ISO 27001:2022 bilaga A 5.24 – Planering och förberedelse av informationssäkerhetsincidenthantering

Vad är syftet med ISO 27001:2022 Annex A 5.24?

Målet med ISO 27001:2022 bilaga A 5.24 är att säkerställa ett konsekvent och praktiskt förhållningssätt till hantera informationssäkerhet incidenter, händelser och svagheter.

Att definiera hur ledningen fastställer ansvar och rutiner för att åtgärda svagheter, händelser och säkerhetsincidenter är definitionen av lämplig kontroll.

Termen incident hänvisar till en situation där en förlust av konfidentialitet, integritet eller tillgänglighet har inträffat.

För att kunna planera en incidentrespons, händelserespons eller svaghetsrespons måste ditt ledarskap definiera dessa procedurer innan en incident inträffar. Dessa förfaranden är lätta att utveckla eftersom resten av denna bilaga A-kontroll preciserar dem. Du måste visa att dessa formella, dokumenterade rutiner fungerar med din revisor.

Vad är syftet med bilaga A 5.24?

Ett tillvägagångssätt för incidenthantering för informationssäkerhet kan ses i bilaga A Kontroll 5.24.

Denna kontroll beskriver hur organisationer ska hantera incidenter relaterade till informationssäkerhet genom att skapa effektiva processer, planera adekvat och definiera tydligt definierade roller och ansvar.

Den betonar konstruktiv kommunikation och professionella svar på högtrycksscenarier, särskilt när det handlar om kommersiellt känslig personlig information.

Dess syfte är att minimera eventuella kommersiella eller operativa skador orsakade av kritiska informationssäkerhetshändelser genom att upprätta en standarduppsättning incidenthanteringsprocedurer.

Ägande av ISO 27001:2022 bilaga A 5.24

I en vidare mening används en incidenthanteringsstrategi vanligtvis för att hantera tjänsterelaterade incidenter. Kontroll 5.24 i bilaga A behandlar specifikt incidenter och överträdelser relaterade till informationssäkerhet.

På grund av den känsliga karaktären hos dessa händelser bör CISO:er eller motsvarande till en organisation ta äganderätten till Kontroll 5.24.

Eftersom CISO vanligtvis är anställda av stora företag kan ägandet också innehas av COO eller Service Manager beroende på organisationens karaktär.

Vägledning om roller och ansvar

För att uppnå de mest effektiva resultaten inom incidenthantering måste en organisations personal arbeta tillsammans för att lösa specifika problem.

Bilaga A Kontroll 5.24 specificerar 5 huvudriktlinjer för hur organisationer kan göra sin informationshanteringsverksamhet mer effektiv och sammanhållen.

Det är avgörande för organisationer att:

1. Utveckla och dokumentera en homogen metod för rapportering av säkerhetshändelser. Detta bör också inkludera inrättandet av en enda kontaktpunkt för alla sådana evenemang.
2. Implementera Incident Management-processer för att hantera informationssäkerhetsrelaterade incidenter inom olika tekniska och administrativa områden:
• Administration
• Dokumentation
• Detektering
• Triage
• Prioritering
• Analys
• Kommunikation

Skapa en incidenthanteringsprocedur så att incidenter kan bedömas och bemötas av organisationen. Ett företag bör också överväga behovet av att lära av incidenter när de väl har lösts. Detta förhindrar återfall och ger personalen en historisk kontext för framtida scenarier.

Se till att endast utbildad och kompetent personal är inblandad i incidenter. Se dessutom till att de har full tillgång till procedurdokumentation och att de får regelbunden repetitionsutbildning som är direkt relaterad till informationssäkerhetsincidenter.

Identifiera personalens utbildningsbehov för att lösa informationssäkerhetsrelaterade incidenter genom att upprätta en process. Personalen bör få lyfta fram behov av professionell utveckling relaterade till informationssäkerhet och leverantörsspecifika certifieringar.

Vägledning om hantering av incidenter

En organisation borde hantera informationssäkerhetsincidenter för att säkerställa att alla personer som är involverade i att lösa dem förstår tre huvudområden:

1. En incidents upplösningstid.
2. Eventuella återverkningar.
3. Incidentens svårighetsgrad.

Alla processer måste samverka harmoniskt för att behålla dessa tre variabler som högsta prioritet:

• I bilaga A Kontroll 5.24 ska åtta huvudaktiviteter tas upp vid lösning av informationssäkerhetsrelaterade incidenter.
• Eventpotential måste utvärderas utifrån strikta kriterier som validerar det som en godkänd säkerhetsincident.
• Händelser och incidenter relaterade till informationssäkerhet bör hanteras enligt följande, antingen manuellt eller via processautomation:
• Övervakning (se bilaga A Kontroller 8.15 och 8.16).
• Detektion (se bilaga A Kontroll 88.16).
• Klassificering (se bilaga A Kontroll 5.25).
• Analys.
• Rapportering (se bilaga A Kontroll 6.8).

Ett framgångsrikt slut på en informationssäkerhetsincident bör omfatta följande procedurer:

• Beroende på incidenttyp krävs reaktion och upptrappning (se bilaga A Kontroll 5.26).
• Aktivering från fall till fall av krishantering eller affärskontinuitetsplaner.
• Återhämtning från en incident på ett sätt som minimerar eventuella operativa eller ekonomiska skador.
• Kommunikation med alla interna och externa parter gällande incidentrelaterade händelser.
• Förmåga att samarbeta med intern och extern personal (se bilaga A Kontroll 5.5 och 5.6).
• Alla incidenthanteringsaktiviteter ska loggas, lättillgängliga och transparenta.

Efterlevnad av externa och interna riktlinjer och föreskrifter avseende bevishantering (inklusive data och samtal) (se bilaga A Kontroll 5.28).

En grundlig utredning och grundorsaksanalys kommer att genomföras när incidenten har åtgärdats.

En omfattande beskrivning av eventuella förbättringar som behövs för att förhindra att incidenten upprepas, inklusive eventuella ändringar i incidenthanteringsprocessen.

Vägledning om riktlinjer för rapportering

En Incident Management-policy bör fokusera på rapporteringsaktiviteter för att säkerställa att information sprids korrekt i hela organisationen. Rapporteringsaktiviteter bör koncentreras på fyra huvudområden:

1. En informationssäkerhetshändelse kräver att specifika åtgärder vidtas.
2. Med hjälp av incidentformulär kan personalen registrera information tydligt och koncist.
3. Informera personalen om resultatet av informationssäkerhetsincidenter när de har lösts genom återkopplingsprocesser.
4. All relevant information om en incident dokumenteras i incidentrapporter.

Bilaga A Kontroll 5.24 behöver vägledning om hur man följer externa rapporteringskrav (t.ex. regleringsriktlinjer och gällande lagstiftning). Trots detta bör organisationer samordna ett svar som uppfyller alla juridiska, regulatoriska och sektorspecifika krav genom att dela information om incidenter med alla relevanta parter.

Bifogade kontroller i bilaga A

• ISO 27001:2022 bilaga A 5.25
• ISO 27001:2022 bilaga A 5.26
• ISO 27001:2022 bilaga A 5.5
• ISO 27001:2022 bilaga A 5.6
• ISO 27001:2022 bilaga A 6.8
• ISO 27001:2022 bilaga A 8.15
• ISO 27001:2022 bilaga A 8.16

Vilka är ändringarna och skillnaderna från ISO 27001:2013?

ISO 27001:2022 bilaga A 5.24 ersätter ISO 27001:2013 bilaga A 16.1.1 ('Hantering av informationssäkerhetsincidenter och förbättringar').

Det erkänns i bilaga A 5.24 att organisationer måste genomgå grundliga förberedelser för att vara motståndskraftiga och följsamma när de ställs inför informationssäkerhetsincidenter.

I detta avseende ger 27001:2022 A.5.24 en omfattande uppdelning av de steg som en organisation måste ta över rolldelegering, incidenthantering och rapporteringsfunktioner, samt hänvisningar till andra ISO-kontroller som hjälper organisationer att få en mer heltäckande bild av incidenten ledningen som helhet, inte bara relaterad till informationssäkerhetsincidenter.

Det finns tre distinkta områden att tänka på när man delar upp incidenthanteringsverksamheten i ISO 27001: 2022 Bilaga A 5.24 i motsats till ISO 27001:2013 Bilaga A 16.1.1:

• Ansvar och roller.
• Processer för att hantera incidenter.
• Rapporteringsprocessen.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 Bilaga A Kontroll.

Informationssäkerhet Incidenthantering: Hur hjälper ISMS.online?

ISMS.online tillhandahåller en integrerad policy för att hantera 16.1.1 – 16.1.7 under hela livscykeln och inbyggda verktyg som du kan använda för att demonstrera detta. Hantering av säkerhetsincidenter är en enkel, enkel process med ISMS.onlines verktyg för hantering av säkerhetsincidenter. En omfattande incidenthanteringsplan guidar en incident genom alla nyckelstadier och säkerställer att standarden uppfylls på ett pragmatiskt men överensstämmande sätt.

Med ISMS.online kan du snabbt anpassa det efter behov. Den förbyggda statistiken och rapporteringsinsikterna hjälper till att göra ledningsgranskningar mycket enklare och spara tid, eftersom de på ett elegant sätt knyter samman med relaterade delar av ISMS. Vill du koppla en specifik incident till en förbättring, en risk, en revision, eller en informationstillgång och de policyer du behöver tänka på?

En rubrik på spåret för säkerhetsincidenter visas nedan, vilket hjälper till att visa allt arbete som görs. Det är enkelt och undviker också dubbelarbete. För att säkerställa att du fokuserar på de viktigaste sakerna först kan du filtrera dem och hantera resurser, kategorier och incidenttyper.

ISMS.online låter dig:

• Implementera ett ISMS som uppfyller kraven i ISO 27001.
• Visa efterlevnad av standardens krav genom att utföra uppgifter och skicka in bevis.
• Säkerställa efterlevnad av lagen genom att fördela uppgifter och följa framsteg.
• Säkerställ efterlevnad med hjälp av ett dedikerat team av rådgivare.

Kontakta oss idag för att BOKA EN DEMO.