ISO 27001-krav 4.1 – Förstå organisationens sammanhang

Vad är interna och externa frågor?

ISO erbjuder faktiskt inte mycket hjälp i sin förklaring av vad ett internt eller externt problem kan vara. För en organisation som är ny inom informationssäkerhetshantering kan det slösa bort värdefull tid på att bara ta reda på det kravet.

Det beror verkligen på organisationens kultur och karaktär, de inblandade personerna, dess utgångspunkt och riskvärdet. Som ett exempel kan en liten välskött organisation med ett tydligt syfte och få personer inblandade komma till sina slutsatser om interna och externa frågor som påverkar ISMS-resultaten över en 10 minuters kopp te (särskilt med alla exempel i Virtual Coach).

Men andra organisationer kan ta längre tid. Vi föreslår generellt att detta är en snabb brainstormingsövning som undviker överanalys initialt – du kommer nästan säkert att identifiera fler interna och externa problem när du kommer in på de andra kraven och dessa kan enkelt läggas till som implementering av ditt ledningssystem för informationssäkerhet och resan mot bättre informationssäkring fortsätter.

Hur man identifierar interna problem

Överväg IPOPS-akronymen nedan för att identifiera de interna problem som kan påverka resultaten av ett ISMS. Det här kan vara en whiteboardövning, post-it-anteckningssession eller helt enkelt fånga anteckningar som du laddar upp senare för att visa din förståelse för problemen. Få rätt personer i ett rum eller i telefon och starta konversationen!

Titta på bilden för ett grundläggande exempel på vad som kan göras och som kan laddas upp som en del av bevisningen, eller skrivas upp mer i detalj och testas vidare med andra intressenter beroende på organisationens karaktär. Ur ett UKAS ISO 27001 externa revisorers perspektiv kommer de att leta efter förtroende för att organisationen har förstått de frågor som kan påverka resultatet av ISMS (och dokumenterat dem) innan de använder dessa bevis för att gå vidare.

Det kommer sedan att hjälpa till att identifiera intresserade parter, sätta en räckvidd, dokumentera dina mål, bygga upp en tillgångsinventering och göra riskanalyser för informationssäkerhet innan du utvecklar lämpliga policyer och kontroller i linje med uttalandet om tillämplighet.

Det hela är ett väldigt logiskt flöde och börjar här med denna enkla övning!

Exempel på interna frågor

Vi har gett några idéer och exempel nedan på områden där du kan hitta interna problem som påverkar resultatet av ISMS men det finns många frågor som kan övervägas beroende på organisationen, dess sektor, storlek, omfattning och art av produkterna och tjänsterna etc.

Vi föreslår att du är praktisk och säkerställer att det inte blir en stor strategiövning eller avhandling när det inte krävs. Det handlar mindre om var du "hinkar" den interna frågan också, idén med enkel portföljanalys som denna är att hjälpa hjärnan att trigga de interna problemen.

Så om du lägger dem under människor, organisation eller någon annanstans är mindre viktigt (en del kan också vara externa frågor också) – det är identifieringen av de interna eller externa frågorna som är viktigt så att du kan bygga ett ledningssystem för informationssäkerhet som fungerar för dig !

Du kommer också att överväga karaktären på organisationen kring människor, t.ex. är filosofin att göra allt i huset, lägga ut på entreprenad etc – dessa aspekter ger alla upphov till "problem" som kan påverka ISMS.

Till exempel kanske du kan styra personalen internt bättre än leverantörer, men det kan finnas ett argument för att ha leverantörer med sina processer inblandade eftersom de erbjuder de tjänster du vill ha. Kom ihåg att dina affärsmål kommer först – det här är själva kärnan i problemidentifieringen – driv verksamheten som du vill och se till att ISMS skyddar din värdefulla information och dina intresserade parters.

Alla relevanta frågor bör sedan övervägas för mer detaljerad riskanalys senare – dock är inte alla frågor faktiskt risker, och vissa är viktigare än andra så du kan välja att prioritera kring de större frågorna. Så vi skulle föreslå att du undviker riskanalysen eller någon djupgående övervägande av vad som händer i detta skede och koncentrerar dig på att identifiera problemen.

Information som tillgångar som är interna frågor som påverkar ISMS-resultat

Vilken information skapas, hanteras, lagras, hanteras och är av verkligt värde för organisationen och dess intressenter (i linje med intressentanalysen du kommer att göra för 4.2 nästa)? Personuppgifter, känsliga kundidéer och immateriella rättigheter, finansiell information, varumärke, kodbaser etc?

Detta ligger i hjärtat av ISMS där informationstillgångarna är grunden för allt annat – att identifiera dessa tillgångar tidigt gör också hanteringen av informationstillgångar enkel för A8.1.

Överväg sedan potentiella problem kring själva informationen – särskilt sekretess, integritet och tillgänglighet, med hänsyn till de andra områdena nedan när du går för att utlösa idéer om var problemen kan hittas.

Personer relaterade interna frågor som kan påverka det avsedda resultatet av ISMS
Det är ingen överraskning att mänskliga resursers säkerhet är en viktig del av ISMS, faktiskt bilaga A 7 ägnas åt det och alla efterföljande policyer, kontroller och ledning kommer sannolikt att vara med människor i åtanke, både interna anställda såväl som externa resurser som t.ex. leverantörer.

Överväg därför eventuella befintliga problem med:

• rekrytering – ex utmaningar med att anställa kompetenta personer, hög/låg personalomsättning
• induktion – t.ex. får de utbildning i informationssäkerhet just nu, fungerar det
• i livshantering – t.ex. att hålla dem engagerade och visa att de följer policyerna och kontrollerna, – tycker personalen verkligen att informationssäkerhet är sexig och spännande eller är det en kulturell utmaning att få någon att låsa sin bärbara dator när de går på toaletten
• byte av roller och exit – t.ex. utförs åtkomst till och borttagning av informationstillgångar och tjänster

Organisatoriska interna frågor som påverkar ISMS-resultat

Vilka är de problem som organisationen står inför som kan påverka resultatet av ISMS? Som ett exempel, snabb tillväxt medför frågor om personal och struktur som kan påverka förståelsen och kunskapen om policyerna, eller att saker förändras så snabbt att du inte enkelt kan bottna i detaljerade och konsekventa processer.

Finns det organisationsledarskap och styrelse- eller aktieägartryck som kommer att orsaka problem (dessa kan vara både positiva och negativa)? Internationell verksamhet kommer att ha olika kulturella normer för de inblandade.

En annan intern fråga förknippad med människor och organisationen kan handla om det faktum att du inte vill att många av dem är anställda eller kämpar för att hitta bra, så lita istället på outsourcing. Det medför ett behov av leverantörer (och personal hos leverantörerna) så det är en fråga att koppla ihop med analysen av intressenter som du kommer att göra i 4.2 härnäst.

Produkter och tjänster interna problem som kan påverka ISMS-resultaten

Vilka är de produkter och tjänster som levereras av organisationen och vilken typ av problem dyker upp kring det som kan orsaka informationsrisk? Till exempel, om organisationen är en innovatör och immateriella rättigheter är viktigt för produktledarskap, är det en fråga som behöver övervägas i ISMS.

Om organisationen förlitar sig på stora fysiska egendomar, t.ex. som en tillverkare, kommer det förmodligen att medföra fler fysiska säkerhetsproblem, medan en liten molnprogramvaruleverantör kan vara mycket mer fokuserad på frågor som IPR-skydd från digitala hackare och frågorna kring beroendet av deras produktframgång och försäkran om värdleverantörer etc.

System och processer som interna frågor som påverkar det avsedda resultatet av ISMS

Folk tänker ofta på datorer och digital teknik när ordet "system" används. Men manuella och pappersbaserade system är också nyckelområden för problem att dyka upp så kom ihåg att överväga dem för frågor också.

Vart och ett av områdena ovan kommer att ha system och processer involverade i sig – som kan vara implicita (vi har alltid gjort det på det sättet och aldrig dokumenterat det) eller kan vara insvept i en mängd dokumentation som ingen någonsin skulle kunna följa…… .efter att ha övervägt IPOP-områdena ovan, tänk på systemen och processerna interna frågor kring dem – till exempel om du anställer personal regelbundet men inte har en formell process och system som visar utvärdering och screening ur ett informationssäkerhetsperspektiv, har du ett problem (inte minst på grund av bilaga A7 till ISO 27001).

Ett problem är att du kanske anställer människor som kommer att bli fienden inom dig, antingen genom okunnighet om informationssäkerhet eller för att de är en sabotör och du har aldrig tänkt på det. Det är samma sak med alla system och processer i hela organisationen som är i utrymme för informationssäkring – vilken typ av problem dyker upp där konfidentialitet, integritet eller tillgänglighet av informationen kan vara hotad?

Hur man identifierar de externa problemen

En av de gamla favoriterna för extern analys är PESTLE (politisk, ekonomisk, sociologisk, teknologisk, juridisk och miljömässig) och den har förtjänst för användning i denna övning, återigen för att hållas praktisk och fokuserad för frågor som påverkar ISMS-resultaten snarare än som en djupt strategiskt arbete. Den här övningen behöver generellt sett mycket mindre förklaring och du kommer utan tvekan att tycka att den är lätt nog att gå igenom och överväga ur ett informationssäkerhetsperspektiv.

Återigen undvik överanalys och försök att tvinga in saker i hinkar för sakens skull – något kommer att trigga eller inte och du kan alltid återkomma till det senare. De interna frågorna som påverkar resultatet av ISMS kommer också att utlösa externa frågor – till exempel om organisationen beslutat att den inte kommer att göra allt internt och behöver leverantörer, då kommer externa frågor med dessa leverantörer och deras PESTLE-relaterade aspekter in i mixen.

