Vad betyder ISO 27001?
För det första är det viktigt att notera att det fullständiga namnet på ISO 27001 är ”ISO / IEC 27001 – Informationsteknik – Säkerhetstekniker – Informationssäkerhetshanteringssystem – Krav. ”
Det är den ledande internationella standarden fokuserad på informationssäkerhet, publicerad av International Organization for Standardization (ISO), i samarbete med International Electrotechnical Commission (IEC). Båda är ledande internationella organisationer som utveckla internationella standarder.
ISO-27001 är en del av en uppsättning standarder som utvecklats för att hantera informationssäkerhet: ISO / IEC 27000-serien.
Vad är syftet med ISO 27001?
ISO 27001 utvecklades för att hjälpa organisationer, i alla storlekar eller branscher, att skydda sin information på ett systematiskt och kostnadseffektivt sätt genom antagandet av ett informationssäkerhetshanteringssystem (ISMS).
Varför är ISO 27001 viktigt?
Standarden ger inte bara följeslagare med nödvändig kunskap för att skydda sin mest värdefulla information, men ett företag kan också bli certifierat mot ISO 27001 och på detta sätt bevisa för sina kunder och partners att det skyddar deras data.
Individer kan också bli ISO 27001-certifierade genom att gå på en kurs och klara provet och på detta sätt bevisa sina kunskaper för potentiella arbetsgivare.
Eftersom det är en internationell standard, ISO 27001 är lätt att känna igen över hela världen, vilket ökar affärsmöjligheter för organisationer och yrkesverksamma.
Vilka är de 3 ISMS säkerhetsmålen?
Det grundläggande målet med ISO 27001 är att skydda tre aspekter av information:
- Sekretess: endast behöriga personer har rätt att få tillgång till information.
- Integritet: endast behöriga personer kan ändra informationen.
- Tillgänglighet: informationen måste vara tillgänglig för auktoriserade personer när det behövs.
Vad är ett ISMS?
Ett informationssäkerhetshanteringssystem (ISMS) är ett uppsättning regler som ett företag behöver upprätta för att:
- identifiera intressenter och deras förväntningar på företaget när det gäller informationssäkerhet
- identifiera vilka risker som finns för informationen
- definiera kontroller (skyddsåtgärder) och andra begränsningsmetoder för att möta de identifierade förväntningarna och hantera risker
- sätta tydliga mål för vad som måste uppnås med informationssäkerhet
- implementera alla kontroller och andra metoder för riskhantering
- mäta kontinuerligt om de implementerade kontrollerna fungerar som förväntat
- gör kontinuerlig förbättring för att göra hela ISMS fungerar bättre
Denna uppsättning regler kan skrivas ner i form av policyer, förfaranden och andra typer av dokument, eller så kan det vara i form av etablerade processer och tekniker som inte är dokumenterad. ISO 27001 definierar vilka dokument som krävs, dvs. vilka som måste finnas minst.
Varför behöver vi ISMS?
Det finns fyra viktiga affärsfördelar som ett företag kan uppnå med implementeringen av denna informationssäkerhetsstandard:
Följ lagkraven – det finns ett ständigt ökande antal lagar, förordningar och avtalsmässiga krav relaterade till informationssäkerhet, och de goda nyheterna är att de flesta av dem kan lösas genom att implementera ISO 27001 – den här standarden ger dig den perfekta metoden för att följa dem alla.
Uppnå konkurrensfördel – om ditt företag blir certifierat och dina konkurrenter inte gör det, kan du ha en fördel framför dem i ögonen på de kunder som är känsliga för att hålla sin information säker.
Lägre kostnader – huvudfilosofin i ISO 27001 är att förhindra säkerhetsincidenter – och varje incident, stor eller liten, kostar pengar. Därför, genom att förhindra dem, kommer ditt företag att spara en hel del pengar. Och det bästa av allt – investeringar i ISO 27001 är mycket mindre än de kostnadsbesparingar du får.
