Den internasjonale standardiseringsorganisasjonen (ISO) er et globalt organ som samler inn og styrer ulike standarder for forskjellige fagområder. I dagens verden, med så mange bransjer som nå er avhengige av internett og digitale nettverk, blir det lagt mer og mer vekt på teknologidelene av ISO-standarder.
Spesielt er ISO 27001-standarden designet for å fungere som et rammeverk for organisasjonens informasjonssikkerhetsstyringssystem (ISMS). Dette inkluderer alle policyer og prosesser som er relevante for hvordan data blir kontrollert og brukt. ISO 27001 pålegger ikke spesifikke verktøy, løsninger eller metoder, men fungerer i stedet som en sjekkliste for samsvar. I denne artikkelen vil vi dykke inn i hvordan ISO 27001-sertifisering fungerer, og hvorfor det vil gi organisasjonen din verdi.
Få gratis Essential Veiledning til overholdelse og forskrifter for databeskyttelse i USA
- Hvordan bli ISO 27001-sertifisert
- ISO 27001 Compliance Standards
- ISO 27001 Compliance Audit Controls
- Hvordan opprettholde ISO 27001 Compliance
- ISO 27001 Compliance FAQ + Resources
Introduksjon til ISO 27001
ISO ga først ut sin standardfamilie i 2005 og har siden da gjort periodiske oppdateringer av de forskjellige retningslinjene. For ISO 27001 ble de siste store endringene introdusert i 2013. Eierskap til ISO 27001 deles faktisk mellom ISO og International Electrotechnical Commission (IEC), som er et sveitsisk organisasjonsorgan som primært fokuserer på elektroniske systemer.
Målet med ISO 27001 er å gi et rammeverk for standarder for hvordan en moderne organisasjon skal håndtere informasjon og data. Risikostyring er en viktig del av ISO 27001, og sørger for at et selskap eller ideelle organisasjoner forstår hvor deres styrker og svakheter ligger. ISO-modenhet er et tegn på en sikker, pålitelig organisasjon som kan stole på data.
Bedrifter i alle størrelser trenger å erkjenne viktigheten av cybersikkerhet, men bare å sette opp en IT-sikkerhetsgruppe i organisasjonen er ikke nok til å sikre dataintegriteten. Et ISMS er et viktig verktøy, spesielt for grupper som er spredt over flere steder eller land, da det dekker alle end-to-end prosesser knyttet til sikkerhet.
Et ISMS (informasjonssikkerhetsadministrasjonssystem) bør eksistere som et levende sett med dokumentasjon i en organisasjon for risikostyring. For flere tiår siden ville selskaper faktisk skrive ut ISMS og distribuere det til ansatte for deres bevissthet. I dag bør et ISMS lagres online på et sikkert sted, vanligvis et kunnskapshåndteringssystem. Ansatte må når som helst kunne henvise til ISMS og bli varslet når en endring er implementert. Når du søker ISO 27001-sertifisering, er ISMS det viktigste referansematerialet som brukes til å bestemme organisasjonens overholdelsesnivå.
ISO 27001 kan tjene som en retningslinje for enhver gruppe eller enhet som ønsker å forbedre informasjonssikkerheten. metoder eller policyer. For de organisasjonene som ønsker å være klassens beste innen dette området, er ISO 27001-sertifisering det ultimate målet. Fullstendig overholdelse betyr at ISMS har blitt ansett som å følge all best practices innen cybersikkerhet for å beskytte organisasjonen din mot trusler som ransomware.
I visse bransjer som håndterer svært sensitive klassifiseringer av data, inkludert medisinsk og ISO 27001-sertifisering er et krav for leverandører og andre tredjeparter. Verktøy som Varonis Data Classification Engine kan hjelpe til med å identifisere disse kritiske datasettene. Men uansett hvilken bransje virksomheten din er i, kan det være en enorm gevinst å vise ISO 27001-samsvar. Spesifikt vil sertifiseringen bevise for kunder, myndigheter og regulerende organer at organisasjonen din er sikker og pålitelig. Dette forbedrer omdømmet ditt på markedet og hjelper deg med å unngå økonomiske skader eller straffer som følge av databrudd eller sikkerhetshendelser.
Hva skjer hvis du ikke overholder ISO 27001? Hvis organisasjonen din tidligere har mottatt en sertifisering, kan du risikere å mislykkes med en fremtidig revisjon og miste utnevnelsen av samsvar. Det kan også hindre deg i å drive virksomheten din i bestemte geografiske områder.
