ISO 27001-krav

1. omfattning

ISO 27001-standarden täcker olika aspekter av informationssäkerhetshantering, inklusive etablering, implementering, underhåll och ständig förbättring av ett ISMS inom ramen för en organisation. Standarden är tillämplig på organisationer av alla typer, storlekar och karaktärer.

Kraven som anges i ISO 27001-standarden är utformade för att säkerställa att organisationer har lämpliga åtgärder på plats för att skydda sina informationstillgångar. Dessa krav täcker ett brett spektrum av områden.

2. Normativa referenser

ISO 27001 i sig är baserat på en riskhanteringsmetod och ger ett ramverk för organisationer att etablera, implementera, underhålla och ständigt förbättra ett informationssäkerhetshanteringssystem (ISMS). De normativa referenserna i ISO 27001 inkluderar flera andra ISO/IEC-standarder som ger vägledning om olika aspekter av informationssäkerhetshantering. Dessa inkluderar:

• ISO/IEC 27000: Denna standard är en normativ referens i ISO 27001 och fungerar som en översikt och en vokabulär för ledningssystem för informationssäkerhet. Den definierar nyckeltermer och begrepp som används i hela ISO 27000-familjen av dokument och beskriver omfattningen och målen för varje medlem i familjen.
• ISO/IEC 27002: Även känd som Code of Practice for Information Security Management, denna standard ger vägledning om val och implementering av säkerhetskontroller. Den erbjuder en omfattande uppsättning bästa praxis för organisationer att skydda sina informationstillgångar och hantera säkerhetsrisker effektivt.
• ISO/IEC 27005: Denna standard fokuserar på riskhantering och ger vägledning om riskbedömningsprocessen och riskhanteringen. Det hjälper organisationer att identifiera och bedöma informationssäkerhetsrisker och utveckla lämpliga riskhanteringsplaner för att minska dessa risker.
• ISO/IEC 27006: Denna standard ger vägledning om certifieringsprocessen för ledningssystem för informationssäkerhet. Den beskriver kraven på att certifieringsorgan och revisorer ska bedöma och certifiera organisationers efterlevnad av ISO 27001.
• ISO/IEC 27007: Dessa riktlinjer är speciellt utformade för granskning av ledningssystem för informationssäkerhet. De ger vägledning om revisionsprocessen, inklusive planering, genomförande och rapportering av revisioner, för att säkerställa att en organisations ISMS effektivt implementeras och underhålls.
• ISO/IEC 27008: Dessa riktlinjer fokuserar på hantering av informationssäkerhet. De ger vägledning om att etablera, implementera, underhålla och ständigt förbättra ledningssystemet för informationssäkerhet inom en organisation.

3. Termer och definitioner

Avsnittet med termer och definitioner tjänar syftet att tillhandahålla en gemensam förståelse och ett gemensamt språk för alla parter som är involverade i implementeringen av standarden.

4. Organisationens sammanhang

4.1 – Förstå organisationen och dess sammanhang

ISO 27001-krav 4.1 syftar till att säkerställa att organisationer har en heltäckande förståelse för sin interna och externa miljö för att effektivt hantera sina informationssäkerhetsrisker.

Detta innebär att identifiera och bedöma de faktorer som kan påverka organisationens förmåga att uppnå sina informationssäkerhetsmål.

Genom att förstå deras interna och externa sammanhang kan organisationer identifiera och bedöma riskerna förknippade med deras ledningssystem för informationssäkerhet.

Detta gör det möjligt för dem att utveckla ett skräddarsytt och effektivt system som minskar de identifierade riskerna och säkerställer efterlevnad av tillämpliga lagar och förordningar.

4.2 – Förstå de berörda parternas behov och förväntningar

ISO 27001-krav 4.2 är att organisationer ska identifiera och förstå behoven och förväntningarna hos sina intressenter. Detta inkluderar kunder, leverantörer, anställda, aktieägare och andra intressenter.

Syftet är att säkerställa att organisationens ledningssystem för informationssäkerhet (ISMS) uppfyller dessa parters krav.

För att uppfylla detta krav måste organisationer först identifiera sina intressenter och förstå deras specifika behov och förväntningar.

Detta innebär att överväga juridiska och regulatoriska krav, avtalsförpliktelser och andra externa och interna frågor som är relevanta för organisationens syfte och påverkar dess förmåga att uppnå det avsedda resultatet av dess ISMS.

4.3 – Fastställande av omfattningen av ledningssystemet för informationssäkerhet

ISO 27001 Krav 4.3 definierar gränserna och omfattningen av organisationens ledningssystem för informationssäkerhet (ISMS).

Detta innebär att identifiera och dokumentera de informationstillgångar, processer, procedurer, personer, system och nätverk som ingår i ISMS:s räckvidd.

