Hvad er ISO 27001-overholdelse? Væsentlige tip og indsigter

Den Internationale Organisation for Standardisering (ISO) er et globalt organ, der indsamler og styrer forskellige standarder for forskellige discipliner. I nutidens verden, med så mange industrier, der nu er afhængige af internettet og digitale netværk, lægges der mere og mere vægt på de teknologiske dele af ISO-standarder.

Især er ISO 27001-standarden designet til at fungere som en ramme for en organisations informationssikkerhedsstyringssystem (ISMS). Dette inkluderer alle politikker og processer, der er relevante for, hvordan data styres og bruges. ISO 27001 pålægger ikke specifikke værktøjer, løsninger eller metoder, men fungerer i stedet som en checkliste for overholdelse. I denne artikel dykker vi ind i, hvordan ISO 27001-certificering fungerer, og hvorfor det ville give din organisation værdi.

Få det gratis essentielle Vejledning til overholdelse af amerikanske databeskyttelse og regler

  • Sådan bliver du ISO 27001-certificeret
  • ISO 27001-overholdelsesstandarder
  • ISO 27001-overvågningskontrol
  • Sådan opretholdes ISO 27001-overholdelse
  • Ofte stillede spørgsmål om ISO 27001-overholdelse + Ressourcer

Introduktion til ISO 27001

ISO frigav først sin familie af standarder i 2005 og har siden da foretaget periodiske opdateringer af de forskellige politikker. For ISO 27001 blev de seneste store ændringer introduceret i 2013. Ejerskabet af ISO 27001 deles faktisk mellem ISO og International Electrotechnical Commission (IEC), som er et schweizisk organisationsorgan, der primært fokuserer på elektroniske systemer.

Målet med ISO 27001 er at give en ramme for standarder for, hvordan en moderne organisation skal administrere deres information og data. Risikostyring er en vigtig del af ISO 27001, der sikrer, at en virksomhed eller nonprofit forstår, hvor deres styrker og svagheder ligger. ISO-modenhed er et tegn på en sikker, pålidelig organisation, som man kan stole på data.

Virksomheder i alle størrelser skal erkende vigtigheden af cybersikkerhed, men det er simpelthen ikke at oprette en it-sikkerhedsgruppe inden for organisationen nok til at sikre dataintegritet. Et ISMS er et kritisk værktøj, især for grupper, der er spredt på flere steder eller lande, da det dækker alle end-to-end-processer relateret til sikkerhed.

Et ISMS (informationssikkerhedsstyringssystem) bør eksistere som et levende sæt dokumentation inden for en organisation med henblik på risikostyring. For årtier siden ville virksomheder faktisk udskrive ISMS og distribuere det til medarbejderne for deres opmærksomhed. I dag skal et ISMS opbevares online et sikkert sted, typisk et vidensadministrationssystem. Medarbejdere skal til enhver tid være i stand til at henvise til ISMS og blive advaret, når en ændring implementeres. Når du søger ISO 27001-certificering, er ISMS det vigtigste referencemateriale, der bruges til at bestemme din organisations overholdelsesniveau.

ISO 27001 kan tjene som en retningslinje for enhver gruppe eller enhed, der søger at forbedre deres informationssikkerhed metoder eller politikker. For de organisationer, der ønsker at være bedst inden for dette område, er ISO 27001-certificering det ultimative mål. Fuld overholdelse betyder, at dit ISMS er anset for at følge alle bedste praksis inden for cybersikkerhed for at beskytte din organisation mod trusler såsom ransomware.

I visse brancher, der håndterer meget følsomme klassifikationer af data, herunder medicinsk og inden for finansielle områder er ISO 27001-certificering et krav for leverandører og andre tredjeparter. Værktøjer som Varonis Data Classification Engine kan hjælpe med at identificere disse kritiske datasæt. Men uanset hvilken branche din virksomhed befinder sig i, kan det være en enorm gevinst at vise ISO 27001-overholdelse. Specifikt vil certificeringen bevise over for kunder, regeringer og regulerende organer, at din organisation er sikker og pålidelig. Dette forbedrer dit omdømme på markedet og hjælper dig med at undgå økonomiske skader eller sanktioner som følge af databrud eller sikkerhedshændelser.

Hvad sker der, hvis du ikke overholder ISO 27001? Hvis din organisation tidligere har modtaget en certificering, kan du risikere at mislykkes med en fremtidig revision og miste din overholdelsesbetegnelse. Det kan også forhindre dig i at drive din virksomhed i bestemte geografiske områder.

