הצהרת תחולה (SoA): המדריך המלא

מהי הצהרת תחולה?

במילים פשוטות, במסעו להגן על נכסי מידע יקרי ערך ולנהל את מתקני עיבוד המידע, ה-SoA קובע אילו בקרות ומדיניות ISO 27001 מיושמים על ידי הארגון. הוא מבצע מדדים מול בקרת נספח A שנקבעה בתקן ISO 27001 (מתואר בחלק האחורי של אותו מסמך תקני ISO כיעדי בקרת ייחוס ובקרות).

הצהרת הישימות נמצאת ב-6.1.3 של הדרישות העיקריות ל-ISO 27001, המהווה חלק מ-6.1 הרחב יותר, המתמקדת בפעולות לטיפול בסיכונים והזדמנויות.

לפיכך, ה-SoA הוא חלק בלתי נפרד מתיעוד ISO 27001 החובה שיש להציג למבקר חיצוני כאשר ה-ISMS עובר ביקורת עצמאית, למשל על ידי גוף הסמכת ביקורת UKAS.

על מי חל תקן ISO 27001?

ISO 27001 חל על כל הסוגים והגדלים של ארגונים, לרבות חברות ציבוריות ופרטיות, גופים ממשלתיים וארגונים ללא מטרות רווח. החוט המשותף ללא קשר לגודל הארגון, סוגו, גיאוגרפיה או מגזר הוא שהארגון שואף להפגין שיטות עבודה מומלצות בגישתו לניהול אבטחת מידע. ניתן לפרש את השיטות הטובות ביותר כמובן.

תקן ISO עוסק כולו בפיתוח מערכת לניהול סיכוני אבטחת מידע. אז בהתאם לתיאבון של הנהגת הארגון לסיכוני מידע ולהיקף הנכסים לטיפול בסיכונים, הבקרות והמדיניות המיושמות עשויות להשתנות במידה ניכרת מארגון אחד למשנהו, אך עדיין עומדות ביעדי הבקרה של ISO 27001.

עם זאת, מה שברור הוא שהשגת הסמכת ISO 27001 באמצעות ביקורת בלתי תלויה מגוף הסמכה מאושר של ISO, משמעה שהארגון הגיע לרמת בקרה מוכרת (פרקטיקה מומלצת כסטנדרט) על נכסי המידע ומתקני העיבוד.

הסמכת ISO 27001 מעניקה לבעלי עניין כמו לקוחות חזקים ופוטנציאלים רמה גבוהה יותר של ביטחון מאשר שיטות שפותחו בעצמם או תקנים חלופיים שאינם נושאים את אותה ביקורת עצמאית או הכרה בינלאומית.

מדוע ה-SoA חשוב?

יחד עם ההיקף של מערכת ניהול אבטחת המידע, (4.3 של ISO 27001), ה-SoA מספק חלון סיכום של הבקרות המשמשות את הארגון. ה-SoA הוא דרישת ליבה להשגת הסמכת ISO של ה-ISMS ויחד עם ההיקף יהיה אחד הדברים הראשונים שמבקר יחפש בעבודת הביקורת שלו.

תיעוד זה יצטרך להיות זמין לסקירה במהלך ביקורת ההסמכה שלב 1, אם כי ייבדק רק במהלך הביקורת שלב 2, כאשר המבקר יבדוק חלק מהבקרות ISO 27001 ויוודא שהן לא רק מתארות, אלא מדגימות כראוי מטרות הבקרה מושגות.

המבקר יסקור את מלאי נכסי המידע, ישקול את הסיכונים, הערכתם וטיפוליהם, ויחפש ראיות פיזיות לכך שהארגון יישם בצורה משביעת רצון את הבקרות שלטענתו לטפל בסיכון.

ה-SoA וה-Scope יכסו את המוצרים והשירותים של הארגון, נכסי המידע שלו, מתקני העיבוד, המערכות שנמצאות בשימוש, האנשים המעורבים והתהליכים העסקיים, בין אם מדובר בעסק וירטואלי של אדם אחד או פעולה בינלאומית מרובת אתרים עם אלפי עובדים.

לקוחות משכילים רבי עוצמה עם סיכון מידע משמעותי (למשל בגלל GDPR או נכסי מידע מסחריים אחרים) עשויים לרצות לראות את ההיקף ואת ה-SoA לפני הקנייה מספק, כדי להבטיח שהסמכת ה-ISO אכן מתייחסת לתחומי העסק המעורבים בעסק שלהם. נכסים.