Bättre organisation – typiskt, snabbväxande företag har inte tid att stoppa och definiera sina processer och procedurer – som en konsekvens, mycket ofta anställda inte vet vad som behöver göras, när, och av vem. Implementeringen av ISO 27001 hjälper till att lösa sådana situationer, eftersom det uppmuntrar företag att skriva ner sina huvudprocesser (även de som inte är säkerhetsrelaterade), vilket gör det möjligt för dem att minska förlorad tid av sina anställda.
Hur fungerar ISO 27001?
Fokus för ISO 27001 är att skydda konfidentialitet, integritet och tillgänglighet för informationen i ett företag. Detta görs genom att ta reda på vilka potentiella problem som kan hända med informationen (dvs., riskbedömning) och sedan definiera vad som behöver göras för att förhindra att sådana problem uppstår (dvs. riskreducering eller riskbehandling).
Därför bygger huvudfilosofin i ISO 27001 på en process för hantering av risker: ta reda på var riskerna är och behandla dem sedan systematiskt genom implementering av säkerhetskontroller (eller skyddsåtgärder).
ISO 27001 kräver att ett företag listar alla kontroller som ska implementeras i ett dokument som kallas Statement of Applicability.
Vilka är kraven för ISO 27001?
De obligatoriska kraven för ISO 27001 definieras i klausulerna 4 till 10 – detta innebär att alla dessa krav måste implementeras i en organisation om den vill uppfylla standarden. Kontroller från bilaga A får endast genomföras om de förklaras som tillämpliga i tillämpningsförklaringen.
Kraven från avsnitt 4 till 10 kan sammanfattas enligt följande:
Klausul 4: Kontext för organisationen – definierar krav för att förstå externa och interna frågor, intresserade parter och deras krav, och definiera ISMS-omfattning.
Klausul 5: Ledarskap – definierar toppledningsansvar, fastställer roller och ansvarsområden och innehållet i toppnivå för informationssäkerhetspolicy.
Klausul 6: Planering – definierar krav för riskbedömning, riskbehandling, redogörelse för tillämplighet, riskbehandlingsplan och ställer informationssäkerhetsmål.
Klausul 7: Support – definierar krav för tillgång till resurser, kompetenser, medvetenhet, kommunikation och kontroll av dokument och register.
Klausul 8: Operation – definierar implementeringen av riskbedömning och behandling samt kontroller och andra processer som behövs för att uppnå informationssäkerhetsmål.
Klausul 9: Prestationsutvärdering – definierar krav för övervakning, mätning, analys, utvärdering, internrevision och ledningsgranskning.
Klausul 10: Förbättring – definierar krav på avvikelser, korrigeringar, korrigerande åtgärder och kontinuerlig förbättring.
Vilka är de 14 domänerna i ISO 27001?
Där är 14 ”domäner” listade i bilaga A till ISO 27001, organiserade i avsnitten A.5 till A.18. Avsnitten täcker följande:
A.5 Informationssäkerhetspolicyer: Kontrollerna i detta avsnitt beskriva hur man hanterar informationssäkerhetspolicyer.
A.6 Organisation av informationssäkerhet: Kontrollerna i detta avsnitt ger grundläggande ramverk för implementering och drift av informationssäkerhet genom att definiera dess interna organisation (t.ex. roller , ansvarsområden etc.) och genom de organisatoriska aspekterna av informationssäkerhet, som projektledning, användning av mobila enheter och distansarbete.
A.7 Personalresurssäkerhet: Kontrollerna i detta avsnitt säkerställer att personer som är under organisationens kontroll anlitas, utbildas och hanteras på ett säkert sätt. också pr disciplinåtgärder och uppsägning av avtalen tas upp.
A.8. Tillgångshantering: Kontrollerna i det här avsnittet säkerställer att informationssäkerhetstillgångar (t.ex. information, bearbetningsenheter, lagringsenheter etc.) identifieras, att ansvar för deras säkerhet anges och att människor vet hur de ska hantera dem enligt fördefinierad klassificering. nivåer.
A.9. Åtkomstkontroll: Kontrollerna i detta avsnitt begränsar tillgången till information och informationstillgångar enligt verkliga affärsbehov. Kontrollerna är för både fysisk och logisk åtkomst.
