Nedenfor finner du kjernekravene i ISO 27001:2013. Hvis du ser etter den oppdaterte
ISO 27001:2022 kjernekrav, vennligst klikk på knappen nedenfor.
Hva er interne og eksterne problemer?
ISO gir faktisk ikke mye hjelp i sin forklaring på hva et internt eller eksternt problem kan være. For en organisasjon som er ny innen informasjonssikkerhetsadministrasjon, kan det kaste bort verdifull tid på bare å finne ut av dette kravet.
Det er virkelig ned til kulturen og naturen til organisasjonen, personene som er involvert, utgangspunktet og verdien i fare. Som et eksempel kan en liten godt administrert organisasjon med et klart formål og få involverte personer komme til sine konklusjoner om interne og eksterne problemer som påvirker ISMS-resultatene over en 10 minutters kopp te (spesielt med alle eksemplene i Virtual Coach).
Andre organisasjoner kan imidlertid ta lengre tid. Vi foreslår generelt at dette er en rask idédugnadsøvelse som unngår overanalyse i utgangspunktet – du vil nesten helt sikkert identifisere flere interne og eksterne problemer etter hvert som du kommer inn på de andre kravene, og disse kan enkelt legges til som implementering av styringssystemet for informasjonssikkerhet og Reisen mot bedre informasjonssikkerhet fortsetter.
Veiledning på plattformen
Unngå forvirring rundt ISO 27001-kravene med Virtual Coach-funksjonen til ISMS.online-plattformen.
Opprettet av våre interne ISO 27001-eksperter, gir Virtual Coach enkle, praktiske råd når og hvor enn du trenger det, og gir deg tilliten til at du er på rett vei til sertifiseringssuksess.
Se selv ved å bestille en plattformdemo i dag.
Kontakt
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hvordan identifisere interne problemer
Vurder IPOPS-akronymet nedenfor for å identifisere interne problemer som kan påvirke resultatene av en ISMS. Dette kan være en tavleøvelse, post-it notater eller bare å fange notater som du vil laste opp senere for å demonstrere din forståelse av problemene. Få de rette personene i et rom eller på telefonen og start samtalen!
Se på bildet for et grunnleggende eksempel på hva som kan gjøres og som kan lastes opp som en del av beviset, eller skrives opp mer detaljert og testes videre med andre interessenter avhengig av organisasjonens natur. Fra et UKAS ISO 27001 eksterne revisorperspektiv vil de se etter tillit til at organisasjonen har forstått problemene som kan påvirke utfallet av ISMS (og dokumentert dem) før de bruker disse bevisene for å gå videre.
Det vil da hjelpe til med å identifisere interesserte parter, sette et omfang, dokumentere målene dine, bygge en aktivabeholdning og gjøre informasjonssikkerhetsrisikoanalyser før du utvikler passende retningslinjer og kontroller i tråd med erklæringen om anvendelighet.
Det hele er en veldig logisk flyt og starter akkurat her med denne enkle øvelsen!
Eksempler på interne problemstillinger
Vi har gitt noen ideer og eksempler nedenfor på områder der du kan finne interne problemer som påvirker resultatet av ISMS, men det er mange problemer som kan vurderes avhengig av organisasjonen, dens sektor, størrelse, omfang og art av produktene og tjenestene etc.
Vi foreslår at du er praktisk og sørger for at det ikke blir en stor strategiøvelse eller avhandling når det ikke er nødvendig. Det handler mindre om hvor du "bøtter" det interne problemet også, ideen med enkel porteføljeanalyse som dette er å hjelpe hjernen med å utløse de interne problemene.
Så om du legger dem under mennesker, organisasjon eller andre steder er mindre viktig (noen kan også være eksterne problemer) – det er identifiseringen av de interne eller eksterne problemene som er viktig, slik at du kan bygge et styringssystem for informasjonssikkerhet som fungerer for deg !