זה לא טוב שיש הסמכת ISO עם Scope ו-SoA עבור משרד ראשי בבריטניה כאשר הסיכון בפועל לעיבוד מידע מתרחש בבניין offshore עם משאבים מחוץ לתחום! זו למעשה אחת הסיבות לכך שגופי ההסמכה מעודדים כעת היקפים של 'ארגון שלם', מה שכמובן עשוי לומר שנדרשת הצהרה הרבה יותר רחבה ומעמיקה של תחולה.

לסיכום, SoA מוצג היטב וקל להבנה מציג את הקשר בין בקרות נספח A הישימות והמיושמות בהתחשב בסיכונים ונכסי המידע בהיקף. זה ייתן ביטחון עצום למבקר או לגורם מעוניין אחר שהארגון לוקח ברצינות את ניהול אבטחת המידע, במיוחד אם כל זה מאוחד למערכת ניהול אבטחת מידע הוליסטית.

מהו נספח A ISO 27001?

נספח A של ISO 27001 הוא קטלוג של יעדי בקרת אבטחת המידע ובקרות שיש לקחת בחשבון במהלך יישום ISO 27001. המונח הטכני המשמש ל-ISO עוסק ב'הצדקה' של השליטה, ה-SoA יראה אם ​​הפקד נספח A הוא:

• ישים ומיושם כבקרה כעת
• ישים אך לא מיושם כבקרה (למשל זה עשוי להיות חלק משיפור לעתיד ונלכד ב-10.2 כחלק משיפור, או שההנהגה מוכנה לסבול את הסיכון בהתחשב בסדרי העדיפויות האחרים של הבקרה המיושמת שלה)
• לא ישים (שים לב שאם משהו נחשב כלא ישים, המבקר יחפש להבין מדוע יש לשמור על כך רישום מתועד גם ב-SoA).

הבקרות צריכות להיבדק ולעדכן באופן שוטף במהלך מחזור החיים של אישור ISO של 3 שנים. זהו חלק מפילוסופיית שיפור ניהול אבטחת המידע המתמשכת המוטמעת בתקן. בהתחשב בקצב הגובר של הצמיחה בפשעי סייבר, גם אבטחת הסייבר נעה מהר מדי, כך שכל דבר פחות מסקירה שנתית של בקרות עשוי להגדיל את חשיפת האיומים של הארגון.

אילו פקדים עלי לכלול?

הצהרת התחולה היא הקישור העיקרי בין הערכת סיכוני אבטחת המידע שלך לבין עבודת הטיפול, ומראה 'היכן' בחרת ליישם בקרות אבטחת מידע ממטרות 114 הבקרה. (SoA טוב יוכל גם לקדוח כדי להראות 'איך' הם יושמו גם כן.)

בעוד שהבקרות נספח A מספקות רשימת בדיקה שימושית לשיקולה, יישום כל 114 הבקרות מ'מלמטה למעלה' עשוי להיות יקר ולהחמיץ את המטרות הבסיסיות של התקן. למרבה הצער, כמה יועצי וספקי אבטחת מידע שרוכלים 'ערכות כלים מלאות לתיעוד ISO 27001' יתמכו בגישה הזו, אבל זו הדרך השגויה לניהול אבטחת מידע.

יש סיבה לכך שדרישות הליבה ב-ISO 27001 מ-4.1-10.2 קיימות. הם עוזרים לקחת את הארגון על הגישה העסקית והאסטרטגית שבה אתה מסתכל מלמעלה למטה. לאחר שקלו את הנושאים, בעלי העניין, ההיקף ונכסי המידע, הארגון יכול לזהות את הסיכונים, ואז להעריך אותם ולשקול טיפולים לסיכונים אלו.

יש להעריך את הסיכונים סביב המידע בעל הערך ומתקני העיבוד, המכשירים, האנשים המעורבים וכו' מתוך מחשבה על הסודיות, היושרה והזמינות (CIA) של המידע.

התמוטטות זו של ה-CIA היא גם היבט חשוב עבור המבקר להבין ולהוכיח שהארגון שקל את הסיכון בצורה הוליסטית יותר. באופן מכריע זה גם אומר שה-SoA פותח עם אותה גישה מקיפה יותר, במקום רק חלק אחד, למשל רק חשב על הסיכון לאובדן מידע כתוצאה מהפרה.

בעוד שהארגון ישקול את הסיכונים מפעילותו כפי שנכתבו מלמעלה, ראוי להזכיר שאחד מתחומי הבקרה בנספח A שיהיו ישימים תמיד הוא "זיהוי החקיקה החלה והדרישות החוזיות" ב-A.18.1.1 . המשמעות היא שתשקול גם את הדרישות של החוקים, התקנות והדרישות החוזיות הרלוונטיות. זה זוכה להרבה יותר בולטות בגלל ה-GDPR של האיחוד האירופי עבור אלה המעבדים מידע על אזרח האיחוד האירופי ויותר ויותר בכל רחבי העולם גם עם תקני פרטיות אחרים כמו POPI בדרום אפריקה, LGPD בברזיל וה-CCPA בקליפורניה.

בהבנת הציפיות של תקנות הפרטיות, זה גם מכתיב למעשה שרבים מבקרי ISO 27001 נדרשים, בין אם אתה חושב שכן או לא. אז מבקר חכם יצפה להבנה של החקיקה הרלוונטית המשפיעה על הארגון שלך וכיצד זה גם מודיע על בחירתך בבקרות החלות בהצדקת ה-SoA.

סיכוני אבטחת מידע מסוימים יכולים כמובן להיפסק לחלוטין, להעבירם לגורם אחר, לטפל בהם או לסבול אותם. כל אותם בקרות נספח A עוזרות לך לשקול ובמידת הצורך ליישם את הפילוסופיה של העברה, טיפול או סובלנות סביב הסיכונים. לאחר מכן, ה-SoA מראה באילו אמצעי אבטחה מבקרות נספח A אתה משתמש וכיצד יישמת אותם, כלומר המדיניות והנהלים שלך.

מטרות הבקרה והבקרות בנספח A כפי שמופיעות בתקן ISO 27001 אינן מחייבות אך יש לקחת בחשבון וכי הצדקה לתחולה חיונית להסמכה עצמאית מגוף הסמכה של ISO.

ISO 27002 והצהרת התחולה

בין אם הסמכה עצמאית היא מטרה או אולי פשוט עמידה בשילוב עם ההנחיות המשלימות של ISO 27002, בקרות נספח A הן בסיס חיובי שאפשר לבנות עליו עבור כל ארגון שרוצה לשפר את עמדת אבטחת המידע שלו ולעשות עסקים בצורה מאובטחת יותר.

ISO 27002, הוא התקן המשלים ל-ISO 27001, מספק קוד נוהג ומתווה שימושי לבקרות אבטחת מידע ובכך מספק קטלוג טוב מאוד של יעדי בקרה ובקרות לטיפול בסיכונים וכן הדרכה כיצד ליישם אותם.

אילו אמצעי אבטחה (בקרות נספח A) תפעיל כדי לנהל את הסיכונים הללו יהיו תלויים בפועל בארגון שלך, בתיאבון הסיכון שלו ובהיקף וכן בחקיקה הרלוונטית. אבל מה שזה לא יהיה, זה צריך להיות מוצג בהצהרת התחולה אם אתה רוצה להשיג הסמכה ISO 27001!

איזה מידע צריך להיכלל ב-SoA?

אז בואו נסכם איזה מידע צריך להיכלל כמינימום עבור ה-SoA.

• רשימה של 114 בקרות נספח א'
• בין אם הבקרה מיושמת או לא
• הצדקה להכללתו או אי הכללתו
• תיאור קצר או כיצד מיושמת כל בקרה ישימה, תוך התייחסות למדיניות ולבקרה המתארת ​​אותה בפירוט הנכון

כפי שהוזכר לעיל, ה-SoA מהווה צוהר ל-ISMS של הארגון. אם אינך מסוגל להראות כיצד החלון הזה נפתח לעומק ולטבע המחובר של מערכת ניהול אבטחת המידע, זה יכול ליצור בעיות. תארו לעצמכם את המצב כאשר המבקר מופיע והגיליון האלקטרוני המציג את הבקרות 114 מיושן היטב עם בקרות הניהול בפועל.

אחת הסיבות הנפוצות ביותר לכישלון בביקורת ISO 27001 היא מכיוון שהמבקר אינו מסוגל לשאוב אמון בניהול ה-ISMS והתיעוד מנוהל בצורה גרועה או חסר. קיום 'מסמך' SoA עצמאי במקום תיעוד משולב ואוטומטי של SoA מגדיל את הסיכון הזה.

איך יוצרים את הצהרת התחולה?

כל עוד ל-SoA יש את המידע הנכון, הוא מדויק ומעודכן, אתה יכול ליצור את ה-SoA מנייר, גיליונות אלקטרוניים, מסמכים או מערכות מקצועיות שהופכות אותו לאוטומטיות כחלק מיכולת ה-GRC (ממשל, רגולציה ותאימות) הרחבה יותר שלהם. .

בעולם אידיאלי ה-SoA שלך כמעט ולא ישתנה (לא מעט בגלל שגופי הסמכה עשויים לגבות תשלום עבור שינויים בגרסה של ה-SoA). עם זאת, מה שנמצא מתחת ל-SoA, כלומר הלב הפועם של ה-ISMS עצמו צריך להיות דינמי כייצוג נושם חי של נוף אבטחת המידע המתפתח שלך.

יש לבחון את ה-SoA כאשר המדיניות והבקרות שלך נבדקות (לפחות מדי שנה), כך שהוא עדיין יפיק תועלת מהיותו תהליך יעיל בהתחשב ב-114 הבקרות לבחינה.

להעלות גיליון אלקטרוני עם הפקדים כרשימה היא חתיכת עוגה ודי מהירה לביצוע. עם זאת, לעשות זאת בביטחון שכל עבודת התכנון והיישום המוקדמים יותר של אבטחת המידע סביב הנכסים, הסיכונים והבקרות נעשו בסדר הנכון ובא לידי ביטוי כסיכום SoA לא כל כך פשוט. מבקר ירצה לראות מה יושב מתחת לקו העליון הפשוט של 114 שורות בגיליון אלקטרוני.

בימים עברו, הצגת ה-SoA כמסמך מפורט של 200 עמודים באמת הייתה הרבה עבודה, במיוחד כדי לעדכן אותו ככל שהמדיניות והבקרות התפתחו. יש כיום דרכים הרבה יותר טובות וקלות יותר להפוך את ה-SoA לאוטומטי ולנצל את העבודה הקשה שכבר נעשתה בחלקים אחרים של ה-ISMS.

כיצד לחסוך זמן בעת ​​כתיבת הצהרת התחולה שלך

ה-SoA בדרך כלל לוקח זמן רב לארגון להרכיב בגלל מה שמודיע לו. אם נחשוב על השלבים הכרוכים ביצירתו, ועל העבודה הדרושה לשם כך, אין זה פלא:

• שקול את הנושאים, הצדדים המעוניינים ואת היקף ה-ISMS
• זהה את נכסי המידע ומתקני העיבוד וההתקנים הנמצאים בסיכון
• להעריך ולהעריך את הסיכונים הקשורים לאבטחת המידע באמצעות סודיות, יושרה וזמינות
• העריכו את הסיכונים הללו ואז החליטו באילו מ-114 בקרות נספח A יש צורך
• להבין ולהעריך את החקיקה הרלוונטית (וכל התחייבויות חוזה מרכזיות של לקוחות רבי עוצמה) כדי להדגיש תחומי בקרה אחרים
• החליטו כיצד ליישם את הבקרה מבחינת מדיניות, נוהל, אנשים, טכנולוגיה וכו'
• לאחר מכן צור את מסמך ה-SoA עצמו כשההצדקות הללו לגבי הישימות ברורות
• קישור אידיאלי לפרטי הבקרה, הסיכונים והנכסים כדי להראות שה-ISMS עובד
• ולנהל אותו באופן שוטף.

  ה-SoA הוא חלק אחד קטן אך חשוב מאוד מ-ISMS מקיף מאוד. אם נעשה היטב, זה יקבע את הארגון להצלחת ביקורת ובניית אמון ללקוחות חכמים ולבעלי עניין אחרים. אם נעשה בצורה גרועה, זה כמעט בוודאות ישבש ויעכב את זמן ההסמכה ועלול להיות אובדן של הזדמנות עסקית או עתידית בגלל אי ​​השגת או שימור הסמכה.

האיץ את תהליך ה-SoA עם ISMS.online

ISMS.online היא מערכת מקיפה לניהול אבטחת מידע שבין הרבה דברים אחרים מקלה על הניהול והניהול של נכסי המידע, הסיכונים, המדיניות והבקרות שלך, הכל במקום אחד.

זה גם אומר שיצירת ה-SoA יכולה להיות אוטומטית ולהציג בפשטות וביעילות. לכן בנוסף ליתרונות אחרים כמו עלות פחות זמן כדי להשיג הצלחה ב-ISO 27001, זה גם מזרז את מסע הסמכת ISO.

מקד את האנרגיה שלך בניהול העסק שלך כמו שאתה רוצה, והקדיש זמן למה שאתה צריך להשיג להצלחה, פחות לדאוג כיצד לעשות זאת. ISMS.online מקל כל כך לבצע את העבודה שלך, כולל ה-SoA בשבריר מהעלות ומהזמן של חלופות.