Omfattningen bör omfatta alla organisationens informationstillgångar, både fysiska och digitala, samt de processer och procedurer som används för att hantera dem.

4.4 – Management System för informationssäkerhet

ISO 27001 Krav 4.4 beskriver de nödvändiga elementen för att etablera, implementera, underhålla och ständigt förbättra ett informationssäkerhetshanteringssystem (ISMS).

ISMS är utformat för att säkerställa säkerheten för information och data, samt skydda individers rättigheter och friheter.

ISO 27001 tillhandahåller en omfattande uppsättning krav för att etablera och underhålla ett effektivt ISMS som skyddar sekretess, integritet och tillgänglighet för information.

5. Ledarskap

5.1 – Ledarskap och engagemang

ISO 27001 Krav 5.1 förklarar att organisationens högsta ledning måste visa ledarskap och engagemang för ledningssystemet för informationssäkerhet (ISMS). Detta innebär flera nyckelansvar.

Ledningen måste övervaka och utvärdera ISMS för att säkerställa dess effektivitet. Detta innebär att genomföra interna revisioner och vidta nödvändiga korrigerande åtgärder för att åtgärda eventuella identifierade svagheter eller avvikelser.

5.2 – Informationssäkerhetspolicy

ISO 27001 Krav 5.2 kräver att organisationer har en informationssäkerhetspolicy som är godkänd av högsta ledningen.

Denna policy fungerar som en riktlinje för att hantera organisationens informationssäkerhet och bör beakta olika faktorer såsom affärsstrategi, regelverk, lagstiftning samt aktuella och beräknade risker och hot inom informationssäkerheten.

Den bör täcka områden som informationsöverföring, säker konfiguration och hantering av användarens slutpunktsenheter, nätverkssäkerhet, hantering av informationssäkerhetsincidenter, säkerhetskopiering, kryptografi och nyckelhantering, informationsklassificering och hantering, hantering av tekniska sårbarheter och säker utveckling.

5.3 – Organisatoriska roller, ansvar och befogenheter

ISO 27001-krav 5.3 beskriver kravet på organisationer att definiera och tilldela roller, ansvar och befogenheter relaterade till informationssäkerhet.

Detta är avgörande för att säkerställa att alla individer och grupper inom organisationen är medvetna om sina specifika roller och ansvar när det gäller informationssäkerhet.

Dokumentet betonar behovet av åtskillnad av arbetsuppgifter, vilket innebär att olika individer eller grupper ska ansvara för olika aspekter av informationssäkerhet.

Detta hjälper till att förhindra att någon enskild person har överdriven kontroll över organisationens informationssäkerhet. Dessutom kräver dokumentet att organisationer säkerställer att personalen är adekvat utbildad och besitter den nödvändiga kompetensen för att fullgöra sina roller och ansvar.

6. Planera

6.1 – Åtgärder för att hantera risker och möjligheter

ISO 27001-krav 6.1 är fokuserat på att säkerställa att organisationer identifierar, bedömer, behandlar och övervakar risker och möjligheter för informationssäkerhet.

Detta innebär ett systematiskt tillvägagångssätt för att hantera risker och vidta lämpliga åtgärder för att minska dem.

Detta krav betonar vikten av ett proaktivt och heltäckande tillvägagångssätt för att hantera informationssäkerhetsrisker för att skydda personuppgifter och säkerställa informationssystemens integritet och tillgänglighet.

6.2 – Informationssäkerhetsmål och planering för att uppnå dem

ISO 27001 Krav 6.2 kräver att organisationer upprättar informationssäkerhetsmål och utvecklar en plan för att uppnå dem.

Dessa mål bör vara specifika, mätbara, uppnåbara, relevanta och tidsbundna (SMART), och bör överensstämma med organisationens övergripande affärsmål. Planen bör beskriva de steg, resurser och tidslinje som behövs för att nå de önskade målen.

Regelbunden översyn av informationssäkerhetsmål och planer är nödvändig för att säkerställa deras relevans och effektivitet. Eventuella förändringar i organisationen bör beaktas och införlivas i planerna efter behov.

7. Stöd

7.1 – Resurser

ISO 27001 Krav 7.1 säkerställer att en organisation har de nödvändiga resurserna för att upprätthålla säkerheten för sina informationssystem.

Detta inkluderar att identifiera och dokumentera personal, hårdvara, mjukvara och andra resurser som behövs för informationssäkerhet.

Organisationen måste se till att dessa resurser är tillgängliga och tillgängliga vid behov.

Som beskrivits tidigare med krav 5.3, kräver inte ISO 27001 att ISMS måste bemannas med heltidsresurser, bara att rollerna, ansvarsområden och befogenheter är tydligt definierade och ägda – förutsatt att rätt nivå av resurser kommer att tillämpas som nödvändig.