Du vil også vurdere organisasjonens natur rundt mennesker, f.eks. er filosofien om å gjøre alt i huset, outsource osv. – disse aspektene gir alle opphav til "problemer" som kan påvirke ISMS.
For eksempel kan du være i stand til å kontrollere ansatte internt bedre enn leverandører, men det kan være et argument for å ha leverandører med sine prosesser involvert fordi de tilbyr de tjenestene du ønsker. Husk at forretningsmålene dine kommer først – dette er selve kjernen i problemidentifikasjonen – kjør virksomheten slik du vil, og sørg for at ISMS beskytter din verdifulle informasjon og dine interesserte parter.
Alle relevante problemstillinger bør deretter vurderes for mer detaljert risikoanalyse senere – ikke alle problemstillinger er faktisk risikoer, og noen er viktigere enn andre, så du kan velge å prioritere rundt de større problemene. Så vi vil foreslå at du unngår risikoanalysen eller dype vurderinger av hva hvis på dette stadiet og konsentrerer deg om å identifisere problemene.
Informasjon som eiendeler som er interne problemer som påvirker ISMS-utfall
Hvilken informasjon er skapt, håndtert, lagret, administrert og av reell verdi for organisasjonen og dens interesserte parter (i tråd med interessentanalysen du skal gjøre for 4.2 neste)? Personopplysninger, sensitive kundeideer og IPR, finansiell informasjon, merkevare, kodebaser etc?
Dette er midt i hjertet av ISMS, hvor informasjonsmidlene er grunnlaget for alt annet – å identifisere disse eiendelene tidlig gjør også administrasjonen av informasjonsressurser enkelt for A8.1.
Vurder deretter potensielle problemer rundt selve informasjonen – spesielt konfidensialitet, integritet og tilgjengelighet, og ta hensyn til de andre områdene nedenfor når du går for å utløse ideer om hvor problemene kan finnes.
Personrelaterte interne problemer som kan påvirke det tiltenkte resultatet av ISMS:
Det er ingen overraskelse at menneskelig ressurssikkerhet er en viktig del av ISMS, faktisk vedlegg A 7 er viet til det, og alle påfølgende retningslinjer, kontroller og ledelse vil sannsynligvis være med mennesker i tankene, både interne ansatte så vel som eksterne ressurser som leverandører.
Vurder derfor eventuelle eksisterende problemer med:
- rekruttering – f.eks utfordringer med å ansette kompetente folk, høy/lav personalomsetning
- induksjon – f.eks får de opplæring i informasjonssikkerhet akkurat nå, fungerer det
- i livsledelse – for eksempel å holde dem engasjert og vise at de overholder retningslinjene og kontrollene, – synes personalet faktisk informasjonssikkerhet er sexy og spennende, eller er det en kulturell utfordring å få noen til å låse den bærbare datamaskinen når de går på toalettet
- endring av roller og exit – for eksempel er tilgang til og fjerning av informasjonsmidler og tjenester utført
Organisatoriske interne problemer som påvirker ISMS-resultater
Hva er problemene organisasjonen står overfor som kan påvirke resultatet av ISMS? Som et eksempel, gir rask vekst problemer med ansatte og struktur som kan påvirke forståelsen og kunnskapen om retningslinjene, eller at ting endres så raskt at du ikke enkelt kan bunne ut detaljerte og konsistente prosesser.
Er det organisasjonsledelse og styre- eller aksjonærpress som vil forårsake problemer (disse kan være positive så vel som negative)? Internasjonale operasjoner vil ha ulike kulturelle normer for de involverte.
Et annet internt problem knyttet til mennesker og organisasjonen kan handle om det faktum at du ikke vil ha mange av dem ansatt eller sliter med å finne gode, så stol i stedet på outsourcing. Det medfører behov for leverandører (og ansatte i leverandørene), så det er et problem å knytte seg til interessepartsanalysen du skal gjøre i 4.2 neste.
