ISO 27001 Eis 6.2 – Informatiebeveiligingsdoelstellingen en planning om deze te bereiken

Wat houdt artikel 6.2 in?

Bij het aanpakken van deze eis is het belangrijk dat u de organisatie en haar context al hebt begrepen (4.1), de eisen van belanghebbenden hebt bepaald (4.2), uw reikwijdte hebt vastgesteld (4.3) en in ieder geval bent begonnen met het uitvoeren van uw risicobeoordeling en -behandeling (6.1). .

De exacte vereiste voor 6.2 is:

“Stel toepasselijke (en indien uitvoerbaar, meetbare) informatiebeveiligingsdoelstellingen vast, rekening houdend met de informatiebeveiligingsvereisten, resultaten van risicobeoordeling en -behandeling. Bepaal wat er gaat gebeuren, welke middelen nodig zijn, wie verantwoordelijk is, wanneer ze voltooid zullen zijn en hoe de resultaten zullen worden geëvalueerd.”

Deze clausule 6.2 van de norm komt dus in wezen neer op de vraag; 'Hoe weet u of uw managementsysteem voor informatiebeveiliging werkt zoals bedoeld?'

Hoe doelstellingen te bepalen voor 6.2

Wanneer u nadenkt over de doelstellingen die u van uw managementsysteem voor informatiebeveiliging verwacht, zorg er dan voor dat deze bedrijfsgericht zijn en zaken zijn die u zullen helpen een (meer) veilige, beter presterende organisatie te runnen, in plaats van alleen maar vinkjes aan te vinken en er leuk uit te zien op een pagina. Bedenk ook wat de geïnteresseerde partijen gemeten en gemonitord willen zien.

Waarom kopen klanten bijvoorbeeld bij u en waar zouden ze bang voor zijn als het mis zou gaan vanuit het perspectief van informatiebeveiliging? Welk niveau van informatieborging, welke maatregelen en monitoring zouden voor hen belangrijk zijn als ze goed naar uw ISMS zouden kijken?

Concentreer u op het ontwikkelen van zinvolle doelstellingen, niet alleen maar op een heleboel maatregelen of doelstellingen, waardoor u al uw tijd aan administratie besteedt en geen toegevoegde waarde voor de organisatie heeft.

Het kan zijn dat u uw doelstellingen al aan het meten en monitoren bent, dus vergeet niet na te denken over wat u al doet en over wat mogelijk meer inspanning vergt. ISO probeert niemand op de meetkant te betrappen, ze willen er alleen zeker van zijn dat je meet wat belangrijk is, en veel slimme bedrijven zullen dat al impliciet, zo niet explicieter, doen.

Verbind uw werk hier nauw met de managementbeoordelingen in 9.3 en plaats uw bewijsmateriaal van de resultaten in de werkruimte van uw managementbeoordelingsbord, of koppel hiernaar voor uw gemak tijdens specifieke beoordelingsvergaderingen en audits.

U kunt de resultaten van uw prestatiemeting op verschillende manieren aantonen, van het gebruik van exports van uw operationele systemen, het benutten van de geautomatiseerde rapportage via ISMS.online (bijvoorbeeld voor incidenten) en, indien relevant, het gebruik van eenvoudige KPI's die zijn toegevoegd binnen de managementbeoordelingswerkruimte.

Bij Alliantist, het software- en servicesbedrijf achter ISMS.online, hebben we ongeveer 7 informatiebeveiligingsdoelstellingen bedacht, waarvan er één is:

“Levering van een veilige, betrouwbare cloudservice voor gebruikers (en andere geïnteresseerde partijen) die vertrouwen en zekerheid nodig hebben dat het platform geschikt is voor hun doel: het delen en werken met gevoelige informatie.”

Als je alleen dat ene doel opsplitst, wordt het duidelijk dat er een aantal meetbare, actiegerichte gebieden uit voortkomen. Bijvoorbeeld:

• Veilig – wat betekent dat in termen van vertrouwelijkheid en integriteit?
• Betrouwbaar – wat betekent dat voor de beschikbaarheid van de veilige cloudsoftwaredienst?

