International Organization for Standardization (ISO) är ett globalt organ som samlar in och hanterar olika standarder för olika discipliner. I dagens värld, med så många industrier som nu är beroende av internet och digitala nätverk, läggs mer och mer tonvikt på de tekniska delarna av ISO-standarder.
ISO 27001-standarden är särskilt utformad för att fungera som ett ramverk för en organisations informationssäkerhetshanteringssystem (ISMS). Detta inkluderar alla policyer och processer som är relevanta för hur data kontrolleras och används. ISO 27001 föreskriver inte specifika verktyg, lösningar eller metoder utan fungerar som en checklista för efterlevnad. I den här artikeln kommer vi att dyka in i hur ISO 27001-certifiering fungerar och varför det skulle ge ditt företag värde.
Få gratis Essential Guide till efterlevnad av USA och dataskydd
- Hur man blir ISO 27001-certifierad
- ISO 27001-efterlevnadsstandarder
- ISO 27001-kontroller för efterlevnad av granskning
- Hur man upprätthåller ISO 27001-efterlevnad
- ISO 27001 FAQ och resurser
Introduktion till ISO 27001
ISO släppte först sin standardfamilj 2005 och har sedan dess gjort periodiska uppdateringar av de olika policyerna. För ISO 27001 infördes de senaste stora förändringarna 2013. Ägarskapet till ISO 27001 delas faktiskt mellan ISO och International Electrotechnical Commission (IEC), som är ett schweiziskt organisationsorgan som främst fokuserar på elektroniska system.
Målet med ISO 27001 är att tillhandahålla en ram för standarder för hur en modern organisation ska hantera sin information och data. Riskhantering är en viktig del av ISO 27001, vilket säkerställer att ett företag eller en ideell organisation förstår var deras styrkor och svagheter ligger. ISO-mognad är ett tecken på en säker, pålitlig organisation som kan lita på med data.
Företag i alla storlekar behöver inse vikten av cybersäkerhet, men det är helt enkelt inte att skapa en IT-säkerhetsgrupp inom organisationen tillräckligt för att säkerställa dataintegritet. Ett ISMS är ett kritiskt verktyg, särskilt för grupper som är spridda över flera platser eller länder, eftersom det täcker alla end-to-end-processer relaterade till säkerhet.
Ett ISMS (informationssäkerhetshanteringssystem) bör finnas som en levande uppsättning dokumentation inom en organisation för riskhantering. För decennier sedan skulle företag faktiskt skriva ut ISMS och distribuera det till anställda för deras medvetenhet. Idag bör ett ISMS lagras online på en säker plats, vanligtvis ett kunskapshanteringssystem. Anställda måste när som helst kunna hänvisa till ISMS och varnas när en förändring genomförs. När du söker ISO 27001-certifiering är ISMS den viktigaste referensmaterialet som används för att fastställa din organisations efterlevnadsnivå.
ISO 27001 kan fungera som riktlinje för alla grupper eller enheter som vill förbättra sin informationssäkerhet metoder eller policyer. För de organisationer som vill vara bäst i sin klass inom detta område är ISO 27001-certifiering det yttersta målet. Full överensstämmelse innebär att ditt ISMS har ansetts följa alla bästa metoder inom cybersäkerhet för att skydda din organisation från hot som ransomware.
I vissa branscher som hanterar mycket känsliga klassificeringar av data, inklusive medicinsk och ISO 27001-certifiering är ett krav för leverantörer och andra tredje parter. Verktyg som Varonis Data Classification Engine kan hjälpa till att identifiera dessa kritiska datamängder. Men oavsett vilken bransch ditt företag befinner sig i kan det vara en enorm vinst att visa ISO 27001-överensstämmelse. Specifikt kommer certifieringen att bevisa för kunder, myndigheter och tillsynsorgan att din organisation är säker och pålitlig. Detta förbättrar ditt rykte på marknaden och hjälper dig att undvika ekonomiska skador eller påföljder från dataintrång eller säkerhetsincidenter.
Vad händer om du inte följer ISO 27001? Om din organisation tidigare har fått en certifiering kan du riskera att misslyckas med en framtida granskning och förlora din utnämning av efterlevnad. Det kan också hindra dig från att driva ditt företag i vissa geografiska områden.
Hur man blir ISO 27001-certifierad
Att få en ISO 27001-certifiering är vanligtvis en flerårig process som kräver betydande engagemang från både interna och externa intressenter. Det är inte så enkelt som att fylla i en checklista och skicka in den för godkännande. Innan du ens överväger att ansöka om certifiering måste du se till att ditt ISMS är fullt moget och täcker alla potentiella områden med teknologisk risk.
ISO 27001-certifieringsprocessen är normalt uppdelad i tre faser:
- Organisationen anställer ett certifieringsorgan som sedan gör en grundläggande granskning av ISMS för att leta efter de viktigaste former av dokumentation.
- Certifieringsorganet utför en mer ingående granskning där enskilda komponenter i ISO 27001 kontrolleras mot organisationens ISMS. Det måste bevisas att policyer och förfaranden följs på lämpligt sätt. Den ledande revisorn är ansvarig för att avgöra om certifieringen intjänas eller inte.
- Uppföljningsrevisioner planeras mellan certifieringsorganet och organisationen för att säkerställa att efterlevnaden hålls under kontroll.
Vilka är ISO 27001-standarderna?
Innan man inleder ett ISO 27001-certifieringsförsök bör alla viktiga intressenter inom en organisation bli mycket bekanta med hur standarden är ordnad och används. ISO 27001 är uppdelad i 12 separata avsnitt:
- Introduktion – beskriver vad informationssäkerhet är och varför en organisation ska hantera risker.
- Omfattning – täcker höga krav på en ISMS som ska tillämpas på alla typer eller organisationer.
- Normativa referenser – förklarar förhållandet mellan ISO 27000 och 27001-standarder.
- Termer och definitioner – täcker den komplexa terminologi som används inom standarden .
- Organisationens sammanhang – förklarar vilka intressenter som ska vara involverade i skapandet och underhållet av ISMS.
- Ledarskap – beskriver hur ledare inom organisationen ska förbinda sig till ISMS-policyer och rutiner .
- Planering – täcker en översikt över hur riskhantering ska planeras över hela organisationen.
- Support – beskriver hur man kan öka medvetenheten om informationssäkerhet och tilldela ansvar.
- Operation – täcker hur risker ska hanteras och hur dokumentation sh bör utföras för att uppfylla revisionsstandarder.
- Prestationsutvärdering – ger riktlinjer för hur man övervakar och mäter ISMS prestanda.
- Förbättring – förklarar hur ISMS kontinuerligt ska uppdateras och förbättrats, särskilt efter revisioner.
- Referenskontrollmål och kontroller – tillhandahåller en bilaga som beskriver de enskilda delarna av en revision.
Vad är ISO 27001 revisionskontroller?
Dokumentationen för ISO 27001 delar upp de bästa metoderna i 14 separata kontroller. Certifieringsgranskningar kommer att omfatta kontroller från var och en under kontroller av efterlevnad. Här är en kort sammanfattning av varje del av standarden och hur den kommer att översättas till en verklig granskning:
- Informationssäkerhetspolicyer – täcker hur policyer bör skrivas i ISMS och granskas för efterlevnad . Revisorer kommer att se hur dina rutiner dokumenteras och granskas regelbundet.
- Organisation för informationssäkerhet – beskriver vilka delar av en organisation som ska ansvara för vilka uppgifter och åtgärder. Revisorerna förväntar sig att se ett tydligt organisationsschema med högt ansvar baserat på roll.
- Human Resource Security – täcker hur anställda ska informeras om cybersäkerhet när de börjar, lämnar eller byter position. Revisorer vill se tydligt definierade förfaranden för ombord- och ombordstigning när det gäller informationssäkerhet.
- Kapitalförvaltning – beskriver de processer som är involverade i hantering av datatillgångar och hur de ska skyddas och skyddas. Revisorer kommer att kontrollera hur din organisation håller reda på hårdvara, programvara och databaser. Bevis bör innehålla alla vanliga verktyg eller metoder som du använder för att säkerställa dataintegritet.
- Åtkomstkontroll – ger vägledning om hur anställdes åtkomst bör begränsas till olika typer av data. Revisorer måste få en detaljerad förklaring av hur åtkomstbehörigheter ställs in och vem som ansvarar för att upprätthålla dem.
- Kryptografi – täcker bästa praxis för kryptering. Revisorer kommer att leta efter delar av ditt system som hanterar känslig data och vilken typ av kryptering som används, såsom DES, RSA eller AES.
- Fysisk och miljösäkerhet – beskriver processerna för att säkra byggnader och intern utrustning. Revisorer kommer att kontrollera eventuella sårbarheter på den fysiska webbplatsen, inklusive hur åtkomst till kontor och datacenter tillåts.
- Operationssäkerhet – ger vägledning om hur man samlar in och lagrar data säkert, en process som har tagit på sig nya brådskande tack vare införandet av den allmänna dataskyddsförordningen (GDPR) 2018. Revisorer kommer att be om att se bevis på dataflöden och förklaringar för var informationen lagras.
- Kommunikationssäkerhet – täcker säkerheten för alla överföringar inom en organisations nätverk. Revisorerna förväntar sig att se en översikt över vilka kommunikationssystem som används, t.ex. e-post eller videokonferens, och hur deras data hålls säkra.
- Systemförvärv, utveckling och underhåll – beskriver processerna för hantering av system i en säker miljö. Revisorer vill ha bevis för att alla nya system som introduceras till organisationen hålls på höga säkerhetsstandarder.
- Leverantörsrelationer – täcker hur en organisation ska interagera med tredje part samtidigt som säkerheten säkerställs. Revisorer kommer att granska alla kontrakt med externa enheter som kan ha tillgång till känslig data.
- Information Security Incident Management – beskriver de bästa metoderna för hur man ska svara på säkerhetsfrågor. Revisorer kan be att köra en brandövning för att se hur incidenthantering hanteras inom organisationen. Det är här det är bra att ha programvara som SIEM för att upptäcka och kategorisera onormalt systembeteende.
- Informationssäkerhetsaspekter av företagskontinuitetshantering – täcker hur affärsstörningar och större förändringar ska hanteras. Revisorer kan utgöra en serie teoretiska störningar och förväntar sig att ISMS täcker nödvändiga steg för att återhämta sig från dem.
- Överensstämmelse – identifierar vilka myndighets- eller branschbestämmelser som är relevanta för organisationen, såsom ITAR. Revisorer kommer att vilja se bevis på att de uppfyller alla områden där verksamheten bedriver verksamhet.
Ett misstag som många organisationer gör är att placera allt ansvar för ISO-certifiering på det lokala IT-teamet. Även om informationstekniken är kärnan i ISO 27001 måste processerna och procedurerna delas av alla delar av organisationen. Detta koncept ligger i hjärtat av idén att överföra devops till devsecops.
När du förbereder dig för en ISO 27001-certifieringsrevision rekommenderas det att du söker hjälp från en extern grupp med erfarenhet av efterlevnad. Varonis-gruppen har till exempel fått full ISO 27001-certifiering och kan hjälpa kandidater att förbereda de bevis som krävs för revisioner. Varonis erbjuder också mjukvarulösningar som Datalert för att hjälpa till att genomföra en organisations ISMS.
Tips för att upprätthålla ISO 27001-efterlevnad
Att få en första ISO 27001-certifiering är bara det första steget för att vara helt kompatibel. Att upprätthålla höga standarder och bästa praxis är ofta en utmaning för organisationer, eftersom anställda tenderar att förlora sin omsorg efter att en revision har slutförts. Det är ledarskapets ansvar att se till att detta inte händer.
Med tanke på hur ofta nya anställda ansluter sig till ett företag bör organisationen hålla kvartalsvisa utbildningar så att alla medlemmar förstår ISMS och hur det används. Befintliga anställda bör också krävas att genomgå ett årligt test som förstärker de grundläggande målen för ISO 27001.
För att förbli kompatibla måste organisationer genomföra sina egna ISO 27001-internrevisioner vart tredje år. Cybersäkerhetsexperter rekommenderar att du gör det varje år för att förstärka riskhanteringsmetoderna och leta efter eventuella luckor eller brister. Produkter som Dat Nodeel från Varonis kan hjälpa till att effektivisera granskningsprocessen ur ett dataperspektiv.
En arbetsgrupp ISO 27001 bör bildas med intressenter från hela organisationen. Denna grupp bör träffas varje månad för att granska eventuella öppna problem och överväga uppdateringar av ISMS-dokumentationen. Ett resultat från denna arbetsgrupp bör vara en checklista för efterlevnad som den som beskrivs här:
- Skaffa ledningsstöd för alla ISO 27001-aktiviteter.
- Behandla ISO 27001-efterlevnad som en pågående projekt.
- Definiera omfattningen av hur ISO 27001 ska tillämpas på olika delar av din organisation.
- Skriv och uppdatera ISMS-policyn, som beskriver din cybersäkerhetsstrategi på hög nivå.
- Definiera riskbedömningsmetoden för att fånga upp hur frågor ska identifieras och hanteras.
- Utför riskbedömning och behandling regelbundet när problem har upptäckts.
- Skriv ett uttalande om tillämpbarhet för att avgöra vilka ISO 27001-kontroller som är tillämpliga.
- Skriv en riskbehandlingsplan så att alla intressenter vet hur hoten mildras. Att använda hotmodellering kan hjälpa till att uppnå denna uppgift.
- Definiera mätningen av kontroller för att förstå hur ISO 27001 bästa praxis utför.
- Implementera alla kontroller och obligatoriska procedurer som beskrivs i ISO 27001-standard.
- Implementera utbildnings- och medvetenhetsprogram för alla individer inom din organisation som har tillgång till fysiska eller digitala tillgångar.
- Använd ISMS som en del av din organisations vardagliga rutin.
- Övervaka ISMS för att förstå om det används effektivt.
- Kör interna revisioner för att bedöma din fortlöpande efterlevnad.
- Granska revisionsresultat med ledningen.
- Ställ in korrigerande eller förebyggande åtgärder vid behov.
ISO 27001 Snabbguide: Vanliga frågor
Processen och omfattningen av ISO 27001-certifiering kan vara ganska skrämmande, så låt oss täcka några vanliga frågor.
F: Vad är ISO 27001-krav?
A: För att få en ISO 27001-certifiering krävs att en organisation upprätthåller ett ISMS som täcker alla aspekter av standarden. Därefter kan de begära en fullständig granskning från ett certifieringsorgan.
F: Vad betyder det att vara ISO 27001-certifierad?
A: Att vara ISO 27001-certifierad betyder att din organisationen har godkänt den externa revisionen och uppfyllt alla efterlevnadskriterier. Det betyder att du nu kan annonsera om att du uppfyller kraven för att öka ditt cybersäkerhets rykte.
F: Vad är den senaste ISO 27001-standarden?
A: Den senaste standarden är officiellt känd som ISO / IEC 27001: 2013. Den publicerades 2013 som den andra officiella upplagan av ISO 27001. Standarden granskades senast och bekräftades 2019, vilket innebär att inga ändringar krävdes.
F: Är ISO 27001 GDPR-kompatibel?
A: Eftersom ISO 27001 huvudsakligen är ett ramverk för att utveckla ett ISMS, täcker det inte alla de specifika reglerna i den allmänna dataskyddsförordningen (GDPR) som inrättats av Europeiska unionen. När de paras ihop med ISO 27701, som täcker inrättandet av ett dataintegritetssystem, kommer organisationer att kunna uppfylla kraven som anges i GDPR.
F: Vilka är de viktigaste likheterna eller skillnaderna mellan SOX och ISO 27001?
A: ISO 27001 täcker den allmänna hanteringen av information och data, men Sarbanes – Oxley Act (SOX) är specifik för hur finansiell information avslöjas i USA. Lyckligtvis för företag som har ett brett spektrum av datahantering kan intjäning av ISO 27001-certifiering också bidra till att bevisa att SOX-standarder uppfylls.
F: Vad är syftet med andra ISO?
A: ISO upprätthåller en fullständig uppsättning standarder som ligger under ISO 27001. Dessa tar alla begrepp från ramen och dyker in i mer specifika riktlinjer för hur man ska införa bästa praxis inom en organisation.
Resurser
- Grönbok om hur ISO 27001 kan minska cyberrisken
- Webinar om hur man säkerställer en framgångsrik ISO 27001-granskning
- Fallstudier om ISO 27001-efterlevnad
Oavsett storleken på ditt företag eller vilken bransch du arbetar inom, kan det bli en enorm vinst att få ISO 27001-certifiering. Det är dock en utmanande uppgift, så det är viktigt att utnyttja andra intressenter och resurser under ett efterlevnadsprojekt. Med verktyg som Varonis Edge kan du stoppa cyberangrepp innan de når ditt nätverk samtidigt som du visar bevis på att du uppfyller ISO 27001.