A.10. Kryptografi: Kontrollerna i detta avsnitt utgör grunden för korrekt användning av krypteringslösningar för att skydda konfidentialitet, äkthet och / eller integritet hos information.
A.11. Fysisk och miljösäkerhet: Kontrollerna i detta avsnitt förhindrar obehörig tillgång till fysiska områden och skyddar utrustning och anläggningar från att påverkas av mänskliga eller naturliga ingripanden.
A.12. Operationssäkerhet: Kontrollerna i detta avsnitt säkerställer att IT-systemen, inklusive operativsystem och programvara, är säkra och skyddade mot dataförlust. Dessutom kräver kontroller i detta avsnitt medel för att registrera händelser och generera bevis, periodisk verifiering av sårbarheter och vidta försiktighetsåtgärder för att förhindra att revisionsaktiviteter påverkar verksamheten.
A.13. Kommunikationssäkerhet: Kontrollerna i detta avsnitt skyddar nätverksinfrastrukturen och tjänsterna, liksom informationen som färdas genom dem.
A.14. Systemförvärv, utveckling och underhåll: Kontrollerna i detta avsnitt säkerställer att informationssäkerhet beaktas vid köp av nya informationssystem eller uppgradering av befintliga.
A.15.Leverantörsrelationer: Kontrollerna i det här avsnittet säkerställer att outsourcade aktiviteter som utförs av leverantörer och partners också använder lämpliga informationssäkerhetskontroller och de beskriver hur man övervakar säkerhetsprestanda från tredje part.
A.16. Hantering av informationssäkerhetsincidenter: Kontrollerna i detta avsnitt ger en ram för att säkerställa korrekt kommunikation och hantering av säkerhetshändelser och incidenter, så att de kan lösas i rätt tid. de definierar också hur man bevarar bevis, samt hur man lär sig av incidenter för att förhindra att de upprepas.
A.17. Informationssäkerhetsaspekter av företagskontinuitetshantering: Kontrollerna i detta avsnitt säkerställer kontinuiteten i informationssäkerhetshanteringen under störningar och tillgängligheten av informationssystem.
A.18. Överensstämmelse: Kontrollerna i detta avsnitt ger en ram för att förhindra lagliga, lagstadgade, reglerande och avtalsmässiga överträdelser och granska om informationssäkerhet implementeras och är effektiv enligt de definierade policyer, förfaranden och krav i ISO 27001-standarden.
En närmare titt på dessa domäner visar oss att hantering av informationssäkerhet inte bara handlar om IT-säkerhet (dvs. brandväggar, antivirus etc.) utan också om hantering av processer, rättsligt skydd, hantering av mänskliga resurser, fysisk skydd osv.
Vilka är ISO 27001-kontrollerna?
ISO 27001-kontrollerna (även kända som skyddsåtgärder) är de metoder som ska genomföras för att minska riskerna till acceptabla nivåer. Kontroller kan vara tekniska, organisatoriska, juridiska, fysiska, mänskliga, etc.
Hur många kontroller finns det i ISO 27001?
ISO 27001 Bilaga A listar 114 kontroller organiserade i de 14 sektionerna numrerad A.5 till A.18 som anges ovan.
Hur implementerar du ISO 27001-kontroller?
Tekniska kontroller implementeras främst i informationssystem med programvara, hårdvara och firmwarekomponenter läggs till i systemet. T.ex. säkerhetskopiering, antivirusprogram osv.
Organisatoriska kontroller implementeras genom att definiera regler som ska följas och förväntat beteende från användare, utrustning, programvara och system. T.ex. Åtkomstkontrollpolicy, BYOD-policy etc.
Juridiska kontroller genomförs genom att säkerställa att regler och förväntat beteende följer och verkställer de lagar, förordningar, kontrakt och andra liknande rättsliga instrument som organisationen måste följa. T.ex. NDA (sekretessavtal), SLA (servicenivåavtal) etc.
Fysiska kontroller implementeras främst med hjälp av utrustning eller enheter som har en fysisk interaktion med människor och objekt. T.ex. CCTV-kameror, larmsystem, lås osv.
