ISO 27001-krav

1. omfang

ISO 27001-standarden dekker ulike aspekter av informasjonssikkerhetsstyring, inkludert etablering, implementering, vedlikehold og kontinuerlig forbedring av et ISMS innenfor en organisasjons kontekst. Standarden gjelder for organisasjoner av alle typer, størrelser og natur.

Kravene fastsatt i ISO 27001-standarden er utformet for å sikre at organisasjoner har passende tiltak på plass for å beskytte informasjonsmidlene sine. Disse kravene dekker et bredt spekter av områder.

2. Normative referanser

ISO 27001 i seg selv er basert på en risikostyringstilnærming og gir et rammeverk for organisasjoner for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet (ISMS). De normative referansene i ISO 27001 inkluderer flere andre ISO/IEC-standarder som gir veiledning om ulike aspekter ved informasjonssikkerhetsstyring. Disse inkluderer:

• ISO/IEC 27000: Denne standarden er en normativ referanse i ISO 27001 og fungerer som en oversikt og et vokabular for styringssystemer for informasjonssikkerhet. Den definerer nøkkelbegreper og konsepter som brukes gjennom hele ISO 27000-familien av dokumenter og skisserer omfanget og målene for hvert medlem av familien.
• ISO/IEC 27002: Også kjent som anbefalingen for informasjonssikkerhetsstyring, gir denne standarden veiledning om valg og implementering av sikkerhetskontroller. Den tilbyr et omfattende sett med beste fremgangsmåter for organisasjoner for å beskytte sine informasjonsressurser og administrere sikkerhetsrisikoer effektivt.
• ISO/IEC 27005: Denne standarden fokuserer på risikostyring og gir veiledning om risikovurderingsprosessen og risikobehandling. Det hjelper organisasjoner med å identifisere og vurdere informasjonssikkerhetsrisikoer, og utvikle passende risikobehandlingsplaner for å redusere disse risikoene.
• ISO/IEC 27006: Denne standarden gir veiledning om sertifiseringsprosessen for styringssystemer for informasjonssikkerhet. Den skisserer kravene til sertifiseringsorganer og revisorer for å vurdere og sertifisere organisasjoners overholdelse av ISO 27001.
• ISO/IEC 27007: Disse retningslinjene er spesielt utviklet for revisjon av styringssystemer for informasjonssikkerhet. De gir veiledning om revisjonsprosessen, inkludert planlegging, gjennomføring og rapportering av revisjoner, for å sikre at en organisasjons ISMS effektivt implementeres og vedlikeholdes.
• ISO/IEC 27008: Disse retningslinjene fokuserer på styring av informasjonssikkerhet. De gir veiledning om etablering, implementering, vedlikehold og kontinuerlig forbedring av styringssystemet for informasjonssikkerhet i en organisasjon.

3. Begreper og definisjoner

Begreps- og definisjonsdelen tjener det formål å gi en felles forståelse og språk for alle parter som er involvert i implementeringen av standarden.

4. Organisasjonens kontekst

4.1 – Forstå organisasjonen og dens kontekst

ISO 27001-krav 4.1 er rettet mot å sikre at organisasjoner har en omfattende forståelse av deres interne og eksterne miljø for å effektivt håndtere informasjonssikkerhetsrisikoen.

Dette innebærer å identifisere og vurdere hvilke faktorer som kan påvirke organisasjonens evne til å nå sine informasjonssikkerhetsmål.

Ved å forstå deres interne og eksterne kontekst kan organisasjoner identifisere og vurdere risikoene knyttet til deres styringssystem for informasjonssikkerhet.

Dette gjør dem i stand til å utvikle et skreddersydd og effektivt system som reduserer de identifiserte risikoene og sikrer overholdelse av gjeldende lover og forskrifter.

4.2 – Forstå behovene og forventningene til interesserte parter

ISO 27001-krav 4.2 er at organisasjoner skal identifisere og forstå behovene og forventningene til sine interessenter. Dette inkluderer kunder, leverandører, ansatte, aksjonærer og andre interesserte parter.

