Deși ISO 27001 este construit în jurul implementării controalelor de securitate a informațiilor, niciunul dintre acestea nu este universal obligatoriu pentru conformitate.
Asta deoarece standardul recunoaște că fiecare organizație va avea propriile cerințe atunci când dezvoltă un ISMS și că nu toate controalele vor fi adecvat.
În schimb, organizațiile sunt obligate să desfășoare activități care să informeze deciziile lor cu privire la ce controale să implementeze. În acest blog, vă explicăm ce presupun aceste procese și cum le puteți finaliza.
Cerințe obligatorii de certificare
Cele mai importante două activități la implementarea ISO 27001 sunt:
- Scoping-ul ISMS (clauza 4.3), în care definiți ce informații trebuie protejate; și
- Realizarea unei evaluări a riscurilor și definirea unei metodologii de tratare a riscurilor (clauza 6.12), în care identificați amenințările la adresa informațiilor dvs.
Organizațiile trebuie, de asemenea, să completeze următoarele clauze obligatorii:
- Politica și obiectivele privind securitatea informațiilor (clauzele 5.2 și 6.2)
- Procesul de tratare a riscului informațional (clauza 6.1.3)
- Planul de tratare a riscurilor (clauzele 6.1.3 e și 6.2)
- Raport de evaluare a riscurilor (clauza 8.2)
- Evidența instruirii, abilităților, experienței și calificărilor (clauza 7.2)
- Monitorizarea și rezultatele măsurătorilor (clauza 9.1)
- Programul de audit intern (clauza 9.2)
- Rezultatele auditurilor interne (clauza 9.2)
- Rezultatele revizuirea managementului (clauza 9.3)
- Rezultatele acțiunilor corective (clauza 10.1)
Și controalele din anexa A?
Anexa A prezintă controalele care sunt asociate cu diverse riscuri. În funcție de controalele pe care organizația dvs. le selectează, vi se va solicita, de asemenea, să documentați:
Declarația de aplicabilitate
Nu putem să aprofundăm toate aceste procese aici ( puteți arunca o privire pe site-ul nostru pentru mai multe informații), dar merită să subliniați SoA (Declarația de aplicabilitate), o documentație esențială în cadrul procesului de tratare a riscului informațional.
SoA prezintă anexa A comenzile selectate sau omise și explică de ce ați făcut aceste alegeri. De asemenea, ar trebui să includă informații suplimentare despre fiecare control și link către documentația relevantă despre implementarea acestuia.
Abordarea procesului de documentare
Pe măsură ce începeți proiectul de conformitate, veți observa că documentația procesul necesită mult mai mult timp decât implementarea cerințelor în sine.
Fiecare clauză vine cu propriile cerințe de documentare, ceea ce înseamnă că managerii și implementatorii IT vor trebui să se ocupe de sute de documente. Fiecare politică și procedură trebuie cercetată, dezvoltată, aprobată și implementată, ceea ce ar putea dura luni de zile.
Facilitarea procesului de documentare
Organizațiile pot simplifica procesul de conformitate cu documentația noastră ISO 27001 ISMS Set de instrumente.
Dezvoltat de experții ISO 27001, acest set de șabloane personalizabile vă va ajuta să îndepliniți cerințele de documentare ale standardului cu cât mai puțină bătaie de cap posibil.
Puteți încorpora documentația direct în organizație, economisindu-vă timp și bani și cu acces la asistență de peste 12 luni, puteți fi sigur de ajutorul expertului dacă nu sunteți sigur cu privire la ceva legat de procesul de documentare ISO 27001.
Aflați mai multe despre setul de instrumente de documentare ISO 27001 ISMS > >
O versiune a acestui blog a fost publicată inițial la 24 martie 2016.
Lectură recomandată:
- Câte controale există în standardul ISO 27001?