Sådan bliver du ISO 27001-certificeret

Modtagelse af en ISO 27001-certificering er typisk en flerårig proces, der kræver betydelig involvering fra både interne og eksterne interessenter. Det er ikke så simpelt som at udfylde en tjekliste og indsende den til godkendelse. Før du overvejer at ansøge om certificering, skal du sikre dig, at dit ISMS er fuldt modent og dækker alle potentielle områder med teknologirisiko.

ISO 27001-certificeringsprocessen er typisk opdelt i tre faser:

  1. Organisationen ansætter et certificeringsorgan, der derefter foretager en grundlæggende gennemgang af ISMS for at lede efter de vigtigste former for dokumentation.
  2. Certificeringsorganet udfører en mere dybtgående revision, hvor individuelle komponenter i ISO 27001 kontrolleres i forhold til organisationens ISMS. Det skal bevises, at politikker og procedurer følges korrekt. Den ledende revisor er ansvarlig for at afgøre, om certificeringen er optjent eller ej.
  3. Opfølgningsrevisioner er planlagt mellem certificeringsorganet og organisationen for at sikre, at overholdelsen holdes i skak.

Hvad er ISO 27001-standarder?

Inden vi påbegynder et ISO 27001-certificeringsforsøg, bør alle nøgleinteressenter i en organisation blive meget fortrolige med, hvordan standarden er arrangeret og brugt. ISO 27001 er opdelt i 12 separate sektioner:

  1. Introduktion – beskriver, hvad informationssikkerhed er, og hvorfor en organisation skal håndtere risici.
  2. Omfang – dækker krav på højt niveau for en ISMS skal gælde for alle typer eller organisationer.
  3. Normative referencer – forklarer forholdet mellem ISO 27000 og 27001-standarder.
  4. Vilkår og definitioner – dækker den komplekse terminologi, der bruges inden for standarden .
  5. Organisationens sammenhæng – forklarer, hvilke interessenter der skal være involveret i oprettelsen og vedligeholdelsen af ISMS.
  6. Ledelse – beskriver, hvordan ledere i organisationen skal forpligte sig til ISMS-politikker og -procedurer .
  7. Planlægning – dækker en oversigt over, hvordan risikostyring skal planlægges på tværs af organisationen.
  8. Support – beskriver, hvordan man øger bevidstheden om informationssikkerhed og tildeler ansvar.
  9. Operation – dækker hvordan risici skal styres, og hvordan dokumentation sh skal udføres for at opfylde revisionsstandarder.
  10. Ydelsesevaluering – giver retningslinjer for, hvordan ISMS overvåges og måles.
  11. Forbedring – forklarer, hvordan ISMS løbende skal opdateres og forbedret, især efter revisioner.
  12. Referencekontrolmål og -kontroller – giver et bilag, der beskriver de enkelte elementer i en revision.

Hvad er ISO 27001 revisionskontrol?

Dokumentationen til ISO 27001 opdeler de bedste fremgangsmåder i 14 separate kontroller. Certificeringsrevisioner dækker kontroller fra hver enkelt under overholdelseskontrol. Her er et kort resumé af hver del af standarden, og hvordan den vil oversættes til en reel revision:

  1. Informationssikkerhedspolitikker – dækker, hvordan politikker skal skrives i ISMS og gennemgås for overholdelse . Revisorer vil se på, hvordan dine procedurer dokumenteres og gennemgås regelmæssigt.
  2. Organisation af informationssikkerhed – beskriver, hvilke dele af en organisation der skal være ansvarlige for hvilke opgaver og handlinger. Revisorer forventer at se et klart organisationsdiagram med ansvar på højt niveau baseret på rolle.
  3. Human Resource Security – dækker, hvordan medarbejdere skal informeres om cybersikkerhed, når de starter, forlader eller skifter stilling. Revisorer vil gerne se klart definerede procedurer for ombord- og offboarding, når det kommer til informationssikkerhed.
  4. Asset Management – beskriver de processer, der er involveret i administration af dataaktiver, og hvordan de skal beskyttes og sikres. Revisorer vil kontrollere, hvordan din organisation holder styr på hardware, software og databaser. Bevis skal omfatte almindelige værktøjer eller metoder, du bruger til at sikre dataintegritet.
  5. Adgangskontrol – giver vejledning i, hvordan medarbejderadgang skal begrænses til forskellige typer data. Revisorer skal have en detaljeret forklaring på, hvordan adgangsrettigheder indstilles, og hvem der er ansvarlig for vedligeholdelse af dem.
  6. Kryptografi – dækker bedste praksis inden for kryptering. Revisorer vil kigge efter dele af dit system, der håndterer følsomme data og den anvendte krypteringstype, såsom DES, RSA eller AES.
  7. Fysisk og miljømæssig sikkerhed – beskriver processerne til sikring af bygninger og internt udstyr. Revisorer vil kontrollere, om der er sårbarheder på det fysiske sted, herunder hvordan adgang er tilladt til kontorer og datacentre.
  8. Operationssikkerhed – giver vejledning i, hvordan man indsamler og gemmer data sikkert, en proces, der har taget nye presserende takket være vedtagelsen af den generelle databeskyttelsesforordning (GDPR) i 2018. Revisorer vil bede om at se bevis for datastrømme og forklaringer på, hvor informationen er gemt.
  9. Kommunikationssikkerhed – dækker sikkerhed for alle transmissioner inden for en organisations netværk. Revisorer forventer at se en oversigt over, hvilke kommunikationssystemer der bruges, såsom e-mail eller videokonference, og hvordan deres data holdes sikre.
  10. Systemopsamling, udvikling og vedligeholdelse – beskriver processerne til styring af systemer i et sikkert miljø. Revisorer vil have bevis for, at nye systemer, der introduceres til organisationen, holdes på høje sikkerhedsstandarder.
  11. Leverandørrelationer – dækker, hvordan en organisation skal interagere med tredjeparter og samtidig sikre sikkerhed. Revisorer gennemgår alle kontrakter med eksterne enheder, der har adgang til følsomme data.
  12. Management af hændelser til informationssikkerhed – beskriver de bedste fremgangsmåder til, hvordan man reagerer på sikkerhedsspørgsmål. Revisorer kan bede om at køre en brandøvelse for at se, hvordan håndtering af hændelser håndteres i organisationen. Det er her, at det er nyttigt at have software som SIEM til at opdage og kategorisere unormal systemadfærd.
  13. Informationssikkerhedsaspekter ved forretningskontinuitetsstyring – dækker, hvordan forretningsforstyrrelser og større ændringer skal håndteres. Revisorer kan udgøre en række teoretiske forstyrrelser og forventer, at ISMS dækker de nødvendige skridt for at komme sig efter dem.
  14. Overholdelse – identificerer, hvilke myndigheders eller brancheregler der er relevante for organisationen, såsom ITAR. Revisorer vil gerne se bevis for fuld overensstemmelse for ethvert område, hvor virksomheden opererer.

En fejltagelse, som mange organisationer laver, er at placere alt ansvar for ISO-certificering på det lokale it-team. Selvom informationsteknologi er kernen i ISO 27001, skal processerne og procedurerne deles af alle dele af organisationen. Dette koncept er kernen i ideen om at overføre devops til devsecops.

Når du forbereder dig til en ISO 27001-certificeringsrevision, anbefales det, at du søger hjælp fra en ekstern gruppe med overholdelseserfaring. For eksempel har Varonis-gruppen opnået fuld ISO 27001-certificering og kan hjælpe kandidater med at forberede det krævede bevis, der skal bruges under revisioner. Varonis tilbyder også softwareløsninger som Datalert for at hjælpe med at implementere en organisations ISMS.

Tips til opretholdelse af ISO 27001-overholdelse

At få en indledende ISO 27001-certificering er kun det første skridt til at være fuldt kompatibel. Opretholdelse af de høje standarder og bedste praksis er ofte en udfordring for organisationer, da medarbejdere har tendens til at miste deres omhu, når en revision er afsluttet. Det er ledelsens ansvar at sørge for, at dette ikke sker.

I betragtning af hvor ofte nye medarbejdere slutter sig til en virksomhed, bør organisationen afholde kvartalsvise træningssessioner, så alle medlemmer forstår ISMS, og hvordan det bruges. Eksisterende medarbejdere bør også være forpligtet til at bestå en årlig test, der styrker de grundlæggende mål for ISO 27001.

For at forblive i overensstemmelse skal organisationer gennemføre deres egne ISO 27001 interne revisioner hvert tredje år. Cybersikkerhedseksperter anbefaler at gøre det årligt for at styrke risikostyringspraksis og se efter eventuelle huller eller mangler. Produkter som Datefordel fra Varonis kan hjælpe med at strømline revisionsprocessen fra et dataperspektiv.

