Förstå ISO 27701 klausul 6.13: A Guide to Incident Management
Hantering av incidenter med integritetsinformation hanterar fall av säkerhetshändelser som har eskalerats till incidenter – när det gäller att identifiera dem, lösa dem, tillhandahålla bevis och påverka förändring via en grundorsaksanalys.
Integritetsincidenter har potential att drastiskt påverka en organisations rykte och ekonomiska ställning. Som sådant är det ytterst viktigt att arbeta med en robust uppsättning incidenthanteringsprocedurer som är lätta att kommunicera och väl förstådda av alla berörda.
Vad som omfattas av ISO 27701 klausul 6.13
ISO 27701 klausul 6.13 innehåller 7 underklausuler som handlar om hantering av informationssäkerhetsincidenter och förbättringar, där varje kontroll innehåller vägledningspunkter från ISO 27002 , om än inom ett integritetsskyddssammanhang:
- ISO 27701 6.13.1.1 – Ansvar och procedurer (ISO 27002 Kontroll 5.24)
- ISO 27701 6.13.1.2 – Rapportering av informationssäkerhetshändelser (ISO Control 27002 6.8)
- ISO 27701 6.13.1.3 – Rapportering av svagheter i informationssäkerheten (ISO 27002 Kontroll 6.8)
- ISO 27701 6.13.1.4 – Bedömning av och beslut om informationssäkerhetshändelser (ISO 27002 Kontroll 5.25)
- ISO 27701 6.13.1.5 – Respons på informationssäkerhetsincidenter (ISO 27002 Control 5.26)
- ISO 27701 6.13.1.6 – Att lära av informationssäkerhetsincidenter (ISO 27002 Control 5.27)
- ISO 27701 6.13.1.7 – Insamling av bevis (ISO 27002 Kontroll 5.28)
Incidenthantering är ett brett och varierat ämne, som sådan innehåller flera underklausuler ytterligare vägledning från tillhörande kontroller inom ISO 27002.
Bara en underklausul (ISO 27701 6.13.1.1) innehåller information som är relevant för områden i Storbritannien GDPR lagstiftning – vi har tillhandahållit artikelnumren under vägledningspunkterna, för din bekvämlighet.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 klausul 6.13.1.1 – Ansvar och rutiner
Referenser ISO 27002 Kontroll 5.24
Roller och ansvar
För att skapa en sammanhållen, välfungerande incidenthanteringspolicy som säkerställer tillgängligheten och integriteten för integritetsinformation under kritiska incidenter, bör organisationer:
- Följ en metod för att rapportera säkerhetshändelser för sekretessinformation.
- Etablera en serie processer som hanterar integritetsinformationssäkerhetsrelaterade incidenter i hela verksamheten, inklusive:
- Administrering.
- Dokumentation.
- Upptäckt.
- Triage.
- Prioritering.
- Analys.
- Kommunikation.
- Utarbeta en incidentresponsprocedur som gör det möjligt för organisationen att bedöma, reagera på och lära av incidenter.
- Se till att incidenter hanteras av utbildad och kompetent personal som drar nytta av pågående arbetsplatsutbildning och certifieringsprogram.
Incident Management
Personal som är involverad i incidenter med integritetsinformationssäkerhet bör förstå:
- Tiden det borde ta att lösa en incident.
- Eventuella konsekvenser.
- Händelsens svårighetsgrad.
När personalen hanterar säkerhetshändelser för integritetsinformation bör personalen:
- Bedöm händelser i enlighet med strikta kriterier som validerar dem som godkända incidenter.
- Kategorisera sekretessinformationssäkerhetshändelser i 5 underämnen:
- Övervakning (se ISO 27002 kontroller 8.15 och 8.16).
- Detektering (se ISO 27002 Kontroll 8.16).
- Klassificering (se ISO 27002 Kontroll 5.25).
- Analys.
- Rapportering (se ISO 27002 Kontroll 6.8).
- När organisationer löser incidenter med integritetsinformationssäkerhet bör de:
- Reagera och eskalera frågor (se ISO 27002 Kontroll 5.26) i enlighet med typen av incident.
- Aktivera krishantering och affärskontinuitetsplaner.
- Påverka en hanterad återhämtning från en incident som mildrar operativa och/eller ekonomiska skador.
- Säkerställ en noggrann kommunikation av incidentrelaterade händelser till all relevant personal.
- Delta i samarbete (se ISO 27002 kontroller 5.5 och 5.6).
