ISO 27001 – Vedlegg A.6: Organisering av informasjonssikkerhet

Hva er formålet med vedlegg A.6.1?

Vedlegg A.6.1 handler om intern organisering. Målet i dette vedlegg A-området er å etablere et styringsrammeverk for å initiere og kontrollere implementering og drift av informasjonssikkerhet i organisasjonen.

Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering. La oss forstå disse kravene og hva de betyr i litt mer dybde nå.

A.6.1.1 Informasjonssikkerhetsroller og -ansvar

Alt informasjonssikkerhetsansvar må defineres og tildeles. Informasjonssikkerhetsansvar kan være generelt (f.eks. å beskytte informasjon) og/eller spesifikke (f.eks. ansvaret for å gi en bestemt tillatelse).

Det bør tas hensyn til eierskapet til informasjonsmidler eller grupper av eiendeler ved identifisering av ansvar. Noen eksempler på forretningsroller som sannsynligvis vil ha en viss informasjonssikkerhetsrelevans inkluderer; Avdelingsledere; Bedriftsprosesseiere; Fasilitetsjef; Personalsjef; og internrevisor.

Revisor vil søke å få sikkerhet for at organisasjonen har gjort det klart hvem som er ansvarlig for hva på en adekvat og forholdsmessig måte i henhold til organisasjonens størrelse og art. For mindre organisasjoner er det generelt urealistisk å ha heltidsroller knyttet til disse rollene og ansvaret.

Som sådan er det viktig å avklare spesifikke informasjonssikkerhetsansvar innenfor eksisterende jobbroller, f.eks. kan driftsdirektøren eller administrerende direktør også være ekvivalent med CISO, Chief Information Security Officer, med overordnet ansvar for alle ISMS. CTOen kan eie alle teknologirelaterte informasjonsressurser osv.

A.6.1.2 Oppgavedeling

Motstridende plikter og ansvarsområder må adskilles for å redusere mulighetene for uautorisert eller utilsiktet modifikasjon eller misbruk av noen av organisasjonens eiendeler.

Organisasjonen må spørre seg selv om oppgaveseparering er vurdert og implementert der det er hensiktsmessig. Mindre organisasjoner kan slite med dette, men prinsippet bør brukes så langt det er mulig og god styring og kontroll på plass for informasjonsmidlene med høyere risiko/høyere verdi, fanget opp som en del av risikoevalueringen og -behandlingen.

A.6.1.3 Kontakt med myndigheter

Hensiktsmessig kontakt med relevante myndigheter må opprettholdes. Husk når du tilpasser denne kontrollen å tenke på det juridiske ansvaret for å kontakte myndigheter som politiet, informasjonskommissærens kontor eller andre reguleringsorganer f.eks rundt GDPR.

Vurder hvordan denne kontakten skal tas, av hvem, under hvilke omstendigheter og hva slags informasjon som skal gis.

A.6.1.4 Kontakt med spesielle interessegrupper

Det skal også opprettholdes hensiktsmessige kontakter med interesseorganisasjoner eller andre spesialiserte sikkerhetsfora og fagforeninger. Når du tilpasser denne kontrollen til dine spesifikke behov, husk at medlemskap av faglige organer, bransjeorganisasjoner, fora og diskusjonsgrupper alle teller for denne kontrollen.

Det er viktig å forstå karakteren til hver av disse gruppene og for hvilket formål de er satt opp (f.eks. er det et kommersielt formål bak).

A.6.1.5 Informasjonssikkerhet i prosjektledelse

Informasjonssikkerhet må tas opp i prosjektledelsen, uavhengig av type prosjekt. Informasjonssikkerhet bør forankres i strukturen i organisasjonen og prosjektledelse er et sentralt område for dette. Vi anbefaler bruk av malrammeverk for prosjekter som inkluderer en enkel repeterbar sjekkliste for å vise at informasjonssikkerhet vurderes.

Revisor vil se etter at alle personer involvert i prosjekter har i oppgave å vurdere informasjonssikkerhet i alle stadier av prosjektets livssyklus, så dette bør også dekkes som en del av utdanningen og bevisstheten i tråd med HR-sikkerhet for A.7.2.2 .

Smarte organisasjoner vil også koble A.6.1.5 til relaterte forpliktelser for personopplysninger og vurdere sikkerhet ved design sammen med databeskyttelsesvurderinger (DPIA) og lignende prosesser for å demonstrere samsvar med den generelle databeskyttelsesforordningen (GDPR) og databeskyttelsesloven 2018.

ISMS.online inneholder enkle, praktiske rammer og maler for informasjonssikkerhet i prosjektledelse samt DPIA og andre relaterte persondatavurderinger, f.eks. Legitimate Interest Assessments (LIA).

Hva er formålet med vedlegg A.6.2?

