Informationssäkerhet är en kritisk fråga för företag när de försöker anpassa sig till snabba framsteg inom attackmetoder och -tekniker och efterföljande förändringar i regulatoriska krav. Misslyckande av en organisationens informationssäkerhet åtgärder kan ha flera negativa konsekvenser för organisationen och dess intressenter, inklusive förlust av förtroende.
För att förbli relevant och konkurrera i dagens affärsvärld bör varje företag ha ett program för informationssäkerhetsstyrning (ISGP) på plats. Tack och lov finns det en möjlighet att förbättra informationssäkerhetsstyrningen och den övergripande riskhanteringen i affärsmiljön genom att anpassa den till efterlevnadskrav som t.ex. ISO 27001 och avläggsstandarden ISO 27014.
ISO/IEC 27014 är en standard i ISO / IEC 27000 serien.
Denna standard är "designad för att hjälpa organisationer att effektivt hantera sina strategier för informationssäkerhet." Standarden ger "anvisningar om principer och koncept för styrning av informationssäkerhet, från vilka organisationer kan utvärdera, styra, övervaka, kommunicera och säkerställa informationssäkerhetsrelaterade praxis i organisationen.
Den elva sidor långa standarden sammanfattar styrningsstandarder för informationsteknologi och innehåller en struktur med sex principer och fem processer. Standarden ser IT-styrning som ett samspel med IT-styrning, som alla är komponenter i det vidare ramverket för organisationsstyrning. I december 2020 släpptes ytterligare ett ISO/IEC 27014:2020 vägledningsdokument, som efterträder 2013 års första upplaga.
Vi är så glada att vi hittade den här lösningen, den fick allt att passa ihop enklare.
Ett styrande organ är ett kollektiv av individer som har befogenhet och ansvar att utforma policyer och leda en organisations allmän bana. Det samlade organet ansvarar för beslutsfattande och genomförande på uppdrag av sin personal, intressenter och organisation.
Det styrande organets primära uppgift är att tillvarata organisationens privilegier och intressen samt alla som arbetar inom organisationens ramar. Detta organ åstadkommer detta genom att säkerställa att organisationen fungerar effektivt och är kapabel att uppnå de mål och prioriteringar den har förbundit sig till. Dessutom är det styrande organet ansvarigt för organisationens ekonomi, personal och tillgångar. En viktig roll för det styrande organet i alla organisationer är att göra beslut som kommer att uppmuntra informationssäkerheten inom organisationen.
ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.
Processer för styrning av informationssäkerhet har utvecklats för att hjälpa organisationer att övervaka och hantera sina insatser för informationssäkerhet. De existerar dock inte i ett vakuum – de måste vara det integreras i den övergripande verksamhetsledningen processer om de ska vara effektiva (och detta gäller för många relaterade säkerhetsaktiviteter, såsom riskhantering). Det styrande organet och högsta ledningen ansvarar för genomförandet av fyra styrsystem, enligt ISO/IEC 27014:2020.
En av processerna för styrning av informationssäkerhet är utvärdering. Utvärdering är en viktig process där det aktuella tillståndet för en process eller komponent inom en organisation granskas. Detta hjälper till att avgöra vad som är både rätt och fel med just den processen eller komponenten.
Riktning är en av processerna för styrning av informationssäkerhet. Det inkluderar planering, upprättande och översyn av policystandarder och procedurer, och utvärdering av personalens efterlevnad med fastställda begränsningar.
Övervakning är en av informationssäkerhetsprocesserna. Det är ledningsaktiviteter som säkerställer tillgänglighet, integritet, autentisering och konfidentialitet för systemen och nätverken samt kontrollerar att anställda använder dessa system och nätverk korrekt på ett sätt som följer säkerhetspolicyer.
Kommunikation är nyckeln när det kommer till processer för styrning av informationssäkerhet. Du har förtroendet att hålla ditt företag och dess olika tillgångar säkra, men det kan inte vara en isolerad process.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Styrningen av informationssäkerheten bör säkerställa att informationssäkerhetsåtgärderna är robusta och integrerade. Standarden fastställer sex "handlingsorienterade" principer på hög nivå för styrning av informationssäkerhet. Detta inkluderar följande:
Oro över informationsteknik, eller cybersäkerhet, kan tränga igenom organisationens ramverk och funktioner. På alla nivåer av ledningen, informationssäkerhet bör kombineras med informationsteknik (IT) och andra funktioner. Högsta ledningen bör säkerställa att informationssäkerheten möter företagets allmänna strategiska intressen och bör skapa ansvarighet och ansvar över hela organisationen.
Säkerhetsstyrning, inklusive resursfördelning och budgetering, bör styras av en organisations riskaptit, som i sin tur bör påverkas av ett riskbaserat tillvägagångssätt som tar hänsyn till: förlust av konkurrensfördelar, oro för reglering och ansvar, driftförseningar, skador på rykte, och ekonomisk förlust.
Se till att informationssäkerhetsrisker analyseras ordentligt innan man påbörjar nya verksamheter, såsom investeringar, förvärv, sammanslagningar, introduktion av ny teknologi, outsourcingavtal och kontrakt med externa leverantörer. Dessutom, införliva informationssäkerhet in i byråns interna processer, såsom projektledning, upphandling, ekonomisk förvaltning, efterlevnad av lagar och regler samt organisatorisk riskhantering. Högsta ledningen bör utveckla en informationssäkerhetsstrategi som är anpassad till organisationens mål, vilket innebär att byråernas och organisationens informationssäkerhetsbehov är konsekventa.
