ISO 27001-krav 6.1 – Åtgärder för att hantera risker och möjligheter

Vad innebär paragraf 6.1?

Att dokumentera med tydlighet i beskrivningen och sedan visa hur du hanterar risker enligt ISO 27001 är avgörande för en oberoende certifiering för ISO 27001 och driften av ett framgångsrikt ledningssystem för informationssäkerhet (ISMS).

Klausul 6.1.1 – Allmänna aspekter vid planering kring risk för ISO 27001

Vid denna tidpunkt bör du titta tillbaka på ditt tidigare arbete i avsnitt 4 och 5 – i synnerhet 4.1, 4.2, 4.3 och avsnitt 5 i ISO 27001. Detta kommer att hjälpa dig att avgöra vilka risker och möjligheter som måste åtgärdas från din tidigare frågor, intressenter och omfattning för att:

• säkerställa att ledningssystemet för informationssäkerhet kan uppnå de avsedda resultaten
• "förebygga eller minska de oönskade effekterna"
• "uppnå ständiga förbättringar".

Organisationen måste ha planer på plats som täcker de åtgärder den kommer att vidta för att identifiera, bedöma och behandla dessa risker och möjligheter och hur den kommer att integrera och implementera dessa åtgärder i sina processer för ledningssystem för informationssäkerhet. Detta bör inkludera hur de kommer att utvärdera effektiviteten av dessa åtgärder och övervaka dem över tid.

Detta innebär helt enkelt att dokumentera processen för riskidentifiering, bedömning och behandling, sedan visa att den fungerar i praktiken med hanteringen av varje risk, helst för att visa att den tolereras (t.ex. efter att bilaga A-kontroller har tillämpats), avslutas eller kanske överförs till andra partier.

ISO 27001 bryter ner även detta krav på riskhantering på djupet. Dessutom finns det andra riskorienterade standarder som ISO 31000 att lära av, där principerna för ISO 27001 riskplanering har härrört från.

Klausul 6.1.2 – Informationssäkerhetsriskbedömning för ISO 27001

ISO 27001-standarden kräver att en organisation upprättar och underhåller processer för riskbedömning av informationssäkerhet som inkluderar riskacceptans och bedömningskriterier. Den föreskriver också att alla bedömningar ska vara konsekventa, giltiga och ge "jämförbara resultat".

Det innebär att tydligt beskriva tillvägagångssättet och innebär att ta fram en riskmetodik – vi har skrivit mer om att utveckla det här.

Organisationer måste tillämpa bedömningsprocesserna för att identifiera risker förknippade med konfidentialitet, integritet och tillgänglighet (CIA) för informationstillgångarna inom det definierade omfånget för ISMS.

De flesta ISO-certifierade revisorer förväntar sig att metoden går längre än enkla sannolikhets- och effektbeskrivningar, för att också förklara vad som händer (t.ex.) när en konflikt uppstår mellan en risk (t.ex. tillgänglighetsbaserad) och en annan (t.ex. konfidentialitetsbaserad).

Risker måste tilldelas riskägare inom organisationen som kommer att bestämma risknivån, bedöma de potentiella konsekvenserna om risken skulle realiseras, tillsammans med "realistisk sannolikhet för att risken uppstår".

Efter att ha utvärderats måste risken prioriteras för riskbehandling och sedan hanteras i enlighet med den dokumenterade metoden.

Klausul 6.1.3 – Behandling av risker för informationssäkerhet för ISO 27001

Du förväntas välja lämpliga riskbehandlingsalternativ baserat på riskbedömningsresultaten, t.ex. behandla med bilaga A-kontroller, avsluta, överföra eller kanske behandla på annat sätt. ISO 27001-standarden noterar att bilaga A även inkluderar kontrollmålen men att kontrollerna som anges är "inte uttömmande" och ytterligare kontroller kan behövas.

Normalt används kontrollerna i bilaga A ensamma i mindre organisationer, även om det är acceptabelt att utforma eller identifiera kontrollerna från vilken källa som helst. På det sättet kan hantering av flera säkerhetsstandarder innebära att du tillämpar kontroller, till exempel från andra standarder som NIST eller SOC2 enligt Trust Services Criteria-principerna.

Om den granskas av en oberoende revisor för ISO 27001 är det mycket meningsfullt att fokusera på kontrollerna i bilaga A, eftersom de känner till dem väl.

Om du behöver uppfylla specifika standarder för en kund, t.ex. DSPT for Health i Storbritanniens NHS, är det meningsfullt att även kartlägga riskbehandlingen till dessa och ge kunden förtroende för att din informationssäkerhet är robust och uppfyller deras intressen.

Tilldelade riskägare hanterar sina riskhanteringsplaner (eller delegerar till personer att göra det åt dem) och kommer i slutändan att fatta beslutet att acceptera eventuella återstående informationssäkerhetsrisker – trots allt är det inte meningsfullt att alltid avsluta överföringen eller fortsätta att investera i förvaltningen av en risk.

Det är nödvändigt att ta fram en tillämplighetsförklaring som innehåller de kontroller som organisationen har ansett nödvändiga tillsammans med motiveringen för införanden, oavsett om de genomförs eller inte, och motiveringen för uteslutningar av kontroller från bilaga A.

Detta är ett ganska betydelsefullt jobb (massivt förenklat och automatiserat av ISMS.online) som visar att organisationen har tittat noggrant på alla områden kring dessa kontroller som ISO 27001 anser vara viktiga.

Förstå uttalandet om tillämplighet för ISO 27001

Statement of Applicability (SOA) innehåller de nödvändiga kontrollerna som nämnts ovan och motiveringen för deras inkludering eller uteslutning. Det är bra för intern ledning och för att dela med relevanta intressenter. Detta tillsammans med säkerhetspolicyn, omfattningen och certifikatet (om det uppnås) kommer att ge dem en bättre förståelse för var deras intressen och problem kan finnas i ditt hanteringssystem för informationssäkerhet.

Hur man uppnår klausul 6.1

Planering av hur du ska identifiera, utvärdera och behandla risker för att uppfylla kraven ovan är vanligtvis en av de mer tidskrävande delarna av implementeringen av ditt ISMS. Det kräver att en organisation definierar en metodik för konsekvent utvärdering av risker och upprätthåller tydliga register över varje risk, dess bedömning och behandlingsplan.

Vidare bör journalerna visa på regelbundna granskningar över tid och bevis för den behandling som har ägt rum. Detta kommer att inkludera vilka av bilaga A-kontrollerna du har infört som en del av den behandlingen och kommer att ingå i skapandet (och underhållet) av uttalandet om tillämplighet.

Det är inte konstigt att gammaldags kalkylarksmetoder kan vara komplexa och svåra att underhålla när man går längre än de mycket grundläggande tillvägagångssätten för riskhantering (som krävs för ISO 27001). Det är en av anledningarna till att organisationer nu ser till mjukvarulösningar för att hantera denna process.

Gör det enklare med ISMS.online

ISMS.online-plattformen inkluderar en riskhanteringspolicy, metodik och ett förkonfigurerat riskhanteringsverktyg för informationssäkerhet. Vi inkluderar också en bank med vanliga informationssäkerhetsrisker som kan dras ner, tillsammans med de föreslagna kontrollerna i bilaga A, vilket sparar veckors arbete.

Att slå samman detta i en integrerad lösning för att hjälpa dig uppnå, underhålla och förbättra hela ditt ISMS är helt logiskt. När allt kommer omkring, varför slösa tid på att försöka bygga det själv när det redan finns en specialbyggd lösning?