Formålet er å sikre at organisasjonens styringssystem for informasjonssikkerhet (ISMS) oppfyller kravene til disse partene.

For å oppfylle dette kravet må organisasjoner først identifisere sine interessenter og forstå deres spesifikke behov og forventninger.

Dette innebærer å vurdere juridiske og regulatoriske krav, kontraktsmessige forpliktelser og andre eksterne og interne forhold som er relevante for organisasjonens formål og påvirker dens evne til å oppnå det tiltenkte resultatet av ISMS.

4.3 – Bestemme omfanget av styringssystemet for informasjonssikkerhet

ISO 27001-krav 4.3 definerer grensene og omfanget av organisasjonens informasjonssikkerhetsstyringssystem (ISMS).

Dette innebærer å identifisere og dokumentere informasjonsmidlene, prosessene, prosedyrene, menneskene, systemene og nettverkene som er inkludert innenfor omfanget av ISMS.

Omfanget bør omfatte alle organisasjonens informasjonsressurser, både fysiske og digitale, samt prosessene og prosedyrene som brukes for å administrere dem.

4.4 – styringssystem for informasjonssikkerhet

ISO 27001-krav 4.4 skisserer de nødvendige elementene for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet (ISMS).

ISMS er designet for å sikre sikkerheten til informasjon og data, samt beskytte rettighetene og frihetene til enkeltpersoner.

ISO 27001 gir et omfattende sett med krav for å etablere og vedlikeholde et effektivt ISMS som beskytter konfidensialitet, integritet og tilgjengelighet til informasjon.

5. Ledelse

5.1 – Ledelse og forpliktelse

ISO 27001 Krav 5.1 forklarer at organisasjonens toppledelse må vise lederskap og forpliktelse til styringssystemet for informasjonssikkerhet (ISMS). Dette innebærer flere hovedansvar.

Ledelsen må overvåke og evaluere ISMS for å sikre effektiviteten. Dette innebærer å gjennomføre interne revisjoner og iverksette nødvendige korrigerende tiltak for å løse eventuelle identifiserte svakheter eller avvik.

5.2 – Informasjonssikkerhetspolicy

ISO 27001-krav 5.2 krever at organisasjoner har en informasjonssikkerhetspolicy som er godkjent av toppledelsen.

Denne policyen fungerer som en retningslinje for å administrere organisasjonens informasjonssikkerhet og bør ta hensyn til ulike faktorer som forretningsstrategi, forskrifter, lovverk og aktuelle og anslåtte informasjonssikkerhetsrisikoer og -trusler.

Den bør dekke områder som informasjonsoverføring, sikker konfigurasjon og håndtering av brukerendepunktsenheter, nettverkssikkerhet, hendelseshåndtering av informasjonssikkerhet, sikkerhetskopiering, kryptografi og nøkkelhåndtering, informasjonsklassifisering og håndtering, håndtering av tekniske sårbarheter og sikker utvikling.

5.3 – Organisatoriske roller, ansvar og myndigheter

ISO 27001-krav 5.3 skisserer kravet til organisasjoner om å definere og tildele roller, ansvar og myndigheter knyttet til informasjonssikkerhet.

Dette er avgjørende for å sikre at alle individer og grupper i organisasjonen er klar over deres spesifikke roller og ansvar i forhold til informasjonssikkerhet.

Dokumentet understreker behovet for oppgaveseparering, det vil si at ulike individer eller grupper skal ha ansvar for ulike aspekter ved informasjonssikkerhet.

Dette bidrar til å forhindre at en enkelt person har overdreven kontroll over organisasjonens informasjonssikkerhet. Videre krever dokumentet at organisasjoner skal sikre at personell er tilstrekkelig opplært og besitter de nødvendige ferdighetene for å oppfylle sine roller og ansvar.

