ISO 27001 – Vedlegg A.8: Asset Management

Hva er formålet med vedlegg A.8.1?

Vedlegg A.8.1 handler om ansvar for eiendeler. Målet i dette vedlegget er å identifisere informasjonsressurser som er omfattet av styringssystemet og definere passende beskyttelsesansvar.

Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering.

A.8.1.1 Beholdning av eiendeler

Eventuelle eiendeler knyttet til informasjons- og informasjonsbehandlingsfasiliteter må identifiseres og administreres over livssyklusen, alltid oppdatert.

Et register eller inventar over disse eiendelene må settes sammen som viser hvordan de administreres og kontrolleres, basert på deres betydning (som også passer godt inn i informasjonsklassifiseringen nedenfor). Denne livssyklusen til informasjonen inkluderer generelt stadier av opprettelse, behandling, lagring, overføring, sletting og ødeleggelse.

A.8.1.2 Eierskap til eiendeler

Alle informasjonsmidler må ha eiere. Eierskap for kapitalforvaltning kan også være forskjellig fra juridisk eierskap, og det kan gjøres på individnivå, avdeling eller annen enhet. Eierskap bør tildeles når eiendelene opprettes.

Eiendelseieren er ansvarlig for effektiv forvaltning av eiendelen over hele eiendelens livssyklus. De kan delegere administrasjon av det også, og eierskap kan endres i løpet av den livssyklusen så lenge begge er dokumentert.

A.8.1.3 Akseptabel bruk av eiendeler

Akseptabel bruk av informasjon og av eiendeler er viktig å få riktig. Regler for akseptabel bruk av eiendeler er ofte dokumentert i en "Retningslinjer for akseptabel bruk". Reglene for akseptabel bruk må ta hensyn til ansatte, midlertidig ansatte, oppdragstakere og andre tredjeparter der det er aktuelt på tvers av informasjonsmidlene de har tilgang til.

Det er viktig at alle relevante parter har tilgang til settet med dokumenterte akseptable bruksregler og disse forsterkes under regelmessig opplæring og informasjonssikkerhetsbevissthet, compliance-relatert aktivitet.

A.8.1.4 Retur av eiendeler

Alle ansatte og eksterne brukere forventes å returnere eventuelle organisasjons- og informasjonsmidler ved oppsigelse av deres ansettelse, kontrakt eller avtale. Som sådan må det være en forpliktelse for ansatte og eksterne brukere å returnere alle eiendelene, og disse forpliktelsene vil forventes i relevante avtaler med ansatte, entreprenører og andre.

En solid, dokumentert prosess er også nødvendig for å sikre at returen av eiendeler administreres på riktig måte og kan dokumenteres for hver person eller leverandør som går gjennom den – dette stemmer overens med utgangskontrollene i vedlegg 7 for sikkerhet for menneskelige ressurser og vedlegg 13.2.4 for konfidensialitetsavtaler, og vedlegg A.15 for leverandøraktivitet.

Der eiendeler ikke returneres i henhold til prosessen, med mindre annet er avtalt og dokumentert som del av utgangsprosessen, bør ikke-retur loggføres som en sikkerhetshendelse og følges opp i tråd med vedlegg A.16. Prosedyren for retur av eiendeler er aldri idiotsikker, og dette understreker også behovet for periodisk revisjon av eiendeler for å sikre deres fortsatte beskyttelse.

Hva er formålet med vedlegg A.8.2?

Vedlegg A.8.2 handler om informasjonsklassifisering. Målet i dette vedlegget er å sikre at informasjon får et passende beskyttelsesnivå i samsvar med dens betydning for organisasjonen (og interesserte parter som kunder).

A.8.2.1 Klassifisering av informasjon

Informasjon må klassifiseres i form av juridiske krav, verdi, kritikkverdighet og sensitivitet for enhver uautorisert avsløring eller modifikasjon, ideelt sett klassifisert for å reflektere forretningsaktivitet i stedet for å hemme eller komplisere den. For eksempel kan informasjon som gjøres offentlig tilgjengelig, f.eks. på et nettsted, bare merkes som "offentlig", mens konfidensiell eller kommersiell konfidensiell er åpenbare fordi informasjonen er mer sensitiv enn offentlig.

Informasjonsklassifisering er en av nøkkelkontrollene som brukes for å sikre at eiendeler er tilstrekkelig og forholdsmessig beskyttet. Mange organisasjoner har 3-4 klassifiseringsalternativer for å tillate effektiv håndtering av informasjonen med hensyn til dens verdi og viktighet. Det kan imidlertid være så enkelt eller så komplekst som kreves for å sikre riktig grad av granularitet for beskyttelse av eiendeler.

