Andrea Giesler | 2019. június 3.

Az ISO 27001 szabvány követelményeket és struktúra, amely útmutatást nyújt az információbiztonsági irányítási rendszer (ISMS) megvalósításához. Irányítási rendszerként az ISO 27001 a folyamatos fejlesztésen alapul – ebben a cikkben többet megtudhat arról, hogyan tükrözik ezt az ISO 27001 követelményei és szerkezete.

A szabvány két fő része

A szabvány két részre oszlik. Az első, fő rész 11 tagmondatból áll (0-10). Az A. mellékletnek nevezett második rész iránymutatást ad 114 ellenőrzési célhoz és ellenőrzéshez. A 0–3. Szakasz (Bevezetés, Hatókör, Normatív hivatkozások, Fogalmak és meghatározások) meghatározza az ISO 27001 szabvány bevezetését. A következő 4–10. Szakasz, amelyek előírják az ISO 27001 követelményeit, amelyek kötelezőek, ha a vállalat megfelelni kíván a szabványnak, ebben a cikkben részletesebben megvizsgálásra kerülnek.

A szabvány A. melléklete támogatja az alábbiakat: záradékok és követelményeik olyan ellenőrzések listájával, amelyek nem kötelezőek, de amelyeket a kockázatkezelési folyamat részeként választanak ki. További információért olvassa el az ISO 27001 alaplogikája: Hogyan működik az információbiztonság című cikket.

4. szakasz: A szervezet kontextusa

Az Információbiztonsági Menedzsment Rendszer sikeres megvalósításának egyik előfeltétele a szervezet kontextusának megértése. Meg kell határozni és figyelembe kell venni a külső és belső kérdéseket, valamint az érdekelt feleket. A követelmények tartalmazhatnak szabályozási kérdéseket, de túlmutathatnak rajta is.

Ezt szem előtt tartva a szervezetnek meg kell határoznia az ISMS hatókörét. Mennyire alkalmazzák az ISO 27001-et a vállalatra?

További információ a szervezet kontextusáról a cikkekben: Hogyan definiálható a szervezet kontextusa az ISO 27001 szerint, Hogyan lehet azonosítani az érdekelt feleket az ISO 27001 szerint és az ISO 22301, valamint az ISMS hatókörének meghatározása.

5. szakasz: Vezetés

Az ISO 27001 követelményei a megfelelő vezetésre sokrétűek. A felső vezetés elkötelezettsége kötelező a menedzsment rendszer számára. A célokat a szervezet stratégiai céljainak megfelelően kell meghatározni. Az ISMS-hez szükséges erőforrások biztosítása, valamint az ISMS-hez való hozzájárulás támogatása további példák a teljesítendő kötelezettségekre.

Ezenkívül a felső vezetésnek az információbiztonságnak megfelelő politikát kell kialakítania. Ezt a házirendet dokumentálni kell, valamint a szervezeten belül és az érdekelt felekkel közölni kell.

A szerepeket és felelősségeket is meg kell jelölni annak érdekében, hogy megfeleljenek az ISO 27001 szabvány követelményeinek, és jelentést készítsenek erről. az ISMS teljesítménye.

Tudjon meg többet az ISO 27001 felső vezetéséről ezekben a cikkekben: Az információbiztonság megvalósításának felső vezetői perspektívája, a felső vezetés szerepei és felelőssége az ISO 27001 és az ISO 22301 szabványban, és mit kell tennie írja be az információbiztonsági házirendjébe az ISO 27001 szerint?

6. szakasz: Tervezés

Az ISMS környezetben történő tervezésnél mindig figyelembe kell venni a kockázatokat és a lehetőségeket. Az információbiztonsági kockázatértékelés megalapozott alapot jelent. Ennek megfelelően az információbiztonsági célkitűzéseknek a kockázatértékelésen kell alapulniuk. Ezeket a célokat össze kell hangolni a vállalat általános céljaival. Sőt, a vállalaton belül elő kell mozdítani a célkitűzéseket. Biztosítják azokat a biztonsági célokat, amelyek felé mindenki felé törekszik, és összhangban áll a vállalattal. A kockázatértékelésből és a biztonsági célokból az A. mellékletben felsorolt ellenőrzések alapján kockázatkezelési tervet vezetnek le.

A kockázatok és lehetőségek jobb megértése érdekében olvassa el az ISO 27001 kockázatértékelés cikket & kezelés – 6 alapvető lépés. Tudjon meg többet a vezérlési célkitűzésekről az ISO 27001 ellenőrzési célok című cikkben – Miért fontosak? A vállalat irányával kapcsolatos további részletekért olvassa el az Információbiztonság összehangolása a vállalat stratégiai irányvonalával című cikket az ISO 27001 szerint.