Vedlegg A.6.2 handler om mobile enheter og fjernarbeid. Målet i dette vedlegg A-området er å etablere et styringsrammeverk for å sikre sikkerheten ved fjernarbeid og bruk av mobile enheter.

A.6 virker som et merkelig sted å dekke over mobile enheter og fjernarbeidspolitikk, men det gjør det, og nesten alt i A.6.2 henger sammen med andre vedlegg A-kontroller, siden mye av arbeidslivet inkluderer mobil og fjernarbeid.

Fjernarbeid i dette tilfellet inkluderer også hjemmearbeidere og de som befinner seg på satellittsteder som kanskje ikke trenger de samme fysiske infrastrukturkontrollene som (for eksempel) hovedkontoret, men som likevel er utsatt for verdifull informasjon og relaterte eiendeler.

A.6.2.1 Mobilenhetspolicy

En policy og støttende sikkerhetstiltak må vedtas for å håndtere risikoen som introduseres ved bruk av mobiltelefoner og andre mobile enheter som bærbare datamaskiner, nettbrett osv. Ettersom mobile enheter blir stadig smartere, blir dette policyområdet mye mer betydelig utover den tradisjonelle bruken av en mobil telefon. Bruk av mobile enheter og fjernarbeid er samtidig en utmerket mulighet for fleksibelt arbeid og en potensiell sikkerhetssårbarhet.

BYOD eller Bring Your Own Device er også en stor del av vurderingen. Selv om det er enorme fordeler ved å gjøre det mulig for personalet å bruke sine egne enheter, uten tilstrekkelig kontroll på livets bruk og spesielt utgang, kan truslene også være betydelige.

En organisasjon må være sikker på at når mobile enheter brukes eller ansatte arbeider utenfor stedet, forblir informasjonen og informasjonen til kunder og andre interesserte parter beskyttet og ideelt sett innenfor dens kontroll. Det blir stadig vanskeligere med forbrukerskylagring, automatisert sikkerhetskopiering og personlig eide enheter som deles av familiemedlemmer.

En organisasjon bør vurdere å implementere en "Defence in Depth"-strategi med en kombinasjon av komplementære fysiske, tekniske og politiske kontroller. En av de viktigste aspektene er utdanning, opplæring og bevissthet rundt bruken av mobile enheter også på offentlige steder, og unngår risikoen for "gratis" wifi som raskt kan kompromittere informasjon eller hindre ubudne observatører fra å se på skjermen på togreisen hjem.

Revisor vil ønske å se at det er på plass klare retningslinjer og kontroller som gir sikkerhet for at informasjon forblir sikker når man arbeider borte fra organisatoriske fysiske områder. Retningslinjer bør dekke følgende områder:

• registrering og administrasjon
• fysisk beskyttelse
• restriksjoner på hvilken programvare som kan installeres, hvilke tjenester og apper som kan legges til og få tilgang til, bruk av autoriserte og uautoriserte utviklere
• drift av enhetsoppdateringer og oppdateringsapplikasjoner
• informasjonsklassifiseringen som er tilgjengelig og eventuelle andre begrensninger for ressurstilgang (f.eks. ingen tilgang til kritiske aktiva til infrastruktur)
• forventninger til kryptografi, malware og antivirus
• krav til pålogging, fjerndeaktivering, sletting, lockout og "finn enheten min".
• sikkerhetskopiering og lagring
• familie og andre brukertilgangsbetingelser (hvis BYOD) f.eks. separasjon av kontoer
• bruk på offentlige steder
• tilkobling og pålitelige nettverk

A.6.2.2 Fjernarbeid

En policy og støttende sikkerhetstiltak må også implementeres for å beskytte informasjon som man får tilgang til, behandlet eller lagret på fjernarbeidssteder. Fjernarbeid refererer til hjemmearbeid og annet arbeid utenfor stedet, for eksempel på leverandør- eller kundesteder. For ansatte i fjernarbeid er utdanning, opplæring og bevissthet knyttet til potensielle risikoer avgjørende.

Revisor vil forvente å se beslutninger knyttet til bruk av mobilenheter og fjernarbeid og sikkerhetstiltak basert på hensiktsmessig risikovurdering, som balanserer behovet for fleksibelt arbeid mot potensielle trusler og sårbarheter slik bruk vil introdusere.

Fjernarbeid er også nært knyttet til mange av de andre vedlegg A-kontrollområdene i A.6, A.8, A.9, A .10, A.11, A.12 og A.13, så slå dem sammen som en del av kontor og fjernarbeid for å unngå duplisering og hull. A.7 er også avgjørende for å få riktig screening og rekruttering av fjernarbeidere og ledelsen gjennom livssyklusen blir nøkkelen til å inkludere i revisjoner og demonstrere for revisorer at fjernarbeidere ikke er en dårlig administrert trussel.