Personalstyrning genomförs genom att ge kunskap, utbildning, färdigheter eller erfarenhet till personer så att de kan utföra sina aktiviteter på ett säkert sätt. T.ex. utbildning i säkerhetsmedvetenhet, utbildning i intern revisor enligt ISO 27001, etc.
ISO 27001 obligatoriska dokument
ISO 27001 specificerar en minsta uppsättning policyer, procedurer, planer, register och annan dokumenterad information som behövs för att bli kompatibel.
ISO 27001 kräver att följande dokument skrivs:
Och detta är obligatoriska poster:
Naturligtvis kan ett företag besluta att skriva ytterligare säkerhetsdokument om den finner det nödvändigt.
För att se en mer detaljerad förklaring av vart och ett av dessa dokument, ladda ner den kostnadsfria vitboken Checklista för obligatorisk dokumentation som krävs enligt ISO 27001 (Revision 2013).
Hur mycket kostar ISO 27001 ?
Kostnaderna för implementering och certifiering av ISMS beror på ISMS-omfattningens storlek och komplexitet, som varierar från organisation till organisation. Kostnaden beror också på de lokala priserna på de olika tjänsterna du kommer att använda för implementeringen.
I stort sett är det några av de kostnader du bör tänka på:
- Utbildning och litteratur
- Externt bistånd
- Teknik ska uppdateras / genomföras
- Anställdas ansträngning och tid
- Certifieringsorganets kostnad
För att se en mer detaljerad förklaring av certifieringen kostnader, ladda ner den kostnadsfria vitboken Hur budgetar jag ett ISO 27001-implementeringsprojekt.
Vad är ”ISO 27001-certifierat”?
Ett företag kan välja ISO 27001-certifiering genom att bjuda in en ackrediterad certifieringsorgan för att utföra certifieringsgranskningen och, om granskningen lyckas, att utfärda ISO 27001-certifikatet till företaget. Detta certifikat kommer att innebära att företaget helt uppfyller ISO 27001-standarden.
En individ kan gå till ISO 27001-certifiering genom att gå igenom ISO 27001-utbildning och klara provet. Detta certifikat kommer att innebära att denna person har förvärvat lämpliga färdigheter under kursen.
Hur länge gäller ISO 27001 för en gång certifierad?
När ett certifieringsorgan utfärdar ett ISO 27001-certifikat till ett företag är det giltigt i en period av tre år, under vilket certifieringsorganet kommer att utföra övervakningsrevisioner för att utvärdera om organisationen upprätthåller ISMS på rätt sätt. och vid behov förbättringar genomförs i god tid.
Vilka företag är ISO 27001-certifierade?
ISO.org-webbplatsen ger en allmän översikt över certifierade organisationer, kategoriserade efter bransch, land, antal webbplatser etc. Du hittar ISO-undersökning på den här länken: https://www.iso.org/the-iso-survey.html.
För att kontrollera om ett visst företag är ISO 27001-certifierat måste du kontakta certifieringsorganet, eftersom det inte finns någon officiell centraliserad databas över certifierade företag.
Kan en person vara ISO-certifierad?
Ja, en individ kan bli ISO 27001-certifierad genom att delta i en eller flera av följande utbildningar och genom att passera examen:
- ISO 27001 Lead Implementer Course – denna utbildning är avsedd för avancerade utövare och konsulter.
- ISO 27001 Lead Auditor Course – denna utbildning är avsedd för revisorer i certifiering organ och för konsulter.
- ISO 27001 Intern revisorkurs – den här utbildningen är avsedd för personer som ska utföra interna revisioner i sitt företag.
- ISO 27001 Foundations Course – den här utbildningen är avsedd för personer som vill lära sig grunderna i standarden och de viktigaste stegen i implementeringen.
Vilka är ISO 27000-standarderna?
Eftersom det definierar kraven för ett ISMS är ISO 27001 den viktigaste standarden i ISO 27000-standardfamiljen. Men eftersom det huvudsakligen definierar vad som behövs men inte specificerar hur man gör det har flera andra informationssäkerhetsstandarder utvecklats för att ge ytterligare vägledning. För närvarande finns det mer än 40 standarder i ISO27k-serien, och de vanligaste är följande:
ISO / IEC 27000 tillhandahåller termer och definitioner som används i ISO 27k-serien.