Hoe u informatiebeveiligingsdoelstellingen meetbaar en uitvoerbaar kunt maken

Voortbouwend op het bovenstaande is een graadmeter voor het betrouwbaarheidssucces van Alliantist de beschikbaarheid van systemen zoals ISMS.online die klanten kunnen gebruiken. We hebben dus het doel (betrouwbaarheid van de dienst), een maatstaf (uptime) en kunnen vervolgens een uptimedoel stellen, in dit geval van een beschikbaarheid van minimaal 99.5% (waar we voortdurend 100% tegenover stellen).

Vervolgens hebben we gekeken naar de meetfrequentie, de verantwoordelijke eigenaar en waar de bron van de meetgegevens vandaan zou komen voor het bewijsmateriaal. We hebben dat vervolgens toegevoegd aan ISMS.online als een KPI die aan de orde komt als onderdeel van de managementbeoordelingen, en omdat het een fundamentele maatstaf is voor het succes van onze softwareservice, wordt het succes natuurlijk ook continu operationeel gemonitord.

De bron van die gegevens komt uit de uptime-logboeken. Enkele andere, meer strategische maatstaven, zoals het vertrouwen van klanten, auditors en belanghebbenden in ons ISMS in het algemeen, worden minder vaak gemeten, zijn in sommige opzichten subjectiever, maar niettemin belangrijk als onderdeel van de bredere ISMS-prestaties.

Dit is een geweldige kans om meetgegevens te ontwikkelen die van belang zijn voor uw organisatie, als u dat nog niet gedaan heeft. Wij moedigen een minder en beter beheerde aanpak aan in plaats van een veel en slecht beheerde aanpak. Als uw organisatie afdelingen en specifieke bedrijfsonderdelen heeft die verschillend worden beïnvloed door de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) die het opsplitsen van maatregelen voor elk gebied zouden rechtvaardigen, zou ISO verwachten dat deze uitsplitsing zou worden gezien, evenals de meer strategische maatstaven op hoog niveau.

Andere meetgegevens die ook nuttig zijn voor het demonstreren van CIA blijken ook vrij duidelijk uit enkele van de vereisten die door ISO 27001 zijn gesteld rond het beheren van incidenten, risicobeoordelingen/beoordelingen, verbeteringen en corrigerende maatregelen enz. In ISMS.online hebben we een aantal tools die automatisch voorzien in prestatiestatistieken die nuttig zijn bij het aantonen van effectieve prestaties van het ISMS.

Deze omvatten het volgen van incidentbeheer, verbeteringen en corrigerende maatregelen en nog een groot aantal andere maatregelen die ervoor zorgen dat het beheer van doelstellingen grotendeels een inspanningsoefening wordt zonder tijd te verspillen met spreadsheets en powerpoint.

Hoe processen en verantwoordelijkheden voor de evaluatie van informatiebeveiligingsdoelstellingen te definiëren

Zodra u uw doelstellingen heeft gedefinieerd, uw maatregelen heeft bepaald en de frequentie waarmee u wilt meten, is het noodzakelijk om te laten zien hoe u de resultaten gaat evalueren en vervolgens actie onderneemt voor de vereiste wijzigingen of verbeteringen aan uw ISMS.

Bij Alliantist hebben we een team van vertegenwoordigers van het senior managementteam samengesteld om het ISMS-bestuur te vormen. Het ISMS-bestuur is verantwoordelijk voor het vaststellen van de doelstellingen voor elk van de maatregelen. Onze Operations Director is eigenaar van de doelstellingen die van invloed zijn op het ISMS vanuit een productie- en operationeel perspectief.

De brongegevens worden aan relevante personeelsleden gedelegeerd naar bewijsmateriaal, dat allemaal uit bestaande systemen wordt gehaald en eenvoudigweg wordt samengevat in KPI's en statistische rapportages die deel uitmaken van de reguliere managementbeoordelingen in overeenstemming met artikel 9.3.