Andrea Giesler | 3. juni 2019

ISO 27001-standarden gir krav og en struktur som vil gi veiledning i implementering av et ISMS (Information Security Management System). Som styringssystem er ISO 27001 basert på kontinuerlig forbedring – i denne artikkelen vil du lære mer om hvordan dette gjenspeiles i ISO 27001-kravene og strukturen.

To hoveddeler av standarden

Standarden er delt i to deler. Den første hoveddelen består av 11 leddsetninger (0 til 10). Den andre delen, kalt vedlegg A, gir en retningslinje for 114 kontrollmål og kontroller. Klausuler 0 til 3 (Introduksjon, Omfang, Normative referanser, Begreper og definisjoner) setter innføringen av ISO 27001-standarden. Følgende avsnitt 4 til 10, som gir ISO 27001-krav som er obligatoriske hvis selskapet ønsker å være i samsvar med standarden, blir nærmere undersøkt nærmere i denne artikkelen.

Standardvedlegg A til standarden støtter klausuler og deres krav med en liste over kontroller som ikke er obligatoriske, men som er valgt som en del av risikostyringsprosessen. For mer, les artikkelen Den grunnleggende logikken i ISO 27001: Hvordan fungerer informasjonssikkerhet?

Klausul 4: Kontekst av organisasjonen

En forutsetning for å kunne implementere et informasjonssikkerhetsstyringssystem er å forstå organisasjonens kontekst. Eksterne og interne spørsmål, så vel som interesserte parter, må identifiseres og vurderes. Krav kan omfatte regulatoriske spørsmål, men de kan også gå langt utover.

Med dette i bakhodet, må organisasjonen definere omfanget av ISMS. Hvor omfattende vil ISO 27001 brukes på selskapet?

Les mer om konteksten til organisasjonen i artiklene Hvordan definere kontekst for organisasjonen i henhold til ISO 27001, Hvordan identifisere interesserte i henhold til ISO 27001 og ISO 22301, og hvordan definere ISMS-omfanget.

Klausul 5: Ledelse

Kravene i ISO 27001 for en tilstrekkelig ledelse er mangfoldige. Toppledelsens engasjement er obligatorisk for et styringssystem. Målene må etableres i henhold til de strategiske målene for en organisasjon. Å skaffe ressurser som trengs for ISMS, samt støtte personer til å bidra til ISMS, er andre eksempler på forpliktelsene til å oppfylle.

Videre må toppledelsen etablere en policy i henhold til informasjonssikkerheten. Denne policyen skal dokumenteres, samt kommuniseres i organisasjonen og til interesserte parter.

Roller og ansvar må også tildeles for å oppfylle kravene i ISO 27001-standarden og for å rapportere om ytelsen til ISMS.

Lær mer om toppledelse i ISO 27001 i disse artiklene: Toppledelsesperspektiv for implementering av informasjonssikkerhet, Roller og ansvar for toppledelse i ISO 27001 og ISO 22301, og hva bør du skrive inn din informasjonssikkerhetspolicy i henhold til ISO 27001?

Klausul 6: Planlegging

Planlegging i et ISMS-miljø bør alltid ta hensyn til risiko og muligheter. En risikovurdering av informasjonssikkerhet gir et godt grunnlag å stole på. Følgelig bør informasjonssikkerhetsmål være basert på risikovurderingen. Disse målene må tilpasses selskapets overordnede mål. Videre må målene fremmes i selskapet. De gir sikkerhetsmålene å jobbe mot for alle innen og i tråd med selskapet. Fra risikovurderingen og sikkerhetsmålene utledes en risikobehandlingsplan basert på kontroller som oppført i vedlegg A.

For bedre forståelse av risiko og muligheter, les artikkelen ISO 27001 risikovurdering & behandling – 6 grunnleggende trinn. Lær mer om kontrollmål i artikkelen ISO 27001 kontrollmål – Hvorfor er de viktige? For mer informasjon om selskapets retning, les artikkelen Tilpasse informasjonssikkerhet med den strategiske retningen til et selskap i henhold til ISO 27001.

Klausul 7: Støtte

Ressurser, kompetanse hos ansatte, bevissthet og kommunikasjon er viktige spørsmål for å støtte saken. Et annet krav er å dokumentere informasjon i henhold til ISO 27001. Informasjon må dokumenteres, opprettes og oppdateres, samt kontrolleres. Et passende sett med dokumentasjon må opprettholdes for å støtte suksessen til ISMS.

