Även om ISO 27001 bygger på implementeringen av informationssäkerhetskontroller är ingen av dem allmänt obligatoriska för efterlevnad. / p>
Det beror på att standarden erkänner att varje organisation kommer att ha sina egna krav när de utvecklar ett ISMS, och att inte alla kontroller kommer att vara lämpligt.
I stället måste organisationer utföra aktiviteter som informerar sina beslut om vilka kontroller som ska genomföras. I den här bloggen förklarar vi vad dessa processer innebär och hur du kan slutföra dem.
Obligatoriska certifieringskrav
De två viktigaste aktiviteterna vid implementering av ISO 27001 är:
- Omfattning av ditt ISMS (avsnitt 4.3), där du definierar vilken information som behöver skyddas; och
- Genomföra en riskbedömning och definiera en metod för riskbehandling (avsnitt 6.12), där du identifierar hoten mot din information.
Organisationer är också skyldiga att slutföra följande obligatoriska klausuler:
- Informationssäkerhetspolicy och mål (klausul 5.2 och 6.2)
- Process för behandling av informationsrisk (avsnitt 6.1.3)
- Plan för riskbehandling (avsnitt 6.1.3 e och 6.2)
- Riskbedömningsrapport (avsnitt 8.2)
- Register över utbildning, färdigheter, erfarenhet och kvalifikationer (avsnitt 7.2)
- Övervaknings- och mätresultat (avsnitt 9.1)
- Internrevisionsprogram (avsnitt 9.2)
- Resultat av interna revisioner (avsnitt 9.2)
- Resultat från ledningens granskning (avsnitt 9.3)
- Resultat av korrigerande åtgärder (avsnitt 10.1)
Och kontrollerna i bilaga A?
Bilaga A beskriver kontrollerna som är förknippade med olika risker. Beroende på de kontroller som din organisation väljer, måste du också dokumentera:
Uttalandet om tillämplighet
Vi kan inte gräva i in och ut i alla dessa processer här ( Du kan ta en titt på vår webbplats för mer information), men det är värt att lyfta fram SoA (Statement of Applicability), en väsentlig dokumentation inom informationsriskbehandlingsprocessen.
SoA beskriver vilken bilaga A kontroller du har valt eller utelämnat och förklarar varför du gjorde dessa val. Den bör också innehålla ytterligare information om varje kontroll och länk till relevant dokumentation om dess implementering.
Hantera dokumentationsprocessen
När du börjar ditt compliance-projekt kommer du att märka att dokumentationen processen är mycket mer tidskrävande än själva implementeringen av kraven.
Varje klausul har sina egna dokumentationskrav, vilket innebär att IT-chefer och implementerare kommer att behöva hantera hundratals dokument. Varje policy och förfarande måste undersökas, utvecklas, godkännas och genomföras, vilket kan ta månader.
Gör dokumentationsprocessen enkel
Organisationer kan förenkla efterlevnadsprocessen med vår ISO 27001 ISMS-dokumentation Toolkit.
Utvecklad av ISO 27001-experter, den här uppsättningen anpassningsbara mallar hjälper dig att uppfylla standardens dokumentationskrav med så lite krångel som möjligt.
Du kan bädda in dokumentationen direkt i din organisation, vilket sparar tid och pengar och med åtkomst till support över 12 månader kan du vara säker på experthjälp om du är osäker på något relaterat till dokumentationen ISO 27001.
Ta reda på mer om ISO 27001 ISMS Documentation Toolkit > >
En version av den här bloggen publicerades ursprungligen den 24 mars 2016.
Rekommenderad läsning:
- Hur många kontroller finns det i ISO 27001-standarden?