Politiska yttre frågor

Vilka politiska frågor kan påverka organisationen och påverka resultatet? Exempel kan vara Brexit och specifika policyförändringar i en sektor som påverkar investeringar eller tillväxt som kan leda till olika sätt att arbeta och olika tillvägagångssätt för informationshantering.

Politik (och kraftfulla sociala mediespelare som missbrukar personuppgifter) ledde till GDPR som åstadkom regulatoriska förändringar, vilket ökade trycket på kunderna, som i sin tur tvingar leverantörer att uppnå oberoende certifierade ISO 27001 ledningssystem för informationssäkerhet för att hjälpa dem att hantera sitt övergripande utbud kedjerisk.

Det är ett exempel på en fråga som går över många aspekter av PESTLE och det är en extern fråga som nästan alla organisationer står inför.

Ekonomiska externa frågor

Hur påverkar ekonomin på din marknad och försörjningskedjan organisationen? Leder det till mer eller mindre problem med leverantörer, kunder, vilka hörn av informationssäkerhet som kan skäras av på en kostnadsreduktionsarena och leda till ökad risk eller hot (och givetvis möjlighet också)?

Exempel kan vara billigare arbetskraft, mindre utbildning och mindre tid för att utföra arbetet, eller oförmåga att ha råd med anständiga tekniska system som skulle hjälpa till att förbättra verksamheten eftersom pengar måste prioriteras någon annanstans (Tips – titta på vårt whitepaper för affärscaseplanerare för vägledning om avkastningen på investeringar från informationssäkerhet.)

Sociologiska yttre frågor

Hur förändras samhället eller din publik demografiskt och påverkar ditt företag – till exempel alltid uppkopplade medborgare erbjuder möjligheter och hot, och en generation av personal som ibland har mer/mindre hänsyn till data ger positiva och negativa effekter också.

Tekniska externa frågor

Hur skapar den ökande takten i tekniska förändringar problem för ISMS-resultaten? Dagliga förändringar i operativsystem som patchas jämfört med (säg) en gång om året tidigare? Det leder till ett behov av mycket mer dynamisk ledning som många organisationer kämpar för att upprätthålla, vilket, om det lämnas ohanterat, ökar hotet om ett cyberintrång och förlust blir mer sannolikt.

Var skapar artificiell intelligens, maskininlärning, moln och alla andra tekniska modeord problem för din organisation externt?

Lagstiftande externa frågor

Ett av de vanligaste områdena för misslyckanden i ISO 27001 är oförmågan att effektivt lyfta fram medvetenhet om och sedan hantera tillämpningslagstiftning och regleringsfrågor. Den här delen av PESTLE är en bra utgångspunkt för bilaga A18 om efterlevnad – om din revisor vet mer än du om den lagstiftning och förordning som påverkar din organisation (och därmed ISMS) kommer de inte att bli imponerade.

Det går långt utöver dataskydd, GDPR, datorövervakning, mänskliga rättigheter och immateriell egendomslagstiftning, så överväg detta område allvarligt för all information i ditt omfång. Du behöver inte nödvändigtvis en advokat men att visa att du har övervägt den tillämpliga lagstiftningen som påverkar organisationen kommer att göra riskhantering, policy- och kontrollskapande mer fokuserat och relevant också.

Det kan vara så att din riskaptit för något är ganska hög men om en tillämplig lagstiftning eller förordning sätter ribban, måste du utveckla policyer och kontroller för att följa det snarare än bara vad du kanske tycker är okej!

Extern miljöfrågor

PESTLE behandlar vanligtvis miljön som den gröna frågan, men det kan också vara din bredare "miljö". Enkla överväganden kring miljö kan innebära att du siktar på att använda mindre papper, att resa mindre – bra, vilka är problemen för ISMS från det?

Till exempel när man utvecklar ISMS kan det vara en möjlighet att ändra praxis kring utskrift eller utveckla mobila arbetspolicyer etc – det här är ett par enkla idéer som dyker upp när man tänker på miljöpapper och resefrågor.

Bredare "miljöfrågor" kan vara saker som händer hos dina konkurrenter och bredare krafter (tänk Porters 5 styrkor som ett enkelt exempel) – vilka yttre miljöproblem händer där som kan påverka dina ISMS-resultat?

Du vet att dina kunders förhandlingsstyrka ökar kring informationssäkerhet. Men om alla dina konkurrenter blir oberoende certifierade enligt ISO 27001 och du bara tänker på efterlevnad av kryssrutor/handviftande, så är det en extern fråga som du skulle vilja överväga mer ingående för att vara konkurrenskraftig än mindre säker och pålitlig.