ISO/IEC 27014 Informasjonssikkerhetsstyring

Hva er informasjonssikkerhetsstyring?

• Informasjonssikkerhetsstyring er livssyklus av policyer, kontroller og prosedyrer for å sikre informasjonssikkerhet for en organisasjon.
• Informasjonssikkerhetsstyring gir en integrert tilnærming til generell informasjonssikkerhet.
• Det garanterer at organisasjonens informasjonssikkerhetstilnærming er i samsvar med organisasjonens overordnede mål. Dette gjør det styrende organet i stand til å ta beslutninger om organisasjonens strategiske mål ved å presentere informasjon om potensielle trusler mot informasjonssikkerheten.
• Implementering av et effektivt program for styring av informasjonssikkerhet vil bidra til å redusere risiko, skape tillit til alle aktiviteter og eliminere upassende handlinger.

Hva er et styrende organ?

Et styrende organ er et kollektiv av individer som har myndighet og ansvar for å formulere retningslinjer og lede en organisasjons generell bane. Det kollektive organet er ansvarlig for beslutningstaking og implementering på vegne av sine ansatte, interessenter og organisasjonen.

Det styrende organets primære funksjon er å ivareta organisasjonens privilegier og interesser, samt alle som arbeider innenfor organisasjonens rammer. Dette organet oppnår dette ved å sikre at organisasjonen opererer effektivt og er i stand til å oppnå målene og prioriteringene den har forpliktet seg til. I tillegg er det styrende organet ansvarlig for organisasjonens økonomi, personell og eiendeler. En viktig rolle for det styrende organet i enhver organisasjon er å gjøre beslutninger som vil oppmuntre til informasjonssikkerhet i organisasjonen.

Implementering av styringsprosessene for informasjonssikkerhet (ISO/IEC 27014)

Prosesser for styring av informasjonssikkerhet er utviklet for å hjelpe organisasjoner med å overvåke og administrere deres informasjonssikkerhetsinnsats. De eksisterer imidlertid ikke i et vakuum - de trenger å være det integrert i den overordnede virksomhetsstyringen prosesser hvis de skal være effektive (og dette gjelder for mange relaterte sikkerhetsaktiviteter, for eksempel risikostyring). Det styrende organet og toppledelsen er ansvarlige for gjennomføringen av fire styringssystemer, i henhold til ISO/IEC 27014:2020.

Evaluere

En av prosessene for styring av informasjonssikkerhet er evaluering. Evaluering er en viktig prosess der den nåværende tilstanden til en prosess eller komponent i en organisasjon granskes. Dette er med på å avgjøre hva som er både rett og galt med den bestemte prosessen eller komponenten.

Direkte

Retning er en av styringsprosessene for informasjonssikkerhet. Det inkluderer planlegging, etablering og gjennomgang av policystandarder og prosedyrer, og evaluering av etterlevelse av personell med etablerte begrensninger.

Overvåke

Overvåking er en av informasjonssikkerhetsprosessene. Det er ledelsesaktiviteter som sikrer tilgjengelighet, integritet, autentisering og konfidensialitet til systemene og nettverkene, samt kontrollerer at ansatte bruker disse systemene og nettverkene riktig på en måte som følger sikkerhetspolicyer.

Kommunisere

Kommunikasjon er nøkkelen når det gjelder informasjonssikkerhetsstyringsprosesser. Du er betrodd å holde din bedrift og dens ulike eiendeler sikre, men det kan ikke være en isolert prosess.

Hva er målene for informasjonssikkerhetsstyring?

Styring av informasjonssikkerhet bør sikre at informasjonssikkerhetstiltak er robuste og integrerte. Standarden etablerer seks "handlingsorienterte" prinsipper på høyt nivå for informasjonssikkerhetsstyring. Dette inkluderer følgende:

Etablere informasjonssikkerhet for hele organisasjonen

Bekymringer om informasjonsteknologi, eller cybersikkerhet, kan trenge gjennom rammeverket og funksjonene til organisasjonen. I alle ledelsesnivåer, informasjonssikkerhet bør kombineres med informasjonsteknologi (IT) og andre funksjoner. Toppledelsen bør sikre at informasjonssikkerhet imøtekommer selskapets generelle strategiske interesser og bør skape ansvarlighet og ansvar på tvers av organisasjonen.

Ta beslutninger ved å bruke en risikobasert tilnærming

Sikkerhetsstyring, inkludert ressursdistribusjon og budsjettering, bør styres av en organisasjons risikoappetitt, som igjen bør påvirkes av en risikobasert tilnærming som tar hensyn til: tap av konkurransefortrinn, regulerings- og ansvarsbekymringer, driftsforsinkelser, skade på omdømme, og økonomisk tap.