6. Planlegger

6.1 – Handlinger for å håndtere risikoer og muligheter

ISO 27001-krav 6.1 er fokusert på å sikre at organisasjoner identifiserer, vurderer, behandler og overvåker informasjonssikkerhetsrisikoer og -muligheter.

Dette innebærer en systematisk tilnærming til å håndtere risikoer og iverksette passende tiltak for å redusere dem.

Dette kravet understreker viktigheten av en proaktiv og omfattende tilnærming til håndtering av informasjonssikkerhetsrisikoer for å beskytte personopplysninger og sikre integriteten og tilgjengeligheten til informasjonssystemene.

6.2 – Informasjonssikkerhetsmål og planlegging for å oppnå dem

ISO 27001-krav 6.2 krever at organisasjoner etablerer informasjonssikkerhetsmål og utvikler en plan for å nå dem.

Disse målene bør være spesifikke, målbare, oppnåelige, relevante og tidsbestemte (SMART), og bør samsvare med organisasjonens overordnede forretningsmål. Planen bør skissere trinnene, ressursene og tidslinjen som trengs for å nå de ønskede målene.

Regelmessig gjennomgang av informasjonssikkerhetsmål og -planer er nødvendig for å sikre deres relevans og effektivitet. Eventuelle endringer i organisasjonen bør vurderes og innarbeides i planene etter behov.

7. Brukerstøtte

7.1 – Ressurser

ISO 27001-krav 7.1 sikrer at en organisasjon har de nødvendige ressursene for å opprettholde sikkerheten til informasjonssystemene sine.

Dette inkluderer å identifisere og dokumentere personell, maskinvare, programvare og andre ressurser som trengs for informasjonssikkerhet.

Organisasjonen må sørge for at disse ressursene er tilgjengelige og tilgjengelige ved behov.

Som beskrevet tidligere med krav 5.3, krever ikke ISO 27001 at ISMS må bemannes med fulltidsressurser, bare at rollene, ansvaret og myndighetene er klart definert og eies – forutsatt at det riktige ressursnivået vil bli brukt som nødvendig.

7.2 – Kompetanse

ISO/IEC 27001-krav 7.2 skisserer hvordan organisasjonen vil sikre at den har:

• Bestemte kompetansen til personene som utfører arbeidet med ISMS som kan påvirke ytelsen.
• Personer som anses som kompetente på grunnlag av relevant utdanning, opplæring eller erfaring.
• Der det var nødvendig, iverksatte tiltak for å tilegne seg nødvendig kompetanse og evaluerte effektiviteten av handlingene.
• Beholdt bevis for ovennevnte for revisjonsformål.

Ved å sikre at personell er kompetent, kan organisasjoner effektivt administrere sin informasjonssikkerhetsytelse og beskytte personopplysninger.

Les mer om 7.2

7.3 - Bevissthet

ISO 27001-krav 7.3 sier at organisasjoner må sikre at alt personell er klar over viktigheten av informasjonssikkerhet og deres roller og ansvar for å opprettholde den.

Dette inkluderer å gi opplæring og opplæring i informasjonssikkerhetstemaer, sikre at personell forstår organisasjonens sikkerhetspolicyer og prosedyrer, og konsekvensene av å ikke følge dem.

ISO 27001 søker bekreftelse på at personene som utfører arbeidet er klar over:

• Informasjonssikkerhetspolitikken.
• Deres bidrag til effektiviteten til ISMS, inkludert fordeler fra forbedret ytelse.
• Hva skjer når styringssystemet for informasjonssikkerhet ikke er i samsvar med kravene.

Ved å sikre at personell er kompetent, kan organisasjoner effektivt administrere sin informasjonssikkerhetsytelse og beskytte personopplysninger.

Les mer om 7.3

7.4 – Kommunikasjon

ISO 27001-krav 7.4 fokuserer på behovet for organisasjoner for å etablere effektive kommunikasjonspraksis for å sikre at informasjonssikkerhetsmålene oppfylles. Dette inkluderer kommunikasjon med relevante interessenter, kommissæren ved et brudd på personopplysninger, og mellom alle involverte parter.