7.2 – Kompetens

ISO/IEC 27001 krav 7.2 beskriver hur organisationen kommer att säkerställa att den har:

• Fastställde kompetensen hos de personer som utför arbetet med ISMS som kan påverka dess prestanda.
• Personer som anses kompetenta på grundval av relevant utbildning, träning eller erfarenhet.
• Vid behov vidtog åtgärder för att skaffa den nödvändiga kompetensen och utvärderade åtgärdernas effektivitet.
• Behållit bevis på ovanstående för revisionsändamål.

Genom att säkerställa att personalen är kompetent kan organisationer effektivt hantera sin informationssäkerhetsprestanda och skydda personuppgifter.

Läs mer om 7.2

7.3 - Medvetenhet

ISO 27001 Krav 7.3 säger att organisationer måste säkerställa att all personal är medveten om vikten av informationssäkerhet och deras roller och ansvar för att upprätthålla den.

Detta inkluderar att tillhandahålla utbildning och utbildning om informationssäkerhetsämnen, säkerställa att personalen förstår organisationens säkerhetspolicyer och rutiner och konsekvenserna av att inte följa dem.

ISO 27001 söker bekräftelse på att de personer som utför arbetet är medvetna om:

• Informationssäkerhetspolicyn.
• Deras bidrag till ISMS:s effektivitet inklusive fördelar från dess förbättrade prestanda.
• Vad händer när ledningssystemet för informationssäkerhet inte uppfyller sina krav.

Genom att säkerställa att personalen är kompetent kan organisationer effektivt hantera sin informationssäkerhetsprestanda och skydda personuppgifter.

Läs mer om 7.3

7.4 – Kommunikation

ISO 27001-krav 7.4 fokuserar på behovet för organisationer att etablera effektiva kommunikationsmetoder för att säkerställa att informationssäkerhetsmålen uppfylls. Detta inkluderar kommunikation med relevanta intressenter, kommissionären i händelse av ett personuppgiftsintrång och mellan alla inblandade parter.

ISO 27001 krav 7.4 söker efter följande:

• Vad ska man kommunicera om ISMS.
• När det kommer att meddelas.
• Vem kommer att vara en del av den kommunikationen.
• Vem gör kommunikationen.
• Hur allt går till, dvs vilka system och processer som kommer att användas för att visa att det händer och är effektivt

7.5 – Dokumenterad information

ISO 27001 Krav 7.5 för ISO 27001 ber dig att beskriva ditt ledningssystem för informationssäkerhet och sedan visa hur dess avsedda resultat uppnås för organisationen.

Det är otroligt viktigt att allt relaterat till ISMS är dokumenterat och väl underhållet, lätt att hitta, om organisationen vill uppnå en oberoende ISO 27001-certifiering från ett organ som UKAS.

ISO-certifierade revisorer tar stort förtroende från god hushållning och underhåll av ett välstrukturerat ledningssystem för informationssäkerhet.

8. Drift

8.1 – Operationell planering och kontroll

ISO 27001-krav 8.1 är inriktat på att säkerställa säkerheten för en organisations information genom att planera och kontrollera dess verksamhet.

Detta innebär att identifiera och bedöma risker som är förknippade med organisationens verksamhet och implementera lämpliga säkerhetskontroller för att minska dessa risker.

Organisationen måste också utveckla och implementera policyer och procedurer för att skydda sin information från obehörig åtkomst, användning, avslöjande, modifiering eller förstörelse.

Detta krav är mycket lätt att bevisa om organisationen redan har "visat sitt arbete". Genom att utveckla ledningssystemet för informationssäkerhet för att uppfylla kraven 6.1, 6.2 och i synnerhet 7.5 där hela ISMS är väl strukturerat och dokumenterat, uppnår detta samtidigt 8.1.

8.2 – Riskbedömning av informationssäkerhet

ISO 27001-krav 8.2 kräver att organisationer utför en informationssäkerhetsriskbedömning (ISRA) med planerade intervall eller när betydande förändringar inträffar.

Syftet med detta krav är att säkerställa att organisationer är medvetna om potentiella risker för deras ledningssystem för informationssäkerhet och kan vidta nödvändiga åtgärder för att mildra dem.

Processen innebär att identifiera, bedöma och hantera risker för organisationens informationstillgångar. Detta inkluderar att analysera organisationens informationstillgångar, identifiera hot och sårbarheter i samband med dessa tillgångar och utvärdera den potentiella effekten av ett säkerhetsintrång.

8.3 – Informationssäkerhetsriskbehandling

ISO 27001-krav 8.3 beskriver kravet på organisationer att identifiera, bedöma och behandla informationssäkerhetsrisker.