ISO / IEC 27002 ger riktlinjer för implementering av kontroller listade i ISO 27001 bilaga A. Det kan vara ganska användbart, eftersom det ger detaljer om hur dessa kontroller ska implementeras.
ISO / IEC 27004 ger riktlinjer för mätning av informationssäkerhet – det passar bra med ISO 27001, eftersom det förklarar hur man avgör om ISMS har uppnått sina mål.
ISO / IEC 27005 ger riktlinjer för informationssäkerhetshantering. Det är ett mycket bra komplement till ISO 27001, eftersom det ger detaljer om hur man gör riskbedömning och riskbehandling, förmodligen det svåraste steget i implementeringen.
ISO / IEC 27017 ger riktlinjer för informationssäkerhet i molnmiljöer.
ISO / IEC 27018 ger riktlinjer för skydd av integritet i molnmiljöer.
ISO / IEC 27031 ger riktlinjer för vad man ska tänka på när man utvecklar affärskontinuitet för informations- och kommunikationsteknik (IKT). Den här standarden är en bra länk mellan informationssäkerhet och verksamhetskontinuitetspraxis.
Vad är den nuvarande versionen av ISO 27001?
Från och med publiceringsdatumet för denna artikel är den nuvarande versionen av ISO 27001 är ISO / IEC 27001: 2013.
Den första versionen av ISO 27001 släpptes 2005 (ISO / IEC 27001: 2005), den andra versionen 2013 och standarden granskades senast 2019 , när 2013-versionen bekräftades (dvs. inga ändringar behövdes).
Det är viktigt att notera att olika länder som är medlemmar i ISO kan översätta standarden till sina egna språk och göra mindre tillägg (t.ex. , nationella förord) som inte påverkar innehållet i den internationella versionen av standarden. Dessa ”versioner” har ytterligare bokstäver för att skilja dem från den internationella standarden, t.ex. anger NBR ISO / IEC 27001 den ”brasilianska versionen”, medan BS ISO / IEC 27001 betecknar den ”brittiska versionen.” Dessa lokala versioner av standarden innehåller också året då de antogs av det lokala standardiseringsorganet, så den senaste brittiska versionen är BS EN ISO / IEC 27001: 2017, vilket innebär att ISO / IEC 27001: 2013 antogs av British Standards Institution 2017.
Vad är skillnaden mellan ISO 27001 och 27002?
ISO 27001 definierar kraven för ett informationssäkerhetshanteringssystem (ISMS), medan ISO 27002 ger vägledning om implementeringen av kontroller från ISO 27001 bilaga A.
Med andra ord, för varje kontroll ger ISO 27001 bara en kort beskrivning, medan ISO 27002 ger detaljerad vägledning.
Vad är skillnaden mellan NIST och ISO 27001?
Även om ISO 27001 är en internationell standard är NIST en amerikansk myndighet som främjar och upprätthåller mätstandarder i USA – bland dem SP 800-serien, en uppsättning dokument som specificerar bästa praxis för informationssäkerhet.
Även om de inte är desamma, kan NIST SP 800-serien och ISO 27001 användas tillsammans för implementering av informationssäkerhet.
Är ISO 27001 obligatoriskt?
I de flesta länder är implementering av ISO 27001 inte obligatorisk. Vissa länder har emellertid publicerat föreskrifter som kräver att vissa branscher implementerar ISO 27001.
För att avgöra om ISO 27001 är obligatoriskt eller inte för ditt företag, bör du söka juridisk rådgivning i det land där du verkar.
Vilka är ISO 27001-kontrollerna?
Offentliga och privata organisationer kan definiera efterlevnad av ISO 27001 som ett rättsligt krav i sina kontrakt och serviceavtal med sina leverantörer. Vidare, som nämnts ovan, kan länder definiera lagar eller förordningar som förvandlar antagandet av ISO 27001 till ett lagligt krav som ska uppfyllas av de organisationer som verkar inom deras territorium.
För att lära dig mer om EU: s GDPR och varför den är tillämplig på hela världen, se den här artikeln.