ISO 27001-krav 7.4 ser etter følgende:

• Hva du skal kommunisere om ISMS.
• Når det vil bli kommunisert.
• Hvem vil være en del av den kommunikasjonen.
• Hvem gjør kommunikasjonen.
• Hvordan det hele skjer, dvs. hvilke systemer og prosesser som skal brukes for å demonstrere at det skjer og er effektivt

7.5 – Dokumentert informasjon

ISO 27001-krav 7.5 for ISO 27001 ber deg beskrive styringssystemet for informasjonssikkerhet og deretter demonstrere hvordan dets tiltenkte resultater oppnås for organisasjonen.

Det er utrolig viktig at alt relatert til ISMS er dokumentert og godt vedlikeholdt, lett å finne, dersom organisasjonen ønsker å oppnå en uavhengig ISO 27001-sertifisering fra et organ som UKAS.

ISO-sertifiserte revisorer tar stor tillit fra god rengjøring og vedlikehold av et godt strukturert styringssystem for informasjonssikkerhet.

8. Drift

8.1 – Operativ planlegging og kontroll

ISO 27001-krav 8.1 er fokusert på å sikre sikkerheten til en organisasjons informasjon ved å planlegge og kontrollere driften.

Dette innebærer å identifisere og vurdere risikoer knyttet til organisasjonens operasjoner og implementere passende sikkerhetskontroller for å redusere disse risikoene.

Organisasjonen må også utvikle og implementere retningslinjer og prosedyrer for å beskytte informasjonen mot uautorisert tilgang, bruk, avsløring, modifikasjon eller ødeleggelse.

Dette kravet er veldig enkelt å demonstrere bevis mot hvis organisasjonen allerede har «vist sin virkemåte». Ved å utvikle styringssystemet for informasjonssikkerhet til å overholde krav 6.1, 6.2 og spesielt 7.5 hvor hele ISMS er godt strukturert og dokumentert, oppnår dette samtidig 8.1.

8.2 – Informasjonssikkerhetsrisikovurdering

ISO 27001-krav 8.2 krever at organisasjoner utfører en informasjonssikkerhetsrisikovurdering (ISRA) med planlagte intervaller eller når det skjer betydelige endringer.

Formålet med dette kravet er å sikre at organisasjoner er klar over potensielle risikoer for styringssystemet for informasjonssikkerhet og kan ta nødvendige skritt for å redusere dem.

Prosessen innebærer å identifisere, vurdere og håndtere risikoer for organisasjonens informasjonsressurser. Dette inkluderer å analysere organisasjonens informasjonsressurser, identifisere trusler og sårbarheter knyttet til disse eiendelene, og evaluere den potensielle effekten av et sikkerhetsbrudd.

8.3 – Informasjonssikkerhetsrisikobehandling

ISO 27001-krav 8.3 skisserer kravet til organisasjoner om å identifisere, vurdere og behandle informasjonssikkerhetsrisikoer.

Dette innebærer å identifisere og vurdere risikoer knyttet til behandling av personopplysninger og implementere passende sikkerhetstiltak for å redusere disse risikoene. Disse tiltakene kan inkludere tilgangskontroll, kryptering og sikkerhetskopiering av data.

Organisasjoner bør sikre at alle eksternt leverte prosesser, produkter eller tjenester som er relevante for styringssystemet for informasjonssikkerhet er kontrollert. Dokumentert informasjon om resultatene av behandling av informasjonssikkerhetsrisiko bør også oppbevares.

9. Ytelsesevaluering

9.1 – Overvåking, måling, analyse og evaluering

ISO 27001-krav 9.1 krever at organisasjoner evaluerer hvordan ISMS fungerer og ser på effektiviteten til styringssystemet for informasjonssikkerhet.

