ISO 27001 – Bilaga A.18: Efterlevnad

Vad är syftet med bilaga A.18.1?

Bilaga A.18.1 handlar om efterlevnad av juridiska och kontraktuella krav. Målet är att undvika brott mot juridiska, lagstadgade, regulatoriska eller kontraktuella skyldigheter relaterade till informationssäkerhet och eventuella säkerhetskrav.

Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering.

A.18.1.1 Identifiering av tillämplig lagstiftning och avtalskrav

En bra kontroll beskriver hur alla relevanta lagstadgade, regulatoriska, avtalsmässiga krav och organisationens tillvägagångssätt för att uppfylla dessa krav uttryckligen ska identifieras, dokumenteras och hållas uppdaterade för varje informationssystem och organisation. Enkelt uttryckt måste organisationen säkerställa att den håller sig uppdaterad med och dokumenterar lagstiftning och reglering som påverkar uppnåendet av dess affärsmål och resultaten av ISMS.

Det är viktigt att organisationen förstår de lagar, regler och avtalskrav som den måste följa och dessa bör registreras centralt i registret för att underlätta hantering och samordning. Identifieringen av vad som är relevant kommer till stor del att bero på; Var organisationen är belägen eller verkar; Vad är arten av organisationens verksamhet; och Typen av information som hanteras inom organisationen. Identifieringen av relevant lagstiftning, reglering och avtalskrav kommer sannolikt att inkludera engagemang med juridiska experter, tillsynsorgan och kontraktshanterare.

Detta är ett område som ofta fångar organisationer eftersom det i allmänhet finns mycket mer lagstiftning och förordningar som påverkar organisationen än vad man först ansåg. Revisorn kommer att undersöka hur organisationen har identifierat och registrerat sina juridiska, regulatoriska och kontraktuella förpliktelser; ansvaret för att uppfylla sådana krav och eventuella nödvändiga policyer, procedurer och andra kontroller som krävs för att uppfylla kontrollerna.

Dessutom kommer de att se till att detta register upprätthålls regelbundet mot alla relevanta förändringar – särskilt i lagstiftning över gemensamma områden som de förväntar sig att alla organisationer ska påverkas av.

A.18.1.2 Immateriella rättigheter

En bra kontroll beskriver hur lämpliga rutiner säkerställer efterlevnad av lagar, regulatoriska och kontraktuella krav relaterade till immateriella rättigheter och användning av proprietära mjukvaruprodukter. Enkelt uttryckt bör organisationen implementera lämpliga förfaranden som säkerställer att den uppfyller alla dess krav, oavsett om de är lagstiftande, regulatoriska eller kontraktuella – relaterade till dess användning av mjukvaruprodukter eller immateriella rättigheter.

Det finns två aspekter av IPR-hantering att ta hänsyn till; Skydd av immateriella rättigheter som ägs av organisationen; och Förebyggande av missbruk eller brott mot andras immateriella rättigheter. Det förstnämnda kommer också att behandlas med A.13.24 för sekretess- och sekretessavtal, där vi också föreslår att företag hanterar sina bredare ramavtal med tredje parter från, och även inom A.15 specifikt för leveranskedjan. För personalen kommer A7.1.2 Anställningsvillkor även att omfatta immateriella rättigheter.

Policyer, processer och tekniska kontroller kommer sannolikt att behövas för båda dessa aspekter. Inom tillgångsregister och policyer för acceptabel användning är det troligt att IPR-överväganden kommer att behöva göras – t.ex. om en tillgång är eller innehåller immateriella rättigheter för denna tillgång måste beakta IPR-aspekten. Kontroller för att säkerställa att endast auktoriserad och licensierad programvara används inom organisationen bör omfatta regelbunden inspektion och revision.

Revisorn kommer att vilja se att register över licenser som ägs av organisationen för användning av andras programvara och andra tillgångar förs och uppdateras. Av särskilt intresse för dem kommer att se till att när licenser inkluderar ett maximalt antal användare eller installationer, att detta antal inte överskrids och användar- och installationsnummer granskas regelbundet för att kontrollera efterlevnaden. Revisorn kommer också att titta på hur organisationen skyddar sin egen immateriella rättigheter, vilket kan inkludera; Dataförlust och förebyggande kontroller; Policyer och medvetenhetsprogram inriktade på användarutbildning; eller Sekretess- och sekretessavtal som fortsätter efter avslutad anställning.

