ISO 27001 Krav 7.5 – Dokumenterad information

Vad innebär paragraf 7.5?

Ett av huvudkraven för ISO 27001 är därför att beskriva ditt ledningssystem för informationssäkerhet och sedan visa hur dess avsedda resultat uppnås för organisationen. Det är otroligt viktigt att allt som rör ISMS är dokumenterat, väl underhållet och lätt att hitta om organisationen vill uppnå en oberoende ISO 27001-certifiering från ett organ som UKAS.

ISO 27001 klausul 7.5 är uppdelad enligt följande:

Klausul 7.5.1 – Allmän dokumentation för ISO 27001

ISMS måste tydligt inkludera:

• En beskrivning av hur den hanterar 4.1 till 10.2 i de centrala kraven, inklusive riskbedömningen och behandlingen som leder till valet av bilaga A-kontroller.
• De relevanta kontrollerna i bilaga A som ingår i uttalandet om tillämplighet – vilket i praktiken innebär att du måste ha alla kontroller listade. Även om en organisation beslutar att en kontroll inte är relevant bör den dokumentera att t.ex. om den inte har ett behov av leverans- och lastutrymmen i bilaga A 11.1.6 eftersom det är en rent digital verksamhet, måste den visa revisorn att den har ansåg att det inte finns någon risk och inget behov av den kontrollen.

Klausul 7.5.2 – Skapa och uppdatera dokumenterad information för ISO 27001

ISO 27001 vill ha tydlighet i dokumentation, letar efter identifiering och beskrivning, format, granskning och godkännande för lämplighet och adekvans för att tjäna sitt syfte. Det är lätt att missa nyanserna i dessa krav, men i praktiken betyder det att man beaktar författare, datum, titel, referens etc, och den godkännandeprocessen är också mycket viktig för att passa ihop med bilaga A 5.1.2 som beskrivs nedan.

Punkt 7.5.3 – Kontroll av dokumenterad information för ISO 27001

I hjärtat av ISMS är principen om konfidentialitet, integritet och tillgänglighet för informationen. Det är samma sak för själva ISMS, det måste vara tillgängligt när det behövs och tillräckligt skyddat från förlust av konfidentialitet, obehörig användning eller potentiell integritetskompromiss.

Att bara dumpa ISMS-innehållet på den delade enheten och ha det okontrollerat eller med ineffektiva behörigheter för åtkomst skulle nästan säkert leda till problem för organisationen i en revision. På samma sätt skulle det vara ett problem att lämna den på en personlig enhet otillgänglig för dem som behöver veta om ISMS, så hänsyn måste tas till många områden för effektiv kontroll. ISO letar efter en organisation för att ta itu med följande aspekter:

• delning och distributionstydlighet, kontroller över åtkomst till vissa eller hela ISMS – med tanke på att åtkomstbehörigheterna för läsning, uppdatering, godkännande, radering etc kan behöva skilja sig beroende på intressentrollen
• lagring och bevarande, inklusive kontroll av ändringar (visar äldre versioner, historiska godkännanden etc)
• kvarhållning och bortskaffande måste också beaktas

Detta krav överensstämmer också med den regelbundna översynen av policyer som lyfts fram i bilaga A.5.1.2 som också berörs nedan.

Hur mycket måste skrivas för att dokumentation av ISMS ska anses godtagbar av en revisor?

En fråga som ofta ställs om informationssäkerhetshanteringsdokumentation är "hur mycket räcker". Det korta svaret är att det handlar om kvalitet, inte kvantitet. Så länge organisationen följer kraven som sammanfattas nedan och kan visa att den inte behöver långfattad dokumentation kommer revisorn utan tvekan att ta hänsyn till det under en revision – t.ex. för att det är en liten organisation med få deltagare runt ISMS. , stabil, tydlig, väl underhållen och enkel i drift.

Är dokumentation för ledningssystemet för informationssäkerhet "ordstilsdokument" eller är andra former av innehåll tillåtna?

Frågor om vilken typ av dokumentation som förväntas är en av de andra vanliga frågorna om paragraf 7.5 dokumentation för ledningssystemet för informationssäkerhet. I själva verket anger ISO 27001 tydligt i sin anmärkning, klausul 7.5.1:

"Omfattningen av dokumenterad information för ett ledningssystem för informationssäkerhet kan skilja sig från en organisation till en annan på grund av:"

• organisationens storlek och dess typ av aktiviteter, processer, produkter och tjänster;
• komplexiteten i processer och deras interaktioner; och
• personers kompetens.

Ett antal ISO 27001-leverantörer av informationssäkerhetsdokumentation "toolkit" har vidmakthållit myten om att dokumenterad information för ett ISMS måste vara word-dokument och excel-kalkylblad. Uppenbarligen kan dessa dokument ha en plats i ett ISMS (t.ex. där bilder eller komplexa processer också måste kommuniceras) men bör användas sparsamt med tanke på tillkomsten av bättre onlineverktyg.

Onlinetjänster som ISMS.online underlättar dokument på det mer traditionella sättet och erbjuder också effektivare sätt att hantera dokumentation som kan visa bättre kontroll och samordning, bättre sätt att dela och publicera till publik och göra hela processen med dokumentationshantering för att uppfylla kraven från klausul 7.5 nedan mycket lättare. Det betyder också att gamla tiders slöseri med framsidor av dokument som visar alla versionsändringar och godkännanden via e-post är borta för länge sedan!

Sammanfoga 7.5 med bilaga A kontroller

När man betraktar kraven i klausul 7.5 som också stämmer överens med kontrollmålen i bilagorna, är det ännu mer meningsfullt att tänka på ett sammanfogat välkoordinerat ledningssystem istället för gammaldags dokument och delade enheter för lagring. Exempel på var man kan sammanfoga klausul 7.5 med bilaga A-kontrollerna inkluderar:

Bilaga A 5.1.1

Förutom att definieras behöver informationssäkerhetspolicyer godkännas av ledningen, publiceras och kommuniceras till anställda och relevanta externa parter. Det är inte lätt att visa godkännande för dokument i sig, och publicering av tunga dokument kommer sannolikt inte att smältas eller förstås av intressenterna även om de har kommunicerats (vilket lämnar organisationen risk för bristande efterlevnad och hot om förlust genom okunnighet).

Bilaga A 5.1.2

Genomgång av policyerna för informationssäkerhet. ISO 27001 säger att policyer bör ses över regelbundet med planerade intervall (eller om betydande förändringar inträffar) för att säkerställa att de fortlöpande är lämpliga. Oberoende ISO-revisorer förväntar sig att se den granskningen göras minst årligen för varje policy.

Bilaga A 18.2

Denna bilaga A-kontroll handlar om granskningar av informationssäkerhet och den är väl utförd och integreras snyggt med paragraf 7.5 för dokumentationshantering av ett ISMS inklusive oberoende granskningar, kontroller för efterlevnad och där så är lämpligt även teknisk efterlevnad. Granskning, versionskontroll, visa uppdateringar och sedan godkänna gamla utformade dokument där de inte behöver vara dokument i sig kan verkligen sakta ner administratörer av ISMS. Det kan också försena eller förlora personalens engagemang och leda till bristande efterlevnad.

Hur hanterar du dokumentation i ditt ISMS?

Klausul 7.5 är lätt att missförstå och flaxa runt, vilket leder till ett revisionsfel, eller kanske överkonstruera en lösning för och spendera alldeles för lång tid på att bygga en ledningssystemstruktur som är för svår att underhålla vid första ändringen. ISMS.online affärscaseplanerare tittar på alternativen för bygg kontra köp, så kolla upp det om du funderar på att skapa din egen lösning.

Det är verkligen svårt att få rätt och uppfylla alla kraven i klausul 7.5 och tillhörande bilaga A-kontroller också. Det är därför många organisationer letar efter en specialbyggd ISMS-mjukvarulösning och vill ha något med egenskaperna hos ISMS.online.

När allt kommer omkring skulle du inte slösa tid på att bygga ditt eget CRM- eller ekonomisystem när andra redan har lagt ner tid på att utveckla rätt lösning som kan levereras direkt ur lådan för en bråkdel av kostnaden för en gör-det-själv-lösning som är inte en del av organisationens kärnkompetenser.

ISMS.online tillhandahåller en enkel att följa struktur för all nödvändig dokumentation. Den följer exakt samma struktur som själva standarden så att du och en revisor enkelt och snabbt kan navigera till den dokumentation som krävs. Den har inbyggda roller och behörigheter för åtkomst, redigering, godkännande och delning. Det finns också automatisk versionskontroll och påminnelser för recensioner. Vi har till och med gått ett steg längre och inkluderat policy- och kontrolldokumentation som du kan anta, anpassa och lägga till direkt ur kartongen.

Genom att använda mjukvarulösningen ISMS.online kan du fokusera på dina ISMS-mål. ISMS.online gör administrationen lätt, så att du enkelt kan skapa, kontrollera, samordna, hantera och dela din dokumentation till intressenter, inklusive genom policypaket som ökar förtroendet för efterlevnad. Det kommer också att ge dig alla verktyg för att utföra de många arbetsprocesser som standarden kräver. Det är också därför vi säger att de dokument vi tillhandahåller är "handlingsbara". De är mer än enkla dokumentmallar som låter dig tolka och hitta ett sätt att demonstrera dina processer...ISMS.online är en hel ISMS-lösning på ett och samma ställe.

Bli certifierad upp till 5 gånger snabbare med ISMS.online

Efterlevnad behöver inte vara komplicerat – ISMS.online är utformad för att hjälpa dig att uppnå ISO 27001-certifiering snabbt och till ett överkomligt pris utan utbildning som krävs.
Vi har effektiviserat ISO 27001-processen med vår metod för garanterade resultat, en 80 % försprång, din egen virtuella coach dygnet runt, enkel onboarding och expertsupport.

Boka en plattformsdemo för att se hur ISMS.online kan hjälpa ditt företag