes normalt for å sjekke systemer og nettverk for teknisk samsvar, og disse bør identifiseres og implementeres etter behov. Der verktøy som disse brukes, er det nødvendig å begrense bruken til et fåtall autorisert personell som mulig, og nøye kontrollere og koordinere når de brukes for å forhindre kompromittering av systemtilgjengelighet og integritet. Adekvate nivåer av samsvarstesting vil være avhengig av forretningskrav og risikonivåer, og revisor vil forvente å se bevis på at disse vurderingene blir gjort. De vil også forvente å kunne inspisere testplaner og registreringer.

Hvordan hjelper ISMS.online med overholdelse?

ISMS.online gjør mye av samsvarssiden av informasjonssikkerhet betydelig enklere. De innebygde godkjenningsprosessene og automatiserte påminnelsene for vurderinger gjør livet mye enklere og tilbyr en "levende plan" for å vise revisorer at du har kontroll over ISMS. Det forhåndsutfylte gjeldende lovgivningsrisikoverktøyet inkluderer mange vanlige områder av lov og regulering som ofte blir oversett, i tillegg til å gjøre hele forvaltningsområdet enklere. Interne og eksterne revisjoner, korrigerende handlinger, forbedringer og avvik administreres enkelt med de forhåndsbygde verktøyene og funksjonene. Overholdelse av menneskelige ressurser, enten det er ansatte, leverandører eller andre, kan også enkelt demonstreres med Policy Pack-verktøyet. ISMS.online-partnere tilbyr også uavhengige helsesjekker og revisjonsstøtte som fungerer på plattformen din hvis det er nødvendig.