- Logga alla incidenthanterade aktiviteter.
- Vara ansvarig för hanteringen av incidentrelaterad bevismaterial (se ISO 27002 Kontroll 5.28).
- Genomför en grundlig orsaksanalys för att minimera risken för att incidenten ska hända igen, inklusive föreslagna ändringar av eventuella processer.
Rapporteringsaktiviteter bör centreras kring fyra nyckelområden:
- Åtgärder som måste vidtas när en informationssäkerhetshändelse inträffar.
- Incidentformulär som registrerar information under en incident.
- End-to-end återkopplingsprocesser till all relevant personal.
- Incidentrapporter som beskriver vad som har inträffat när en incident har lösts.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
- Artikel 33 – (1), (3) (a), (3) (b), (3) (c), (3) (d), (4), (5)
- Artikel 34 – (1), (2), (3) (a), (3) (b), (3) (c), (4)
Relevanta ISO 27002-kontroller
- ISO 27002 5.25
- ISO 27002 5.26
- ISO 27002 5.5
- ISO 27002 5.6
- ISO 27002 6.8
- ISO 27002 8.15
- ISO 27002 8.16
ISO 27701 Klausul 6.13.1.2 – Rapportering av informationssäkerhetshändelser
Referenser ISO 27002 Kontroll 6.8
Organisationer måste se till att händelser med integritetsinformation rapporteras i tid och på ett effektivt sätt.
Personalen måste få snabba och enkla sätt att rapportera händelser med integritetsinformation och måste vara fullt medvetna om vad som utgör ett brott.
Händelser med sekretessinformation kan inkludera:
- Ineffektiva kontroller för integritetsinformationssäkerhet.
- Brott mot informationens konfidentialitet, integritet eller tillgänglighet.
- Mänskligt fel eller skadliga ingrepp.
- Bristande efterlevnad av säkerhetspolicyer för integritetsinformation (ämnesspecifika och allmänna).
- Brott mot fysiska säkerhetskontroller.
- Obehöriga systemändringar.
- Programvarufel.
- Fysiska och logiska åtkomstöverträdelser.
- Diverse sårbarheter.
- Infektioner med skadlig programvara (misstänkta eller faktiska).
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.13.1.3 – Rapportering av svagheter i informationssäkerheten
Referenser ISO 27002 Kontroll 6.8
Se ISO 27701 klausul 6.13.1.2
ISO 27701 klausul 6.13.1.4 – Bedömning av och beslut om informationssäkerhetshändelser
Referenser ISO 27002 Kontroll 5.25
Organisationer bör anta ett kvalitativt tillvägagångssätt för hantering av incidenter för integritetsinformationssäkerhet som inkluderar fyra nyckelpunkter:
- Utformning av ett tydligt kategoriseringssystem som eskalerar integritetsinformationssäkerhet händelser till integritetsinformationssäkerhet incidenter.
- Lista en kontaktpunkt som bedömer säkerhetshändelser för sekretessinformation med hjälp av en strikt uppsättning klassificeringsregler.
- Se till att teknisk personal är tillräckligt utbildad och utrustad för att lösa incidenter med integritetsinformationssäkerhet.
- Logga alla konversationer och lösningsaktiviteter för framtida övervägande och för att minimera risken för liknande händelser.
ISO 27701 klausul 6.13.1.5 – Åtgärder vid informationssäkerhetsincidenter
Referenser ISO 27002 Kontroll 5.26
Organisationer bör se till att incidenter med integritetsinformationssäkerhet hanteras av ett dedikerat tekniskt team med kompetens och resurser för att påverka en snabb lösning (se ISO 27002 Kontroll 5.24).
Organisationer bör:
- Innehåller alla integritetsrelaterade hot som härrör från det ursprungliga problemet.
- Samla in en mängd bevis under hela lösningsprocessen.
- Inkludera eskalering, BUDR-aktiviteter och kontinuitetsplanering i alla resolutionsförsök (se ISO 27002 kontroller 5.29 och 5.30).
- Logga all incidentrelaterad aktivitet.
- Se till att personalen arbetar utifrån "need to know"-basis när de hanterar incidenter med integritetsinformation.
- Var ständigt uppmärksam på deras ansvar gentemot sina kunder och externa organisationer när du kommunicerar incidenter med integritetsinformation och dataintrång.
- Nära incidenter till en stel uppsättning lösningskriterier.
