ISO/IEC 27102 Cyberförsäkring

Vad är ISO/IEC 27102?

"ISO 27102 ger riktlinjer för att anta cyberförsäkring som ett riskbehandlingsalternativ för att hantera effekterna av en cyberincident inom organisationens riskhantering för informationssäkerhet ramverk”, enligt ISO/IEC JTC 1/SC27 DIS 27102 – Riktlinjer för hantering av informationssäkerhet för cyberförsäkring.

Vad detta betyder är att:

ISO 27102 försöker strukturera cyberförsäkringssituationen genom att fokusera på den försäkrade och beskriva de olika huvudprocedurerna som kan hanteras eller implementeras som en del av de åtgärder som försäkringsgivare sannolikt kommer att behöva. Standarden undersöker vilka typer av skador som är försäkrade och vilka skyddsåtgärder som måste finnas för att tillgodose försäkringsbolag.

Enligt ISO/IEC 27102, an ISMS "kommer att förse den försäkrade och försäkringsgivaren med information, register och pappersarbete som kan användas under implementeringen, förlängningen och livslängden av cyberförsäkringspolisen. Innehållet i ISO 27102 bygger på de procedurer och föreslagna möjligheter som finns i den bredare ISO 27000 familj av informationssäkerhetsstandarder, och som ett resultat kan det finnas en viss grad av kompatibilitet med vissa organisationers befintliga processer.”

Vad är cyberförsäkring?

Cyberförsäkring är en typ av försäkring som skyddar mot både direkta förluster och indirekta kostnader som orsakas av en cyberincident.

Detta inkluderar bland annat kostnaden för anmälan, kreditövervakning, identitetsstöldskydd, regulatoriska försvarskostnader och PR-kostnader. Cyberförsäkring täcker också en mängd olika risker inklusive, men inte begränsat till: dataintrång, denial-of-service-attacker, utpressning, distribuerade denial-of-service-attacker och krav på lösen och tillgång till abonnentdata som lagras på dina servrar av en tredje part.

Dessa kan snabbt lägga till upp till tiotusentals pund om din webbplats hackas eller en del av dina användardata hamnar i orätta händer. Det är omöjligt att underskatta vikten av cybersäkerhet idag. För många år sedan var det största bekymret för privatpersoner eller företag brand, översvämning och oavsiktlig skada på register.

Idag är det hackare som ständigt försöker ta sig in i dina system. Precis som ingen hade råd att vara utan brandförsäkring för några år sedan, är det inte ekonomiskt vettigt för något företag eller individ att försöka fungera utan cyberförsäkring idag.

OBS:Cyberförsäkring kommer inte att lösa några av dina cybersäkerhetsproblem omedelbart, och den kommer inte att skydda dig från ett cyberintrång/attack. På samma sätt som husägare med husägares försäkring måste ha lämpliga skyddsförfaranden i kraft, måste organisationer sträva efter att vidta åtgärder för att skydda sina mest värdefulla tillgångar.

Cyberförsäkring hjälper bara din organisation att få tillbaka fotfästet i händelse av att något cyberrelaterat går fel. Förutom att mildra affärsavbrott och erbjuda finansiellt säkerhet i händelse av en incident, kan cyberförsäkring hjälpa till med eventuella efterföljande rättsliga och regulatoriska åtgärder.

Förstå den potentiella effekten av en cyberincident

En cyberincident kan ha en rad negativa konsekvenser för en organisation.

• Till exempel kan ransomware göra dina system eller datorer otillgängliga, eller så kan du förlora data (eller data från dina kunder) som ett resultat av ett virus eller skadlig attack. Det är viktigt att ha en grundlig förståelse för hur du påverkas och konsekvenserna för din organisation.

• Detta täcker de ekonomiska effekterna av marknadsstörningar och kostnaderna för svar och återvinning i samband med det. Naturligtvis, om du har vidtagit några försiktighetsåtgärder (som att hålla säkerhetskopian isolerad från ditt nätverk eller använda en lagringsleverantör speciellt utformad för detta ändamål), skulle cyberattacker ha en mindre effekt.

• I motsats till fysiska olyckor som bränder eller stölder är cyberincidenter ofta inte begränsade till en viss plats. Att förstå hur din organisation fungerar och det ömsesidiga beroendet mellan dess olika komponenter är avgörande för att bedöma omfattningen av en cyberincident som kan få långtgående effekter.

Vad är omfattningen och syftet med ISO/IEC 27102?

ISO 27102 fastställer vägledning som en organisation kan använda när de överväger att köpa cyberförsäkring som ett riskkontrollalternativ för att mildra effekterna av en cyberincident inom IT-riskhanteringssystemet.

Syftet med ISO 27102 är att föreslå rekommendationer för organisationer att:

• Överväg att köpa cyberförsäkring som en riskreducerande strategi för delning av cyberrisk;
• Använda cyberförsäkring för att hjälpa till att mildra effekterna av en cyberincident;
• Utbyte av data och information mellan en försäkrad och en försäkringsgivare för att underlätta försäkrings-, rapporterings- och skadeprocesser för en cyberförsäkringspolicy;
• Inkludera ett ISMS vid utbyte av relevant data och information med en försäkringsgivare.

Denna standard är kompatibel med organisationer av alla former, storlekar och typer för att stödja dem i att förbereda och köpa cyberförsäkringar. ISO 27102 försöker också ta itu med följande:

• Säkerhets- och försäkringskoncept väsentliga för informationsrisk proffs.
• Viktiga cybersäkerhetsämnen för försäkringsproffs;
• Ett typiskt förhållande mellan en försäkringsgivare och en cyberförsäkrad;
• Rollen för chefer, inköps- och försäkringssäljare och andra deltagare i förhandlingarna och avtalsprocessen avseende cyberförsäkrings omfattning och urval;
• Fördelar och brister, kostnader och fördelar, kostnader och möjligheter inom cyber försäkring.

Implementering av Cyber ​​Insurance ISO 27102 Standard

Enligt World Economic Forums Global Risk Study 2015 hamnar tekniska hot som datastöld, cyberattacker och teknikfel bland de tio största globala ekonomiska riskerna.

Med tanke på omfattningen av dessa hot är det avgörande att vi börjar utforska marknadsdrivna strategier för att förbättra skyddet av organisationer som innehar all personlig information. Ett sådant tillvägagångssätt är cyberförsäkring. En uppsättning riktlinjer eller ramverk kommer dock att hjälpa organisationer att tala samma språk när det kommer till cyberförsäkring oavsett bransch eller plats. Detta är en av kärnfördelarna med att anta ISO 27102-standarden för cyberförsäkring.

På ISMS.online, utnyttjar vi vår expertis och spetsteknologi för att tillhandahålla en molnbaserad plattform som gör att du kan demonstrera efterlevnad av cyberförsäkringsstandarden. Vår plattform kan hjälpa dig att visa att ditt ISMS uppfyller de grundläggande kraven för att komplettera din checklista för cyberförsäkringar.

ISMS.online tillhandahåller också en Virtuell coach som erbjuder 24/7 kontextspecifik support. Du kan chatta med oss ​​från vår plattform och du kommer aldrig att ta fel steg eller gå vilse. Ring ISMS.online på + 44 (0) 1273 041140 för att ta reda på mer om hur vår plattform kan hjälpa dig att driva ett integrerat ledningssystem som fungerar bra med ditt ramverk för cyberförsäkring.