ISO 27001-vereiste 6.1 – Acties om risico's en kansen aan te pakken

Wat houdt artikel 6.1 in?

Het duidelijk documenteren in de beschrijving en vervolgens aantonen hoe u met risico's omgaat onder ISO 27001 is essentieel voor een onafhankelijke certificering voor ISO 27001 en het runnen van een succesvol informatiebeveiligingsmanagementsysteem (ISMS).

Paragraaf 6.1.1 – Algemene aspecten bij de planning rond risico voor ISO 27001

Op dit punt moet u terugkijken op uw eerdere werk in secties 4 en 5 – in het bijzonder 4.1, 4.2, 4.3 en sectie 5 van ISO 27001. Dit zal u helpen bij het bepalen van de risico’s en kansen die vanuit uw organisatie moeten worden aangepakt. eerdere kwesties, belanghebbenden en reikwijdte om:

• ervoor te zorgen dat het informatiebeveiligingsbeheersysteem de beoogde resultaten kan bereiken
• 'voorkom of verminder de ongewenste effecten'
• 'continue verbetering bereiken'.

De organisatie moet over plannen beschikken die de acties omvatten die zij zal ondernemen om deze risico's en kansen te identificeren, beoordelen en behandelen, en hoe zij deze acties zal integreren en implementeren in de processen van haar informatiebeveiligingsbeheersysteem. Dit moet onder meer omvatten hoe zij de effectiviteit van deze acties zullen evalueren en deze in de loop van de tijd zullen monitoren.

Dit betekent eenvoudigweg het documenteren van het proces voor risico-identificatie, -beoordeling en -behandeling, en vervolgens aantonen dat het in de praktijk werkt met het beheersen van elk risico, idealiter om aan te tonen dat het wordt getolereerd (bijvoorbeeld nadat de controles uit bijlage A zijn toegepast), beëindigd of misschien overgedragen. aan andere partijen.

ISO 27001 gaat ook dieper in op deze eis ten aanzien van risicobeheer. Daarnaast zijn er andere risicogeoriënteerde normen zoals ISO 31000 waar we van kunnen leren, waaruit de principes voor ISO 27001-risicoplanning voortkomen.

Artikel 6.1.2 – Informatiebeveiligingsrisicobeoordeling voor ISO 27001

De ISO 27001-norm vereist dat een organisatie risicobeoordelingsprocessen voor informatiebeveiliging opzet en onderhoudt, waarin de risicoacceptatie- en beoordelingscriteria zijn opgenomen. Het bepaalt ook dat eventuele beoordelingen consistent en valide moeten zijn en 'vergelijkbare resultaten' moeten opleveren.

Dat betekent dat we de gekozen aanpak duidelijk moeten beschrijven en dat we een risicomethodologie moeten ontwikkelen. Over de ontwikkeling daarvan hebben we hier meer geschreven.

Organisaties moeten de beoordelingsprocessen toepassen om risico's te identificeren die verband houden met de vertrouwelijkheid, integriteit en beschikbaarheid (CIA) van de informatiemiddelen binnen de gedefinieerde reikwijdte van het ISMS.

De meeste ISO-gecertificeerde auditors zullen verwachten dat deze methodologie verder gaat dan eenvoudige waarschijnlijkheids- en impactbeschrijvingen, en ook uitlegt wat er gebeurt (laten we zeggen) als er een conflict optreedt tussen het ene risico (bijvoorbeeld gebaseerd op beschikbaarheid) en een ander (bijvoorbeeld gebaseerd op vertrouwelijkheid).

Risico's moeten worden toegewezen aan risico-eigenaren binnen de organisatie, die het risiconiveau zullen bepalen, de potentiële gevolgen zullen beoordelen als het risico zich zou voordoen, samen met de 'realistische waarschijnlijkheid dat het risico zich zal voordoen'.

Eenmaal geëvalueerd moet het risico worden geprioriteerd voor risicobehandeling en vervolgens worden beheerd in overeenstemming met de gedocumenteerde methodologie.

Clausule 6.1.3 – Behandeling van informatiebeveiligingsrisico's voor ISO 27001

Er wordt van u verwacht dat u de juiste risicobehandelingsopties selecteert op basis van de resultaten van de risicobeoordeling, bijvoorbeeld behandelen met bijlage A-controles, beëindigen, overdragen of misschien op een andere manier behandelen. De ISO 27001-norm merkt op dat bijlage A ook de controledoelstellingen bevat, maar dat de genoemde controles 'niet uitputtend' zijn en dat aanvullende controles nodig kunnen zijn.

