ISO 27001 beskriver retningslinjer og prosesser som hjelper virksomheter med å beskytte informasjonen sin på en systematisk og effektiv måte.
Hva er ISO 27001?
ISO 27001 beskriver retningslinjer og prosesser som hjelper virksomheter med å beskytte informasjonen sin på en systematisk og effektiv måte ved å ta i bruk et styringssystem for informasjonssikkerhet (ISMS). ISO 27001 er en del av 27000-serien som er sett med standarder for å håndtere informasjonssikkerhet.
Hva er formålet med ISO 27001?
ISO 27001 stiller krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et ledelsessystem for informasjonssikkerhet.
Hvorfor er ISO 27001 viktig?
I tillegg til å hjelpe virksomheter med å beskytte verdifull informasjon, så kan virksomheter også bli sertifisert i henhold til ISO 27001, og dermed bevise overfor sine kunder og partnere at de tar vare på deres data.
Hva er sikkerhetsmålene med ISO 27001?
ISO 27001 skal beskytte konfidensialitet, integritet og tilgjengelighet;
- Konfidensialitet: kun autoriserte personer har rett til innsyn i informasjon
- Integritet: kun autoriserte personer kan endre informasjonen
- Tilgjengelighet: informasjonen skal være tilgjengelig for autoriserte personer når det er nødvendig
ISO 27001 – Innhold
27001-standarden er todelt; den første delen er hoveddelen som består av 11 kapittel. Den andre delen, vedlegg A, gir retningslinjer for 114 sikringsmål og sikringstiltak nummerert A.5 til A.18.
Kapittel 0 - 3 | (0) Innledning, (1) omfang, (2) normative referanser, (3) vilkår og definisjoner |
Kapittel 4-10 | Krav som er obligatoriske dersom man ønsker å være i samsvar med standarden (4) Organisasjonens kontekst, (5) Lederskap, (6) Planlegging, (7) Støtte, (8) Drift, (9) Prestasjonsevaluering, (10) Forbedring |
Vedlegg A | Sikringsmål og sikringstiltak: liste over kontroller som ikke er obligatoriske, men som kan velges som en del av risikostyringsprosessen |
Vedlegg A - sikringsmål og sikringstiltak
A.5 Informasjonssikkerhetspolicy | A.12 Driftssikkerhet | |
A.6 Organisering av informasjonssikkerhet | A.13 Kommunikasjonssikkerhet | |
A.7 Personellsikkerhet | A.14 Anskaffelse, utvikling og vedlikehold av systemer | |
A.8 Forvaltning av aktiva | A.15 Leverandørforhold | |
A.9 Aksesskontroll | A.16 Styring av informasjonssikkerhetsbrudd | |
A.10 Kryptografi | A.17 Informasjonssikkerhetsaspektet ved styring av virksomhetskontinuitet | |
A.11 Fysisk og miljømessig sikkerhet | A.18 Samsvar |
Hvordan implementere ISO 27001?
Tekniske kontroller implementeres primært i informasjonssystemer, ved å bruke programvare, maskinvare og fastvarekomponenter lagt til systemet. f.eks. sikkerhetskopiering, antivirusprogramvare osv.
Organisasjonskontroller implementeres ved å definere regler som skal følges, og forventet atferd fra brukere, utstyr, programvare og systemer. f.eks. Policy for tilgangskontroll, BYOD-policy, etc.
Juridiske kontroller implementeres ved å sikre at regler og forventet atferd følger og håndhever lovene, forskriftene, kontraktene og andre lignende juridiske instrumenter som organisasjonen må overholde. f.eks. NDA (taushetserklæring), SLA (service level agreement), etc.
Fysiske kontroller implementeres først og fremst ved å bruke utstyr eller enheter som har en fysisk interaksjon med mennesker og gjenstander. f.eks. CCTV-kameraer, alarmsystemer, låser, etc.
Personalkontroll implementeres ved å gi kunnskap, utdanning, ferdigheter eller erfaring til personer for å sette dem i stand til å utføre sine aktiviteter på en sikker måte. f.eks. opplæring i sikkerhetsbevissthet, opplæring av internrevisor i ISO 27001, etc.
ISO 27001 – Krav til dokumentasjon
ISO 27001 spesifiserer et minimumssett med retningslinjer, prosedyrer, planer, journaler og annen dokumentert informasjon som er nødvendig for å overholde kravene.
- Omfanget av ISMS (Artikkel 4.3)
- Informasjonssikkerhetspolicy og -mål (Artikkel 5.2 og 6.2)
- Risikovurdering og risikobehandlingsmetodikk (Artikkel 6.1.2)
- Anvendelseserklæring (Artikkel 6.1.3 d)
- Risikobehandlingsplan (Artikkel 6.1.3 e og 6.2)
- Risikovurderingsrapport (Artikkel 8.2)
- Definisjon av sikkerhetsroller og -ansvar (tiltak A.7.1.2 og A.13.2.4)
- Inventar av eiendeler (tiltak A.8.1.1)
- Akseptabel bruk av eiendeler (tiltak A.8.1.3)
- Tilgangskontrollpolicy (tiltak A.9.1.1)
- Driftsprosedyrer for IT-administrasjon (tiltak A.12.1.1)
- Secure System Engineering Principles (tiltak A.14.2.5)
- Leverandørsikkerhetspolicy (tiltak A.15.1.1)
- Hendelseshåndteringsprosedyre (tiltak A.16.1.5)
- Forretningskontinuitetsprosedyrer (tiltak A.17.1.2)
- Lovfestede, forskriftsmessige og kontraktsmessige krav (tiltak A.18.1.1)
Krav til obligatorisk dokumentasjon
- Registreringer av opplæring, ferdigheter, erfaring og kvalifikasjoner (artikkel 7.2)
- Overvåkings- og måleresultater (artikkel 9.1)
- Internrevisjonsprogram (artikkel 9.2)
- Resultater av interne revisjoner (artikkel 9.2)
- Resultater av ledelsesgjennomgangen (artikkel 9.3)
- Resultater av korrigerende handlinger (artikkel 10.1)
- Logger over brukeraktiviteter, unntak og sikkerhetshendelser (tiltak A.12.4.1 og A.12.4.3)
ISMS er et sett med regler som en virksomhet må etablere for å:
- identifisere interessenter og deres forventninger til virksomheten når det gjelder informasjonssikkerhet
- identifisere hvilke risikoer som finnes for informasjonen som virksomheten forvalter
- definere kontroller (sikkerhetstiltak) og andre metoder for å møte de identifiserte forventningene og håndtere risiko
- sette klare mål for hva som må oppnås med informasjonssikkerhet
- iverksette alle kontrollene og andre risikohåndteringsmetoder
- måle kontinuerlig om kontrollene fungerer som forventet
- gjøre kontinuerlige forbedringer for å få ISMS til å fungere bedre
Dette regelsettet kan skrives som retningslinjer, prosedyrer og andre typer dokumenter, eller det kan være i form av etablerte prosesser og teknologier som ikke er dokumentert. ISO 27001 definerer hvilke dokumenter som kreves, dvs. hvilke dokumenter som minimum må eksistere.
Trenger du styringssystem for informasjonssikkerhet?
Det er flere fordeler med å bruke denne informasjonssikkerhetsstandarden:
Overholdelse av lovkrav – det er et stadig økende antall lover, forskrifter og kontraktskrav knyttet til informasjonssikkerhet, og de fleste av dem kan løses ved å implementere ISO 27001 – denne standarden gir deg en god metodikk for å overholde dem.
Konkurransefortrinn – hvis din virksomhet er sertifisert og konkurrentene dine ikke er det, kan du ha en fordel i en konkurransesituasjon.
Lavere kostnader – hovedformålet til ISO 27001 er å beskytte verdifull informasjon og forhindre at sikkerhetshendelser skjer – og hver hendelse, stor eller liten, koster penger. Ved å forhindre at hendelser skjer vil virksomheter kunne spare mye tid og penger. En investering i ISO 27001 koster mye mindre enn kostnadsbesparelsene man oppnår.
Bedre organisering – mange virksomheter tar seg ikke tid til å definere sine prosesser og prosedyrer – og dermed vet ikke de ansatte hva som må gjøres, når og av hvem. Implementering av ISO 27001 hjelper virksomheter til å skrive ned hovedprosessene sine og for å spare tid for sine ansatte.