Hvis organisasjonen søker sertifisering for ISO 27001, vil den uavhengige revisoren som arbeider i et sertifiseringsorgan tilknyttet UKAS (eller et tilsvarende akkreditert organ internasjonalt for ISO-sertifisering) se nøye på følgende områder:

• Hva den har bestemt seg for å overvåke og måle, ikke bare målene, men også prosessene og kontrollene.
• Hvordan det vil sikre gyldige resultater i måling, overvåking, analyse og evaluering.
• Når den målingen, overvåkingen, evalueringen og analysen finner sted og hvem gjør det.
• Hvordan resultatene blir brukt.

Som alt annet med ISO/IEC-standarder, inkludert ISO 27001, er dokumentert informasjon viktig – så det å beskrive det og deretter demonstrere at det skjer, er nøkkelen til suksess!

9.2 – Internrevisjon

Krav 9.2 i ISO 27001 sier at en organisasjon skal gjennomføre interne revisjoner med planlagte intervaller for å gi informasjon om hvorvidt styringssystemet for informasjonssikkerhet:

• Samsvarer med organisasjonens egne krav til sitt styringssystem for informasjonssikkerhet; og oppfyller kravene i ISO 27001 internasjonal standard.
• Hvorvidt ISMS er effektivt implementert og vedlikeholdt.

Dette kravet sikrer at organisasjoner jevnlig vurderer og forbedrer styringssystemet for informasjonssikkerhet for å beskytte informasjonsmidlene og oppfylle deres sikkerhetsmål.

9.3 – Ledelsens gjennomgang

ISO 27001-krav 9.3 krever at organisasjoner gjennomfører regelmessige ledelsesgjennomganger for å sikre den pågående egnetheten, tilstrekkeligheten og effektiviteten til deres styringssystem for informasjonssikkerhet.

Disse gjennomgangene bør gjennomføres med planlagte intervaller, minst årlig, og bør involvere toppledelsen eller en utpekt representant.

Formålet med ledelsesgjennomgangen er å vurdere organisasjonens retningslinjer, prosedyrer og kontroller for informasjonssikkerhet, samt risikovurdering og risikostyringsprosesser.

Det innebærer også å evaluere organisasjonens etterlevelse av gjeldende lover og forskrifter.

Under gjennomgangen bør organisasjonen vurdere effektiviteten til styringssystemet for informasjonssikkerhet og identifisere eventuelle nødvendige endringer for å sikre samsvar med ISO 27001-standarden. Gjennomgangen bør også vurdere organisasjonens prestasjoner når det gjelder å oppfylle sine informasjonssikkerhetsmål.

10.Forbedring

10.1 – Avvik og korrigerende tiltak

ISO 27001-krav 10.1 sier at organisasjoner må etablere en prosess for å identifisere, dokumentere og adressere eventuelle avvik fra ISO 27001-standarden, som omtales som avvik.

Avvik kan omfatte manglende oppfyllelse av kravene i standarden, mangler i styringssystemet for informasjonssikkerhet eller andre problemer som kan føre til et sikkerhetsbrudd.

Når et avvik er identifisert, må organisasjonen iverksette korrigerende tiltak for å løse det. Den korrigerende handlingen bør være tilpasset alvorlighetsgraden av avviket og utformet for å forhindre at lignende problemer oppstår i fremtiden.

Effektiviteten til den korrigerende handlingen må gjennomgås regelmessig for å sikre at avviket ikke gjentar seg.

10.2 – Kontinuerlig forbedring

ISO 27001-krav 10.2 sier at organisasjoner kontinuerlig må forbedre styringssystemet for informasjonssikkerhet (ISMS).

Dette betyr at organisasjoner regelmessig må gjennomgå og oppdatere sine ISMS for å sikre effektiviteten og samsvar med organisasjonens mål, juridiske og regulatoriske krav og ISO 27001-standarden.

Den kontinuerlige forbedringsprosessen bør overvåkes og gjennomgås for å sikre effektiviteten, og eventuelle nødvendige endringer bør gjøres for å forbedre egnetheten, tilstrekkeligheten og effektiviteten til ISMS.