Husk at hvis du holder det veldig enkelt og har for få klassifiseringer, kan det bety at du er over eller under tekniske kontroller. For mange klassifiseringsalternativer vil sannsynligvis forvirre sluttbrukere med hensyn til hva de skal ta i bruk og skape ekstra overhead på administrasjonsordningen. Som med alle kontroller, må denne gjennomgås regelmessig for å sikre at den er egnet for formålet.

A.8.2.2 Merking av informasjon

Et hensiktsmessig sett med prosedyrer for informasjonsmerking må utvikles og implementeres i samsvar med informasjonsklassifiseringsordningen vedtatt av organisasjonen. Prosedyrer for informasjonsmerking vil måtte dekke informasjon og relaterte eiendeler i både fysisk og elektronisk format. Denne merkingen bør gjenspeile klassifiseringsordningen fastsatt i 8.2.1.

Etikettene skal være lett gjenkjennelige og enkle å administrere i praksis, ellers vil de ikke bli fulgt. For eksempel kan det være lettere å de facto bestemme at alt er konfidensielt i de digitale systemene med mindre annet er uttrykkelig merket, i stedet for å få ansatte til å merke hver CRM-oppdatering med en konfidensiell reklameerklæring!

Vær tydelig på hvor denne de facto-merkingen gjøres og dokumenter den i policyen din, og husk å inkludere den i opplæringen for ansatte.

A.8.2.3 Håndtering av eiendeler

Prosedyrer for håndtering av eiendeler må utvikles og implementeres i samsvar med informasjonsklassifiseringsordningen. Følgende bør vurderes; Tilgangsbegrensninger for hvert klassifiseringsnivå; Vedlikehold av en formell oversikt over autoriserte mottakere av eiendeler; Lagring av IT eiendeler i henhold til produsentens spesifikasjoner, merking av media for autoriserte parter.

Hvis organisasjonen håndterer informasjonsmidler for kunder, leverandører og andre, er det viktig å enten demonstrere en kartleggingspolicy, f.eks. kundeklassifisering av offisielle sensitive kart til vår organisasjon av kommersielle i fortrolighet, eller at tilleggsklassifiseringen vil bli behandlet på andre måter for å vise at den blir beskyttet.

Hva er formålet med vedlegg A.8.3?

Vedlegg A.8.3 handler om mediehåndtering. Målet i dette vedlegget er å forhindre uautorisert avsløring, modifikasjon, fjerning eller ødeleggelse av informasjon som er lagret på media.

A.8.3.1 Håndtering av flyttbare medier

Det skal etableres prosedyrer for håndtering av flyttbare medier i henhold til klassifiseringsordningen. Generell bruk av flyttbare medier skal risikovurderes og det kan være nødvendig å foreta bruksspesifikke risikovurderinger utover det. Flyttbare medier skal bare tillates hvis det er en berettiget forretningsmessig grunn.

Hvis det ikke lenger er nødvendig, bør innholdet av gjenbrukbare medier gjøres ugjenopprettelige og destrueres eller slettes på en sikker måte. Alle medier bør lagres i et trygt, sikkert miljø, i samsvar med produsentens spesifikasjoner og tilleggsteknikker som kryptografi vurderes der det er hensiktsmessig (dvs. som en del av risikovurderingen).

Der det er nødvendig og praktisk, bør det kreves autorisasjon for medier som fjernes fra organisasjonen, og en journal føres for å opprettholde et revisjonsspor.

A.8.3.2 Avhending av media

Når det ikke lenger er nødvendig, må media kasseres på en sikker måte ved å følge dokumenterte prosedyrer. Disse prosedyrene minimerer risikoen for lekkasje av konfidensiell informasjon til uautoriserte parter.

Prosedyrene bør stå i forhold til sensitiviteten til informasjonen som avhendes. Ting som bør vurderes inkluderer; hvorvidt media inneholder konfidensiell informasjon eller ikke; og ha prosedyrer på plass som hjelper til med å identifisere gjenstandene som kan. krever sikker avhending.

A.8.3.3 Fysisk medieoverføring

Alle medier som inneholder informasjon må beskyttes mot uautorisert tilgang, misbruk eller korrupsjon under transport (med mindre det allerede er offentlig tilgjengelig).

Følgende bør vurderes for å beskytte media under transport; Pålitelig transport eller kurerer bør brukes – kanskje en liste over autoriserte kurerer bør avtales med ledelsen; Emballasjen bør være tilstrekkelig for å beskytte innholdet mot fysisk skade under transport. og Logger bør føres som identifiserer innholdet i mediene og beskyttelsen som brukes.

Det bør også bemerkes at når konfidensiell informasjon på media ikke er kryptert, bør ytterligere fysisk beskyttelse av media vurderes.