Hvordan bli ISO 27001-sertifisert
Motta en ISO 27001-sertifisering er vanligvis en flerårig prosess som krever betydelig involvering fra både interne og eksterne interessenter. Det er ikke så enkelt som å fylle ut en sjekkliste og sende den til godkjenning. Før du vurderer å søke om sertifisering, må du sørge for at ISMS er fullt modent og dekker alle potensielle områder med teknologirisiko.
ISO 27001-sertifiseringsprosessen er vanligvis delt inn i tre faser:
- Organisasjonen ansetter et sertifiseringsorgan som deretter gjennomfører en grunnleggende gjennomgang av ISMS for å se etter de viktigste former for dokumentasjon.
- Sertifiseringsorganet utfører en mer grundig tilsyn der individuelle komponenter i ISO 27001 kontrolleres mot organisasjonens ISMS. Det må bevises at retningslinjer og prosedyrer følges riktig. Hovedrevisor er ansvarlig for å avgjøre om sertifiseringen er opptjent eller ikke.
- Oppfølgingsrevisjoner er planlagt mellom sertifiseringsorganet og organisasjonen for å sikre at samsvar blir holdt i sjakk.
Hva er ISO 27001-standarder?
Før de setter i gang et ISO 27001-sertifiseringsforsøk, bør alle viktige interessenter i en organisasjon bli veldig kjent med hvordan standarden er ordnet og brukt. ISO 27001 er delt inn i 12 separate seksjoner:
- Innledning – beskriver hva informasjonssikkerhet er og hvorfor en organisasjon skal håndtere risikoer.
- Omfang – dekker krav på høyt nivå for en ISMS skal gjelde for alle typer eller organisasjoner.
- Normative referanser – forklarer forholdet mellom ISO 27000 og 27001-standarder.
- Begreper og definisjoner – dekker den komplekse terminologien som brukes innenfor standarden. .
- Organisasjonens kontekst – forklarer hvilke interessenter som skal være involvert i opprettelsen og vedlikeholdet av ISMS.
- Ledelse – beskriver hvordan ledere i organisasjonen skal forplikte seg til ISMS-policyer og prosedyrer .
- Planlegging – dekker en oversikt over hvordan risikostyring skal planlegges på tvers av organisasjonen.
- Støtte – beskriver hvordan du kan øke bevisstheten om informasjonssikkerhet og tildele ansvar.
- Drift – dekker hvordan risikoer skal styres og hvordan dokumentasjon sh bør utføres for å oppfylle revisjonsstandarder.
- Ytelsesevaluering – gir retningslinjer for hvordan du kan overvåke og måle ytelsen til ISMS.
- Forbedring – forklarer hvordan ISMS kontinuerlig bør oppdateres og forbedret, spesielt etter revisjoner.
- Referansekontrollmål og kontroller – gir et vedlegg som beskriver de enkelte elementene i en revisjon.
Hva er ISO 27001 revisjonskontroll?
Dokumentasjonen for ISO 27001 deler opp beste praksis i 14 separate kontroller. Sertifiseringsrevisjoner vil dekke kontroller fra hver enkelt under samsvarskontroll. Her er et kort sammendrag av hver del av standarden og hvordan den vil oversettes til en reell revisjon:
- Informasjonssikkerhetspolicyer – dekker hvordan retningslinjer skal skrives i ISMS og gjennomgås for samsvar . Revisorer vil se etter hvordan prosedyrene dine blir dokumentert og gjennomgått regelmessig.
- Organisasjon av informasjonssikkerhet – beskriver hvilke deler av en organisasjon som skal ha ansvar for hvilke oppgaver og handlinger. Revisorer vil forvente å se et tydelig organisasjonskart med høyt ansvar basert på rolle.
- Human Resource Security – dekker hvordan ansatte skal informeres om cybersikkerhet når de starter, forlater eller endrer stillinger. Revisorer vil ønske å se tydelig definerte prosedyrer for ombord- og ombordstigning når det gjelder informasjonssikkerhet.
- Kapitalforvaltning – beskriver prosessene som er involvert i administrasjon av datatilgang og hvordan de skal beskyttes og sikres. Revisorer vil sjekke for å se hvordan organisasjonen holder oversikt over maskinvare, programvare og databaser. Bevis bør omfatte vanlige verktøy eller metoder du bruker for å sikre dataintegritet.
- Tilgangskontroll – gir veiledning om hvordan ansattes tilgang skal begrenses til forskjellige typer data. Revisorer må få en detaljert forklaring på hvordan tilgangsrettigheter er satt og hvem som er ansvarlig for å opprettholde dem.
- Kryptografi – dekker beste praksis innen kryptering. Revisorer vil se etter deler av systemet ditt som håndterer sensitive data og typen kryptering som brukes, for eksempel DES, RSA eller AES.
- Fysisk og miljømessig sikkerhet – beskriver prosessene for sikring av bygninger og internt utstyr. Revisorer vil se etter eventuelle sårbarheter på det fysiske nettstedet, inkludert hvordan tilgang er tillatt til kontorer og datasentre.
- Operasjonssikkerhet – gir veiledning om hvordan du kan samle inn og lagre data på en sikker måte, en prosess som har fått nye haster takket være gjennomføringen av General Data Protection Regulation (GDPR) i 2018. Revisorer vil be om å se bevis på datastrømmer og forklaringer på hvor informasjon lagres.
- Kommunikasjonssikkerhet – dekker sikkerhet for alle overføringer innen organisasjonens nettverk. Revisorer vil forvente å se en oversikt over hvilke kommunikasjonssystemer som brukes, for eksempel e-post eller videokonferanse, og hvordan dataene deres holdes sikre.
- Systemoppkjøp, utvikling og vedlikehold – beskriver prosessene for styring av systemer i et sikkert miljø. Revisorer vil ha bevis for at alle nye systemer som blir introdusert for organisasjonen holdes på høye sikkerhetsstandarder.
- Leverandørrelasjoner – dekker hvordan en organisasjon skal samhandle med tredjeparter og samtidig sikre sikkerhet. Revisorer vil gjennomgå eventuelle kontrakter med eksterne enheter som kan ha tilgang til sensitive data.
- Informasjonssikkerhetshåndteringshåndtering – beskriver den beste fremgangsmåten for hvordan du skal reagere på sikkerhetsproblemer. Revisorer kan be om å kjøre en brannøvelse for å se hvordan hendelsesstyring håndteres i organisasjonen. Det er her det å ha programvare som SIEM for å oppdage og kategorisere unormal systematferd, er nyttig.
- Informasjonssikkerhetsaspekter av Business Continuity Management – dekker hvordan forstyrrelser i virksomheten og store endringer skal håndteres. Revisorer kan utgjøre en rekke teoretiske forstyrrelser og vil forvente at ISMS dekker de nødvendige trinnene for å komme seg fra dem.
- Overholdelse – identifiserer hvilke myndighets- eller bransjereguleringer som er relevante for organisasjonen, for eksempel ITAR. Revisorer vil ønske å se bevis for full samsvar for ethvert område der virksomheten opererer.
En feil som mange organisasjoner gjør, er å plassere alt ansvar for ISO-sertifisering på det lokale IT-teamet. Selv om informasjonsteknologi er kjernen i ISO 27001, må prosessene og prosedyrene deles av alle deler av organisasjonen. Dette konseptet ligger i hjertet av ideen om å overføre devops til devsecops.
Når du forbereder deg på en ISO 27001-sertifiseringsrevisjon, anbefales det at du søker hjelp fra en ekstern gruppe med compliance-erfaring. For eksempel har Varonis-gruppen fått full ISO 27001-sertifisering og kan hjelpe kandidater med å forberede det nødvendige beviset som skal brukes under revisjon. Varonis tilbyr også programvareløsninger som Datalert som hjelper til med å implementere organisasjonens ISMS.
Tips for å opprettholde ISO 27001-samsvar
Å få en innledende ISO 27001-sertifisering er bare det første trinnet for å være fullstendig kompatibel. Å opprettholde høye standarder og beste praksis er ofte en utfordring for organisasjoner, ettersom ansatte har en tendens til å miste sin flid etter at en revisjon er fullført. Det er ledelsens ansvar å sørge for at dette ikke skjer.
Gitt hvor ofte nye ansatte blir med i et selskap, bør organisasjonen avholde kvartalsvise treningsøkter slik at alle medlemmer forstår ISMS og hvordan det brukes. Eksisterende ansatte bør også være pålagt å gjennomføre en årlig test som forsterker de grunnleggende målene for ISO 27001.
For å være kompatible må organisasjoner gjennomføre sine egne ISO 27001 interne revisjoner en gang hvert tredje år. Cybersecurity-eksperter anbefaler å gjøre det årlig for å styrke risikostyringspraksis og se etter eventuelle hull eller mangler. Produkter som Datavorage fra Varonis kan bidra til å effektivisere revisjonsprosessen fra et dataperspektiv.
En ISO 27001-taskforce bør dannes med interessenter fra hele organisasjonen. Denne gruppen bør møtes månedlig for å gjennomgå eventuelle åpne problemer og vurdere oppdateringer av ISMS-dokumentasjonen. Ett utfall fra denne arbeidsgruppen bør være en sjekkliste for samsvar som den som er skissert her:
- Få ledelsesstøtte for alle ISO 27001-aktiviteter.
- Behandle ISO 27001-overholdelse som en pågående prosjekt.
- Definer omfanget av hvordan ISO 27001 skal gjelde for forskjellige deler av organisasjonen din.
- Skriv og oppdater ISMS-policyen, som skisserer din cybersikkerhetsstrategi på et høyt nivå.
- Definer risikovurderingsmetoden for å fange opp hvordan problemer skal identifiseres og håndteres.
- Utfør risikovurdering og behandling regelmessig når problemene er avdekket.
- Skriv en erklæring om anvendelighet for å bestemme hvilke ISO 27001-kontroller som er aktuelle.
- Skriv en risikobehandlingsplan slik at alle interessenter vet hvordan trusler blir dempet. Bruk av trusselmodellering kan bidra til å oppnå denne oppgaven.
- Definer måling av kontroller for å forstå hvordan ISO 27001 beste praksis utfører.
- Implementere alle kontroller og obligatoriske prosedyrer som beskrevet i ISO 27001-standard.
- Implementer opplærings- og bevissthetsprogrammer for alle personer i organisasjonen din som har tilgang til fysiske eller digitale eiendeler.
- Bruk ISMS som en del av organisasjonens hverdagsrutine.
- Overvåke ISMS for å forstå om det brukes effektivt.
- Kjør interne revisjoner for å måle din løpende samsvar.
- Gå gjennom revisjonsresultatene med ledelsen.
- Angi korrigerende eller forebyggende tiltak når det er nødvendig.
ISO 27001 Hurtigveiledning: Vanlige spørsmål
Prosessen og omfanget av ISO 27001-sertifisering kan være ganske skremmende, så la oss dekke noen vanlige spørsmål.
Spørsmål: Hva er ISO 27001-krav?
A: For å oppnå ISO 27001-sertifisering kreves det at en organisasjon opprettholder et ISMS som dekker alle aspekter av standarden. Etter det kan de be om full revisjon fra et sertifiseringsorgan.
Spørsmål: Hva betyr det å være ISO 27001-sertifisert?
A: Å være ISO 27001-sertifisert betyr at din organisasjonen har bestått den eksterne revisjonen og oppfylt alle samsvarskriterier. Dette betyr at du nå kan annonsere overholdelsen din for å øke cybersecurity-omdømmet ditt.
Spørsmål: Hva er den nyeste ISO 27001-standarden?
A: Den siste standarden er offisielt kjent som ISO / IEC 27001: 2013. Den ble utgitt i 2013 som den andre offisielle utgaven av ISO 27001. Standarden ble sist gjennomgått og bekreftet i 2019, noe som betyr at det ikke var nødvendig med noen endringer.
Spørsmål: Er ISO 27001 GDPR-kompatibel?
A: Fordi ISO 27001 hovedsakelig er et rammeverk for å utvikle et ISMS, vil det ikke dekke alle de spesifikke reglene i General Data Protection Regulation (GDPR) innført av EU. Når de er parret med ISO 27701, som dekker etablering av et personvernsystem, vil organisasjoner imidlertid kunne oppfylle kravene spesifisert i GDPR.
Spørsmål: Hva er de viktigste likhetene eller forskjellene mellom SOX og ISO 27001?
A: Mens ISO 27001 dekker den generelle forvaltningen av informasjon og data, er Sarbanes – Oxley Act (SOX) spesifikk for hvordan finansiell informasjon avsløres i USA. Heldigvis for selskaper som har et bredt spekter av datahåndtering, vil opptjening av ISO 27001-sertifisering også bidra til å bevise at SOX-standarder overholdes.
Spørsmål: Hva er hensikten med annen ISO?
Svar: ISO opprettholder et komplett sett med standarder som ligger under ISO 27001. Disse tar alle konsepter fra rammeverket og dykker ned i mer spesifikke retningslinjer for hvordan man kan innføre beste praksis i en organisasjon.
Ressurser
- Grønnbok om hvordan ISO 27001 kan redusere cyberrisiko
- Webinar om hvordan man kan sikre en vellykket ISO 27001-revisjon
- Case studies about ISO 27001 compliance
Uansett størrelsen på bedriften din eller hvilken bransje du jobber i, kan det bli en enorm gevinst å oppnå ISO 27001-sertifisering. Det er imidlertid en utfordrende oppgave, så det er viktig å utnytte andre interessenter og ressurser under et compliance-prosjekt. Med verktøy som Varonis Edge kan du stoppe nettangrep før de når nettverket ditt, samtidig som du viser bevis på at ISO 27001-samsvar er overholdt.