Nedenfor finner du kjernekravene i ISO 27001:2013. Hvis du ser etter den oppdaterte
ISO 27001:2022 kjernekrav, vennligst klikk på knappen nedenfor.
Hva innebærer punkt 7.5?
Et av hovedkravene til ISO 27001 er derfor å beskrive styringssystemet for informasjonssikkerhet og deretter demonstrere hvordan dets tiltenkte resultater oppnås for organisasjonen. Det er utrolig viktig at alt relatert til ISMS er dokumentert, godt vedlikeholdt og lett å finne dersom organisasjonen ønsker å oppnå en uavhengig ISO 27001-sertifisering fra et organ som UKAS.
ISO 27001 klausul 7.5 er delt ned som følger:
Klausul 7.5.1 – Generell dokumentasjon for ISO 27001
ISMS må tydelig inneholde:
- En beskrivelse av hvordan den ivaretar 4.1 til 10.2 i kjernekravene, inkludert risikovurderingen og behandlingen som fører til valg av vedlegg A-kontroller.
- De relevante vedlegg A-kontrollene som er en del av erklæringen om anvendelighet – noe som i praksis betyr at du må ha alle kontrollene oppført. Selv om en organisasjon bestemmer at en kontroll ikke er relevant, bør den dokumentere at f.eks. hvis den ikke har behov for leverings- og lasteområder i vedlegg A 11.1.6 fordi det er en ren digital virksomhet, så må den vise revisoren at den har ansett at det ikke er noen risiko og ikke behov for den kontrollen.
Klausul 7.5.2 – Opprette og oppdatere dokumentert informasjon for ISO 27001
ISO 27001 ønsker klarhet i dokumentasjon, leter etter identifikasjon og beskrivelse, format, gjennomgang og godkjenning for egnethet og tilstrekkelighet for å tjene formålet. Det er lett å gå glipp av nyansene i disse kravene, men praktisk talt betyr dette hensynet til forfatter, dato, tittel, referanse osv., og denne godkjenningsprosessen er også svært viktig for samsvar med vedlegg A 5.1.2 som beskrevet nedenfor.
Punkt 7.5.3 – Kontroll av dokumentert informasjon for ISO 27001
I hjertet av ISMS er prinsippet om konfidensialitet, integritet og tilgjengelighet for informasjonen. Det er det samme for selve ISMS, det må være tilgjengelig når det kreves og tilstrekkelig beskyttet mot tap av konfidensialitet, uautorisert bruk eller potensielt kompromittering av integritet.
Bare å dumpe ISMS-innholdet på teamets delte disk og ha det ukontrollert eller med ineffektive tillatelser for tilgang vil nesten helt sikkert føre til problemer for organisasjonen i en revisjon. På samme måte ville det være et problem å la den ligge på en personlig stasjon utilgjengelig for de som trenger å vite om ISMS, så det må tas hensyn til en rekke områder for effektiv kontroll. ISO ser etter en organisasjon for å håndtere følgende aspekter:
- deling og distribusjonsklarhet, kontroller over tilgang til noen eller hele ISMS-en – med tanke på at tilgangstillatelsene for lesing, oppdatering, godkjenning, sletting osv. kan være forskjellig basert på interessentrollen
- lagring og bevaring, inkludert kontroll av endringer (viser eldre versjoner, historiske godkjenninger osv.)
- oppbevaring og avhending må også vurderes
Dette kravet stemmer også overens med den regelmessige gjennomgangen av retningslinjer fremhevet i vedlegg A.5.1.2, også berørt nedenfor.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hvor mye må skrives for at dokumentasjon av ISMS skal anses som akseptabelt av en revisor?
Et spørsmål som ofte stilles om styringsdokumentasjon for informasjonssikkerhet er "hvor mye er nok". Det korte svaret er at det handler om kvalitet, ikke kvantitet. Så lenge organisasjonen overholder kravene som er oppsummert nedenfor, og kan demonstrere at den ikke trenger lang detaljert dokumentasjon, vil revisor uten tvil ta hensyn til dette under en revisjon – for eksempel fordi det er en liten organisasjon med få deltakere rundt ISMS. , stabil, oversiktlig, godt vedlikeholdt og enkel i drift.
Er dokumentasjon for styringssystemet for informasjonssikkerhet 'ordstildokumenter' eller er andre former for innhold tillatt?
Spørsmål om hva slags dokumentasjon som forventes er et av de andre vanlige spørsmålene om paragraf 7.5 dokumentasjon for styringssystemet for informasjonssikkerhet. Faktisk sier ISO 27001 klart i notatet til side klausul 7.5.1:
"Omfanget av dokumentert informasjon for et styringssystem for informasjonssikkerhet kan variere fra en organisasjon til en annen på grunn av:"
- størrelsen på organisasjonen og dens type aktiviteter, prosesser, produkter og tjenester;
- kompleksiteten til prosesser og deres interaksjoner; og
- kompetansen til personer.
En rekke ISO 27001-leverandører av informasjonssikkerhetsdokumentasjon 'verktøysett' har videreført myten om at dokumentert informasjon for et ISMS må være word-dokumenter og excel-regneark. Det er klart at disse dokumentene kan ha en plass i et ISMS (f.eks. der bilder eller komplekse prosesser også må kommuniseres), men bør brukes sparsomt gitt bruken av bedre nettbaserte verktøy.
