Hvordan unngå katastrofale antagelser med ISO 27001 klausul 9
Mange faglige lærdommer er bare virkelig nyttige i næringslivet. Men det er ett prinsipp som hjelper meg i alle deler av livet mitt, fra å få barna til skolen hver morgen til å planlegge den drømmeferien etter Covid. Det er dette:
- Antagelse er alle katastrofers mor
Hvis du bare gjør antagelser i stedet for å faktisk sjekke ut ting, vil du ikke fange problemer og problemer når de fortsatt er små og enkle å fikse. Du vil bare oppdage dem når de er umulige å gå glipp av og sannsynligvis katastrofale.
Heldigvis er det en enkel løsning. Ikke gjør antagelser. Erstatt dem med praktiske, konstruktive, strukturerte revisjoner. Det kan virke kjedelig og kjedelig, men det er alltid viktig.
Hvorfor tilsyn er viktig
Gjennom hans oppmerksomhet til detaljer, i en tidligere rolle: en av våre kolleger:
- Hjalp sin daværende klient med å unngå store økonomiske og omdømmeskader
- Reddet livet til mange ulastelige undersjøiske skapninger
- Forhindret en stor internasjonal hendelse
Han reviderte en undersjøisk lagringsenhet før installasjonen på havbunnen. Han fant ut at en leverandør hadde brukt feil type maling på den. Malingen ville forfalle raskt. Da ville lagringsenheten forfalle raskt. Da ville det bryte opp.
Enheten ble designet for å trygt inneholde radioaktivt materiale for undersjøiske målinger.
Du kan forestille deg resten.
Alle antok at det å sjekke malingsjobben var bortkastet tid. Hvordan kan noen få noe så grunnleggende så galt? Vår kollega ble faktisk kritisert for å være for kresen. Men nok en gang beviste det virkelige liv at antagelsen er alle katastrofers mor.
Tilsyn i ISO 27001
Fordi revisjon er så viktig, dekker ISO 27001 det i detalj. Klausul 9 i ISO 27001 ber deg tenke gjennom hvordan du skal:
- Mål og sett mål for ISMS-ens effektivitet (Klausul 9.1)
- Kontroller den regelmessig for å sikre at den treffer disse målene (Klausul 9.2)
- Hold toppledelsen oppdatert (Klausul 9.3)
Det gir deg en veldig nyttig sjekkliste for infosec-overvåking, enten du er det eller ikke kompatibel eller sertifisert. Selv om vi trenger å nå ut til Klausul 10.2 for en veldig viktig siste detalj:
- Vurder å gjøre forbedringer i ISMS basert på det du har funnet
Klausul 9.1: Måling og innstilling av mål for ISMS
En ukontrollert ISMS er ikke verdt å ha. Men for å undersøke det ordentlig, må du vite hva du leter etter, hvor du leter og hvem som leter etter det. Klausul 9.1 ber deg planlegge:
- Hvilke deler av din ISMS du trenger å holde øye med
- Hvordan du skal overvåke, måle, analysere og evaluere dem
- Hvor ofte vil du utføre alle disse kontrollene
- Hvem kontrollerer
- Hvordan de vil rapportere funnene sine
Sørg for å dokumentere alt. Å ha et enkelt sett med klare praktiske retningslinjer vil stoppe folk fra å gjøre antagelser. Vi vet hvor de kan lede …
Klausul 9.2: Revisjon av ISMS
Nå er du klar for det faktiske internrevisjon, som spesifisert i punkt 9.2. Det er her du sjekker lakken og sparker dekkene. Å suge gjennom tennene er også et alternativ.
I utgangspunktet sjekker du at ISMS-en din:
- Oppfyller alle målene du har satt for den
- Er veldrevet og godt vedlikeholdt
Bare én revisjon vil ikke gjøre jobben. Du trenger å planlegge for regelmessige revisjoner. Hver ny revisjon må referere til tidligere, slik at du er sikker på at du tar opp og svarer på eventuelle problemer. Så hver ny revisjon må være klart og konsekvent dokumentert og rapportert.
Du må også gjøre spesifikke personer ansvarlige for hver revisjon. De bør ha et klart omfang for hver revisjon. Og avgjørende, de må være objektive. Velg revisorer som vil utfordre dine antakelser, ikke bekrefte dem.
Og hver revisjon bør være en positiv, verdiskapende prosess. Ideelt sett ser revisorer etter samsvar og kanskje samarbeider med den reviderte for å finne potensielle forbedringer. Din revisor ser IKKE etter avvik. Det hender bare at noen ganger får de øye på dem.
Punkt 9.3: Holde toppledelsen oppdatert
Å anta at toppledelsen vet hvordan det går er alltid en feil. Du må sørge for at de forstår, kjøper seg inn i og (der det er nødvendig) former ISMS-en din. Tross alt, som Klausul 5 bemerker, de er til syvende og sist ansvarlige for ISMS.
Så, klausul 9.3 ber deg gjennomføre regelmessige, planlagte ledelsesgjennomganger. Du vil oppdatere toppledelsen om hvor godt du er ISMS beskytter organisasjonen din, og dekker:
- Spesifikke problemer oppdaget og hvordan du har løst dem
- Generell ytelse i forhold til målene du har satt
- Eventuelle kommentarer eller tilbakemeldinger fra interesserte parter
- Hva revisorene dine forteller deg
- Detaljer om pågående risikovurdering og behandling
- Forbedringer du planlegger å gjøre eller har gjort
Du bør også trekke på deres helhetlige oversikt over organisasjonen din. Sørg for at de deler detaljer om eventuelle interne eller eksterne problemer som kan påvirke omfanget og virkemåten til ditt ISMS. Og selvfølgelig vil du fange dem opp på handlinger som oppstår fra tidligere anmeldelser.
Oh, og det er en stor antagelse å utfordre. Folk antar vanligvis at gjennomgangen av styringssystemet må gjøres som et møte. Men hvor står det det i paragraf 9.2? Vårt hint: Det gjør ikke...
En siste antagelse vi ønsker å unngå
Så det er hvordan Klausul 9 av ISO 27001 hjelper deg med å erstatte vage forutsetninger med praktiske, konstruktive, strukturerte revisjoner. Da kan du følge klausul 10.2 og handle ut fra dem.
Forhåpentligvis har vi vist deg hvordan prosessen fungerer og gitt deg noen nyttige tips for å hjelpe deg med å holde et øye med dine egne infosec-tiltak.
Men det høres ut som akkurat det vi ønsker å unngå: en antagelse! Så hvis dette innlegget har vært nyttig eller inspirerende, Gi oss beskjed Helt sikkert.
