Bár az ISO 27001 az információbiztonsági ellenőrzések megvalósítása köré épül, egyik sem kötelező érvényű a megfelelés érdekében.
Ennek oka, hogy a szabvány elismeri, hogy az ISMS fejlesztésekor minden szervezetnek megvannak a maga követelményei, és hogy nem minden vezérlő lesz megfelelő.
Ehelyett a szervezeteknek olyan tevékenységeket kell végrehajtaniuk, amelyek tájékoztatják döntéseiket arról, hogy mely kontrollokat hajtják végre. Ebben a blogban elmagyarázzuk, hogy ezek a folyamatok mit tartalmaznak, és hogyan tudja azokat végrehajtani.
Kötelező tanúsítási követelmények
Az ISO 27001 bevezetésekor a két legfontosabb tevékenység a következő:
- Az ISMS hatóköre (4.3. pont), amelyben meghatározza, hogy mely információkat kell védeni; és
- kockázatértékelés elvégzése és a kockázatkezelési módszertan meghatározása (6.12. pont), amelyben meghatározza az adatait fenyegető veszélyeket.
A szervezeteknek szintén ki kell tölteniük a következő kötelező záradékok:
- Információbiztonsági politika és célkitűzések (5.2. és 6.2. pont)
- Információs kockázatkezelési folyamat (6.1.3. pont)
- Kockázatkezelési terv (6.1.3. És 6.2. Pont)
- Kockázatértékelési jelentés (8.2. Pont)
- Képzés, készségek, tapasztalatok és képesítések nyilvántartása (7.2. Pont)
- Monitoring és mérési eredmények (9.1. pont)
- Belső ellenőrzési program (9.2. pont)
- A belső ellenőrzések eredményei (9.2. pont)
- A vezetői áttekintés (9.3. pont)
- Javító intézkedések eredményei (10.1. pont)
És az A. melléklet ellenőrzése?
Az A. melléklet felvázolja az ellenőrzéseket amelyek különféle kockázatokkal járnak. A szervezet által kiválasztott vezérlőktől függően dokumentálnia kell:
Az alkalmazhatósági nyilatkozat
Itt nem mélyedhetünk el ezeknek a folyamatoknak a csínját-bínját ( további információkért tekintse meg weboldalunkat), de érdemes kiemelni a SoA-t (Statement of Applicability), amely az információs kockázatkezelési folyamat alapvető dokumentuma.
A SoA felvázolja, hogy az A. melléklet melyik kiválasztja vagy kihagyja a vezérlőket, és elmagyarázza, miért választotta ezeket. Ezenkívül tartalmaznia kell további információkat az egyes vezérlőkről, és linket kell tartalmaznia a megvalósítással kapcsolatos releváns dokumentációra.
A dokumentációs folyamat kezelése
A megfelelőségi projekt megkezdésekor észreveszi, hogy a dokumentáció A folyamat sokkal időigényesebb, mint maguk a követelmények.
Minden záradék saját dokumentációs követelményekkel rendelkezik, vagyis az informatikai vezetőknek és megvalósítóknak több száz dokumentummal kell megküzdeniük. Minden házirendet és eljárást meg kell vizsgálni, ki kell dolgozni, jóvá kell hagyni és végre kell hajtani, ami hónapokat vehet igénybe.
A dokumentációs folyamat megkönnyítése
A szervezetek egyszerűsíthetik az ISO 27001 ISMS dokumentációval való megfelelés folyamatát. Eszköztár.
Az ISO 27001 szakértők által kifejlesztett ez a testreszabható sablonkészlet a lehető legkisebb gond nélkül segít megfelelni a szabvány dokumentációs követelményeinek.
A dokumentációt közvetlenül beágyazhatja szervezet, megtakarítva Önnek időt és pénzt, valamint 12 hónapos hozzáféréssel a támogatáshoz, biztos lehet a szakértői segítségben, ha bizonytalan az ISO 27001 dokumentációs folyamatával kapcsolatban.
További információ az ISO 27001 ISMS dokumentációs eszközkészletről > >
E blog eredetileg 2016. március 24-én jelent meg.
Ajánlott olvasmány:
- Hány vezérlő van az ISO 27001 szabványban?