Nettjenester som ISMS.online forenkler dokumenter på en mer tradisjonell måte og tilbyr også mer effektive måter å administrere dokumentasjon på. Dette kan vise bedre kontroll og koordinering, bedre måter å dele og publisere til målgrupper på, og gjøre hele prosessen med dokumenthåndtering i henhold til kravene i punkt 7.5 nedenfor mye enklere. Det betyr også at de gamle dagene med å kaste bort tid på forsiden av dokumenter som viste alle versjonsendringer og godkjenninger via e-post for lengst er forbi!
Sammenføyning av 7.5 med vedlegg A-kontroller
Når du vurderer klausul 7.5-kravene også samsvarer med kontrollmålene i vedleggene, er det enda mer fornuftig å tenke på et samlet godt koordinert styringssystem i stedet for gammeldagse dokumenter og delte stasjoner for lagring. Eksempler på hvor klausul 7.5 kan slås sammen med vedlegg A-kontrollene inkluderer:
Vedlegg A 5.1.1
I tillegg til å være definerte, må retningslinjer for informasjonssikkerhet godkjennes av ledelsen, publiseres og kommuniseres til ansatte og relevante eksterne parter. Det er ikke lett å demonstrere godkjenning av dokumenter i seg selv, og publisering av tunge dokumenter vil sannsynligvis ikke bli fordøyd eller forstått av interessentene selv om de har blitt kommunisert (noe som setter organisasjonen i fare for manglende overholdelse og trussel om tap på grunn av uvitenhet).
Vedlegg A 5.1.2
Gjennomgang av retningslinjer for informasjonssikkerhet. ISO 27001 sier at retningslinjer bør gjennomgås regelmessig med planlagte intervaller (eller hvis det oppstår betydelige endringer) for å sikre at de er egnet for kontinuerlig. Uavhengige ISO-revisorer vil forvente å se denne gjennomgangen gjøres minst årlig for hver policy.
Vedlegg A 18.2
Denne kontrollen i tillegg A handler om gjennomgang av informasjonssikkerhet, og hvis den er godt utført, integreres den pent med klausul 7.5 for dokumentasjonshåndtering av et ISMS, inkludert uavhengige gjennomganger, kontroller av samsvar og der det er aktuelt, også teknisk samsvar. Gjennomgang, versjonskontroll, visning av oppdateringer og deretter godkjenning av gammeldagse dokumenter der de ikke trenger å være dokumenter i seg selv, kan virkelig forsinke administratorer av ISMS. Det kan også forsinke eller miste medarbeiderengasjement og føre til manglende samsvar.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Hvordan administrere dokumentasjon i ISMS?
Klausul 7.5 er lett å misforstå og flakse rundt, noe som fører til revisjonssvikt, eller kanskje overprosjektere en løsning for og bruke altfor lang tid på å bygge en styringssystemstruktur som er for vanskelig å vedlikeholde ved første endring. ISMS.online business case-planleggeren ser på alternativene for bygge versus kjøp, så sjekk det ut hvis du tenker på å lage din egen løsning.
Det er veldig vanskelig å få til og oppfylle alle kravene i klausul 7.5 og de tilhørende kontrollene i tillegg A. Det er derfor mange organisasjoner ser etter en spesialbygd ISMS-programvareløsning og ønsker noe med egenskapene til ISMS.online.
Tross alt vil du ikke kaste bort tid på å bygge ditt eget CRM- eller økonomisystem når andre allerede har brukt tid på å utvikle den riktige løsningen som kan leveres rett ut av esken til en brøkdel av kostnadene for en gjør-det-selv-løsning som er ikke en del av organisasjonens kjernekompetanse.
ISMS.online tilbyr en lettfattelig struktur for all nødvendig dokumentasjon. Den følger nøyaktig samme struktur som selve standarden, slik at du og en revisor enkelt og raskt kan navigere til nødvendig dokumentasjon. Den har innebygde roller og tillatelser for tilgang til, redigering, godkjenning og deling. Det er også automatisk versjonskontroll og påminnelser for gjennomganger. Vi har til og med gått et skritt videre og inkludert policy- og kontrolldokumentasjon som du kan ta i bruk, tilpasse og legge til rett ut av esken.
Ved å bruke programvareløsningen ISMS.online kan du fokusere på ISMS-målene dine. ISMS.online gjør administrasjonen enkel, slik at du enkelt kan opprette, kontrollere, koordinere, administrere og dele dokumentasjonen din med interessenter, inkludert gjennom policypakker som øker den totale tilliten til samsvar. Det vil også gi deg alle verktøyene for å utføre de mange arbeidsprosessene som kreves av standarden. Det er også derfor vi sier at dokumentene vi tilbyr er «handlingsrettede». De er mer enn enkle dokumentmaler som lar deg tolke og finne en måte å demonstrere prosessene dine på. ISMS.online er en komplett ISMS-løsning på ett sted.
Bli sertifisert opptil 5 ganger raskere med ISMS.online
Overholdelse trenger ikke å være komplisert – ISMS.online er utviklet for å hjelpe deg med å oppnå ISO 27001-sertifisering raskt og rimelig uten behov for opplæring.
Vi har strømlinjeformet ISO 27001-prosessen med vår Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, enkel onboarding og ekspertstøtte.
Bestill en plattformdemo for å se hvordan ISMS.online kan hjelpe bedriften din.
