ISO 27001 – Bilaga A.6: Organisation av informationssäkerhet

Vad är syftet med bilaga A.6.1?

Bilaga A.6.1 handlar om intern organisation. Målet i detta bilaga A-område är att upprätta ett ledningsramverk för att initiera och kontrollera implementeringen och driften av informationssäkerhet inom organisationen.

Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering. Låt oss förstå dessa krav och vad de betyder lite mer på djupet nu.

A.6.1.1 Informationssäkerhetsroller och -ansvar

Allt ansvar för informationssäkerhet måste definieras och tilldelas. Informationssäkerhetsansvar kan vara generellt (t.ex. att skydda information) och/eller specifikt (t.ex. ansvaret för att ge ett visst tillstånd).

Hänsyn bör tas till ägandet av informationstillgångar eller grupper av tillgångar vid identifiering av ansvar. Några exempel på affärsroller som sannolikt kommer att ha viss informationssäkerhetsrelevans inkluderar; Avdelningschefer; Affärsprocessägare; Anläggningschef; HR-chef; och internrevisor.

Revisorn kommer att försöka få försäkran om att organisationen har klargjort vem som ansvarar för vad på ett adekvat och proportionerligt sätt i enlighet med organisationens storlek och karaktär. För mindre organisationer är det i allmänhet orealistiskt att ha heltidsroller kopplade till dessa roller och ansvarsområden.

Som sådan är det viktigt att klargöra specifika informationssäkerhetsansvar inom befintliga jobbroller, t.ex. kan Operations Director eller VD också vara motsvarigheten till CISO, Chief Information Security Officer, med övergripande ansvar för alla ISMS. CTO kan äga alla teknologirelaterade informationstillgångar etc.

A.6.1.2 Uppdelning av arbetsuppgifter

Motstridiga uppgifter och ansvarsområden måste åtskiljas för att minska möjligheterna till otillåten eller oavsiktlig ändring eller missbruk av någon av organisationens tillgångar.

Organisationen måste fråga sig om åtskillnaden av arbetsuppgifter har övervägts och genomförts där så är lämpligt. Mindre organisationer kan kämpa med detta, men principen bör tillämpas så långt som möjligt och god styrning och kontroller införas för informationstillgångarna med högre risk/högre värde, fångas som en del av riskbedömningen och behandlingen.

A.6.1.3 Kontakt med myndigheter

Lämpliga kontakter med berörda myndigheter måste upprätthållas. Kom ihåg att när du anpassar denna kontroll tänka på det juridiska ansvaret för att kontakta myndigheter såsom polisen, informationskommissarie eller andra tillsynsorgan t.ex. kring GDPR.

Fundera över hur den kontakten ska tas, av vem, under vilka omständigheter och vilken typ av information som ska lämnas.

A.6.1.4 Kontakt med specialintressegrupper

Lämpliga kontakter med särskilda intresseorganisationer eller andra specialiserade säkerhetsforum och yrkessammanslutningar ska också upprätthållas. När du anpassar denna kontroll till dina specifika behov kom ihåg att medlemskap i yrkesorganisationer, branschorganisationer, forum och diskussionsgrupper alla räknas för denna kontroll.

Det är viktigt att förstå arten av var och en av dessa grupper och för vilket syfte de har skapats (t.ex. finns det ett kommersiellt syfte bakom det).

A.6.1.5 Informationssäkerhet i projektledning

Informationssäkerhet måste tas upp i projektledning, oavsett typ av projekt. Informationssäkerhet bör vara förankrad i organisationens struktur och projektledning är ett nyckelområde för detta. Vi rekommenderar användning av mallar för projekt som inkluderar en enkel repeterbar checklista för att visa att informationssäkerhet övervägs.

Revisorn kommer att se till att alla personer som är involverade i projekt har till uppgift att överväga informationssäkerhet i alla skeden av projektets livscykel, så detta bör också täckas som en del av utbildningen och medvetenheten i linje med HR-säkerhet för A.7.2.2 .

Smarta organisationer kommer också att samordna A.6.1.5 med relaterade skyldigheter för personuppgifter och överväga designad säkerhet tillsammans med Data Protection Impact Assessments (DPIA) och liknande processer för att visa överensstämmelse med General Data Protection Regulation (GDPR) och Data Protection Act 2018.

ISMS.online innehåller enkla, praktiska ramverk och mallar för informationssäkerhet i projektledning samt DPIA och andra relaterade persondatabedömningar, t.ex. Legitimate Interest Assessments (LIA).