Externa krav inkluderar obligatoriska lagar och förordningar, certifieringsstandarder och avtalsförpliktelser. Interna kriterier är delmängder av en större organisations övergripande mål och prioriteringar. Oberoende säkerhetsbedömningar är den allmänt överenskomna metoden för att fastställa och spåra överensstämmelse. Högsta ledningen måste se till att informationssäkerhetspraxis uppfyller interna och externa standarder på ett tillfredsställande sätt genom att granska oberoende säkerhetsrevisioner.
Det bör finnas samordning och anpassning mellan de olika intressenterna i ISMS. För att uppnå en sammanhållen kurs för informationssäkerhet måste högsta ledningen uppmuntra och underlätta samarbetet mellan uppgifter och aktiviteter för alla som berörs av ISMS. Dessutom bevis på säkerhetsinstruktioner, förberedelser, och medvetenhetsprogram bör förses. Informationssäkerhetsansvar bör införlivas i personalens och andra intressenters positioner, och alla bör ta sitt ansvar för att bidra till ISMS:s effektivitet.
Säkerhetsframgång mäts inte bara i termer av effektivitet och tillförlitlighet utan också i termer av dess effekter på företagets övergripande mål och mål. Högsta ledningen med ansvar för styrning bör inkludera periodiska granskningar av ett resultatmätningssystem för spårning, revision och förbättring som omvandlar informationssäkerhet till optimala affärsresultat.
En skräddarsydd praktisk session utifrån dina behov och mål
ISO 27014-dokumentet ger riktlinjer för principer, mål och förfaranden för informationssäkerhetsstyrning som organisationer bör använda för att utvärdera, styra, övervaka och kommunicera informationssäkerhetsrelaterade processer inom organisationen.
Precis som med de andra ISO27k-standarderna är den "lämplig för alla typer och storlekar av organisationer", särskilt de där ISMS täcker hela organisationen eller bara en delmängd av den, eller där en enda ISMS sträcker sig till flera företag (som inom en företagsstruktur).
Korrekt styrning av informationssäkerhet garanterar att den överensstämmer med och stödjer företagets mål som identifierats i strategier och policyer.
ISO 27014 lägger stor vikt vid styrningskomponenterna i ISO/IEC 27001 och fastställer styrningsmål inom detta ramverk. Det täcker inkorporeringen av informationssäkerhetsstyrningsaktiviteter med andra styrningsfunktioner och mål. ISO 27014 specificerar vidare kraven och förväntningarna från det styrande organet från ett ISO27k ISMS.
ISO/IEC 27014:2020 är inriktat på följande målgrupper:
Detta dokument är tillämpligt på alla typer och storlekar av organisationer.
På ISMS.online, gör vi det enkelt för dig att dokumentera din informationssäkerhetsstyrning så att den är i linje med ISO 27014-standarden. Vi förser dig med ett logiskt, användbart, molnbaserat informationshanteringsgränssnitt som hjälper din organisation att kontrollera dess infosec-styrningsprocesser och framsteg mot ISO 27014-standarden.
Vår molnbaserade plattform låter dig komma åt alla dina ISMS-resurser på ett ställe. Vi har ett internt team av informationssäkerhetsexperter som kan ge vägledning och svara på frågor för att hjälpa dig på vägen mot ISO 27014-implementering så att du kan visa ditt engagemang för bästa praxis för informationssäkerhetsstyrning. Ring ISMS.online på + 44 (0) 1273 041140 för att ta reda på mer om hur vi kan hjälpa dig att bli certifierad enligt ISO 27001.
Boka en skräddarsydd praktisk session utifrån dina behov och mål.
Sedan migreringen har vi kunnat minska tiden för administration.
Samarbeta, skapa och visa att du alltid har koll på din dokumentation
Läs merTa itu med hot och möjligheter utan ansträngning och rapportera dynamiskt om prestanda
Läs merTa bättre beslut och visa att du har kontroll med instrumentpaneler, KPI:er och relaterad rapportering
Läs merGör lätt arbete med korrigerande åtgärder, förbättringar, revisioner och ledningsgranskningar
Läs merBelys kritiska relationer och länka elegant samman områden som tillgångar, risker, kontroller och leverantörer
Läs merVälj tillgångar från Asset Bank och skapa din Asset Inventory med lätthet
Läs merIntegrationer direkt med dina andra viktiga affärssystem för att förenkla din efterlevnad
Läs merLägg prydligt till andra områden av efterlevnad som påverkar din organisation för att uppnå ännu mer
Läs merEngagera personal, leverantörer och andra med dynamisk end-to-end-efterlevnad hela tiden
Läs merHantera due diligence, kontrakt, kontakter och relationer under deras livscykel
Läs merKartlägg och hantera intresserade parter visuellt för att säkerställa att deras behov tydligt tillgodoses
Läs merStark integritet genom design och säkerhetskontroller för att matcha dina behov och förväntningar
Läs merVi har allt du behöver för att designa, bygga och implementera ditt första ISMS.
Vi hjälper dig att få ut mer av det infosec-arbete du redan har gjort.
Med vår plattform kan du bygga ISMS din organisation verkligen behöver.
100 % av våra användare uppnår ISO 27001-certifiering första gången