Angi retningen for investeringsbeslutninger

Sørge for at informasjonssikkerhetsrisikoer er ordentlig analysert før man går i gang med nye operasjoner, som investeringer, oppkjøp, fusjoner, innføring av ny teknologi, outsourcing-avtaler og kontrakter med eksterne leverandører. I tillegg, innlemme informasjonssikkerhet inn i interne byråprosesser, som prosjektledelse, anskaffelser, økonomistyring, overholdelse av lover og forskrifter og organisatorisk risikostyring. Toppledelsen bør utvikle en informasjonssikkerhetstilnærming som er på linje med organisasjonens mål, noe som betyr at byråets og organisasjonens informasjonssikkerhetsbehov er konsistente.

Sikre samsvar med interne og eksterne krav

Eksterne krav inkluderer obligatoriske lover og forskrifter, sertifiseringsstandarder og kontraktsmessige forpliktelser. Interne kriterier er undergrupper av en større organisasjons overordnede mål og prioriteringer. Uavhengige sikkerhetsvurderinger er den generelt avtalte metoden for å etablere og spore samsvar. Toppledelsen må sørge for at informasjonssikkerhetspraksis oppfyller interne og eksterne standarder tilfredsstillende ved å se nærmere på uavhengige sikkerhetsrevisjoner.

Fremme en trygghetspositiv kultur

Det bør være koordinering og samordning mellom de ulike interessentene i ISMS. For å oppnå et sammenhengende kurs for informasjonssikkerhet, må toppledelsen oppmuntre og legge til rette for samarbeid om oppgavene og aktivitetene til alle som berøres av ISMS. I tillegg bevis på sikkerhetsinstruksjoner, forberedelse, og bevisstgjøringsprogrammer bør gis. Informasjonssikkerhetsansvar bør innlemmes i stillingene til personell og andre interessenter, og alle bør omfavne sitt ansvar for å bidra til effektiviteten til ISMS.

Sørg for at sikkerhetsytelsen oppfyller gjeldende og fremtidige krav til enheten

Sikkerhetssuksess måles ikke bare i form av effektivitet og pålitelighet, men også i form av dens effekter på selskapets overordnede mål og mål. Toppledelsen med ansvar for styring bør inkludere periodiske gjennomganger av et resultatmålingsskjema for sporing, revisjon og forbedring som omsetter informasjonssikkerhet til optimal forretningsytelse.

Omfang og formål med ISO 27014-standarden

ISO 27014-dokumentet gir retningslinjer for styringsprinsipper, mål og prosedyrer for informasjonssikkerhet som organisasjoner bør bruke for å evaluere, lede, overvåke og kommunisere informasjonssikkerhetsrelaterte prosesser i organisasjonen.

Som med de andre ISO27k-standardene, er den "egnet for alle typer og størrelser av organisasjoner", spesielt de der ISMS dekker hele organisasjonen eller bare en undergruppe av den, eller hvor en enkelt ISMS strekker seg til flere selskaper (som f.eks. bedriftsstruktur).

Riktig informasjonssikkerhetsstyring garanterer at den er i samsvar med og støtter selskapets mål identifisert i strategier og retningslinjer.

ISO 27014 legger betydelig vekt på styringskomponentene i ISO/IEC 27001 og etablerer styringsmål innenfor dette rammeverket. Den dekker inkorporering av styringsaktiviteter for informasjonssikkerhet med andre styringsfunksjoner og -mål. ISO 27014 spesifiserer videre kravene og forventningene til det styrende organet fra et ISO27k ISMS.

Hvem bør implementere ISO 27014?

ISO/IEC 27014:2020 er rettet mot følgende målgrupper:

• Styrende organ og toppledelse i en organisasjon.
• De som er ansvarlige for å evaluere, styre og spore et ISO/IEC 27001-kompatibelt styringssystem for informasjonssikkerhet (ISMS).
• De som er ansvarlige for informasjonssikkerhetsstyring som skjer utenfor rekkevidden til en ISO/IEC 27001-basert styringssystem for informasjonssikkerhet (ISMS), men innenfor rammen av styring.

Dette dokumentet gjelder for alle typer og størrelser av organisasjoner.

Hvordan ISMS.online kan gjøre implementering av ISO 27014 enkelt

På ISMS.online, gjør vi det enkelt for deg å dokumentere din informasjonssikkerhetsstyring slik at den er i tråd med ISO 27014-standarden. Vi gir deg et logisk, brukbart, skybasert informasjonsadministrasjonsgrensesnitt som vil hjelpe organisasjonen din med å sjekke sine infosec-styringsprosesser og fremgang mot ISO 27014-standarden.

Vår skybaserte plattform lar deg få tilgang til alle ISMS-ressursene dine på ett sted. Vi har et internt team med informasjonssikkerhetseksperter som kan gi veiledning og svare på spørsmål for å hjelpe deg på vei til ISO 27014-implementering, slik at du kan demonstrere din dedikasjon til beste praksis for informasjonssikkerhetsstyring. Ring ISMS.online på + 44 (0) 1273 041140 for å finne ut mer om hvordan vi kan hjelpe deg med å bli sertifisert etter ISO 27001.