En ISO 27001 taskforce bør dannes med interessenter fra hele organisationen. Denne gruppe skal mødes hver måned for at gennemgå eventuelle åbne problemer og overveje opdateringer til ISMS-dokumentationen. Ét resultat fra denne taskforce bør være en overholdelsescheckliste som den, der er beskrevet her:

  1. Få ledelsesstøtte til alle ISO 27001-aktiviteter.
  2. Behandl ISO 27001-overholdelse som en løbende projekt.
  3. Definer omfanget af, hvordan ISO 27001 skal gælde for forskellige dele af din organisation.
  4. Skriv og opdater ISMS-politikken, der skitserer din cybersikkerhedsstrategi på et højt niveau.
  5. Definer risikovurderingsmetoden for at registrere, hvordan problemer identificeres og håndteres.
  6. Udfør risikovurdering og -behandling regelmæssigt, når problemer er afdækket.
  7. Skriv en erklæring om anvendelighed for at bestemme, hvilke ISO 27001-kontroller der er anvendelige.
  8. Skriv en risikobehandlingsplan, så alle interessenter ved, hvordan trusler mindskes. Brug af trusselmodellering kan hjælpe med at nå denne opgave.
  9. Definer måling af kontroller for at forstå, hvordan ISO 27001 bedste praksis udfører.
  10. Implementér alle kontroller og obligatoriske procedurer som beskrevet i ISO 27001-standard.
  11. Implementer uddannelses- og bevidsthedsprogrammer for alle personer i din organisation, der har adgang til fysiske eller digitale aktiver.
  12. Betjen ISMS som en del af din organisations hverdag. ” li>
  13. Overvåg ISMS for at forstå, om det bruges effektivt.
  14. Kør interne revisioner for at måle din løbende overholdelse.
  15. Gennemgå revisionsresultater med ledelsen.
  16. Indstil korrigerende eller forebyggende handlinger, når det er nødvendigt.

ISO 27001 Quick Guide: FAQ

Processen og omfanget af ISO 27001-certificering kan være ret skræmmende, så lad os dække nogle ofte stillede spørgsmål.

Spørgsmål: Hvad er ISO 27001-krav?

A: For at opnå en ISO 27001-certificering kræves en organisation at vedligeholde et ISMS, der dækker alle aspekter af standarden. Derefter kan de anmode om en fuldstændig revision fra et certificeringsorgan.

Q: Hvad betyder det at være ISO 27001-certificeret?

A: At være ISO 27001-certificeret betyder, at din organisationen har bestået den eksterne revision og opfyldt alle overholdelseskriterier. Dette betyder, at du nu kan reklamere for din overholdelse for at øge dit cybersikkerheds omdømme.

Q: Hvad er den nyeste ISO 27001-standard?

A: Den nyeste standard er officielt kendt som ISO / IEC 27001: 2013. Den blev offentliggjort i 2013 som den anden officielle udgave af ISO 27001. Standarden blev sidst gennemgået og bekræftet i 2019, hvilket betyder, at der ikke var behov for ændringer.

Q: Er ISO 27001 GDPR-kompatibel?

A: Fordi ISO 27001 hovedsageligt er en ramme for udvikling af et ISMS, dækker det ikke alle de specifikke regler i den generelle databeskyttelsesforordning (GDPR), der er indført af Den Europæiske Union. Når de er parret med ISO 27701, der dækker oprettelsen af et databeskyttelsessystem, vil organisationer dog være i stand til fuldt ud at opfylde kravene specificeret i GDPR.

Q: Hvad er de vigtigste ligheder eller forskelle mellem SOX og ISO 27001?

A: Mens ISO 27001 dækker den generelle styring af information og data, er Sarbanes – Oxley Act (SOX) specifik for, hvordan finansielle oplysninger afsløres i USA. Heldigvis for virksomheder, der har en bred vifte af datastyring, vil optjening af ISO 27001-certificering også være med til at bevise overholdelse af SOX-standarder.

Q: Hvad er formålet med anden ISO?

Svar: ISO opretholder et komplet sæt standarder, der ligger under ISO 27001. Disse tager alle koncepter fra rammen og dykker ned i mere specifikke retningslinjer for, hvordan man indfører bedste praksis i en organisation.

Ressourcer

  • Grønbog om, hvordan ISO 27001 kan reducere cyberrisiko
  • Webinar om, hvordan man sikrer en vellykket ISO 27001-revision
  • Casestudier om ISO 27001-overholdelse

Uanset størrelsen på din virksomhed eller hvilken branche du arbejder i, kan det være en enorm gevinst at få ISO 27001-certificering. Det er dog en udfordrende opgave, så det er vigtigt at udnytte andre interessenter og ressourcer under et compliance-projekt. Med værktøjer som Varonis Edge kan du standse cyberangreb, før de når dit netværk, samtidig med at du viser bevis for, at du overholder ISO 27001.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *