Informasjonssikkerhet er en kritisk bekymring for bedrifter når de forsøker å tilpasse seg raske fremskritt innen angrepsmetoder og -teknikker og påfølgende endringer i regulatoriske krav. Svikt i en organisasjonens informasjonssikkerhet tiltak kan ha flere negative konsekvenser for organisasjonen og dens interessenter, inkludert tap av tillit.
For å forbli relevant og konkurrere i dagens forretningsverden, bør enhver bedrift ha et program for informasjonssikkerhetsstyring (ISGP) på plass. Heldigvis er det en mulighet til å forbedre styringen av informasjonssikkerhet og overordnet risikostyring i forretningsmiljøet ved å tilpasse det etter samsvarskrav som f.eks. ISO 27001 og avlegger ISO 27014-standarden.
ISO/IEC 27014 er en standard i ISO / IEC 27000 serien.
Denne standarden er "utformet for å hjelpe organisasjoner med å effektivt administrere deres informasjonssikkerhetsstrategier." Standarden gir "instruksjoner om prinsippene og konseptene for informasjonssikkerhetsstyring, fra hvilke organisasjoner kan evaluere, lede, overvåke, kommunisere og sikre informasjonssikkerhetsrelatert praksis i organisasjonen.
Den elleve sider lange standarden oppsummerer styringsstandarder for informasjonsteknologi og inkluderer en struktur med seks prinsipper og fem prosesser. Standarden ser på IT-styring som et samspill med informasjonsteknologistyring, som alle er komponenter av det bredere rammeverket for organisasjonsstyring. I desember 2020 ble et annet ISO/IEC 27014:2020-veiledningsdokument utgitt, etterfulgt av den første utgaven fra 2013.
Vi er så glade for at vi fant denne løsningen, den gjorde at alt passet sammen lettere.
Et styrende organ er et kollektiv av individer som har myndighet og ansvar for å formulere retningslinjer og lede en organisasjons generell bane. Det kollektive organet er ansvarlig for beslutningstaking og implementering på vegne av sine ansatte, interessenter og organisasjonen.
Det styrende organets primære funksjon er å ivareta organisasjonens privilegier og interesser, samt alle som arbeider innenfor organisasjonens rammer. Dette organet oppnår dette ved å sikre at organisasjonen opererer effektivt og er i stand til å oppnå målene og prioriteringene den har forpliktet seg til. I tillegg er det styrende organet ansvarlig for organisasjonens økonomi, personell og eiendeler. En viktig rolle for det styrende organet i enhver organisasjon er å gjøre beslutninger som vil oppmuntre til informasjonssikkerhet i organisasjonen.
ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.
Prosesser for styring av informasjonssikkerhet er utviklet for å hjelpe organisasjoner med å overvåke og administrere deres informasjonssikkerhetsinnsats. De eksisterer imidlertid ikke i et vakuum - de trenger å være det integrert i den overordnede virksomhetsstyringen prosesser hvis de skal være effektive (og dette gjelder for mange relaterte sikkerhetsaktiviteter, for eksempel risikostyring). Det styrende organet og toppledelsen er ansvarlige for gjennomføringen av fire styringssystemer, i henhold til ISO/IEC 27014:2020.
En av prosessene for styring av informasjonssikkerhet er evaluering. Evaluering er en viktig prosess der den nåværende tilstanden til en prosess eller komponent i en organisasjon granskes. Dette er med på å avgjøre hva som er både rett og galt med den bestemte prosessen eller komponenten.
Retning er en av styringsprosessene for informasjonssikkerhet. Det inkluderer planlegging, etablering og gjennomgang av policystandarder og prosedyrer, og evaluering av etterlevelse av personell med etablerte begrensninger.
Overvåking er en av informasjonssikkerhetsprosessene. Det er ledelsesaktiviteter som sikrer tilgjengelighet, integritet, autentisering og konfidensialitet til systemene og nettverkene, samt kontrollerer at ansatte bruker disse systemene og nettverkene riktig på en måte som følger sikkerhetspolicyer.
Kommunikasjon er nøkkelen når det gjelder informasjonssikkerhetsstyringsprosesser. Du er betrodd å holde din bedrift og dens ulike eiendeler sikre, men det kan ikke være en isolert prosess.
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
Styring av informasjonssikkerhet bør sikre at informasjonssikkerhetstiltak er robuste og integrerte. Standarden etablerer seks "handlingsorienterte" prinsipper på høyt nivå for informasjonssikkerhetsstyring. Dette inkluderer følgende:
Bekymringer om informasjonsteknologi, eller cybersikkerhet, kan trenge gjennom rammeverket og funksjonene til organisasjonen. I alle ledelsesnivåer, informasjonssikkerhet bør kombineres med informasjonsteknologi (IT) og andre funksjoner. Toppledelsen bør sikre at informasjonssikkerhet imøtekommer selskapets generelle strategiske interesser og bør skape ansvarlighet og ansvar på tvers av organisasjonen.
Sikkerhetsstyring, inkludert ressursdistribusjon og budsjettering, bør styres av en organisasjons risikoappetitt, som igjen bør påvirkes av en risikobasert tilnærming som tar hensyn til: tap av konkurransefortrinn, regulerings- og ansvarsbekymringer, driftsforsinkelser, skade på omdømme, og økonomisk tap.
Sørge for at informasjonssikkerhetsrisikoer er ordentlig analysert før man går i gang med nye operasjoner, som investeringer, oppkjøp, fusjoner, innføring av ny teknologi, outsourcing-avtaler og kontrakter med eksterne leverandører. I tillegg, innlemme informasjonssikkerhet inn i interne byråprosesser, som prosjektledelse, anskaffelser, økonomistyring, overholdelse av lover og forskrifter og organisatorisk risikostyring. Toppledelsen bør utvikle en informasjonssikkerhetstilnærming som er på linje med organisasjonens mål, noe som betyr at byråets og organisasjonens informasjonssikkerhetsbehov er konsistente.