A.18.1.3 Skydd av register

En bra kontroll beskriver hur register skyddas från förlust, förstörelse, förfalskning, obehörig åtkomst och obehörig utlämning, i enlighet med lagar, förordningar, avtal och affärskrav.

Olika typer av register kommer sannolikt att kräva olika nivåer och metoder för skydd. Det är avgörande att register är tillräckligt och proportionalitetsskyddade mot förlust, förstörelse, förfalskning, obehörig åtkomst eller frigivning. Skyddet av register måste följa alla relevanta lagar, förordningar eller avtalsförpliktelser. Det är särskilt viktigt att förstå hur länge register måste, bör eller skulle kunna sparas och vilka tekniska eller fysiska problem som kan påverka dessa över tid – med tanke på att viss lagstiftning kan övertrumfa andra för lagring och skydd. Revisorn kommer att kontrollera att överväganden för skydd av register har gjorts baserat på affärskrav, lagar, regulatoriska och avtalsenliga skyldigheter.

A.18.1.4 Sekretess och skydd av personligt identifierbar information

En bra kontroll beskriver hur integritet och skydd av personligt identifierbar information säkerställs för relevant lagstiftning och förordning. All information som hanteras som innehåller personligt identifierbar information (PII) kommer sannolikt att omfattas av skyldigheterna enligt lagar och förordningar. PII kommer särskilt sannolikt att ha höga krav på konfidentialitet och integritet, och i vissa fall även tillgänglighet (t.ex. hälsoinformation, finansiell information). Enligt viss lagstiftning (t.ex. GDPR) definieras vissa typer av PII som extra "känsliga" och kräver ytterligare kontroller för att säkerställa efterlevnad.

Det är viktigt att medvetenhetskampanjer används med personal och intressenter för att säkerställa en upprepad förståelse av individuellt ansvar för att skydda PII och integritet. Revisorn kommer att undersöka hur PII hanteras, om lämpliga kontroller har implementerats, om de övervakas, granskas och vid behov förbättras. De kommer också att kontrollera att hanteringskraven uppfylls och att de granskas på lämpligt sätt. Ytterligare ansvar finns också, till exempel kommer GDPR att förvänta sig en regelbunden revision för områden där personuppgifter är i riskzonen. Smarta organisationer kommer att knyta ihop dessa revisioner tillsammans med sina ISO 27001-revisioner och undvika dubbelarbete eller luckor.

A.18.1.5 Reglering av kryptografiska kontroller

En bra kontroll beskriver hur kryptografiska kontroller används i enlighet med alla relevanta avtal, lagar och förordningar. Användningen av kryptografisk teknik är föremål för lagstiftning och reglering i många territorier och det är viktigt att en organisation förstår de som är tillämpliga och implementerar kontroller och medvetenhetsprogram som säkerställer att sådana krav följs. Detta gäller särskilt när kryptografi transporteras eller används i andra territorier än organisationens eller användarens normala hemvist eller verksamhet. Gränsöverskridande import/exportlagar kan innehålla krav som rör kryptografisk teknik eller användning. Revisorn kommer att se till att överväganden för lämplig reglering av kryptografiska kontroller har gjorts och att relevanta kontroller och medvetenhetsprogram har implementerats för att säkerställa efterlevnad.

Vad är syftet med bilaga A.18.2?

Bilaga A.18.2 handlar om informationssäkerhetsgranskningar. Målet i denna bilaga är att säkerställa att informationssäkerheten implementeras och drivs i enlighet med organisationens policyer och förfaranden.

A.18.2.1 Oberoende granskning av informationssäkerhet

En bra kontroll beskriver organisationens tillvägagångssätt för att hantera informationssäkerhet och dess implementering (dvs kontrollmål, kontroller, policyer, processer och rutiner för informationssäkerhet) granskas oberoende med planerade intervaller eller när betydande förändringar inträffar.

