Selv om ISO 27001 er bygget rundt implementering av informasjonssikkerhetskontroll, er ingen av dem universelt obligatoriske for å overholde.
Det er fordi standarden anerkjenner at enhver organisasjon vil ha sine egne krav når de utvikler et ISMS, og at ikke alle kontroller vil være hensiktsmessig.
I stedet kreves det at organisasjoner utfører aktiviteter som informerer sine beslutninger om hvilke kontroller de skal implementere. I denne bloggen forklarer vi hva disse prosessene innebærer og hvordan du kan fullføre dem.
Obligatoriske sertifiseringskrav
De to viktigste aktivitetene når du implementerer ISO 27001 er:
- Omfang av ISMS (punkt 4.3), der du definerer hvilken informasjon som må beskyttes; og
- Gjennomføre en risikovurdering og definere en metodikk for risikobehandling (punkt 6.12), der du identifiserer truslene mot informasjonen din.
Organisasjoner er også pålagt å fullføre følgende obligatoriske klausuler:
- Informasjonssikkerhetspolitikk og målsettinger (klausuler 5.2 og 6.2)
- Behandlingsprosess for informasjonsrisiko (klausul 6.1.3)
- Risikobehandlingsplan (punkt 6.1.3 e og 6.2)
- Risikovurderingsrapport (punkt 8.2)
- Registrering av opplæring, ferdigheter, erfaring og kvalifikasjoner (punkt 7.2)
- Overvåking og måleresultater (punkt 9.1)
- Internrevisjonsprogram (punkt 9.2)
- Resultater av interne revisjoner (punkt 9.2)
- Resultater av ledelsesgjennomgang (klausul 9.3)
- Resultater av korrigerende tiltak (klausul 10.1)
Og vedlegg A kontrollerer?
Vedlegg A skisserer kontrollene som er forbundet med ulike risikoer. Avhengig av kontrollene organisasjonen din velger, vil du også bli bedt om å dokumentere:
Erklæringen om anvendbarhet
Vi kan ikke fordype oss i inn og ut i alle disse prosessene her ( du kan ta en titt på nettstedet vårt for mer informasjon), men det er verdt å fremheve SoA (Statement of Applicability), en viktig dokumentasjon i prosessen for informasjonsrisikobehandling.
SoA skisserer hvilket vedlegg A kontrollene du har valgt eller utelatt, og forklarer hvorfor du tok disse valgene. Den bør også inneholde ytterligere informasjon om hver kontroll og lenke til relevant dokumentasjon om implementeringen.
Håndtering av dokumentasjonsprosessen
Når du begynner å overholde prosjektet, vil du legge merke til at dokumentasjonen prosessen er mye mer tidkrevende enn implementeringen av kravene i seg selv.
Hver ledd kommer med sine egne dokumentasjonskrav, noe som betyr at IT-ledere og implementører vil måtte håndtere hundrevis av dokumenter. Hver policy og prosedyre må undersøkes, utvikles, godkjennes og implementeres, noe som kan ta måneder.
Gjør dokumentasjonsprosessen enkel
Organisasjoner kan forenkle overholdelsesprosessen med vår ISO 27001 ISMS-dokumentasjon Toolkit.
Utviklet av ISO 27001-eksperter, hjelper dette settet med tilpassbare maler deg med å oppfylle standardens dokumentasjonskrav med så lite problemer som mulig.
Du kan legge inn dokumentasjonen direkte i din organisering, noe som sparer deg tid og penger, og med tilgang til support over 12 måneder, kan du være trygg på eksperthjelp hvis du er usikker på noe relatert til ISO 27001-dokumentasjonsprosessen.
Finn ut mer om ISO 27001 ISMS Documentation Toolkit > >
En versjon av denne bloggen ble opprinnelig publisert 24. mars 2016.
Anbefalt lesing:
- Hvor mange kontroller er det i ISO 27001-standarden?