ISO 27001 Eis 4.1 – Inzicht in de context van de organisatie

Wat zijn interne en externe problemen?

ISO biedt eigenlijk niet veel hulp bij de uitleg van wat een intern of extern probleem zou kunnen zijn. Voor een organisatie die nieuw is op het gebied van informatiebeveiligingsbeheer kan het waardevolle tijd verspillen aan het uitzoeken van die vereiste.

Het hangt echt af van de cultuur en de aard van de organisatie, de betrokken mensen, het uitgangspunt en de waarde die in gevaar is. Een kleine, goed beheerde organisatie met een duidelijk doel en weinig betrokken mensen kan bijvoorbeeld in een kopje thee van 10 minuten tot conclusies komen over interne en externe kwesties die van invloed zijn op de ISMS-resultaten (vooral met alle voorbeelden in de virtuele coach).

Bij andere organisaties kan het echter langer duren. Over het algemeen raden we aan dat dit een oefening van het snelle brainstormtype is, waarbij in eerste instantie overmatige analyse wordt vermeden. U zult vrijwel zeker meer interne en externe problemen identificeren als u zich verdiept in de andere vereisten en deze kunnen eenvoudig worden toegevoegd tijdens de implementatie van uw managementsysteem voor informatiebeveiliging en De reis naar een betere informatieborging gaat verder.

Hoe interne problemen te identificeren

Beschouw het onderstaande acroniem IPOPS voor het identificeren van de interne problemen die de uitkomsten van een ISMS kunnen beïnvloeden. Dit kan een whiteboardoefening zijn, een post-it-notitiesessie of eenvoudigweg het vastleggen van aantekeningen die u later uploadt om aan te tonen dat u de problemen begrijpt. Haal de juiste mensen in een ruimte of aan de telefoon en ga het gesprek aan!

Kijk naar de afbeelding voor een basisvoorbeeld van wat er zou kunnen worden gedaan. Dit voorbeeld kan worden geüpload als onderdeel van het bewijsmateriaal, of kan gedetailleerder worden opgeschreven en verder worden getest met andere belanghebbenden, afhankelijk van de aard van de organisatie. Vanuit het perspectief van UKAS ISO 27001 externe auditors zullen ze op zoek zijn naar het vertrouwen dat de organisatie de problemen heeft begrepen die van invloed kunnen zijn op de uitkomst van het ISMS (en deze heeft gedocumenteerd) voordat ze dat bewijsmateriaal gebruiken om verder te gaan.

Dat helpt vervolgens bij het identificeren van geïnteresseerde partijen, het vaststellen van een reikwijdte, het documenteren van uw doelstellingen, het opstellen van een activa-inventaris en het uitvoeren van informatiebeveiligingsrisicoanalyses voordat u geschikt beleid en controles ontwikkelt in overeenstemming met de verklaring van toepasselijkheid.

Het is allemaal een heel logische stroom en begint hier met deze eenvoudige oefening!

Voorbeelden van interne problemen

We hebben hieronder een paar ideeën en voorbeelden gegeven van gebieden waar u mogelijk interne problemen tegenkomt die de uitkomst van het ISMS beïnvloeden, maar er zijn veel problemen die in overweging kunnen worden genomen, afhankelijk van de organisatie, haar sector, omvang, reikwijdte en aard van de producten en diensten. enz.

We raden aan dat je praktisch bent en ervoor zorgt dat het geen grote strategieoefening of proefschrift wordt als dat niet nodig is. Het gaat er ook minder om waar je het interne probleem 'onderwerpt'; het idee van een eenvoudige portefeuilleanalyse als deze is om de hersenen te helpen de interne problemen op gang te brengen.

Dus of u ze nu onder mensen, organisaties of elders plaatst, is minder belangrijk (sommige kunnen ook externe kwesties zijn) – het is de identificatie van de interne of externe kwesties die belangrijk is, zodat u een informatiebeveiligingsbeheersysteem kunt bouwen dat voor u werkt !

Je houdt ook rekening met de aard van de organisatie rond mensen, bijvoorbeeld de filosofie om alles in eigen beheer te doen, uit te besteden, enz. – deze aspecten geven allemaal aanleiding tot 'problemen' die van invloed kunnen zijn op het ISMS.

U kunt bijvoorbeeld personeel intern beter aansturen dan leveranciers, maar het kan een argument zijn om leveranciers bij hun processen te betrekken omdat zij de diensten bieden die u wilt. Vergeet niet dat uw bedrijfsdoelstellingen op de eerste plaats komen – dit vormt de kern van de identificatie van de problemen – run het bedrijf zoals u dat wilt en zorg ervoor dat het ISMS uw waardevolle informatie en die van uw geïnteresseerde partijen beschermt.

Alle relevante kwesties moeten vervolgens in overweging worden genomen voor een meer gedetailleerde risicoanalyse later. Niet alle kwesties zijn echter daadwerkelijk risico's, en sommige zijn belangrijker dan andere, dus u kunt ervoor kiezen om prioriteiten te stellen rond de grotere kwesties. We raden u daarom aan om in dit stadium de risicoanalyse of elke diepgaande overweging van wat als te vermijden en u te concentreren op het identificeren van de problemen.

Informatie als activa die interne kwesties zijn die de ISMS-resultaten beïnvloeden

Welke informatie wordt gecreëerd, verwerkt, opgeslagen, beheerd en is van echte waarde voor de organisatie en haar belanghebbenden (in lijn met de stakeholderanalyse die u hierna voor 4.2 gaat maken)? Persoonlijke gegevens, gevoelige klantideeën en IPR, financiële informatie, merk, codebases enz.?

Dit vormt de kern van het ISMS, waar de informatiemiddelen de basis vormen voor al het andere. Het vroegtijdig identificeren van deze middelen maakt het beheer van de informatiemiddelen ook gemakkelijk voor A8.1.

Denk vervolgens na over mogelijke problemen rond de informatie zelf – in het bijzonder vertrouwelijkheid, integriteit en beschikbaarheid, waarbij u rekening houdt met de andere gebieden hieronder als u ideeën opdoet over waar de problemen kunnen worden gevonden.

Mensgerelateerde interne kwesties die van invloed kunnen zijn op de beoogde uitkomst van het ISMS
Het is geen verrassing dat de beveiliging van menselijke hulpbronnen een belangrijk onderdeel is van het ISMS; bijlage A 7 is er zelfs aan gewijd en al het daaropvolgende beleid, de controles en het beheer zullen waarschijnlijk met mensen in gedachten zijn, zowel interne werknemers als externe bronnen zoals leveranciers.

Houd daarom rekening met bestaande problemen op het gebied van:

• werving – bijvoorbeeld uitdagingen bij het aannemen van competente mensen, hoog/laag personeelsverloop
• introductie – krijgen ze bijvoorbeeld momenteel training over informatiebeveiliging, werkt het?
• op het gebied van life management – ​​bijvoorbeeld door ze betrokken te houden en te laten zien dat ze zich aan het beleid en de controles houden – vinden medewerkers informatiebeveiliging daadwerkelijk sexy en spannend of is het een culturele uitdaging om iemand zijn laptop te laten vergrendelen als hij naar het toilet gaat?
• verandering van rollen en exit – er wordt bijvoorbeeld toegang tot en verwijdering van informatiemiddelen en -diensten uitgevoerd

Organisatorische interne problemen die de ISMS-resultaten beïnvloeden

Met welke problemen wordt de organisatie geconfronteerd en die kunnen van invloed zijn op de uitkomst van het ISMS? Snelle groei brengt bijvoorbeeld problemen met personeel en structuur met zich mee die het begrip en de kennis van het beleid kunnen aantasten, of dat zaken zo snel veranderen dat het niet gemakkelijk is om gedetailleerde en consistente processen uit te sluiten.

Is er sprake van druk vanuit het leiderschap van de organisatie en de druk van het bestuur of de aandeelhouders die problemen zal veroorzaken (deze kunnen zowel positief als negatief zijn)? Internationale operaties zullen verschillende culturele normen hebben voor de betrokken mensen.

Een ander intern probleem dat verband houdt met mensen en de organisatie kan te maken hebben met het feit dat je niet wilt dat veel van hen in dienst komen of dat je moeite hebt om goede mensen te vinden, dus vertrouw in plaats daarvan op outsourcing. Dat brengt een behoefte aan leveranciers (en personeel bij de leveranciers) met zich mee, dus dat is een kwestie die u moet aansluiten bij de analyse van de belanghebbenden die u in 4.2 hierna gaat doen.

