ISO IEC TR 27008

Hva er informasjonssikkerhetskontroller?

Informasjonssikkerhetskontroller er tiltak som er tatt for å redusere sårbarheter i informasjonssikkerhet som enhetsfeil, datatyveri, systembrudd og utilsiktede endringer i digital informasjon eller prosesser.

Disse sikkerhetskontroller brukes vanligvis som svar på en informasjonssikkerhetsrisiko evaluering for å bedre sikre tilgjengeligheten, konfidensialiteten og personvernet til data og nettverk.

Disse kontrollene ivaretar konfidensialitet, integritet og tilgjengelighet av informasjon innen informasjonssikkerhet.

Typer informasjonssikkerhetskontroller

Sikkerhetsprotokoller, prosedyrer, tidsplaner, enheter og applikasjoner faller alle inn i kategorien informasjonssikkerhetskontroller.

1. Forebyggende sikkerhetskontroller, sikkerhetsprotokoller som er ment å avverge cybersikkerhetsulykker
2. Detektiv sikkerhetskontroller rettet mot å identifisere og varsle cybersikkerhetspersonalet om et forsøk på inntrenging av cybersikkerhet eller potensielt sikkerhetsbrudd.
3. Korrigerende sikkerhetskontroller brukes etter en cybersikkerhetshendelse til bidra til å redusere datatap og enhets- eller nettverksavbrudd og for enkelt å gjenopprette sensitive forretningssystemer og operasjoner.

I tillegg kan sikkerhetstiltak kategoriseres i henhold til deres formål, som følger:

Tilgangskontroller:

Disse inkluderer fysiske inngangsmonitorer som væpnede vakter ved bygningsutganger, låser og perimetergjerder.

Prosedyrekontroller:

Trusselbevissthet instruksjon, opplæring i håndheving av sikkerhetsrammeverk og prosesser og prosedyrer for respons på hendelser.

Tekniske kontroller:

Disse inkluderer multi-faktor kontoautentisering ved inngangspunktet (pålogging) og logiske tilgangskontroller, antivirusprogrammer og brannmurer.

Overholdelseskontroller:

Disse inkluderer personvernregler, rammer og krav, samt nettsikkerhetstilnærminger og standarder.

Hva er formålet med ISO 27008?

ISO 27008 ble opprettet for å:

• Hjelper med forberedelse og implementering av ISMS-revisjoner og metoden for informasjonsrisikostyring;
• Gi retningslinjer for revisjon av informasjonssikkerhetskontroller i samsvar med ISO/IEC 27002s kontrollveiledning;
• Forbedrer ISMS-revisjoner ved å optimalisere forholdet mellom ISMS-prosesser og nødvendige kontroller;
• Sikrer at revisjonsressursene brukes effektivt og effektivt.
• Legg til verdi og forbedrer konsistensen og fordelen med ISO 27k-spesifikasjonene ved å bygge bro over forskjellen mellom å oppdatere ISMS i prinsippet og, der det er nødvendig, kontrollere bevis på anvendte ISMS-kontroller (f.eks. evaluering av sikkerhetselementer i forretningsdrift, IT-strukturer og IT-drift miljøer i ISO27k brukerorganisasjoner);

Hva er omfanget av ISO 27008?

ISO 27008 gir veiledning til alle revisorer om kontroll av styringssystemer for informasjonssikkerhet. Den veileder informasjonsrisikostyringsprosess så vel som interne, eksterne og tredjeparts vurderinger av en ISMS ved å demonstrere sammenhengen mellom ISMS og dens medfølgende kontroller.

Den inneholder retningslinjer for hvordan man kan teste i hvilken grad nødvendige "styringssystem for informasjonssikkerhetsstyring" brukes. I tillegg hjelper den organisasjoner som implementerer ISO/IEC 27001 eller ISO/IEC 27002 med å oppfylle samsvarskriterier og tjene som en teknisk plattform for styring av informasjonsteknologi.

Hvordan fungerer ISO 27008?

ISO 27008 definerer generelle prosedyrer, ikke teknikker for noen spesiell kontroll eller former for kontroller.

Den definerer systematiske gjennomganger og skisserer deretter de ulike tilnærmingene og formene for vurderinger som gjelder for informasjonssikkerhetskontroller. Til slutt diskuterer den praksisen som kreves for en vellykket gjennomgangsprosess.

Forholdet til ISO 27001 og ISO 27002

ISO 27008 ligner mye på ISO 27007 revisjonsspesifikasjon for styringssystemer for informasjonssikkerhet.

Men i motsetning til ISO 27007, som fokuserer på å gjennomgå styringssystemkomponentene til et ISMS som definert i ISO 27001, fokuserer ISO 27008 på revisjon av spesifikke informasjonssikkerhetskontroller, slik som de som er oppført i ISO 27002 og detaljert i ISO 27001s vedlegg A.

ISO 27008 "fokuserer på evalueringer av informasjonssikkerhetskontroller, inkludert overholdelse av regelverk, mot en organisasjonsetablert implementeringsstandard for informasjonssikkerhet.

Det er imidlertid ikke ment å gi detaljerte retningslinjer for samsvarstesting med hensyn til beregning, risikoevaluering eller revisjon av et ISMS, som spesifisert i ISO 27004, ISO 27005, eller 27007, henholdsvis.

Hvem bør implementere ISO 27008?

ISO 27008 er beregnet på interne og eksterne revisorer som har ansvaret for å gjennomgå informasjonsstyringskontroller som er en del av et ISMS. Det vil imidlertid være fordelaktig for alle som gjør en analyse eller vurdering av kontrollene til et ISMS, enten som del av en strukturert revisjonsprosedyre eller på annen måte. Dokumentet er primært ment for informasjonssikkerhetsrevisorer som er ansvarlige for å verifisere at en organisasjons informasjonssikkerhetskontroller er teknisk i samsvar med ISO/IEC 27002 og alle andre kontrollkrav som brukes av organisasjonen.

ISO 27008 vil hjelpe dem på følgende måter:

• Gjenkjenne og forstå omfanget av mulige problemer og svakheter i informasjonssikkerhetskontroller.
• Identifisere og forstå mulige konsekvenser av utilstrekkelig reduserte datateknologirisikoer og svakheter for selskapet.
• Prioriter risikokontrollpraksis knyttet til informasjonshåndtering.
• Kontroller at tidligere oppdagede eller nylig oppdagede sårbarheter eller defekter er løst tilstrekkelig.

ISO 27008 gjelder for et bredt spekter av organisasjoner, inkludert offentlige og private virksomheter, offentlige etater og ideelle organisasjoner.