Chociaż ISO 27001 opiera się na implementacji kontroli bezpieczeństwa informacji, żadna z nich nie jest powszechnie obowiązkowa dla zapewnienia zgodności. / p>
Dzieje się tak, ponieważ Standard uznaje, że każda organizacja będzie miała własne wymagania podczas opracowywania SZBI i że nie wszystkie kontrole będą odpowiednie.
Zamiast tego organizacje są zobowiązane do wykonywania czynności, które wpływają na ich decyzje dotyczące tego, które mechanizmy kontroli wdrożyć. Na tym blogu wyjaśniamy, na czym polegają te procesy i jak można je wykonać.
Obowiązkowe wymagania certyfikacyjne
Dwie najważniejsze czynności podczas wdrażania ISO 27001 to:
- Zakres ISMS (punkt 4.3), w którym określasz, jakie informacje wymagają ochrony; oraz
- Przeprowadzenie oceny ryzyka i zdefiniowanie metodologii postępowania z ryzykiem (klauzula 6.12), w której identyfikujesz zagrożenia dla swoich danych.
Organizacje są również zobowiązane do wypełnienia następujące obowiązkowe klauzule:
- Polityka i cele bezpieczeństwa informacji (punkty 5.2 i 6.2)
- Proces postępowania z ryzykiem informacyjnym (punkt 6.1.3)
- Plan postępowania z ryzykiem (punkty 6.1.3 e i 6.2)
- Raport z oceny ryzyka (punkt 8.2)
- Zapisy dotyczące szkoleń, umiejętności, doświadczenia i kwalifikacji (punkt 7.2)
- Wyniki monitorowania i pomiarów (punkt 9.1)
- Program audytów wewnętrznych (punkt 9.2)
- Wyniki audytów wewnętrznych (punkt 9.2)
- Wyniki przegląd kierownictwa (klauzula 9.3)
- Wyniki działań naprawczych (klauzula 10.1)
A kontrole w załączniku A?
W załączniku A omówiono kontrole które są związane z różnymi zagrożeniami. W zależności od kontroli wybranych przez Twoją organizację będziesz również musiał udokumentować:
Oświadczenie o stosowalności
Nie możemy tutaj zagłębiać się w szczegóły wszystkich tych procesów ( możesz zajrzeć na naszą stronę internetową, aby uzyskać więcej informacji), ale warto zwrócić uwagę na SoA (Oświadczenie o stosowalności), niezbędny element dokumentacji w procesie postępowania z ryzykiem informacyjnym.
SoA określa, który załącznik A kontroluje, które wybrałeś lub pominąłeś, i wyjaśnia, dlaczego dokonałeś tych wyborów. Powinien również zawierać dodatkowe informacje o każdej kontroli i odnośnik do odpowiedniej dokumentacji na temat jej implementacji.
Zajęcie się procesem dokumentacji
Rozpoczynając projekt zgodności, zauważysz, że dokumentacja proces jest o wiele bardziej czasochłonny niż implementacja samych wymagań.
Każda klauzula ma własne wymagania dotyczące dokumentacji, co oznacza, że menedżerowie IT i wdrażający będą musieli zająć się setkami dokumentów. Każda polityka i procedura musi zostać zbadana, opracowana, zatwierdzona i wdrożona, co może zająć miesiące.
Ułatwienie procesu dokumentacji
Organizacje mogą uprościć proces zgodności dzięki naszej dokumentacji ISO 27001 ISMS Zestaw narzędzi.
Ten zestaw dostosowywalnych szablonów, opracowany przez ekspertów ISO 27001, pomoże Ci spełnić wymagania dotyczące dokumentacji normy przy jak najmniejszym wysiłku.
Możesz osadzić dokumentację bezpośrednio w organizacji, oszczędzając czas i pieniądze, a dzięki dostępowi do wsparcia przez 12 miesięcy możesz być pewny pomocy eksperta, jeśli nie masz pewności co do procesu dokumentacji ISO 27001.
Dowiedz się więcej o zestawie dokumentacji ISO 27001 ISMS > >
Wersja tego bloga została pierwotnie opublikowana 24 marca 2016 r.
Zalecana lektura:
- Ile kontroli jest w standardzie ISO 27001?