Hoppa till ämnet
Vad innebär paragraf 6.2?
För att hantera detta krav är det viktigt att du redan har förstått organisationen och dess sammanhang (4.1), fastställt kraven från berörda parter (4.2), fastställt din omfattning (4.3) och åtminstone börjat utföra din riskbedömning och behandling (6.1) .
Det exakta kravet för 6.2 är:
”Fastställ tillämpliga (och om det är praktiskt möjligt, mätbara) informationssäkerhetsmål, med hänsyn till informationssäkerhetskraven, resultat från riskbedömning och behandling. Bestäm vad som kommer att göras, vilka resurser som krävs, vem som ska vara ansvarig, när de ska vara slutförda och hur resultaten ska utvärderas.”
Så denna klausul 6.2 i standarden kokar i huvudsak ner till frågan; "Hur vet du om ditt ledningssystem för informationssäkerhet fungerar som det är tänkt?"
Hur man sätter upp mål för 6.2
När du överväger de mål du vill ha med ditt hanteringssystem för informationssäkerhet, se till att de är affärsfokuserade och är saker som hjälper dig att driva en (säkrare) organisation med bättre prestanda snarare än att bara kryssa i rutorna och se snygg ut på en sida. Fundera på vad intressenterna kommer att vilja se mätt och övervakat också.
Till exempel, varför köper kunder av dig och vad skulle de vara oroliga för att gå fel ur ett informationssäkerhetsperspektiv? Vilken nivå av informationssäkring, vilka åtgärder och övervakning skulle vara viktiga för dem om de tittade noga på ditt ISMS?
Koncentrera dig på att utveckla meningsfulla mål, inte bara massor av åtgärder eller mål som kommer att innebära att du lägger all din tid på administration och inget mervärde för organisationen.
Du kanske redan mäter och övervakar dina mål så kom ihåg att tänka på vad du redan gör och vad som kan behöva mer ansträngning. ISO försöker inte fånga någon på mätsidan, de vill bara vara säker på att du mäter det som är viktigt och många smarta företag kommer redan att göra det implicit om inte mer explicit.
Knyt ditt arbete här tätt med ledningsgranskningarna i 9.3 och lägg dina bevis på resultaten i din arbetsyta för ledningsgranskningen, eller länka till det för att underlätta vid specifika granskningsmöten och revisioner.
Du kan demonstrera resultaten av din prestationsmätning på olika sätt, från att använda export av dina verksamhetssystem, utnyttja den automatiserade rapporteringen över ISMS.online (t.ex. för incidenter) och om det är relevant med enkla KPI:er som lagts till i arbetsytan för ledningens granskning.
På Alliantist, mjukvaru- och tjänsteföretaget bakom ISMS.online, kom vi fram till cirka 7 informationssäkerhetsmål varav ett är:
"Leverans av en säker, pålitlig molntjänst för användare (och andra intresserade) som behöver förtroende och försäkran om att plattformen är lämplig för deras syfte att dela och arbeta med känslig information."
När du bryter ner bara det ena målet är det tydligt att det finns ett antal mätbara, handlingsbara områden som härrör från det. Till exempel:
- Säkert – vad betyder det när det gäller sekretess och integritet?
- Pålitlig – vad betyder det när det gäller tillgängligheten för den säkra molnprogramvarutjänsten?
Hur man gör informationssäkerhetsmål mätbara och genomförbara
Att bygga på ovanstående är ett mått på tillförlitlighetsframgång för Alliantist i tillgängligheten av system som ISMS.online för kunder att använda. Så vi har målet (tjänstens tillförlitlighet), ett mått (upptid) och sedan kan sätta ett upptidsmål, i det här fallet med minst 99.5 % tillgänglighet (vilket vi kontinuerligt uppnår 100 % mot).
Sedan övervägde vi mätfrekvensen, ansvarig ägare och var källan till data för mätning skulle komma ifrån för bevisningen. Vi lade sedan till det i ISMS.online som en KPI som behandlas som en del av ledningsrecensioner, och naturligtvis, eftersom det är ett grundläggande mått för vår framgång för mjukvarutjänster, övervakas det också kontinuerligt operativt också.
Källan till dessa data är från drifttidsloggarna. Vissa andra mer strategiska mått, t.ex. kunders, revisorers och intressenters förtroende för vårt ISMS överlag mäts mer sällan, mer subjektivt i vissa avseenden men inte desto mindre viktigt som en del av det bredare ISMS-resultatet.
Det här är ett utmärkt tillfälle att utveckla mätvärden som är viktiga för din organisation om du inte redan har gjort det. Vi uppmuntrar ett färre och bättre skött istället för massor och dåligt skött tillvägagångssätt. Om din organisation har avdelningar och specifika verksamhetsområden som påverkas olika av konfidentialitet, integritet och tillgänglighet (CIA) som skulle motivera att bryta ned åtgärder för varje område, förväntar ISO sig att se den uppdelningen såväl som de mer strategiska mätvärdena på hög nivå.
Andra mätvärden som också är användbara för att demonstrera CIA är också ganska uppenbara från några av de krav som ställs av ISO 27001 kring hantering av incidenter, riskbedömningar/granskningar, förbättringar och korrigerande åtgärder etc. I ISMS.online har vi ett antal verktyg som automatiskt tillhandahåller prestationsstatistik som är till hjälp för att visa effektiv prestanda hos ISMS.
Dessa inkluderar spårning av incidenthantering, förbättringar och korrigerande åtgärder och en mängd andra också som gör mycket av målhanteringen till en övning utan ansträngning istället för att slösa tid med kalkylblad och powerpoint.
Hur man definierar process & ansvar för utvärdering av informationssäkerhetsmål
När du har definierat dina mål, bestämt dina åtgärder och deras frekvens för mätning, är det nödvändigt att visa hur du kommer att gå tillväga för att utvärdera resultaten och sedan vidta åtgärder för eventuella nödvändiga ändringar eller förbättringar av ditt ISMS.
På Alliantist sätter vi ihop ett team av representanter från ledningsgruppen för att bilda ISMS-styrelsen. ISMS styrelse ansvarar för att sätta upp målen för var och en av åtgärderna. Vår Operations Director äger målen som påverkar ISMS ur ett produktions- och driftsperspektiv.
Källdata delegeras till relevant personal till bevis, som allt hämtas från befintliga system och helt enkelt sammanfattas i nyckeltal och statistikrapportering som utgör en del av de regelbundna ledningsgranskningarna i enlighet med paragraf 9.3.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