Detta innebär att identifiera och bedöma risker som är förknippade med behandlingen av personuppgifter och att implementera lämpliga säkerhetsåtgärder för att minska dessa risker. Dessa åtgärder kan inkludera åtkomstkontroll, kryptering och säkerhetskopiering av data.

Organisationer bör säkerställa att alla externt tillhandahållna processer, produkter eller tjänster som är relevanta för hanteringssystemet för informationssäkerhet kontrolleras. Dokumenterad information om resultaten av informationssäkerhetsriskbehandlingen bör också bevaras.

9. Utvärdering av prestanda

9.1 – Övervakning, mätning, analys och utvärdering

ISO 27001 Krav 9.1 kräver att organisationer utvärderar hur ISMS fungerar och tittar på effektiviteten hos ledningssystemet för informationssäkerhet.

Om organisationen söker certifiering för ISO 27001 kommer den oberoende revisorn som arbetar i ett certifieringsorgan kopplat till UKAS (eller ett liknande ackrediterat organ internationellt för ISO-certifiering) att titta noga på följande områden:

• Vad man har bestämt sig för att övervaka och mäta, inte bara målen utan även processerna och kontrollerna.
• Hur det kommer att säkerställa giltiga resultat vid mätning, övervakning, analys och utvärdering.
• När den mätningen, uppföljningen, utvärderingen och analysen sker och vem gör det.
• Hur resultaten används.

Liksom allt annat med ISO/IEC-standarder inklusive ISO 27001, är dokumenterad information viktig – så att beskriva den och sedan visa att det händer är nyckeln till framgång!

9.2 – Internrevision

Krav 9.2 i ISO 27001 säger att en organisation ska genomföra interna revisioner med planerade intervall för att ge information om huruvida ledningssystemet för informationssäkerhet:

• Överensstämmer med organisationens egna krav på sitt ledningssystem för informationssäkerhet; och uppfyller kraven i den internationella standarden ISO 27001.
• Huruvida ISMS är effektivt implementerat och underhållet.

Detta krav säkerställer att organisationer regelbundet utvärderar och förbättrar sitt ledningssystem för informationssäkerhet för att skydda sina informationstillgångar och uppfylla sina säkerhetsmål.

9.3 – Ledningsöversyn

ISO 27001 Krav 9.3 kräver att organisationer genomför regelbundna ledningsgenomgångar för att säkerställa att deras ledningssystem för informationssäkerhet fortlöpande är lämpliga, adekvata och effektiva.

Dessa granskningar bör genomföras med planerade intervaller, minst årligen, och bör involvera ledande befattningshavare eller en utsedd representant.

Syftet med ledningens granskning är att bedöma organisationens policyer, rutiner och kontroller för informationssäkerhet, samt dess riskbedömning och riskhanteringsprocesser.

Det innebär också att utvärdera organisationens efterlevnad av tillämpliga lagar och förordningar.

Under granskningen bör organisationen bedöma effektiviteten av sitt ledningssystem för informationssäkerhet och identifiera alla nödvändiga ändringar för att säkerställa överensstämmelse med ISO 27001-standarden. Granskningen bör också beakta organisationens prestation när det gäller att uppfylla sina informationssäkerhetsmål.

10. Förbättring

10.1 – Avvikelse och korrigerande åtgärder

ISO 27001-krav 10.1 anger att organisationer måste upprätta en process för att identifiera, dokumentera och åtgärda eventuella avvikelser från ISO 27001-standarden, som kallas avvikelser.

Avvikelser kan innefatta brister i att uppfylla kraven i standarden, brister i ledningssystemet för informationssäkerhet eller andra problem som kan leda till ett säkerhetsbrott.

När en avvikelse identifieras måste organisationen vidta korrigerande åtgärder för att åtgärda den. Den korrigerande åtgärden bör vara lämplig för hur allvarlig avvikelsen är och utformad för att förhindra att liknande problem uppstår i framtiden.

Effektiviteten av den korrigerande åtgärden måste ses över regelbundet för att säkerställa att avvikelsen inte återkommer.

10.2 – Kontinuerlig förbättring

ISO 27001 Krav 10.2 säger att organisationer ständigt måste förbättra sitt ledningssystem för informationssäkerhet (ISMS).

Detta innebär att organisationer regelbundet måste se över och uppdatera sina ISMS för att säkerställa dess effektivitet och överensstämmelse med organisationens mål, lagar och regulatoriska krav och ISO 27001-standarden.

Den ständiga förbättringsprocessen bör övervakas och ses över för att säkerställa dess effektivitet, och alla nödvändiga ändringar bör göras för att förbättra lämpligheten, adekvatheten och effektiviteten hos ISMS.