ISO 27001-krav 7.5 – Dokumentert informasjon

Hva innebærer punkt 7.5?

Et av hovedkravene til ISO 27001 er derfor å beskrive styringssystemet for informasjonssikkerhet og deretter demonstrere hvordan dets tiltenkte resultater oppnås for organisasjonen. Det er utrolig viktig at alt relatert til ISMS er dokumentert, godt vedlikeholdt og lett å finne dersom organisasjonen ønsker å oppnå en uavhengig ISO 27001-sertifisering fra et organ som UKAS.

ISO 27001 klausul 7.5 er delt ned som følger:

Klausul 7.5.1 – Generell dokumentasjon for ISO 27001

ISMS må tydelig inneholde:

• En beskrivelse av hvordan den ivaretar 4.1 til 10.2 i kjernekravene, inkludert risikovurderingen og behandlingen som fører til valg av vedlegg A-kontroller.
• De relevante vedlegg A-kontrollene som er en del av erklæringen om anvendelighet – noe som i praksis betyr at du må ha alle kontrollene oppført. Selv om en organisasjon bestemmer at en kontroll ikke er relevant, bør den dokumentere at f.eks. hvis den ikke har behov for leverings- og lasteområder i vedlegg A 11.1.6 fordi det er en ren digital virksomhet, så må den vise revisoren at den har ansett at det ikke er noen risiko og ikke behov for den kontrollen.

Klausul 7.5.2 – Opprette og oppdatere dokumentert informasjon for ISO 27001

ISO 27001 ønsker klarhet i dokumentasjon, leter etter identifikasjon og beskrivelse, format, gjennomgang og godkjenning for egnethet og tilstrekkelighet for å tjene formålet. Det er lett å gå glipp av nyansene i disse kravene, men praktisk talt betyr dette hensynet til forfatter, dato, tittel, referanse osv., og denne godkjenningsprosessen er også svært viktig for samsvar med vedlegg A 5.1.2 som beskrevet nedenfor.

Punkt 7.5.3 – Kontroll av dokumentert informasjon for ISO 27001

I hjertet av ISMS er prinsippet om konfidensialitet, integritet og tilgjengelighet for informasjonen. Det er det samme for selve ISMS, det må være tilgjengelig når det kreves og tilstrekkelig beskyttet mot tap av konfidensialitet, uautorisert bruk eller potensielt kompromittering av integritet.

Bare å dumpe ISMS-innholdet på teamets delte disk og ha det ukontrollert eller med ineffektive tillatelser for tilgang vil nesten helt sikkert føre til problemer for organisasjonen i en revisjon. På samme måte ville det være et problem å la den ligge på en personlig stasjon utilgjengelig for de som trenger å vite om ISMS, så det må tas hensyn til en rekke områder for effektiv kontroll. ISO ser etter en organisasjon for å håndtere følgende aspekter:

• deling og distribusjonsklarhet, kontroller over tilgang til noen eller hele ISMS-en – med tanke på at tilgangstillatelsene for lesing, oppdatering, godkjenning, sletting osv. kan være forskjellig basert på interessentrollen
• lagring og bevaring, inkludert kontroll av endringer (viser eldre versjoner, historiske godkjenninger osv.)
• oppbevaring og avhending må også vurderes

Dette kravet stemmer også overens med den regelmessige gjennomgangen av retningslinjer fremhevet i vedlegg A.5.1.2, også berørt nedenfor.

Hvor mye må skrives for at dokumentasjon av ISMS skal anses som akseptabelt av en revisor?

Et spørsmål som ofte stilles om styringsdokumentasjon for informasjonssikkerhet er "hvor mye er nok". Det korte svaret er at det handler om kvalitet, ikke kvantitet. Så lenge organisasjonen overholder kravene som er oppsummert nedenfor, og kan demonstrere at den ikke trenger lang detaljert dokumentasjon, vil revisor uten tvil ta hensyn til dette under en revisjon – for eksempel fordi det er en liten organisasjon med få deltakere rundt ISMS. , stabil, oversiktlig, godt vedlikeholdt og enkel i drift.

Er dokumentasjon for styringssystemet for informasjonssikkerhet 'ordstildokumenter' eller er andre former for innhold tillatt?

Spørsmål om hva slags dokumentasjon som forventes er et av de andre vanlige spørsmålene om paragraf 7.5 dokumentasjon for styringssystemet for informasjonssikkerhet. Faktisk sier ISO 27001 klart i notatet til side klausul 7.5.1:

"Omfanget av dokumentert informasjon for et styringssystem for informasjonssikkerhet kan variere fra en organisasjon til en annen på grunn av:"

• størrelsen på organisasjonen og dens type aktiviteter, prosesser, produkter og tjenester;
• kompleksiteten til prosesser og deres interaksjoner; og
• kompetansen til personer.

En rekke ISO 27001-leverandører av informasjonssikkerhetsdokumentasjon 'verktøysett' har videreført myten om at dokumentert informasjon for et ISMS må være word-dokumenter og excel-regneark. Det er klart at disse dokumentene kan ha en plass i et ISMS (f.eks. der bilder eller komplekse prosesser også må kommuniseres), men bør brukes sparsomt gitt bruken av bedre nettbaserte verktøy.

Online tjenester som ISMS.online tilrettelegger dokumenter på den mer tradisjonelle måten og tilbyr også mer effektive måter å administrere dokumentasjon på som kan vise bedre kontroll og koordinering, bedre måter for deling og publisering til publikum og gjøre hele prosessen med dokumentasjonshåndtering for kravene til klausul 7.5 nedenfor mye enklere. Det betyr også at gamle dager med å kaste bort tid med forsider av dokumenter som viser alle versjonsendringer og godkjenninger via e-post er for lengst borte!

Sammenføyning av 7.5 med vedlegg A-kontroller

Når du vurderer klausul 7.5-kravene også samsvarer med kontrollmålene i vedleggene, er det enda mer fornuftig å tenke på et samlet godt koordinert styringssystem i stedet for gammeldagse dokumenter og delte stasjoner for lagring. Eksempler på hvor klausul 7.5 kan slås sammen med vedlegg A-kontrollene inkluderer:

Vedlegg A 5.1.1

I tillegg til å bli definert, må retningslinjer for informasjonssikkerhet godkjennes av ledelsen, publiseres og kommuniseres til ansatte og relevante eksterne parter. Det er ikke lett å demonstrere godkjenning for dokumenter i seg selv, og publisering av tunge dokumenter vil neppe bli fordøyd eller forstått av interessentene selv om de har blitt kommunisert (og lar organisasjonen stå i fare for manglende overholdelse og trussel om tap ved uvitenhet).

Vedlegg A 5.1.2

Gjennomgang av retningslinjer for informasjonssikkerhet. ISO 27001 sier at retningslinjer bør gjennomgås regelmessig med planlagte intervaller (eller hvis det oppstår betydelige endringer) for å sikre at de er egnet for kontinuerlig. Uavhengige ISO-revisorer vil forvente å se denne gjennomgangen gjøres minst årlig for hver policy.

Vedlegg A 18.2

Denne vedlegg A-kontrollen handler om gjennomganger av informasjonssikkerhet, og den er utført godt, den integreres pent med paragraf 7.5 for dokumentasjonshåndtering av et ISMS, inkludert uavhengige gjennomganger, kontroller for samsvar og der det er relevant også teknisk samsvar. Gjennomgang, versjonskontroll, visning av oppdateringer og deretter godkjenning av gamle utformede dokumenter der de ikke trenger å være dokumenter i seg selv kan virkelig bremse administratorer av ISMS. Det kan også forsinke eller miste ansattes engasjement og føre til manglende overholdelse.

Hvordan administrere dokumentasjon i ISMS?

Klausul 7.5 er lett å misforstå og flakse rundt, noe som fører til revisjonssvikt, eller kanskje overprosjektere en løsning for og bruke altfor lang tid på å bygge en styringssystemstruktur som er for vanskelig å vedlikeholde ved første endring. ISMS.online business case-planleggeren ser på alternativene for bygge versus kjøp, så sjekk det ut hvis du tenker på å lage din egen løsning.

Det er virkelig vanskelig å få rett og oppfylle alle kravene i klausul 7.5 og tilhørende vedlegg A-kontroller også. Det er derfor mange organisasjoner ser etter en spesialbygd ISMS-programvareløsning og vil ha noe med egenskapene til ISMS.online.

Tross alt vil du ikke kaste bort tid på å bygge ditt eget CRM- eller økonomisystem når andre allerede har brukt tid på å utvikle den riktige løsningen som kan leveres rett ut av esken til en brøkdel av kostnadene for en gjør-det-selv-løsning som er ikke en del av organisasjonens kjernekompetanse.

ISMS.online gir en enkel å følge struktur for all nødvendig dokumentasjon. Den følger nøyaktig samme struktur som selve standarden slik at du og en revisor enkelt og raskt kan navigere til nødvendig dokumentasjon. Den har innebygde roller og tillatelser for tilgang til, redigering, godkjenning og deling. Det er også automatisk versjonskontroll og påminnelser for anmeldelser. Vi har til og med gått ett skritt videre og inkludert policy- og kontrolldokumentasjon som du kan ta i bruk, tilpasse og legge til rett ut av esken.

Ved å bruke ISMS.online-programvareløsningen kan du fokusere på dine ISMS-mål. ISMS.online gjør enkelt arbeid med administrasjonen, slik at du enkelt kan opprette, kontrollere, koordinere, administrere og dele dokumentasjonen din med interessenter, inkludert gjennom policypakker som øker ende til ende tillit til overholdelse. Den vil også gi deg alle verktøyene for å utføre de mange arbeidsprosessene som kreves av standarden. Det er også grunnen til at vi sier at dokumentene vi leverer er "handlingsbare". De er mer enn enkle dokumentmaler som lar deg tolke og finne en måte å demonstrere prosessene dine på...ISMS.online er en hel ISMS-løsning på ett sted.

Bli sertifisert opptil 5 ganger raskere med ISMS.online

Overholdelse trenger ikke å være komplisert – ISMS.online er utviklet for å hjelpe deg med å oppnå ISO 27001-sertifisering raskt og rimelig uten behov for opplæring.
Vi har strømlinjeformet ISO 27001-prosessen med vår Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, enkel onboarding og ekspertstøtte.

Bestill en plattformdemo for å se hvordan ISMS.online kan hjelpe bedriften din