Vad är syftet med bilaga A.6.2?

Bilaga A.6.2 handlar om mobila enheter och distansarbete. Målet i detta bilaga A-område är att upprätta ett förvaltningsramverk för att säkerställa säkerheten för distansarbete och användning av mobila enheter.

A.6 verkar vara ett konstigt ställe att täcka bort mobila enheter och distansarbete, men det gör det, och nästan allt i A.6.2 ansluter till andra kontroller i bilaga A eftersom mycket av arbetslivet inkluderar mobil- och distansarbete.

Distansarbete inkluderar i detta fall även hemarbetare och de som befinner sig på satellitplatser som kanske inte behöver samma fysiska infrastrukturkontroller som (säg) huvudkontoret men som ändå har exponering för värdefull information och tillhörande tillgångar.

A.6.2.1 Policy för mobila enheter

En policy och stödjande säkerhetsåtgärder måste antas för att hantera de risker som införs genom att använda mobiltelefoner och andra mobila enheter såsom bärbara datorer, surfplattor etc. När mobila enheter blir allt smartare blir detta policyområde mycket mer betydelsefullt utöver den traditionella användningen av en mobil telefon. Användningen av mobila enheter och distansarbete är samtidigt ett utmärkt tillfälle för flexibelt arbete och en potentiell säkerhetsrisk.

BYOD eller Bring Your Own Device är också en stor del av övervägandet. Även om det finns enorma fördelar med att göra det möjligt för personal att använda sina egna enheter, utan adekvata kontroller på livets användning och framför allt exit, kan hoten också vara betydande.

En organisation måste vara säker på att när mobila enheter används eller personal arbetar utanför platsen förblir dess information och kunders och andra intresserade parter skyddad och helst inom dess kontroll. Det blir allt svårare med konsumentmolnlagring, automatiserad säkerhetskopiering och personligt ägda enheter som delas av familjemedlemmar.

En organisation bör överväga att implementera en "Defence in Depth"-strategi med en kombination av kompletterande fysiska, tekniska och policykontroller. En av de viktigaste aspekterna är utbildning, träning och medvetenhet kring användningen av mobila enheter även på offentliga platser, att undvika risken för "gratis" wifi som snabbt kan äventyra information eller hindra objudna observatörer från att titta på skärmen på tågresan Hem.

Revisorn kommer att vilja se att det finns tydliga policyer och kontroller på plats som garanterar att informationen förblir säker när man arbetar borta från organisatoriska fysiska platser. Policyer bör täcka följande områden:

• registrering och hantering
• fysiskt skydd
• begränsningar för vilken programvara som kan installeras, vilka tjänster och appar som kan läggas till och nås, användning av auktoriserade och obehöriga utvecklare
• drift av enhetsuppdateringar och patchapplikationer
• informationsklassificeringen som är tillgänglig och alla andra begränsningar för tillgångstillgång (t.ex. ingen tillgång till kritisk tillgång till infrastruktur)
• förväntningar på kryptografi, skadlig programvara och antivirus
• krav på inloggning, fjärrinaktivering, radering, lockout och 'hitta min enhet'
• säkerhetskopiering och lagring
• familj och andra användaråtkomstvillkor (om BYOD) t.ex. separation av konton
• använda på offentliga platser
• anslutning och betrodda nätverk

A.6.2.2 Distansarbete

En policy och stödjande säkerhetsåtgärder måste också implementeras för att skydda information som nås, bearbetas eller lagras på distansarbetsplatser. Med distansarbete avses hemarbete och annat arbete utanför anläggningen såsom på leverantörs- eller kundplatser. För distansarbetande personal är utbildning, träning och medvetenhet om potentiella risker avgörande.

Revisorn kommer att förvänta sig att se beslut som rör användning av mobila enheter och distansarbete och säkerhetsåtgärder baserade på lämplig riskbedömning, som balanserar behovet av flexibelt arbete mot de potentiella hot och sårbarheter som sådan användning skulle innebära.

Distansarbete är också nära besläktat med många av de andra kontrollområdena i bilaga A i A.6, A.8, A.9, A .10, A.11, A.12 och A.13, så slå ihop dem som en del av kontors- och distansarbete för att undvika dubbelarbete och luckor. A.7 är också viktigt för att göra rätt för screening och rekrytering av distansarbetare och ledning under livscykeln blir nyckeln att inkludera i revisioner och visa för revisorer att distansarbetare inte är ett dåligt hanterat hot.