Hur man undviker katastrofala antaganden med ISO 27001 klausul 9

Många professionella lärdomar är verkligen användbara i affärsvärlden. Men det finns en princip som hjälper mig i alla delar av mitt liv, från att få barnen till skolan varje morgon till att planera den där drömsemestern efter Covid. Det är det här:

• Antagande är alla katastrofers moder

Om du bara gör antaganden istället för att faktiskt kolla upp saker, kommer du inte att fånga problem och problem när de fortfarande är små och lätta att fixa. Du kommer bara se dem när de är omöjliga att missa och förmodligen katastrofala.

Lyckligtvis finns det en lätt lösning. Gör inga antaganden. Ersätt dem med praktiska, konstruktiva, strukturerade revisioner. Det kan verka tråkigt och tråkigt, men det är alltid viktigt.

Varför tillsyn är viktigt

Genom sin uppmärksamhet på detaljer, i en tidigare roll: en av våra kollegor:

• Hjälpte sin dåvarande klient att undvika stora ekonomiska och anseendeskador
• Räddade livet på många oklanderliga undervattensvarelser
• Förhindrade en stor internationell incident

Han granskade en undervattenslagringsenhet innan dess installation på havsbotten. Han fick reda på att en leverantör hade använt fel sorts färg på den. Färgen skulle förfalla snabbt. Då skulle förvaringsenheten förfalla snabbt. Då skulle det bryta upp.

Enheten konstruerades för att säkert innehålla radioaktivt material för undervattensmätningsändamål.

Du kan föreställa dig resten.

Alla antog att det var ett slöseri med tid att kontrollera lackeringen. Hur kan någon överhuvudtaget få något så grundläggande så fel? Vår kollega fick faktiskt kritik för att vara för kräsen. Men återigen visade det verkliga livet att antagandet är alla katastrofers moder.

Tillsyn i ISO 27001

Eftersom revision är så viktigt, täcker ISO 27001 det i detalj. Klausul 9 av ISO 27001 ber dig tänka igenom hur du ska:

• Mät och sätt upp mål för din ISMS effektivitet (Klausul 9.1)
• Kontrollera den regelbundet för att se till att den når dessa mål (Klausul 9.2)
• Håll koll på din högsta ledning (Klausul 9.3)

Det ger dig en mycket användbar infosec-kontrolllista, oavsett om du är det eller inte kompatibla eller certifierade. Även om vi behöver nå ut till Klausul 10.2 för en mycket viktig sista detalj:

• Överväg att göra förbättringar av ditt ISMS baserat på vad du har hittat

Klausul 9.1: Mätning och inställning av mål för ditt ISMS

Ett ogranskat ISMS är inte värt att ha. Men för att undersöka det ordentligt måste du veta vad du letar efter, var du letar och vem som letar efter det. Klausul 9.1 ber dig att planera:

• Vilka delar av din ISMS du behöver att hålla ett öga på
• Hur du ska övervaka, mäta, analysera och utvärdera dem
• Hur ofta kommer du att utföra alla dessa kontroller
• Vem gör kontrollen
• Hur de kommer att rapportera sina fynd

Se till att du dokumenterar allt. Att ha en enda uppsättning tydliga praktiska riktlinjer kommer att stoppa människor från att göra antaganden. Vi vet vart de kan leda...

Klausul 9.2: Granska ditt ISMS

Nu är du redo för din faktiska internrevision, som specificeras i punkt 9.2. Det är här du kollar lacken och sparkar däcken. Att suga igenom tänderna är också ett alternativ.

I grund och botten kontrollerar du att din ISMS:

• Uppfyller alla mål du har satt upp för den
• Är välskött och väl underhållen

Bara en revision kommer inte att göra jobbet. Du behöver planera för regelbundna revisioner. Varje ny revision måste referera till tidigare, så att du säkert vet att du tar upp och svarar på eventuella problem. Så varje ny revision måste tydligt och konsekvent dokumenteras och rapporteras.

Du måste också göra specifika personer ansvariga för varje revision. De bör ha en tydlig omfattning för varje revision. Och avgörande, de måste vara objektiva. Välj revisorer som kommer att utmana dina antaganden, inte bekräfta dem.

Och varje revision bör vara en positiv, värdeskapande process. Helst letar revisorer efter överensstämmelser och kanske arbetar med den granskade för att hitta potentiella förbättringar. Din revisor letar INTE efter avvikelser. Det händer bara att de ibland ser dem.

Klausul 9.3: Hålla den högsta ledningen informerad

Att anta att ledningen vet hur det går är alltid ett misstag. Du måste se till att de förstår, köper in och (om nödvändigt) formar ditt ISMS. När allt kommer omkring som Klausul 5 noterar, de är ytterst ansvariga för ditt ISMS.

Så, klausul 9.3 ber dig att genomföra regelbundna, planerade ledningsgenomgångar. Du kommer att uppdatera den högsta ledningen om hur väl din ISMS skyddar din organisation och omfattar:

• Specifika problem som upptäckts och hur du har åtgärdat dem
• Allmän prestation mot de mål du har satt upp
• Eventuella kommentarer eller feedback från intressenter
• Vad dina revisorer säger till dig
• Detaljer om pågående riskbedömning och behandling
• Förbättringar du planerar att göra eller har gjort

Du bör också dra nytta av deras helhetsbild av din organisation. Se till att de delar information om eventuella interna eller externa problem som kan påverka omfattningen och hur ditt ISMS fungerar. Och naturligtvis kommer du att fånga dem om åtgärder som härrör från tidigare recensioner.

Åh, och det finns ett stort antagande att utmana. Folk antar vanligtvis att granskningen av ledningssystemet måste göras som ett möte. Men var står det i paragraf 9.2? Vårt tips: Det gör det inte...

Ett sista antagande vi vill undvika

Så det är så Klausul 9 av ISO 27001 hjälper dig att ersätta vaga antaganden med praktiska, konstruktiva, strukturerade revisioner. Då kan du följa paragraf 10.2 och agera utifrån dem.

Förhoppningsvis har vi visat dig hur processen fungerar och gett dig några användbara tips som hjälper dig att hålla ett öga på dina egna infosec-åtgärder.

Men det låter som precis vad vi vill undvika: ett antagande! Så om det här inlägget har varit användbart eller inspirerande, Låt oss veta Säkert.