Interne problemer med produkter og tjenester som kan påvirke ISMS-resultatene
Hva er produktene og tjenestene levert av organisasjonen og hva slags problemer dukker opp rundt det som kan forårsake informasjonsrisiko? For eksempel, hvis organisasjonen er en innovatør og IPR-beskyttelse er viktig for produktledelse, er det et problem som må vurderes i ISMS.
Hvis organisasjonen er avhengig av store fysiske eiendommer, f.eks. som en produsent, vil det sannsynligvis føre til flere fysiske sikkerhetsproblemer, mens en liten skyprogramvareleverandør kan være mye mer fokusert på problemer som IPR-beskyttelse fra digitale hackere og problemene rundt avhengigheten av deres produktsuksess og forsikring på hostingleverandører etc.
Systemer og prosesser som interne problemer som påvirker det tiltenkte resultatet av ISMS
Folk tenker ofte på datamaskiner og digital teknologi når ordet "system" brukes. Imidlertid er manuelle og papirbaserte systemer også nøkkelområder for problemer som dukker opp, så husk å vurdere de som gjelder problemer også.
Hvert av områdene over vil ha systemer og prosesser involvert – som kan være implisitt (vi har alltid gjort det på den måten og aldri dokumentert det) eller kan pakkes inn i en masse dokumentasjon som ingen noen gang kan følge …… .etter å ha vurdert IPOP-områdene ovenfor, tenk på systemene og behandler interne problemstillinger rundt dem – for eksempel hvis du ansetter personale regelmessig, men ikke har en formell prosess og systemer som demonstrerer evaluering og screening fra et informasjonssikkerhetsperspektiv, har du et problem (ikke minst fordi vedlegg A7 til ISO 27001).
Et problem er at du kanskje ansetter folk som kommer til å bli fienden innenfor, enten på grunn av uvitenhet om informasjonssikkerhet eller fordi de er en sabotør og du har aldri vurdert det. Det er det samme med alle systemene og prosessene på tvers av organisasjonen som er tilgjengelig for informasjonssikkerhet – hva slags problemer dukker opp der konfidensialitet, integritet eller tilgjengelighet av informasjonen kan være i fare?
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Hvordan identifisere de eksterne problemene
En av de gamle favorittene for ekstern analyse er PESTLE (politisk, økonomisk, sosiologisk, teknologisk, juridisk og miljømessig) og den har fortjeneste for bruk i denne øvelsen, igjen for å holdes praktisk og fokusert for spørsmål som påvirker ISMS-resultatene i stedet for som en dypt strategisk arbeid. Denne øvelsen trenger generelt mye mindre forklaring, og du vil uten tvil finne den lett nok å gå gjennom og vurdere fra et informasjonssikkerhetsperspektiv.
Igjen unngå overanalyse og forsøk på å tvinge ting inn i bøttene for dets skyld – noe vil utløse eller ikke, og du kan alltid komme tilbake til det senere. De interne problemene som påvirker resultatet av ISMS vil også utløse eksterne problemer – for eksempel hvis organisasjonen bestemte seg for at den ikke vil gjøre alt internt og trenger leverandører, så kommer eksterne problemer med disse leverandørene og deres PESTLE-relaterte aspekter inn i blandingen.
Politiske eksterne spørsmål
Hvilke politiske spørsmål kan påvirke organisasjonen og påvirke resultatene? Eksempler kan inkludere Brexit og spesifikke politiske endringer i en sektor som påvirker investeringer eller vekst som kan føre til ulike måter å jobbe på, og ulike tilnærminger til informasjonshåndtering.
Politikk (og mektige sosiale medieaktører som misbruker personopplysninger) førte til GDPR som førte til regulatoriske endringer, som økte presset på kundene, som igjen tvinger leverandører til å oppnå uavhengig sertifiserte ISO 27001 styringssystemer for informasjonssikkerhet for å hjelpe dem med å administrere den totale forsyningen. kjederisiko.
Det er et eksempel på et problem som strekker seg over mange aspekter av PESTLE og det er et eksternt problem som nesten alle organisasjoner står overfor.