Eksterne krav inkluderer obligatoriske lover og forskrifter, sertifiseringsstandarder og kontraktsmessige forpliktelser. Interne kriterier er undergrupper av en større organisasjons overordnede mål og prioriteringer. Uavhengige sikkerhetsvurderinger er den generelt avtalte metoden for å etablere og spore samsvar. Toppledelsen må sørge for at informasjonssikkerhetspraksis oppfyller interne og eksterne standarder tilfredsstillende ved å se nærmere på uavhengige sikkerhetsrevisjoner.
Det bør være koordinering og samordning mellom de ulike interessentene i ISMS. For å oppnå et sammenhengende kurs for informasjonssikkerhet, må toppledelsen oppmuntre og legge til rette for samarbeid om oppgavene og aktivitetene til alle som berøres av ISMS. I tillegg bevis på sikkerhetsinstruksjoner, forberedelse, og bevisstgjøringsprogrammer bør gis. Informasjonssikkerhetsansvar bør innlemmes i stillingene til personell og andre interessenter, og alle bør omfavne sitt ansvar for å bidra til effektiviteten til ISMS.
Sikkerhetssuksess måles ikke bare i form av effektivitet og pålitelighet, men også i form av dens effekter på selskapets overordnede mål og mål. Toppledelsen med ansvar for styring bør inkludere periodiske gjennomganger av et resultatmålingsskjema for sporing, revisjon og forbedring som omsetter informasjonssikkerhet til optimal forretningsytelse.
En skreddersydd praktisk økt basert på dine behov og mål
ISO 27014-dokumentet gir retningslinjer for styringsprinsipper, mål og prosedyrer for informasjonssikkerhet som organisasjoner bør bruke for å evaluere, lede, overvåke og kommunisere informasjonssikkerhetsrelaterte prosesser i organisasjonen.
Som med de andre ISO27k-standardene, er den "egnet for alle typer og størrelser av organisasjoner", spesielt de der ISMS dekker hele organisasjonen eller bare en undergruppe av den, eller hvor en enkelt ISMS strekker seg til flere selskaper (som f.eks. bedriftsstruktur).
Riktig informasjonssikkerhetsstyring garanterer at den er i samsvar med og støtter selskapets mål identifisert i strategier og retningslinjer.
ISO 27014 legger betydelig vekt på styringskomponentene i ISO/IEC 27001 og etablerer styringsmål innenfor dette rammeverket. Den dekker inkorporering av styringsaktiviteter for informasjonssikkerhet med andre styringsfunksjoner og -mål. ISO 27014 spesifiserer videre kravene og forventningene til det styrende organet fra et ISO27k ISMS.
ISO/IEC 27014:2020 er rettet mot følgende målgrupper:
Dette dokumentet gjelder for alle typer og størrelser av organisasjoner.
På ISMS.online, gjør vi det enkelt for deg å dokumentere din informasjonssikkerhetsstyring slik at den er i tråd med ISO 27014-standarden. Vi gir deg et logisk, brukbart, skybasert informasjonsadministrasjonsgrensesnitt som vil hjelpe organisasjonen din med å sjekke sine infosec-styringsprosesser og fremgang mot ISO 27014-standarden.
Vår skybaserte plattform lar deg få tilgang til alle ISMS-ressursene dine på ett sted. Vi har et internt team med informasjonssikkerhetseksperter som kan gi veiledning og svare på spørsmål for å hjelpe deg på vei til ISO 27014-implementering, slik at du kan demonstrere din dedikasjon til beste praksis for informasjonssikkerhetsstyring. Ring ISMS.online på + 44 (0) 1273 041140 for å finne ut mer om hvordan vi kan hjelpe deg med å bli sertifisert etter ISO 27001.
Bestill en skreddersydd praktisk økt basert på dine behov og mål.
Siden migreringen har vi vært i stand til å redusere tiden brukt på administrasjon.
Samarbeid, lag og vis at du er på toppen av dokumentasjonen til enhver tid
Finn ut merHåndter trusler og muligheter uanstrengt og rapporter dynamisk om ytelse
Finn ut merTa bedre beslutninger og vis at du har kontroll med dashboards, KPIer og relatert rapportering
Finn ut merGjør lett arbeid med korrigerende handlinger, forbedringer, revisjoner og ledelsesgjennomganger
Finn ut merSkyn et lys på kritiske relasjoner og koble elegant sammen områder som eiendeler, risiko, kontroller og leverandører
Finn ut merVelg eiendeler fra Asset Bank og lag din Asset Inventory med letthet
Finn ut merUt av esken integrasjoner med dine andre viktige forretningssystemer for å forenkle overholdelse
Finn ut merLegg til andre områder av samsvar som påvirker organisasjonen din for å oppnå enda mer
Finn ut merEngasjer ansatte, leverandører og andre med dynamisk ende-til-ende-overholdelse til enhver tid
Finn ut merAdministrer due diligence, kontrakter, kontakter og relasjoner over deres livssyklus
Finn ut merKartlegg og administrer interesserte parter visuelt for å sikre at deres behov blir klart adressert
Finn ut merSterkt design av personvern og sikkerhetskontroller for å matche dine behov og forventninger
Finn ut merVi har alt du trenger for å designe, bygge og implementere ditt første ISMS.
Vi hjelper deg med å få mer ut av infosec-arbeidet du allerede har gjort.
Med vår plattform du kan bygge ISMS organisasjonen din virkelig trenger.
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang