Hva er ISO 27001? Rask og enkel forklaring.

Grunnleggende

Hva er meningen med ISO 27001?

Først er det viktig å merke seg at det fulle navnet på ISO 27001 er «ISO / IEC 27001 – Informasjonsteknologi – Sikkerhetsteknikker – Informasjonssikkerhetsstyringssystemer – Krav. ”

Det er den ledende internasjonale standarden fokusert på informasjonssikkerhet, utgitt av International Organization for Standardization (ISO), i samarbeid med International Electrotechnical Commission (IEC). Begge er ledende internasjonale organisasjoner som utvikle internasjonale standarder.

ISO-27001 er en del av et sett med standarder utviklet for å håndtere informasjonssikkerhet: ISO / IEC 27000-serien.

Hva er formålet med ISO 27001?

ISO 27001 ble utviklet for å hjelpe organisasjoner, uansett størrelse eller hvilken som helst bransje, med å beskytte informasjonen deres på en systematisk og kostnadseffektiv måte, ved å ta i bruk et ISMS (Information Security Management System).

Hvorfor er ISO 27001 viktig?

Ikke bare gir standarden følgesvenn med den nødvendige kunnskapen for å beskytte sin mest verdifulle informasjon, men et selskap kan også bli sertifisert mot ISO 27001 og på denne måten bevise overfor sine kunder og partnere at det beskytter dataene deres.

Enkeltpersoner kan også få ISO 27001-sertifisering ved å delta på et kurs og bestå eksamen og på denne måten bevise sine ferdigheter for potensielle arbeidsgivere.

Fordi det er en internasjonal standard, ISO 27001 er lett gjenkjent over hele verden, noe som øker forretningsmulighetene for organisasjoner og fagpersoner.

Hva er de 3 ISMS sikkerhetsmålene?

Det grunnleggende målet med ISO 27001 er å beskytte tre aspekter ved informasjon:

  • Konfidensialitet: bare autoriserte personer har rett til tilgang til informasjon.
  • Integritet: bare autoriserte personer kan endre informasjonen.
  • Tilgjengelighet: informasjonen må være tilgjengelig for autoriserte personer når det er nødvendig.

Hva er et ISMS?

Et informasjonssikkerhetsstyringssystem (ISMS) er et sett med regler som et selskap trenger å etablere for å:

  1. identifisere interessenter og deres forventninger til selskapet når det gjelder informasjonssikkerhet
  2. identifisere hvilke risikoer som finnes for informasjonen
  3. definere kontroller (beskyttelsesforanstaltninger) og andre avbøtende metoder for å oppfylle de identifiserte forventningene og håndtere risikoer
  4. sette klare mål for hva som må oppnås med informasjonssikkerhet
  5. implementere alle kontrollene og andre risikobehandlingsmetoder
  6. måle kontinuerlig om de implementerte kontrollene fungerer som forventet
  7. gjøre kontinuerlig forbedring for å gjøre hele ISMS fungerer bedre

Dette settet med regler kan skrives ned i form av policyer, prosedyrer og andre typer dokumenter, eller det kan være i form av etablerte prosesser og teknologier som ikke er dokumentert. ISO 27001 definerer hvilke dokumenter som kreves, dvs. hvilke som må eksistere i det minste.

Hvorfor trenger vi ISMS?

Det er fire viktige forretningsfordeler som et selskap kan oppnå med implementeringen av denne informasjonssikkerhetsstandarden:

Overhold juridiske krav – det er et stadig økende antall lover, forskrifter og kontraktskrav knyttet til informasjonssikkerhet, og den gode nyheten er at de fleste av dem kan løses ved å implementere ISO 27001 – denne standarden gir deg den perfekte metoden for å overholde dem alle.

Oppnå konkurransefortrinn – hvis firmaet ditt blir sertifisert og konkurrentene dine ikke gjør det, kan du ha en fordel i forhold til dem i kundene som er følsomme med hensyn til å holde informasjonen deres trygg.

Lavere kostnader – hovedfilosofien i ISO 27001 er å forhindre at sikkerhetshendelser skjer – og hver hendelse, stor som liten, koster penger. Derfor, ved å forhindre dem, vil firmaet ditt spare ganske mye penger. Og det beste av alt – investering i ISO 27001 er langt mindre enn kostnadsbesparelsene du oppnår.

Bedre organisering – typisk, raskt voksende selskaper har ikke tid til å stoppe og definere sine prosesser og prosedyrer – som en konsekvens, ofte vet ikke de ansatte hva som må gjøres når, og av hvem. Implementering av ISO 27001 hjelper til med å løse slike situasjoner, fordi det oppfordrer selskaper til å skrive ned sine hovedprosesser (selv de som ikke er sikkerhetsrelaterte), slik at de kan redusere tapt tid av sine ansatte.

Hvordan fungerer ISO 27001?

Fokuset med ISO 27001 er å beskytte konfidensialiteten, integriteten og tilgjengeligheten av informasjonen i et selskap. Dette gjøres ved å finne ut hvilke potensielle problemer som kan skje med informasjonen (dvs., risikovurdering), og deretter definere hva som må gjøres for å forhindre at slike problemer oppstår (dvs. risikoreduserende eller risikobehandling).

Hovedfilosofien til ISO 27001 er derfor basert på en prosess for å håndtere risiko: Finn ut hvor risikoen er, og behandle dem deretter systematisk gjennom implementering av sikkerhetskontroller (eller garantier).

ISO 27001 krever at et selskap oppgir alle kontroller som skal implementeres i et dokument kalt Statement of Applicability.

Krav & sikkerhetskontroller

Hva er kravene til ISO 27001?

De obligatoriske kravene til ISO 27001 er definert i paragrafene 4 til 10 – dette betyr at alle disse kravene må implementeres i en organisasjon hvis den vil være i samsvar med standarden. Kontroller fra vedlegg A må bare implementeres hvis de erklæres som gjeldende i anvendelseserklæringen.

Kravene fra avsnitt 4 til 10 kan oppsummeres som følger:

Klausul 4: Kontekst av organisasjonen – definerer krav for å forstå eksterne og interne problemer, interesserte parter og deres krav, og definere ISMS-omfanget.

Klausul 5: Ledelse – definerer toppledelsesansvar, angir roller og ansvar og innholdet i toppnivå policy for informasjonssikkerhet.

Klausul 6: Planlegging – definerer krav til risikovurdering, risikobehandling, erklæring om anvendbarhet, risikobehandlingsplan, og setter informasjonssikkerhetsmål.

Klausul 7: Støtte – definerer krav for tilgjengelighet av ressurser, kompetanse, bevissthet, kommunikasjon og kontroll av dokumenter og poster.

Klausul 8: Drift – definerer implementering av risikovurdering og behandling, samt kontroller og andre prosesser som er nødvendige for å nå målene for informasjonssikkerhet.

Klausul 9: Resultatevaluering – definerer krav til overvåking, måling, analyse, evaluering, internrevisjon og ledelsesgjennomgang.

Klausul 10: Forbedring – definerer krav til avvik, korreksjoner, korrigerende handlinger og kontinuerlig forbedring.

Hva er de 14 domenene i ISO 27001?

Der er 14 «domener» oppført i vedlegg A i ISO 27001, organisert i avsnitt A.5 til A.18. Seksjonene dekker følgende:

A.5 Informasjonssikkerhetspolicyer: Kontrollene i denne delen beskrive hvordan man skal håndtere informasjonssikkerhetspolitikk.

A.6 Organisering av informasjonssikkerhet: Kontrollene i denne delen gir grunnleggende rammeverk for implementering og drift av informasjonssikkerhet ved å definere den interne organisasjonen (f.eks. roller , ansvar osv.), og gjennom de organisatoriske aspektene ved informasjonssikkerhet, som prosjektledelse, bruk av mobile enheter og fjernarbeid.

A.7 Human resource security: Kontrollene i denne delen sørger for at folk som er under organisasjonens kontroll blir ansatt, trent og ledet på en sikker måte; også, pr disiplinære tiltak og avslutning av avtalene blir adressert.

A.8. Kapitaladministrasjon: Kontrollene i denne delen sørger for at informasjonssikkerhetsaktiver (f.eks. Informasjon, prosesseringsenheter, lagringsenheter osv.) Blir identifisert, at ansvar for deres sikkerhet blir utpekt, og at folk vet hvordan de skal håndtere dem i henhold til forhåndsdefinert klassifisering. nivåer.

A.9. Adgangskontroll: Kontrollene i dette avsnittet begrenser tilgangen til informasjon og informasjon i henhold til reelle forretningsbehov. Kontrollene er for både fysisk og logisk tilgang.

A.10. Kryptografi: Kontrollene i denne seksjonen gir grunnlag for riktig bruk av krypteringsløsninger for å beskytte konfidensialitet, ekthet og / eller integritet av informasjon.

A.11. Fysisk og miljømessig sikkerhet: Kontrollene i dette avsnittet forhindrer uautorisert tilgang til fysiske områder, og beskytter utstyr og fasiliteter fra å bli kompromittert av menneskelig eller naturlig inngripen.

A.12. Driftssikkerhet: Kontrollene i denne delen sørger for at IT-systemene, inkludert operativsystemer og programvare, er sikre og beskyttet mot tap av data. I tillegg krever kontroller i denne delen midler til å registrere hendelser og generere bevis, periodisk verifisering av sårbarheter, og ta forholdsregler for å forhindre at revisjonsaktiviteter påvirker driften.

A.13. Kommunikasjonssikkerhet: Kontrollene i denne delen beskytter nettverksinfrastrukturen og tjenestene, samt informasjonen som beveger seg gjennom dem.

A.14. Anskaffelse, utvikling og vedlikehold av systemet: Kontrollene i denne delen sørger for at informasjonssikkerhet tas i betraktning når du kjøper nye informasjonssystemer eller oppgraderer de eksisterende.

A.15.Leverandørrelasjoner: Kontrollene i denne delen sørger for at outsourcede aktiviteter utført av leverandører og partnere også bruker passende informasjonssikkerhetskontroller, og de beskriver hvordan du overvåker tredjeparts sikkerhetsytelse.

A.16. Administrasjon av informasjonssikkerhetshendelser: Kontrollene i denne delen gir et rammeverk for å sikre riktig kommunikasjon og håndtering av sikkerhetshendelser og hendelser, slik at de kan løses i tide. de definerer også hvordan bevis skal bevares, samt hvordan man kan lære av hendelser for å forhindre gjentakelse.

A.17. Informasjonssikkerhetsaspekter ved forretningskontinuitetsadministrasjon: Kontrollene i dette avsnittet sikrer kontinuitet i informasjonssikkerhetsstyring under forstyrrelser, og tilgjengeligheten av informasjonssystemer.

A.18. Overholdelse: Kontrollene i dette avsnittet gir et rammeverk for å forhindre juridiske, lovbestemte, regulatoriske og kontraktsmessige brudd, og revidere om informasjonssikkerhet er implementert og er effektiv i henhold til de definerte retningslinjene, prosedyrene og kravene i ISO 27001-standarden.

En nærmere titt på disse domenene viser oss at administrasjon av informasjonssikkerhet ikke bare handler om IT-sikkerhet (dvs. brannmurer, antivirus osv.), men også om administrering av prosesser, juridisk beskyttelse, administrasjon av menneskelige ressurser, fysisk beskyttelse osv.

Hva er ISO 27001-kontrollene?

ISO 27001-kontrollene (også kjent som garantier) er fremgangsmåter som skal implementeres for å redusere risikoen til akseptable nivåer. Kontroller kan være tekniske, organisatoriske, juridiske, fysiske, menneskelige osv.

Hvor mange kontroller er det i ISO 27001?

ISO 27001 Vedlegg A viser 114 kontroller organisert i de 14 seksjonene nummerert A.5 til og med A.18 som er oppført ovenfor.

Hvordan implementerer du ISO 27001-kontroller?

Tekniske kontroller implementeres primært i informasjonssystemer, ved hjelp av programvare, maskinvare og firmwarekomponenter. lagt til systemet. F.eks. backup, antivirusprogramvare osv.

Organisasjonskontroller implementeres ved å definere regler som skal følges, og forventet oppførsel fra brukere, utstyr, programvare og systemer. F.eks. Retningslinjer for tilgangskontroll, BYOD-policy osv.

Juridiske kontroller implementeres ved å sikre at regler og forventet atferd følger og håndhever lover, forskrifter, kontrakter og andre lignende juridiske instrumenter som organisasjonen må overholde. F.eks. NDA (taushetsavtale), SLA (servicenivåavtale) osv.

Fysiske kontroller implementeres primært ved å bruke utstyr eller enheter som har en fysisk interaksjon med mennesker og gjenstander. F.eks. CCTV-kameraer, alarmsystemer, låser osv.

Menneskelige ressurskontroller implementeres ved å gi kunnskap, utdanning, ferdigheter eller erfaring til personer slik at de kan utføre sine aktiviteter på en sikker måte. F.eks. opplæring i sikkerhetsbevissthet, opplæring i intern revisor i ISO 27001, etc.

Implementering & sertifisering

ISO 27001 obligatoriske dokumenter

ISO 27001 spesifiserer et minimumssett med retningslinjer, prosedyrer, planer, poster og annen dokumentert informasjon som er nødvendig for å bli kompatibel.

ISO 27001 krever at følgende dokumenter skrives:

Og dette er obligatoriske poster:

Selvfølgelig kan et selskap bestemme seg for å skrive ytterligere sikkerhetsdokumenter hvis den finner det nødvendig.

Hvis du vil se en mer detaljert forklaring på hvert av disse dokumentene, kan du laste ned den gratis hvitboksjekklisten for obligatorisk dokumentasjon som kreves av ISO 27001 (revisjon 2013).

Hvor mye koster ISO 27001 ?

Kostnadene ved implementering og sertifisering av ISMS vil avhenge av størrelsen og kompleksiteten i ISMS-omfanget, som varierer fra organisasjon til organisasjon. Kostnaden vil også avhenge av de lokale prisene på de forskjellige tjenestene du vil bruke til implementeringen.

Generelt sett er dette noen av kostnadene du bør vurdere:

  • Opplæring og litteratur
  • Ekstern bistand
  • Technologies skal oppdateres / implementeres
  • Ansattes innsats og tid
  • Kostnaden for sertifiseringsorganet

For å se en mer detaljert forklaring av sertifiseringen kostnadene, last ned gratis papirboken Hvordan budsjettere et ISO 27001 implementeringsprosjekt.

Hva er «ISO 27001-sertifisert»?

Et selskap kan gå for ISO 27001-sertifisering ved å invitere en akkreditert sertifiseringsorgan for å utføre sertifiseringsrevisjonen og, hvis tilsynet lykkes, å utstede ISO 27001-sertifikatet til selskapet. Dette sertifikatet vil bety at selskapet er i full overensstemmelse med ISO 27001-standarden.

En person kan gå for ISO 27001-sertifisering ved å gå gjennom ISO 27001-opplæring og bestå eksamen. Dette sertifikatet vil bety at denne personen har tilegnet seg de riktige ferdighetene i løpet av kurset.

Hvor lenge er ISO 27001 gyldig for en gang sertifisert?

Når et sertifiseringsorgan utsteder et ISO 27001-sertifikat til et selskap, er det gyldig i en periode på tre år, hvor sertifiseringsorganet vil utføre overvåkingskontroller for å evaluere om organisasjonen opprettholder ISMS på riktig måte, og om nødvendig forbedringer blir implementert i god tid.

Hvilke selskaper er ISO 27001-sertifiserte?

Nettstedet ISO.org gir en generell oversikt over sertifiserte organisasjoner, kategorisert etter bransje, land, antall nettsteder osv. Du finner ISO-undersøkelse på denne lenken: https://www.iso.org/the-iso-survey.html.

For å sjekke om et bestemt selskap er ISO 27001-sertifisert, må du kontakte sertifiseringsorganet, fordi det ikke er noen offisiell sentralisert database med sertifiserte selskaper.

Kan en person være ISO-sertifisert?

Ja, en person kan bli ISO 27001-sertifisert ved å delta på en eller flere av følgende treninger og ved å passere eksamenen:

  • ISO 27001 Lead Implementer Course – denne opplæringen er ment for avanserte utøvere og konsulenter.
  • ISO 27001 Lead Auditor Course – denne opplæringen er ment for revisorer i sertifisering organer og for konsulenter.
  • ISO 27001 internt revisorkurs – denne opplæringen er ment for personer som skal utføre interne revisjoner i deres selskap.
  • ISO 27001 Foundations Course – denne opplæringen er ment for folk som ønsker å lære det grunnleggende om standarden, og hovedtrinnene i implementeringen.
ISO 27k-serien av standarder

Hva er ISO 27000-standardene?

Fordi den definerer kravene til et ISMS, er ISO 27001 hovedstandarden i ISO 27000-standardfamilien. Men fordi den hovedsakelig definerer hva som er nødvendig, men ikke spesifiserer hvordan du skal gjøre det, er det utviklet flere andre standarder for informasjonssikkerhet for å gi ytterligere veiledning. For tiden er det mer enn 40 standarder i ISO27k-serien, og de mest brukte er som følger:

ISO / IEC 27000 gir termer og definisjoner som brukes i ISO 27k-serien.

ISO / IEC 27002 gir retningslinjer for implementering av kontroller oppført i ISO 27001 vedlegg A. Det kan være ganske nyttig, fordi det gir detaljer om hvordan du implementerer disse kontrollene.

ISO / IEC 27004 gir retningslinjer for måling av informasjonssikkerhet – det passer godt med ISO 27001, fordi det forklarer hvordan man kan avgjøre om ISMS har oppnådd sine mål.

ISO / IEC 27005 gir retningslinjer for risikostyring for informasjonssikkerhet. Det er et veldig godt supplement til ISO 27001, fordi det gir detaljer om hvordan du utfører risikovurdering og risikobehandling, sannsynligvis det vanskeligste stadiet i implementeringen.

ISO / IEC 27017 gir retningslinjer for informasjonssikkerhet i skymiljøer.

ISO / IEC 27018 gir retningslinjer for beskyttelse av personvern i skymiljøer.

ISO / IEC 27031 gir retningslinjer for hva du bør vurdere når du utvikler forretningskontinuitet for informasjons- og kommunikasjonsteknologi (IKT). Denne standarden er en flott kobling mellom informasjonssikkerhet og forretningskontinuitetspraksis.

Hva er den nåværende versjonen av ISO 27001?

Fra og med publiseringsdatoen for denne artikkelen er den nåværende versjonen av ISO 27001 er ISO / IEC 27001: 2013.

Den første versjonen av ISO 27001 ble utgitt i 2005 (ISO / IEC 27001: 2005), den andre versjonen i 2013, og standarden ble sist gjennomgått i 2019 , da 2013-versjonen ble bekreftet (dvs. at det ikke var behov for endringer).

Det er viktig å merke seg at forskjellige land som er medlemmer av ISO kan oversette standarden til sine egne språk, og gjøre mindre tillegg (f.eks. , nasjonale forord) som ikke påvirker innholdet i den internasjonale versjonen av standarden. Disse «versjonene» har flere bokstaver for å skille dem fra den internasjonale standarden, f.eks. Betegner NBR ISO / IEC 27001 den «brasilianske versjonen», mens BS ISO / IEC 27001 betegner den «britiske versjonen.» Disse lokale versjonene av standarden inneholder også året da de ble vedtatt av det lokale standardiseringsorganet, så den siste britiske versjonen er BS EN ISO / IEC 27001: 2017, noe som betyr at ISO / IEC 27001: 2013 ble vedtatt av British Standards Institution i 2017.

Hva er forskjellen mellom ISO 27001 og 27002?

ISO 27001 definerer kravene til et informasjonssikkerhetsstyringssystem (ISMS), mens ISO 27002 gir veiledning om implementeringen av kontroller fra ISO 27001 vedlegg A.

Med andre ord, for hver kontroll gir ISO 27001 bare en kort beskrivelse, mens ISO 27002 gir detaljert veiledning.

Hva er forskjellen mellom NIST og ISO 27001?

Selv om ISO 27001 er en internasjonal standard, er NIST et amerikansk myndighet som fremmer og opprettholder målestandarder i USA – blant dem SP 800-serien, et sett med dokumenter som spesifiserer beste praksis for informasjonssikkerhet.

Selv om de ikke er de samme, kan NIST SP 800-serien og ISO 27001 brukes sammen for implementering av informasjonssikkerhet.

Er ISO 27001 obligatorisk?

I de fleste land er implementering av ISO 27001 ikke obligatorisk. Noen land har imidlertid publisert forskrifter som krever at enkelte bransjer implementerer ISO 27001.

For å avgjøre om ISO 27001 er obligatorisk eller ikke for ditt firma, bør du søke ekspertrådgivning i landet der du opererer.

Hva er ISO 27001-kontrollene?

Offentlige og private organisasjoner kan definere samsvar med ISO 27001 som et lovkrav i sine kontrakter og tjenesteavtaler med sine leverandører. Videre, som nevnt ovenfor, kan land definere lover eller forskrifter som gjør vedtakelsen av ISO 27001 til et lovkrav som skal oppfylles av organisasjonene som opererer på deres territorium.

For å lære mer om EUs GDPR og hvorfor den gjelder for hele verden, se denne artikkelen.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *