קפוץ לנושא
מה כולל סעיף 6.1?
תיעוד בבהירות בתיאור, ולאחר מכן הדגמה כיצד אתה מטפל בסיכונים תחת ISO 27001 חיוני להסמכה עצמאית ל-ISO 27001 ולהפעלת מערכת מוצלחת לניהול אבטחת מידע (ISMS).
סעיף 6.1.1 – היבטים כלליים בתכנון סביב סיכון עבור ISO 27001
בשלב זה, אתה אמור להסתכל אחורה לעבודה הקודמת שלך בסעיפים 4 ו-5 - בפרט, 4.1, 4.2, 4.3 וסעיף 5 של ISO 27001. זה יעזור לך לקבוע את הסיכונים וההזדמנויות שיש לטפל בהן. נושאים קודמים, בעלי עניין והיקף על מנת:
- להבטיח שמערכת ניהול אבטחת המידע יכולה להשיג את התוצאות המיועדות
- "למנוע או להפחית את ההשפעות הלא רצויות"
- 'להשיג שיפור מתמיד'.
על הארגון לקיים תוכניות המכסות את הפעולות שהוא ינקוט כדי לזהות, להעריך ולטפל בסיכונים והזדמנויות אלו וכיצד הוא ישלב ויישם את הפעולות הללו בתהליכי מערכת ניהול אבטחת המידע שלו. זה צריך לכלול כיצד הם יעריכו את האפקטיביות של פעולות אלה ויפקחו עליהן לאורך זמן.
זה פשוט אומר לתעד את התהליך לזיהוי סיכונים, הערכה וטיפול, ואז להראות שהוא עובד בפועל עם הניהול של כל סיכון, באופן אידיאלי כדי להראות שהוא נסבל (למשל לאחר יישום בקרות נספח A), סיום או אולי העברה למפלגות אחרות.
תקן ISO 27001 מפרק גם את הדרישה הזו כלפי ניהול סיכונים לעומק יותר. בנוסף, ישנם תקנים אחרים מוכווני סיכונים כמו ISO 31000 שאפשר ללמוד מהם, שמהם נבעו העקרונות לתכנון סיכונים ISO 27001.
סעיף 6.1.2 – הערכת סיכוני אבטחת מידע עבור ISO 27001
תקן ISO 27001 מחייב ארגון להקים ולתחזק תהליכי הערכת סיכוני אבטחת מידע הכוללים את קריטריוני קבלת הסיכונים והערכה. הוא גם קובע שכל הערכות צריכות להיות עקביות, תקפות ולהניב 'תוצאות ברות השוואה'.
זה אומר תיאור ברור של הגישה הננקטת ופירושו לייצר מתודולוגיית סיכון - כתבנו עוד על פיתוח זה כאן.
ארגונים חייבים ליישם את תהליכי ההערכה כדי לזהות סיכונים הקשורים לסודיות, שלמות וזמינות (CIA) של נכסי המידע בהיקף המוגדר של ה-ISMS.
רוב המבקרים המוסמכים של ISO יצפו שהמתודולוגיה הזו תעבור מעבר לתיאורי סבירות והשפעה פשוטים, כדי להסביר גם מה קורה (למשל) כאשר מתרחשת התנגשות בין סיכון אחד (לדוגמה מבוסס זמינות) לאחר (למשל מבוסס סודיות).
יש להקצות סיכונים לבעלי סיכונים בתוך הארגון שיקבעו את רמת הסיכון, יעריכו את ההשלכות הפוטנציאליות אם הסיכון יתממש, יחד עם "סבירות ריאלית להתרחשות הסיכון".
לאחר הערכה יש לתעדף את הסיכון לטיפול בסיכון ולאחר מכן לנהל אותו בהתאם למתודולוגיה המתועדת.
סעיף 6.1.3 – טיפול בסיכוני אבטחת מידע עבור ISO 27001
מצופה ממך לבחור אפשרויות טיפול מתאימות בסיכון בהתבסס על תוצאות הערכת הסיכונים, למשל לטפל באמצעות בקרות נספח A, להפסיק, להעביר או אולי לטפל בדרך אחרת. תקן ISO 27001 מציין כי נספח A כולל גם את מטרות הבקרה אך הבקרות המפורטות אינן ממצות וייתכן שיהיה צורך בבקרות נוספות.
בדרך כלל, הבקרות בנספח A משמשות לבד בארגונים קטנים יותר, אם כי מקובל לתכנן או לזהות את הבקרות מכל מקור. בדרך זו, ניהול תקני אבטחה מרובים עשוי להוביל להחלת בקרות, למשל, מתקנים אחרים כגון NIST או SOC2 בהתאם לעקרונות ה- Trust Services Criteria.
אם נבדק על ידי מבקר בלתי תלוי עבור ISO 27001, הגיוני מאוד להתמקד בבקרות נספח A מכיוון שהם יכירו אותם היטב.
אם צריך לעמוד בסטנדרטים ספציפיים עבור לקוח, למשל DSPT for Health ב-NHS בבריטניה, הגיוני למפות גם את הטיפול בסיכון לאלו ולתת ללקוח ביטחון שהבטחת המידע שלך חזקה ועונה גם על האינטרסים שלו.
בעלי סיכונים שהוקצו מנהלים את תוכניות הטיפול בסיכונים שלהם (או מאצילים לאנשים לעשות זאת עבורם) ובסופו של דבר יקבלו את ההחלטה לקבל את כל סיכוני אבטחת המידע שיוריים - אחרי הכל אין זה הגיוני תמיד להפסיק העברה או להמשיך להשקיע בניהול של סיכון.
יש צורך להמציא הצהרת תחולה שמכילה את הבקרות שהארגון ראה בהן נחוצות יחד עם ההצדקה להכללות, בין אם הן מיושמות ובין אם לאו, וההצדקה להחרגות של בקרות מנספח א'.
זוהי עבודה די משמעותית (פישוט מסיבי ואוטומטי על ידי ISMS.online) שמדגימה שהארגון בחן היטב את כל התחומים סביב אותם בקרות ש-ISO 27001 רואה כחשובים.
הבנת הצהרת התחולה עבור ISO 27001
הצהרת התחולה (SOA) מכילה את הבקרות הנחוצות כאמור לעיל ואת ההצדקה להכללה או אי הכללה שלהן. זה נהדר לניהול פנימי ולשיתוף עם בעלי עניין רלוונטיים. זה יחד עם מדיניות האבטחה, ההיקף והתעודה (אם הושגו) יעניקו להם הבנה טובה יותר היכן עשויים להיות האינטרסים והדאגות שלהם במערכת ניהול אבטחת המידע שלך.
כיצד להשיג את סעיף 6.1
בדרך כלל, תכנון האופן שבו תזהה, תעריך ותטפל בסיכונים, כדי לעמוד בדרישות לעיל, הוא אחד המרכיבים שגוזלים יותר זמן ביישום ה-ISMS שלך. זה דורש מארגון להגדיר מתודולוגיה להערכת סיכונים עקבית ולשמור על תיעוד ברור של כל סיכון, ההערכה שלו ותוכנית הטיפול שלו.
יתר על כן, הרשומות צריכות להראות ביקורות קבועות לאורך זמן, וראיות לטיפול שהתקיים. זה יכלול אילו מהבקרות נספח א' שהצבת כחלק מאותו טיפול ויוזן ליצירה (ותחזוקה) של הצהרת התחולה.
אין זה פלא שגישות גיליון אלקטרוני מיושנות יכולות להיות מורכבות וקשות לתחזוקה כשחורגים מהגישות הבסיסיות מאוד לניהול סיכונים (שנדרשת עבור ISO 27001). זוהי אחת הסיבות לכך שארגונים מחפשים כעת פתרונות תוכנה לניהול התהליך הזה.
הפוך את זה לפשוט יותר עם ISMS.online
פלטפורמת ISMS.online כוללת מדיניות ניהול סיכונים, מתודולוגיה וכלי ניהול סיכוני אבטחת מידע מוגדר מראש. אנו כוללים גם בנק של סיכוני אבטחת מידע נפוצים שניתן למשוך, יחד עם הבקרות המוצעות בנספח A, וחוסכים לך שבועות של עבודה.
הצטרפות זו לפתרון משולב אחד שיעזור לך להשיג, לתחזק ולשפר את כל ה-ISMS שלך הגיוני לחלוטין. אחרי הכל, למה לבזבז זמן בניסיון לבנות אותו בעצמך כשכבר יש פתרון ייעודי?
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