Det är bra att få en oberoende granskning av säkerhetsrisker och kontroller för att säkerställa opartiskhet och objektivitet samt dra nytta av fräscha ögon. Det betyder inte att det måste vara externt, bara dra nytta av att en annan kollega granskar policyer utöver huvudförfattaren/administratören. Dessa granskningar bör utföras med planerade, regelbundna intervall och när några betydande säkerhetsrelevanta förändringar inträffar – ISO tolkar regelbundet till att vara minst årligen.

Revisorn kommer att leta efter både regelbunden oberoende säkerhetsgranskning och granskning när betydande förändringar inträffar, samt ta tilltro till att det finns en plan för regelbundna granskningar. De kommer också att kräva bevis på att granskningar har utförts och att eventuella problem eller förbättringar som identifieras i granskningarna hanteras på lämpligt sätt.

A.18.2.2 Överensstämmelse med säkerhetspolicyer och -standarder

ISMS-chefer bör regelbundet se över efterlevnaden av informationsbehandling och rutiner inom sitt ansvarsområde. Policyer är bara effektiva om de upprätthålls och efterlevnaden testas och granskas regelbundet. Det är vanligtvis linjeledningens ansvar att se till att deras underordnade personal följer organisationens policyer och kontroller, men detta bör kompletteras med enstaka oberoende granskning och revision. Om bristande efterlevnad identifieras ska det loggas och hanteras, identifiera varför det inträffade, hur ofta det inträffar och behovet av eventuella förbättringsåtgärder, antingen relaterade till kontrollen eller medvetenheten, utbildningen eller träningen hos användaren som orsakade bristande efterlevnad.

Revisorn kommer att se till att både; Proaktiva förebyggande policyer, kontroller och medvetenhetsprogram är på plats, implementerade och effektiva; och Reaktiv efterlevnadsövervakning, granskning och revision finns också på plats. De kommer också att se efter att det finns bevis på hur förbättringar görs över tid för att säkerställa en förbättring av efterlevnadsnivåer eller underhåll om efterlevnaden redan är på 100 %. Detta stämmer överens med huvudkraven i ISO 27001 för 9 och 10 kring interna revisioner, ledningsgranskningar, förbättringar och avvikelser också. Personalmedvetenhet och engagemang i linje med A 7.2.2 är också viktigt att koppla till denna del för att säkerställa efterlevnaden.

A.18.2.3 Översyn av teknisk efterlevnad

Informationssystem bör regelbundet ses över för att se överensstämmelse med organisationens policyer och standarder för informationssäkerhet. Automatiserade verktyg används normalt för att kontrollera system och nätverk för teknisk överensstämmelse och dessa bör identifieras och implementeras på lämpligt sätt. När verktyg som dessa används är det nödvändigt att begränsa användningen till ett fåtal auktoriserad personal som möjligt och att noggrant kontrollera och samordna när de används för att förhindra att systemets tillgänglighet och integritet äventyras. Adekvata nivåer av efterlevnadstestning kommer att vara beroende av affärskrav och risknivåer, och revisorn kommer att förvänta sig att se bevis på att dessa överväganden görs. De kommer också att förvänta sig att kunna inspektera testscheman och register.

Hur hjälper ISMS.online med efterlevnad?

ISMS.online gör mycket av efterlevnadssidan av informationssäkerhet avsevärt enklare. De inbyggda godkännandeprocesserna och automatiska påminnelserna för granskningar gör livet mycket enklare och erbjuder en "levande plan" för att visa revisorer att du har kontroll över ISMS. Det i förväg ifyllda tillämpliga riskverktyget för lagstiftning inkluderar många vanliga områden inom lagstiftning och reglering som ofta förbises, och det gör hela förvaltningsområdet enklare. Interna och externa revisioner, korrigerande åtgärder, förbättringar och avvikelser hanteras enkelt med de förbyggda verktygen och funktionerna. Efterlevnad av mänskliga resurser, oavsett om det är personal, leverantörer eller andra, kan enkelt visas med verktyget Policy Pack. ISMS.online-partners erbjuder även oberoende hälsokontroller av specialister och revisionsstöd som arbetar på din plattform om det behövs.