7. szakasz: Támogatás

Források, az alkalmazottak hozzáértése, a tudatosság és a kommunikáció az ügy támogatásának kulcsfontosságú kérdése. Egy másik követelmény az információk dokumentálása az ISO 27001 szerint. Az információkat dokumentálni, létrehozni és frissíteni kell, valamint ellenőrizni kell. Megfelelő dokumentációs készletet kell vezetni az ISMS sikerének támogatása érdekében.

Ha többet szeretne tudni a képzésről, a tudatosságról és a kommunikációról, olvassa el a Hogyan végezzünk edzést & cikkeket az ISO 27001 és az ISO 22301 szabvány számára, valamint a Hogyan készítsünk kommunikációs tervet További információ a dokumentumkezelésről az ISO 27001 dokumentumkezelés című cikkében & BS 25999-2.

8. szakasz: Működés

A folyamatok kötelezőek az információbiztonság megvalósításához. Ezeket a folyamatokat meg kell tervezni, megvalósítani és ellenőrizni. A kockázatértékelést és a kezelést – amire a felső vezetésnek gondolnia kell, amint azt korábban megtudtuk – végre kell hajtani.

További információ a kockázatértékelésről és kezelésről az ISO 27001 kockázatértékelés című cikkekben: Hogyan illeszkedjen az eszközökhöz, a fenyegetésekhez és a sebezhetőségekhez, valamint a következmények és valószínűség értékeléséhez az ISO 27001 kockázatelemzésben, valamint az ISO 27001: 2013 kockázatértékelési és kezelési folyamat ezen ingyenes diagramjában. h2>

Az ISO 27001 szabvány követelményei elvárják az információbiztonsági irányítási rendszer nyomon követését, mérését, elemzését és értékelését. Nemcsak magának az osztálynak kell ellenőriznie a munkáját – emellett belső ellenőrzéseket kell lefolytatni. Meghatározott időközönként a felső vezetésnek felül kell vizsgálnia a szervezet ISMS-jét.

További információ a teljesítményről, a monitorozásról és a mérésről az ISO 27001 ISMS legfontosabb teljesítménymutatói és a Monitoring és mérés végrehajtása az ISO-ban című cikkekben. 27001.

10. szakasz: Javítás

A fejlesztés követi az értékelést. A nem megfelelőségeket intézkedéssel és adott esetben az okok kiküszöbölésével kell orvosolni. Ezenkívül folyamatos fejlesztési folyamatot kell végrehajtani, annak ellenére, hogy a PDCA (Plan-Do-Check-Act) ciklus már nem kötelező (erről többet olvashat a cikkben: A PDCA ciklust eltávolították-e az új ISO szabványokból? Mégis, gyakran javasoljuk a PDCA ciklust, mivel szilárd felépítést kínál és megfelel az ISO 27001 követelményeinek.

Az ISO 27001 továbbfejlesztésével kapcsolatos további információkért olvassa el a Folyamatos javulás elérése érettségi modellek használatával című cikket.

A. melléklet (normatív) Referencia-ellenőrzési célok és ellenőrzések

Az A. melléklet a referencia-ellenőrzési célok és ellenőrzések hasznos listája. Kezdve az A.5. Információbiztonsági irányelvektől az A.18-as megfelelőségig, a lista olyan vezérlőket kínál, amelyek segítségével az ISO 27001 követelmények teljesíthetők, és levezethető az ISMS szerkezete. A fent leírt kockázatértékelés révén azonosított kontrollokat át kell fontolni és végre kell hajtani.

többet az A. mellékletről, olvassa el a cikkeket. Gyors útmutató az ISO-hoz 27001-es vezérlők az A. mellékletből és a dokumentumok felépítése az ISO 27001-es A. melléklet-vezérlőkhöz.

Az ISMS követelményei

A megvalósítás és maga a szabvány első látásra kihívást jelentőnek vagy bonyolultnak tűnhet. , mert néhány követelmény nem biztos, hogy logikusan hangzik az Ön számára. De alaposabban megismerve a dolgok a helyükre kerülnek, és kezdik értékelni azt az átfogást, amelyet az ISO 27001 bevezetése a biztonságba hoz. Miután megfelelõvé vált, hamarosan biztosan rájön, hogy a szabvány strukturált iránymutatást kínál Önnek, és elégedett lesz a megvalósítással kapcsolatos döntésével.

Ha többet szeretne megtudni az ISO 27001 követelményeirõl, töltse le ezt az ingyenes záradékot – az ISO 27001 záradék magyarázata.

Itt megtudhatja, mennyire legyenek részletesek az ISO 27001 dokumentumok?

A startup világ döntéshozói számára , erősen ajánlott elolvasni, miért kellene befektetniük az ISO 27001-be, és hogy az implementáció hogyan lendíthet a vállalat számára.

A szerzőről:

Andrea Giesler belső ellenőr , székhelye a németországi kölni, az ISO 27001, az ISO 9001 és az EU GDPR területeire szakosodott. Okleveles információs rendszer-ellenőr (CISA), és az ISACA a kockázat- és információs rendszerek ellenőrzése (CRISC) tanúsítvánnyal rendelkezik.