Interne problemen met producten en diensten die van invloed kunnen zijn op de ISMS-resultaten

Wat zijn de producten en diensten die door de organisatie worden geleverd en welke problemen ontstaan ​​daaromheen die informatierisico's kunnen veroorzaken? Als de organisatie bijvoorbeeld een innovator is en de bescherming van intellectuele-eigendomsrechten belangrijk is voor productleiderschap, is dit een kwestie die in het ISMS moet worden overwogen.

Als de organisatie afhankelijk is van grote fysieke eigendommen, bijvoorbeeld als fabrikant, zal dat waarschijnlijk meer fysieke beveiligingsproblemen met zich meebrengen, terwijl een kleine aanbieder van cloudsoftware veel meer gefocust zou kunnen zijn op kwesties als IPR-bescherming tegen digitale hackers en de problemen rond de afhankelijkheid van het succes van hun producten en zekerheid over hostingleveranciers etc.

Systemen en processen als interne kwesties die de beoogde uitkomst van het ISMS beïnvloeden

Mensen denken vaak aan computers en digitale technologie wanneer het woord 'systeem' wordt gebruikt. Handmatige en op papier gebaseerde systemen zijn echter ook belangrijke gebieden waar problemen kunnen ontstaan, dus vergeet niet om daar ook rekening mee te houden.

Bij elk van de hierboven genoemde gebieden zijn systemen en processen betrokken – die impliciet kunnen zijn (we hebben het altijd zo gedaan en nooit gedocumenteerd) of kunnen zijn verpakt in een massa documentatie die niemand ooit zou kunnen volgen…… .na de bovenstaande IPOP-gebieden te hebben overwogen, moet u nadenken over de interne problemen met de systemen en processen eromheen – als u bijvoorbeeld regelmatig personeel inhuurt, maar niet beschikt over een formeel proces en systemen die evaluatie en screening demonstreren vanuit een informatiebeveiligingsperspectief, dan heeft u een probleem (niet in de laatste plaats vanwege bijlage A7 van ISO 27001).

Een probleem is dat je misschien mensen inhuurt die de vijand van binnenuit gaan worden, hetzij door onwetendheid over informatiebeveiliging, hetzij omdat ze een saboteur zijn, en daar heb je nooit over nagedacht. Hetzelfde geldt voor alle systemen en processen in de organisatie die binnen de reikwijdte van informatieborging vallen. Wat voor soort problemen ontstaan ​​er waarbij de vertrouwelijkheid, integriteit of beschikbaarheid van de informatie in gevaar kan komen?

Hoe de externe problemen te identificeren

Een van de oude favorieten voor externe analyse is PESTLE (Politiek, Economisch, Sociologisch, Technologisch, Juridisch en Milieu) en het heeft de waarde om in deze oefening te worden gebruikt, opnieuw om praktisch en gericht te blijven op kwesties die van invloed zijn op de ISMS-resultaten in plaats van als een diepgaand strategisch werkstuk. Deze oefening heeft over het algemeen veel minder uitleg nodig en u zult het ongetwijfeld gemakkelijk genoeg vinden om door te nemen en te overwegen vanuit een informatiebeveiligingsperspectief.

Vermijd opnieuw een overmatige analyse en probeer dingen met geweld in emmers te stoppen – iets zal triggeren of niet, en je kunt er later altijd op terugkomen. De interne problemen die de uitkomst van het ISMS beïnvloeden, zullen ook externe problemen veroorzaken – als de organisatie bijvoorbeeld besluit dat ze niet alles intern zal doen en leveranciers nodig heeft, dan komen externe problemen met die leveranciers en hun PESTLE-gerelateerde aspecten in de mix.

Politieke externe kwesties

Welke politieke kwesties kunnen van invloed zijn op de organisatie en op de resultaten? Voorbeelden hiervan zijn de Brexit en specifieke beleidsveranderingen in een sector die van invloed zijn op investeringen of groei en die kunnen leiden tot andere manieren van werken en verschillende benaderingen van informatiebeheer.

De politiek (en machtige spelers op sociale media die persoonlijke gegevens misbruiken) heeft de AVG tot stand gebracht, wat veranderingen in de regelgeving met zich meebracht, waardoor de druk op klanten toenam, die op hun beurt leveranciers dwong om onafhankelijk gecertificeerde ISO 27001-beheersystemen voor informatiebeveiliging te ontwikkelen om hen te helpen hun totale aanbod te beheren. keten risico.

Dat is een voorbeeld van een probleem dat zich uitstrekt over vele aspecten van PESTLE en het is een extern probleem waarmee bijna alle organisaties te maken hebben.

Economische externe kwesties

Welke invloed heeft de economie van uw markt en de supply chain op de organisatie? Leidt dat tot meer of minder problemen met leveranciers en klanten, op welke punten op het gebied van informatiebeveiliging zou kunnen worden bezuinigd in het kader van kostenbesparingen en tot grotere risico's of bedreigingen (en uiteraard ook kansen)?

Voorbeelden hiervan kunnen goedkopere arbeid zijn, minder training en minder tijd om het werk te doen, of het onvermogen om fatsoenlijke technologische systemen te betalen die zouden helpen de bedrijfsvoering te verbeteren, omdat fondsen ergens anders prioriteit moeten krijgen (Tip: bekijk onze whitepaper over de business case planner voor advies over het rendement op investeringen in informatiebeveiliging.)

Sociologische externe kwesties

Hoe verandert de samenleving of uw publiek demografisch en beïnvloedt dit uw bedrijf? Altijd verbonden burgers bieden bijvoorbeeld kansen en bedreigingen, en een generatie medewerkers die soms meer/minder aandacht heeft voor data brengt ook positieve en negatieve kanten met zich mee.

Technologische externe kwesties

Hoe zorgt het toenemende tempo van de technologische veranderingen voor problemen voor de ISMS-resultaten? Dagelijkse veranderingen in besturingssystemen die worden gepatcht versus (laten we zeggen) één keer per jaar in het verleden? Dat leidt tot een behoefte aan een veel dynamischer beheer, iets waar veel organisaties moeite mee hebben. Als het niet wordt beheerd, vergroot dit de dreiging van een cyberinbreuk en wordt verlies waarschijnlijker.

Waar zorgen kunstmatige intelligentie, machine learning, cloud en elk ander technologisch modewoord voor externe problemen voor uw organisatie?

Wetgevende externe kwesties

Een van de meest voorkomende tekortkomingen in ISO 27001 is het onvermogen om op effectieve wijze het bewustzijn van problemen met toepassingswetten en -regelgeving onder de aandacht te brengen en vervolgens te beheren. Dit deel van PESTLE is een goed startpunt voor bijlage A18 over compliance. Als uw auditor meer weet dan u over de wet- en regelgeving die van invloed is op uw organisatie (en dus op het ISMS), zal hij niet onder de indruk zijn.

Het gaat veel verder dan gegevensbescherming, AVG, computermonitoring, mensenrechten en wetgeving op het gebied van intellectueel eigendom. Denk dus serieus na over alle informatie die binnen uw bereik valt. U heeft niet per se een advocaat nodig, maar als u laat zien dat u rekening heeft gehouden met de toepasselijke wetgeving die van invloed is op de organisatie, worden de risicobehandeling, het creëren van beleid en controle ook doelgerichter en relevanter.

Het kan zijn dat uw risicobereidheid voor iets behoorlijk hoog is, maar als toepasselijke wet- of regelgeving de lat legt, dan zult u beleid en controles moeten ontwikkelen om daaraan te voldoen, in plaats van alleen maar te doen wat u denkt dat goed is!

Externe milieukwesties

PESTLE beschouwt het milieu doorgaans als het groene vraagstuk, maar het kan ook uw bredere 'milieu' zijn. Simpele overwegingen met betrekking tot het milieu kunnen betekenen dat u minder papier wilt gebruiken en minder wilt reizen – geweldig, wat zijn de problemen voor het ISMS daarvan?

Zou het bij de ontwikkeling van het ISMS bijvoorbeeld een kans kunnen zijn om praktijken rond printen te veranderen of beleid voor mobiel werken te ontwikkelen, enz. – dit zijn een paar eenvoudige ideeën die naar voren komen als je nadenkt over milieupapier en reiskwesties.

Bredere 'milieu'-kwesties kunnen de dingen zijn die zich afspelen bij uw concurrenten en bredere krachten (denk aan... Porters 5 krachten als eenvoudig voorbeeld) – welke externe milieuproblemen spelen daar die van invloed kunnen zijn op uw ISMS-resultaten?

U weet dat uw onderhandelingspositie bij klanten toeneemt op het gebied van informatiebeveiliging. Als uw concurrenten echter allemaal onafhankelijk worden gecertificeerd volgens ISO 27001 en u alleen maar denkt aan het naleven van vinkjes/handzwaaien, dan is dat een externe kwestie waar u dieper over na zou willen denken om concurrerend te zijn, laat staan ​​veilig en vertrouwd.