Vaikka ISO 27001 on rakennettu tietoturvallisuuden valvonnan toteuttamisen ympärille, mikään niistä ei ole yleisesti pakollinen vaatimusten noudattamiseksi.
Tämä johtuu siitä, että standardi tunnustaa, että jokaisella organisaatiolla on omat vaatimukset kehitettäessä ISMS: ää eikä kaikkia ohjausobjekteja ole sopiva.
Sen sijaan organisaatioiden on suoritettava toimintoja, jotka ilmoittavat päätöksistään siitä, mitkä valvontatoimet on toteutettava. Tässä blogissa selitämme, mitä nuo prosessit sisältävät ja miten voit suorittaa ne loppuun.
Pakolliset sertifiointivaatimukset
Kaksi tärkeintä toimintoa ISO 27001 -standardin käyttöönotossa ovat:
- ISMS: n laajuus (lauseke 4.3), jossa määritetään suojattavat tiedot; ja
- suorittamalla riskinarviointi ja määrittelemällä riskinkäsittelymenetelmät (lauseke 6.12), jossa tunnistetaan tietosi uhkat.
Organisaatioiden on myös suoritettava seuraavat pakolliset lausekkeet:
- tietoturvapolitiikka ja tavoitteet (kohdat 5.2 ja 6.2)
- tietoriskien käsittelyprosessi (lauseke 6.1.3)
- Riskinhallintasuunnitelma (lausekkeet 6.1.3 e ja 6.2)
- Riskinarviointiraportti (lauseke 8.2)
- Tiedot koulutuksesta, taidoista, kokemuksesta ja pätevyydestä (lauseke 7.2)
- Seuranta- ja mittaustulokset (lauseke 9.1)
- Sisäinen tarkastusohjelma (lauseke 9.2)
- Sisäisten tarkastusten tulokset (lauseke 9.2)
- Tarkastusten tulokset johdon tarkastelu (lauseke 9.3)
- Korjaavien toimenpiteiden tulokset (lauseke 10.1)
Ja liite A: n hallintalaitteet?
Liite A hahmottaa kontrollit jotka liittyvät erilaisiin riskeihin. Organisaatiosi valitsemien ohjausobjektien mukaan sinun on myös dokumentoitava:
Sovellettavuuslauseke
Emme voi syventyä kaikkien näiden prosessien sisään ja ulos tässä ( Voit katsoa lisätietoja verkkosivustoltamme), mutta kannattaa korostaa SoA: ta (Statement of Applicability), joka on olennainen osa tietoriskien käsittelyprosessia.
SoA hahmottaa, mikä liite A valitsemasi tai jättämäsi ohjaimet ja selittää miksi teit nämä valinnat. Sen tulisi sisältää myös lisätietoja kustakin hallintalaitteesta ja linkki asiaankuuluvaan dokumentaatioon sen toteuttamisesta.
Dokumentointiprosessin käsittely
Kun aloitat vaatimustenmukaisuusprojektisi, huomaat, että dokumentaatio prosessi on paljon aikaa vievämpi kuin itse vaatimusten toteutus.
Jokaisella lausekkeella on omat dokumentointivaatimuksensa, mikä tarkoittaa, että IT-johtajien ja toteuttajien on käsiteltävä satoja asiakirjoja. Jokainen käytäntö ja menettely on tutkittava, kehitettävä, hyväksyttävä ja toteutettava, mikä voi viedä kuukausia.
Dokumentointiprosessin tekeminen helpoksi
Organisaatiot voivat yksinkertaistaa ISO 27001 ISMS -dokumentaation noudattamisprosessia Toolkit.
Tämä ISO 27001 -asiantuntijoiden kehittämä räätälöitävä malli auttaa sinua täyttämään standardin dokumentaatiovaatimukset mahdollisimman pienellä vaivalla.
Voit upottaa dokumentaation suoraan omaan organisaatio, mikä säästää aikaa ja rahaa ja jolla on yli 12 kuukauden tuki, voit olla varma asiantuntija-avusta, jos et ole varma mistään ISO 27001 -dokumentointiprosessiin liittyvästä asiasta.
Lisätietoja ISO 27001 ISMS -dokumentointityökalusta > >
Tämän blogin versio julkaistiin alun perin 24. maaliskuuta 2016.
Suositeltava lukeminen:
- Kuinka monta ohjainta ISO 27001 -standardissa on?