Økonomiske eksterne spørsmål
Hvordan påvirker økonomien i markedet og forsyningskjeden organisasjonen? Fører det til mer eller mindre problemer med leverandører, kunder, hvilke informasjonssikkerhetshjørner som kan kuttes på en kostnadsreduksjonsarena og føre til økt risiko eller trussel (og selvfølgelig også mulighet)?
Eksempler kan være billigere arbeidskraft, mindre opplæring og mindre tid til å gjøre arbeidet, eller manglende evne til å ha råd til anstendige teknologiske systemer som vil bidra til å forbedre driften fordi midler må prioriteres andre steder (Tips – se vår whitepaper for forretningscaseplanlegger for veiledning om avkastning på investering fra informasjonssikkerhet.)
Sosiologiske ytre problemstillinger
Hvordan endres og påvirker samfunnet eller publikums demografiske bedrifter virksomheten din – for eksempel alltid tilkoblede innbyggere tilbyr muligheter og trusler, og en generasjon med ansatte som noen ganger har mer/mindre hensyn til data, bringer også positive og negative sider.
Teknologiske eksterne problemstillinger
Hvordan skaper det økende tempoet i teknologiske endringer problemer for ISMS-resultatene? Daglige endringer i operativsystemer som blir oppdatering versus (for eksempel) en gang i året tidligere? Det fører til et behov for mye mer dynamisk ledelse som mange organisasjoner sliter med å opprettholde, noe som, hvis det ikke blir administrert, øker trusselen om et cyberbrudd og tap blir mer sannsynlig.
Hvor skaper kunstig intelligens, maskinlæring, sky og alle andre teknologiske buzzword problemer for organisasjonen din eksternt?
Lovgivende eksterne spørsmål
Et av de vanligste feilområdene i ISO 27001 er manglende evne til effektivt å synliggjøre bevissthet om og deretter administrere applikasjonslovgivning og reguleringsproblemer. Denne delen av PESTLE er et flott utgangspunkt for vedlegg A18 om overholdelse – hvis revisoren din vet mer enn deg om lover og regler som påvirker organisasjonen din (og dermed ISMS), vil de ikke bli imponert.
Det går langt utover databeskyttelse, GDPR, dataovervåking, menneskerettigheter og immaterielle rettigheter, så ta dette området alvorlig overveielse for all informasjon i ditt omfang. Du trenger ikke nødvendigvis en advokat, men å vise at du har vurdert gjeldende lovgivning som påvirker organisasjonen, vil også gjøre risikobehandling, policy og kontroll mer fokusert og relevant.
Det kan være at risikoappetitten din for noe er ganske høy, men hvis en gjeldende lov eller forskrift setter grensen, må du utvikle retningslinjer og kontroller for å overholde det i stedet for bare det du kanskje synes er greit!
Eksterne miljøspørsmål
PESTLE behandler vanligvis miljøet som det grønne problemet, men det kan også være ditt bredere "miljø". Enkle hensyn rundt miljø kan bety at du har som mål å bruke mindre papir, reise mindre – flott, hva er problemene for ISMS fra det?
For eksempel i utviklingen av ISMS kan det være en mulighet for å endre praksis rundt utskrift eller utvikle mobile arbeidspolicyer osv. – dette er et par enkle ideer som dukker opp når du tenker på miljøpapir og reisespørsmål.
Bredere "miljøproblemer" kan være ting som skjer hos konkurrentene dine og bredere krefter (tenk Porters 5 styrker som et enkelt eksempel) – hvilke eksterne miljøproblemer skjer der som kan påvirke ISMS-resultatene dine?
Du vet at kundenes forhandlingsstyrke øker rundt informasjonssikkerhet. Men hvis konkurrentene dine alle blir uavhengig sertifisert til ISO 27001 og du bare tenker på avkrysningsboks/håndvifting, er det et eksternt problem du ønsker å vurdere mer i dybden for å være konkurransedyktig enn si sikker og pålitelig.