For mer om trening, bevissthet og kommunikasjon, les artiklene Hvordan utføre trening & bevissthet for ISO 27001 og ISO 22301 og Hvordan lage en kommunikasjonsplan i henhold til til ISO 27001. Lær mer om dokumenthåndtering i artikkelen Dokumenthåndtering i ISO 27001 & BS 25999-2.

Klausul 8: Drift

Prosesser er obligatorisk for å implementere informasjonssikkerhet. Disse prosessene må planlegges, implementeres og kontrolleres. Risikovurdering og -behandling – som vi har lært tidligere – må være i toppledelsens sinn, må implementeres.

Lær mer om risikovurdering og behandling i artiklene ISO 27001 risikovurdering: Hvordan matche eiendeler, trusler og sårbarheter og Hvordan vurdere konsekvenser og sannsynlighet i ISO 27001 risikoanalyse, og i dette gratis diagrammet for ISO 27001: 2013 Risikovurdering og behandlingsprosess.

Klausul 9: Ytelsesevaluering

Kravene i ISO 27001-standarden forventer overvåking, måling, analyse og evaluering av informasjonssikkerhetsstyringssystemet. Ikke bare skal avdelingen sjekke arbeidet sitt – i tillegg må det gjennomføres interne revisjoner. Med bestemte intervaller må toppledelsen gjennomgå organisasjonens ISMS.

Lær mer om ytelse, overvåking og måling i artiklene Nøkkelindikatorer for en ISO 27001 ISMS og hvordan du utfører overvåking og måling i ISO 27001.

Klausul 10: Forbedring

Forbedring følger opp evalueringen. Avvik må løses ved å iverksette tiltak og eliminere årsakene når det er aktuelt. Videre bør en kontinuerlig forbedringsprosess implementeres, selv om PDCA (Plan-Do-Check-Act) -syklusen ikke lenger er obligatorisk (les mer om dette i artikkelen Har PDCA-syklusen blitt fjernet fra de nye ISO-standardene? Fortsatt, PDCA-syklusen anbefales ofte, siden den har en solid struktur og oppfyller kravene i ISO 27001.

For mer om forbedring i ISO 27001, les artikkelen Oppnå kontinuerlig forbedring gjennom bruk av modenhetsmodeller.

Vedlegg A (normativ) Referansekontrollmål og -kontroller

Vedlegg A er en nyttig liste over referansekontrollmål og -kontroller. Starter med A.5 Informasjonssikkerhetspolitikk gjennom A.18 Overholdelse, listen tilbyr kontroller der ISO 27001-kravene kan oppfylles, og strukturen til et ISMS kan utledes. Kontroller, identifisert gjennom en risikovurdering som beskrevet ovenfor, må vurderes og implementeres.

For mer om vedlegg A, les artiklene En rask guide til ISO 27001-kontroller fra vedlegg A og hvordan strukturere dokumentene for ISO 27001-vedlegg A.-kontroller.

Krav til et ISMS

Gjennomføringen og selve standarden kan virke utfordrende eller komplisert ved første øyekast , fordi noen krav kanskje ikke høres logisk ut for deg. Men med mer grundig læring om det, faller ting på plass, og man begynner å sette pris på den omfattendeheten som implementeringen av ISO 27001 gir sikkerhet. Snart etter å ha blitt kompatibel vil du sikkert innse at standarden gir deg en strukturert retningslinje, og du vil være fornøyd med din beslutning om implementeringen.

For å lære mer om ISO 27001-krav, last ned denne gratis paragraf-by -klausul forklaring av ISO 27001.

Her kan du lære hvor detaljert skal ISO 27001-dokumentene være?

For beslutningstakere i oppstartsverdenen , anbefales det på det sterkeste å lese hvorfor de bør investere i ISO 27001 og hvordan implementeringen kan gi et løft for selskapet.

Om forfatteren:

Andrea Giesler er intern revisor , basert i Köln, Tyskland, og spesialiserer seg innen områdene ISO 27001, ISO 9001 og EUs GDPR. Hun er en Certified Information Systems Auditor (CISA) og er sertifisert i Risk and Information Systems Control (CRISC) av ISACA.