- Genomför kriminalteknisk analys (se ISO 27002 Kontroll 5.28), vid behov.
- Försök att fastställa den bakomliggande orsaken till en incident, när den väl har lösts (se ISO 27002 Kontroll 5.27).
- Vidta korrigerande åtgärder på alla associerade processer, kontroller, policyer och procedurer för att stärka organisationens integritetsskydd när en incident har lösts.
Tillämpliga GDPR-artiklar
- Artikel 33 – (1), (2), (3) (a), (3) (b), (3) (c), (3) (d), (4), (5)
- Artikel 34 – (1), (2)
Relevanta ISO 27002-kontroller
- ISO 27002 5.24
- ISO 27002 5.27
- ISO 27002 5.28
- ISO 27002 5.29
- ISO 27002 5.30
ISO 27701 klausul 6.13.1.6 – Att lära av informationssäkerhetsincidenter
Referenser ISO 27002 Kontroll 5.26
Organisationer bör skapa incidenthanteringsprocedurer som hanterar tre huvudelement i incidenter med integritetsinformationssäkerhet:
- Incidenttyp.
- Uppskattad volym.
- Beräknad kostnad.
Incidenter med integritetsinformationssäkerhet bör dra nytta av procedurer som:
- Förstärk organisationens befintliga ramverk för incidenthantering (se ISO 27002 Kontroll 5.24).
- Förbättra organisationens processer för riskbedömning av integritetsinformation.
- Förbättrad användarmedvetenhet – detta kan uppnås genom att tillhandahålla verkliga exempel på scenarier och hur man hanterar dem.
Relevanta ISO 27002-kontroller
- ISO 27702 5.24
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.13.1.7 – Insamling av bevis
Referenser ISO 27002 Kontroll 5.28
Organisationer bör samla in bevis kring incidentaktivitet med det uttryckliga syftet att uppfylla sina juridiska, regulatoriska, kontraktuella och disciplinära skyldigheter.
Insatser för insamling av bevis bör säkerställa att flera reglerande och lagstiftande organ kan granska incidentaktivitet med hjälp av (men inte begränsat till):
- Förvarings media.
- Tillgångar och enheter.
- Enhets status.
Organisationer bör inte göra några antaganden om vilka bevis de behöver samla in – särskilt när det gäller integritetsinformation – och organisationer bör involvera juridiska myndigheter så snart som möjligt om de är tveksamma om vad som behöver inträffa.
När organisationer tillhandahåller bevis till externa organ bör de visa att:
- Incidentregister är kompletta och fria från störningar.
- Elektroniska bevis speglar dess fysiska motsvarighet.
- IKT-systemen hade förmågan att på ett adekvat sätt registrera alla relevanta bevis.
- Teknisk personal som är involverad i bevisinsamling är lämpligt kvalificerad och kompetent nog att utföra sin roll.
- De har laglig förmåga att samla in bevis.
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.13.1.1 | Ansvar och rutiner |
5.24 – Planering och förberedelse av informationssäkerhetsincidenthantering för ISO 27002 |
Artiklar Lagring, Lagring, Lagring |
| 6.13.1.2 | Rapportering av informationssäkerhetshändelser |
6.8 – Händelserapportering för informationssäkerhet för ISO 27002 |
Ingen |
| 6.13.1.3 | Rapportering av svagheter i informationssäkerheten |
6.8 – Händelserapportering för informationssäkerhet för ISO 27002 |
Ingen |
| 6.13.1.4 | Bedömning av och beslut om informationssäkerhetshändelser |
5.25 – Bedömning och beslut om informationssäkerhetshändelser för ISO 27002 |
Ingen |
| 6.13.1.5 | Svar på informationssäkerhetsincidenter |
5.26 – Svar på informationssäkerhetsincidenter för ISO 27002 |
Artiklar Lagring, Lagring |
| 6.13.1.6 | Lär dig av informationssäkerhetsincidenter |
5.27 – Att lära av informationssäkerhetsincidenter för ISO 27002 |
Ingen |
| 6.13.1.7 | Insamling av bevis |
5.28 – Insamling av bevis för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Med ISMS.online kan du enkelt uppnå ISO 27701-efterlevnad genom att använda en molnbaserad informationshanteringslösning.
Dessutom finns våra informationssäkerhetsexperter och resurser tillgängliga för att hjälpa dig med ISO 27701-ackrediteringsprocessen.
Ta reda på mer av boka en demo.
