Punkt 6 wymagań ISO 27001 dotyczy planowania, a w szczególności planowania działań mających na celu uwzględnienie ryzyk i szans. Zarządzanie ryzykiem jest dość proste, ale oznacza różne rzeczy dla różnych osób i oznacza coś konkretnego dla audytorów ISO 27001, dlatego ważne jest, aby spełnić ich wymogi.
Co oznacza punkt 6.1?
Jasne udokumentowanie, a następnie wykazanie, w jaki sposób zarządzasz ryzykiem zgodnie z ISO 27001, ma zasadnicze znaczenie dla niezależnej certyfikacji ISO 27001 i funkcjonowania skutecznego Systemu Zarządzania Bezpieczeństwem Informacji ( SZBI ).
Punkt 6.1.1 – Ogólne aspekty planowania ryzyka dla ISO 27001
W tym momencie powinieneś przejrzeć swoje wcześniejsze prace w sekcjach 4 i 5 – w szczególności 4.1, 4.2, 4.3 i sekcję 5 ISO 27001. Pomoże Ci to zidentyfikować ryzyka i szanse, którymi należy się zająć na podstawie wcześniejszych zagadnień, interesariuszy i zakresu, aby:
- zapewnienia, że system zarządzania bezpieczeństwem informacji może osiągnąć zamierzone rezultaty,
- zapobiegać lub ograniczać niepożądane skutki,
- osiągnąć ciągłe doskonalenie.
Organizacja powinna posiadać plany obejmujące działania, które podejmie w celu identyfikacji, oceny i zarządzania tymi ryzykami i szansami, a także sposób, w jaki zintegruje i wdroży te działania w swoich procesach systemu zarządzania bezpieczeństwem informacji. Powinno to obejmować sposób oceny skuteczności tych środków i monitorowania ich w czasie. Mówiąc prościej, oznacza to udokumentowanie procesu identyfikacji, oceny i traktowania ryzyka, a następnie wykazanie, że działa to w praktyce z zarządzaniem każdym ryzykiem, najlepiej w celu wykazania, że jest ono tolerowane (np. po zastosowaniu kontroli z załącznika A), zakończone lub być może przekazane innym stronom. Norma ISO 27001 rozszerza ten wymóg zarządzania ryzykiem. Ponadto istnieją inne standardy zorientowane na ryzyko, z których można się uczyć, takie jak ISO 31000, z której zaczerpnięto zasady planowania ryzyka w ISO 27001.
Punkt 6.1.2 – Ocena ryzyka związanego z bezpieczeństwem informacji dla ISO 27001
Norma ISO 27001 wymaga od organizacji ustanowienia i utrzymywania procesu oceny ryzyka związanego z bezpieczeństwem informacji, który obejmuje kryteria akceptacji i oceny ryzyka. Stwierdza również, że wszystkie oceny powinny być spójne, ważne i dawać „porównywalne wyniki”.
Oznacza to jasne opisanie stosowanego podejścia i stworzenie metodologii ryzyka – więcej na temat jej opracowywania pisaliśmy tutaj.
Organizacje muszą stosować procedury oceny w celu identyfikacji ryzyka związanego z poufnością, integralnością i dostępnością (CIA) zasobów informacyjnych w określonym zakresie SZBI. Większość certyfikowanych audytorów ISO będzie oczekiwać, że metodologia ta wykroczy poza proste opisy prawdopodobieństwa i wpływu, aby wyjaśnić, co się stanie (na przykład), jeśli wystąpi konflikt między jednym ryzykiem (np. opartym na dostępności) a innym (np. opartym na poufności).
Ryzyka muszą być przypisane do właścicieli ryzyka w organizacji, którzy określą poziom ryzyka, ocenią potencjalne konsekwencje, jeśli ryzyko się zmaterializuje, wraz z „realistycznym prawdopodobieństwem wystąpienia ryzyka”. Po dokonaniu oceny ryzyko musi być traktowane priorytetowo, a następnie zarządzane zgodnie z udokumentowaną metodologią.
Punkt 6.1.3 – Postępowanie z ryzykiem związanym z bezpieczeństwem informacji dla ISO 27001
Oczekuje się, że wybierzesz odpowiednie opcje traktowania ryzyka w oparciu o wyniki oceny ryzyka, np. traktowanie za pomocą kontroli z załącznika A, zakończenie, przeniesienie lub być może traktowanie w inny sposób. Norma ISO 27001 zauważa, że załącznik A obejmuje również cele kontroli, ale wymienione kontrole „nie są wyczerpujące” i mogą być wymagane dodatkowe kontrole.
Zazwyczaj kontrole z załącznika A są stosowane samodzielnie w mniejszych organizacjach, chociaż dopuszczalne jest zaprojektowanie lub zidentyfikowanie kontroli z dowolnego źródła. Na przykład zarządzanie wieloma standardami bezpieczeństwa może oznaczać stosowanie kontroli z innych standardów, takich jak NIST.
Jeśli przeprowadzasz audyt ISO 27001 przez niezależnego audytora, warto skupić się na kontrolach z Załącznika A, ponieważ będą one dobrze znane.
Jeśli musisz spełnić określone standardy dla klienta, np. administracja publiczna, służba zdrowia, banki, przemysł, energetyka, podmioty zbrojeniowe, sensowne jest również zmapowanie traktowania ryzyka do tych standardów i danie klientowi pewności, że Twoje zabezpieczenie informacji jest solidne i spełnia również jego interesy. Przypisani właściciele ryzyka zarządzają swoimi planami postępowania z ryzykiem (lub delegują osoby, które zrobią to za nich) i ostatecznie podejmą decyzję o zaakceptowaniu wszelkich pozostałych ryzyk związanych z bezpieczeństwem informacji – w końcu nie ma sensu zawsze kończyć transferu lub nadal inwestować w zarządzanie ryzykiem. Konieczne jest sporządzenie Oświadczenia o stosowalności, które zawiera kontrole uznane przez organizację za niezbędne, wraz z uzasadnieniem ich włączenia, niezależnie od tego, czy zostały wdrożone, czy nie, oraz uzasadnieniem wyłączenia kontroli z Załącznika A. Jest to dość istotne zadanie, które pokazuje, że organizacja dokładnie rozważyła wszystkie obszary wokół kontroli, które ISO 27001 uważa za ważne.
Zrozumienie deklaracji stosowalności ISO 27001
Oświadczenie o stosowalności (SOA) zawiera wymagane kontrole wymienione powyżej oraz uzasadnienie ich włączenia lub wyłączenia. Idealnie nadaje się do wewnętrznego zarządzania i udostępniania odpowiednim interesariuszom. To, wraz z polityką bezpieczeństwa, zakresem i certyfikatem (jeśli został uzyskany), pozwoli im lepiej zrozumieć, gdzie ich interesy i obawy mogą leżeć w twoim systemie zarządzania bezpieczeństwem informacji.
Jak osiągnąć punkt 6.1
Zazwyczaj planowanie sposobu identyfikacji, oceny i zarządzania ryzykiem w celu spełnienia powyższych wymagań jest jednym z bardziej czasochłonnych elementów wdrażania SZBI. Wymaga to od organizacji zdefiniowania metodologii spójnej oceny ryzyka i prowadzenia przejrzystych zapisów dotyczących każdego ryzyka, jego oceny i planu postępowania. Ponadto dokumentacja powinna przedstawiać regularne przeglądy w czasie i dowody przeprowadzonego leczenia. Będzie to obejmować, które z mechanizmów kontrolnych z Załącznika A zostały wdrożone w ramach tego postępowania, i zostanie uwzględnione w przygotowaniu (i utrzymaniu) Oświadczenia o stosowalności.