Nedan hittar du kärnkraven i ISO 27001:2013. Om du letar efter den uppdaterade
ISO 27001:2022 kärnkrav, vänligen klicka på knappen nedan.
Vad innebär paragraf 7.5?
Ett av huvudkraven för ISO 27001 är därför att beskriva ditt ledningssystem för informationssäkerhet och sedan visa hur dess avsedda resultat uppnås för organisationen. Det är otroligt viktigt att allt som rör ISMS är dokumenterat, väl underhållet och lätt att hitta om organisationen vill uppnå en oberoende ISO 27001-certifiering från ett organ som UKAS.
ISO 27001 klausul 7.5 är uppdelad enligt följande:
Klausul 7.5.1 – Allmän dokumentation för ISO 27001
ISMS måste tydligt inkludera:
- En beskrivning av hur den hanterar 4.1 till 10.2 i de centrala kraven, inklusive riskbedömningen och behandlingen som leder till valet av bilaga A-kontroller.
- De relevanta kontrollerna i bilaga A som ingår i uttalandet om tillämplighet – vilket i praktiken innebär att du måste ha alla kontroller listade. Även om en organisation beslutar att en kontroll inte är relevant bör den dokumentera att t.ex. om den inte har ett behov av leverans- och lastutrymmen i bilaga A 11.1.6 eftersom det är en rent digital verksamhet, måste den visa revisorn att den har ansåg att det inte finns någon risk och inget behov av den kontrollen.
Klausul 7.5.2 – Skapa och uppdatera dokumenterad information för ISO 27001
ISO 27001 vill ha tydlighet i dokumentation, letar efter identifiering och beskrivning, format, granskning och godkännande för lämplighet och adekvans för att tjäna sitt syfte. Det är lätt att missa nyanserna i dessa krav, men i praktiken betyder det att man beaktar författare, datum, titel, referens etc, och den godkännandeprocessen är också mycket viktig för att passa ihop med bilaga A 5.1.2 som beskrivs nedan.
Punkt 7.5.3 – Kontroll av dokumenterad information för ISO 27001
I hjärtat av ISMS är principen om konfidentialitet, integritet och tillgänglighet för informationen. Det är samma sak för själva ISMS, det måste vara tillgängligt när det behövs och tillräckligt skyddat från förlust av konfidentialitet, obehörig användning eller potentiell integritetskompromiss.
Att bara dumpa ISMS-innehållet på den delade enheten och ha det okontrollerat eller med ineffektiva behörigheter för åtkomst skulle nästan säkert leda till problem för organisationen i en revision. På samma sätt skulle det vara ett problem att lämna den på en personlig enhet otillgänglig för dem som behöver veta om ISMS, så hänsyn måste tas till många områden för effektiv kontroll. ISO letar efter en organisation för att ta itu med följande aspekter:
- delning och distributionstydlighet, kontroller över åtkomst till vissa eller hela ISMS – med tanke på att åtkomstbehörigheterna för läsning, uppdatering, godkännande, radering etc kan behöva skilja sig beroende på intressentrollen
- lagring och bevarande, inklusive kontroll av ändringar (visar äldre versioner, historiska godkännanden etc)
- kvarhållning och bortskaffande måste också beaktas
Detta krav överensstämmer också med den regelbundna översynen av policyer som lyfts fram i bilaga A.5.1.2 som också berörs nedan.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Hur mycket måste skrivas för att dokumentation av ISMS ska anses godtagbar av en revisor?
En fråga som ofta ställs om informationssäkerhetshanteringsdokumentation är "hur mycket räcker". Det korta svaret är att det handlar om kvalitet, inte kvantitet. Så länge organisationen följer kraven som sammanfattas nedan och kan visa att den inte behöver långfattad dokumentation kommer revisorn utan tvekan att ta hänsyn till det under en revision – t.ex. för att det är en liten organisation med få deltagare runt ISMS. , stabil, tydlig, väl underhållen och enkel i drift.
Är dokumentation för ledningssystemet för informationssäkerhet "ordstilsdokument" eller är andra former av innehåll tillåtna?
Frågor om vilken typ av dokumentation som förväntas är en av de andra vanliga frågorna om paragraf 7.5 dokumentation för ledningssystemet för informationssäkerhet. I själva verket anger ISO 27001 tydligt i sin anmärkning, klausul 7.5.1:
"Omfattningen av dokumenterad information för ett ledningssystem för informationssäkerhet kan skilja sig från en organisation till en annan på grund av:"
- organisationens storlek och dess typ av aktiviteter, processer, produkter och tjänster;
- komplexiteten i processer och deras interaktioner; och
- personers kompetens.
Ett antal ISO 27001-leverantörer av informationssäkerhetsdokumentation "toolkit" har vidmakthållit myten om att dokumenterad information för ett ISMS måste vara word-dokument och excel-kalkylblad. Uppenbarligen kan dessa dokument ha en plats i ett ISMS (t.ex. där bilder eller komplexa processer också måste kommuniceras) men bör användas sparsamt med tanke på tillkomsten av bättre onlineverktyg.
Onlinetjänster som ISMS.online underlättar dokumenthantering på ett mer traditionellt sätt och erbjuder även mer effektiva sätt att hantera dokumentation, vilket kan visa bättre kontroll och samordning, bättre sätt att dela och publicera till publiken och göra hela processen för dokumenthantering enligt kraven i klausul 7.5 nedan mycket enklare. Det betyder också att de gamla dagarna med att slösa tid på dokumentens framsidor som visade alla versionsändringar och godkännanden via e-post sedan länge är förbi!
Sammanfoga 7.5 med bilaga A kontroller
När man betraktar kraven i klausul 7.5 som också stämmer överens med kontrollmålen i bilagorna, är det ännu mer meningsfullt att tänka på ett sammanfogat välkoordinerat ledningssystem istället för gammaldags dokument och delade enheter för lagring. Exempel på var man kan sammanfoga klausul 7.5 med bilaga A-kontrollerna inkluderar:
Bilaga A 5.1.1
Förutom att vara definierade måste informationssäkerhetspolicyer godkännas av ledningen, publiceras och kommuniceras till anställda och relevanta externa parter. Det är inte lätt att visa godkännande för dokument i sig, och publicering av tunga dokument är osannolikt att intressenterna kommer att ta till sig eller förstå dem även om de har kommunicerats (vilket utsätter organisationen för risk för bristande efterlevnad och hot om förlust på grund av okunskap).
Bilaga A 5.1.2
Genomgång av policyerna för informationssäkerhet. ISO 27001 säger att policyer bör ses över regelbundet med planerade intervall (eller om betydande förändringar inträffar) för att säkerställa att de fortlöpande är lämpliga. Oberoende ISO-revisorer förväntar sig att se den granskningen göras minst årligen för varje policy.
Bilaga A 18.2
Denna kontroll i bilaga A handlar om granskningar av informationssäkerhet och, om den utförs väl, integreras den snyggt med klausul 7.5 för dokumenthantering av ett ISMS, inklusive oberoende granskningar, kontroller av efterlevnad och där så är lämpligt även teknisk efterlevnad. Att granska, versionskontrollera, visa uppdateringar och sedan godkänna gammalmodiga dokument där de inte behöver vara dokument i sig kan verkligen sakta ner administratörerna av ISMS. Det kan också försena eller förlora personalens engagemang och leda till bristande efterlevnad.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Hur hanterar du dokumentation i ditt ISMS?
Klausul 7.5 är lätt att missförstå och flaxa runt, vilket leder till ett revisionsfel, eller kanske överkonstruera en lösning för och spendera alldeles för lång tid på att bygga en ledningssystemstruktur som är för svår att underhålla vid första ändringen. ISMS.online affärscaseplanerare tittar på alternativen för bygg kontra köp, så kolla upp det om du funderar på att skapa din egen lösning.
Det är verkligen svårt att få till det rätta och uppfylla alla krav i klausul 7.5 och de relaterade kontrollerna i bilaga A. Det är därför många organisationer letar efter en specialbyggd ISMS-programvarulösning och vill ha något med egenskaperna hos ISMS.online.
När allt kommer omkring skulle du inte slösa tid på att bygga ditt eget CRM- eller ekonomisystem när andra redan har lagt ner tid på att utveckla rätt lösning som kan levereras direkt ur lådan för en bråkdel av kostnaden för en gör-det-själv-lösning som är inte en del av organisationens kärnkompetenser.
ISMS.online erbjuder en lättförståelig struktur för all nödvändig dokumentation. Den följer exakt samma struktur som själva standarden så att du och en revisor enkelt och snabbt kan navigera till den nödvändiga dokumentationen. Den har inbyggda roller och behörigheter för åtkomst, redigering, godkännande och delning. Det finns också automatisk versionshantering och påminnelser för granskningar. Vi har till och med gått ett steg längre och inkluderat policy- och kontrolldokumentation som du kan anta, anpassa och lägga till direkt ur lådan.
Med hjälp av programvarulösningen ISMS.online kan du fokusera på dina ISMS-mål. ISMS.online förenklar administrationen, så att du enkelt kan skapa, kontrollera, koordinera, hantera och dela din dokumentation med intressenter, inklusive genom policypaket som ökar förtroendet för efterlevnad från början till slut. Det ger dig också alla verktyg för att utföra de många arbetsprocesser som krävs enligt standarden. Det är också därför vi säger att de dokument vi tillhandahåller är "handlingsbara". De är mer än enkla dokumentmallar som låter dig tolka och hitta ett sätt att demonstrera dina processer. ISMS.online är en komplett ISMS-lösning på ett ställe.
Bli certifierad upp till 5 gånger snabbare med ISMS.online
Efterlevnad behöver inte vara komplicerat – ISMS.online är utformad för att hjälpa dig att uppnå ISO 27001-certifiering snabbt och till ett överkomligt pris utan utbildning som krävs.
Vi har effektiviserat ISO 27001-processen med vår metod för garanterade resultat, en 80 % försprång, din egen virtuella coach dygnet runt, enkel onboarding och expertsupport.
Boka en plattformsdemo för att se hur ISMS.online kan hjälpa ditt företag.
