ISO IEC TR 27008

Vad är informationssäkerhetskontroller?

Informationssäkerhetskontroller är åtgärder som vidtas för att mildra sårbarheter i informationssäkerheten såsom enhetsfel, datastöld, systemintrång och oavsiktliga ändringar av digital information eller processer.

Dessa Säkerhetskontroller tillämpas vanligtvis som svar på en informationssäkerhetsrisk utvärdering för att bättre säkra tillgängligheten, konfidentialitet och sekretess för data och nätverk.

Dessa kontroller säkerställer konfidentialitet, integritet och tillgänglighet för information inom området informationssäkerhet.

Typer av informationssäkerhetskontroller

Säkerhetsprotokoll, procedurer, scheman, enheter och applikationer faller alla i kategorin informationssäkerhetskontroller.

1. Förebyggande säkerhetskontroller, säkerhetsprotokoll som är avsedda att förhindra cybersäkerhetsolyckor
2. Detektiv säkerhetskontroller syftar till att identifiera och uppmärksamma cybersäkerhetspersonal om ett försök till cybersäkerhetsintrång eller potentiellt säkerhetsintrång.
3. Korrigerande säkerhetskontroller används efter en cybersäkerhetshändelse för att hjälpa till att minska dataförlust och enhets- eller nätverksavbrott och för att enkelt återställa känsliga affärssystem och verksamheter.

Dessutom kan säkerhetsåtgärder kategoriseras efter deras syfte, enligt följande:

Åtkomstkontroller:

Dessa inkluderar fysiska inträdesvakter som beväpnade vakter vid byggnadsutgångar, slussar och omkretsstängsel.

Procedurkontroller:

Hotmedvetenhet instruktion, utbildning för upprätthållande av säkerhetsramverk och processer och procedurer för incidenthantering.

Tekniska kontroller:

Dessa inkluderar multi-faktor kontoautentisering vid inträdespunkten (inloggning) och logiska åtkomstkontroller, antivirusprogram och brandväggar.

Efterlevnadskontroller:

Dessa inkluderar integritetsregler, ramverk och krav, såväl som tillvägagångssätt och standarder för cybersäkerhet.

Vad är syftet med ISO 27008?

ISO 27008 skapades för att:

• Assisterar vid förberedelser och implementering av ISMS-revisioner och metoden för informationsriskhantering;
• Tillhandahålla riktlinjer för granskning av informationssäkerhetskontroller i enlighet med ISO/IEC 27002:s kontrollvägledning;
• Förbättrar ISMS-revisioner genom att optimera relationerna mellan ISMS-processer och nödvändiga kontroller;
• Säkerställer att revisionsresurserna används effektivt och effektivt.
• Tillför mervärde och förbättrar konsekvensen och fördelen med ISO 27k-specifikationerna genom att överbrygga skillnaden mellan att uppdatera ISMS i princip och, vid behov, kontrollera bevis på tillämpade ISMS-kontroller (t.ex. utvärdering av säkerhetselement i affärsverksamhet, IT-strukturer och IT-drift miljöer i ISO27k-användarorganisationer);

Vad är omfattningen av ISO 27008?

ISO 27008 ger vägledning till alla revisorer om kontroller av ledningssystem för informationssäkerhet. Den vägleder informationsriskhanteringsprocessen såväl som interna, externa och tredje parts bedömningar av ett ISMS genom att visa sambandet mellan ISMS och dess medföljande kontroller.

Den innehåller riktlinjer för hur man testar i vilken utsträckning nödvändiga "kontrollsystem för informationssäkerhet" tillämpas. Dessutom hjälper det organisationer som implementerar ISO/IEC 27001 eller ISO/IEC 27002 att uppfylla efterlevnadskriterier och fungerar som en teknisk plattform för styrning av informationsteknologi.

Hur fungerar ISO 27008?

ISO 27008 definierar allmänna procedurer, inte tekniker för någon speciell kontroll eller former av kontroller.

Den definierar systematiska granskningar och beskriver sedan de olika tillvägagångssätt och former av granskningar som är tillämpliga på informationssäkerhetskontroller. Slutligen diskuteras den praxis som krävs för en framgångsrik granskningsprocess.

Relation med ISO 27001 och ISO 27002

ISO 27008 är mycket lik den ISO 27007 revisionsspecifikation för ledningssystem för informationssäkerhet.

Men till skillnad från ISO 27007, som fokuserar på att granska ledningssystemkomponenterna i ett ISMS enligt definitionen i ISO 27001, fokuserar ISO 27008 på granskning av specifika informationssäkerhetskontroller, såsom de som anges i ISO 27002 och beskrivs i detalj i ISO 27001:s bilaga A.

ISO 27008 "fokuserar på utvärderingar av informationssäkerhetskontroller, inklusive regelefterlevnad, mot en organisationsetablerad implementeringsstandard för informationssäkerhet.

Det är dock inte avsett att tillhandahålla detaljerade riktlinjer för efterlevnadstestning med avseende på beräkning, riskbedömning eller revision av ett ISMS, enligt vad som anges i ISO 27004 , ISO 27005 , eller 27007, respektive.

Vem ska implementera ISO 27008?

ISO 27008 är avsedd för interna och externa revisorer med ansvar för att granska informationshanteringskontroller som är en del av ett ISMS. Det skulle dock vara fördelaktigt för alla som gör en analys eller bedömning av ett ISMS:s kontroller, oavsett om det är en del av ett strukturerat revisionsförfarande eller på annat sätt. Dokumentet är i första hand avsett för informationssäkerhetsrevisorer som ansvarar för att verifiera att en organisations informationssäkerhetskontroller tekniskt överensstämmer med ISO/IEC 27002 och alla andra kontrollkrav som används av organisationen.

ISO 27008 kommer att hjälpa dem på följande sätt:

• Erkänna och förstå omfattningen av möjliga problem och svagheter i informationssäkerhetskontroller.
• Identifiera och förstå de möjliga konsekvenserna av otillräckligt mildrade datortekniska risker och svagheter för företaget.
• Prioritera riskkontrollpraxis relaterade till informationshantering.
• Kontrollera att tidigare upptäckta eller nyupptäckta sårbarheter eller defekter har åtgärdats tillräckligt.

ISO 27008 är tillämplig på ett brett spektrum av organisationer, inklusive offentliga och privata företag, statliga myndigheter och ideella organisationer.