Doorgaans worden de controles uit bijlage A alleen gebruikt in kleinere organisaties, hoewel het aanvaardbaar is om de controles vanuit welke bron dan ook te ontwerpen of te identificeren. Op die manier kan het beheren van meerdere beveiligingsstandaarden betekenen dat u bijvoorbeeld controles toepast van andere standaarden, zoals NIST of SOC2, volgens de principes van Trust Services Criteria.

Als u wordt gecontroleerd door een onafhankelijke auditor voor ISO 27001, is het heel logisch om u te concentreren op de controles in bijlage A, aangezien zij deze goed kennen.

Als het nodig is om aan specifieke normen voor een klant te voldoen, bijvoorbeeld DSPT for Health in de Britse NHS, is het zinvol om de risicobehandeling ook aan die klanten in kaart te brengen en de klant het vertrouwen te geven dat uw informatieborging robuust is en ook aan hun belangen voldoet.

Toegewezen risico-eigenaren beheren hun risicobehandelingsplannen (of delegeren dit aan mensen om dit voor hen te doen) en zullen uiteindelijk de beslissing nemen om eventuele resterende informatiebeveiligingsrisico’s te accepteren – het heeft immers geen zin om de overdracht altijd te beëindigen of te blijven investeren in het management van een risico.

Het is noodzakelijk om een ​​Verklaring van Toepasselijkheid op te stellen die de controles bevat die de organisatie noodzakelijk heeft geacht, samen met de rechtvaardiging voor het opnemen ervan, ongeacht of deze zijn geïmplementeerd of niet, en de rechtvaardiging voor het uitsluiten van controles uit Bijlage A.

Dit is een behoorlijk belangrijke klus (enorm vereenvoudigd en geautomatiseerd door ISMS.online) die aantoont dat de organisatie zorgvuldig heeft gekeken naar alle gebieden rond de controles die ISO 27001 belangrijk acht.

Inzicht in de Verklaring van Toepasselijkheid voor ISO 27001

De Statement of Applicability (SOA) bevat de noodzakelijke controles zoals hierboven vermeld en de rechtvaardiging voor het opnemen of uitsluiten ervan. Het is geweldig voor intern beheer en om te delen met relevante geïnteresseerde partijen. Dit, samen met het beveiligingsbeleid, de reikwijdte en het certificaat (indien behaald), zal hen een beter inzicht geven in waar hun belangen en zorgen zouden kunnen liggen in uw informatiebeveiligingsbeheersysteem.

Hoe kunt u artikel 6.1 bereiken?

Normaal gesproken is het plannen van hoe u risico's gaat identificeren, evalueren en behandelen, om aan de bovenstaande vereisten te voldoen, een van de meer tijdrovende elementen van de implementatie van uw ISMS. Het vereist dat een organisatie een methodologie definieert voor de consistente evaluatie van risico's en duidelijke registraties bijhoudt van elk risico, de beoordeling ervan en het behandelplan.

Bovendien moeten de gegevens regelmatige beoordelingen in de loop van de tijd aantonen, evenals bewijs van de behandeling die heeft plaatsgevonden. Dit zal onder meer omvatten welke van de controles uit Bijlage A u hebt ingevoerd als onderdeel van die behandeling en zal als input dienen voor het opstellen (en onderhouden) van de Verklaring van Toepasselijkheid.

Het is geen wonder dat ouderwetse spreadsheetbenaderingen complex en moeilijk te onderhouden kunnen zijn als je verder gaat dan de basisbenaderingen van risicobeheer (die vereist zijn voor ISO 27001). Het is een van de redenen waarom organisaties nu naar softwareoplossingen kijken om dit proces te beheren.

Maak het eenvoudiger met ISMS.online

Het ISMS.online-platform omvat een risicobeheerbeleid, methodologie en een vooraf geconfigureerde tool voor informatiebeveiligingsrisicobeheer. We beschikken ook over een verzameling algemene informatiebeveiligingsrisico's die kunnen worden opgespoord, samen met de voorgestelde controles uit bijlage A, waardoor u weken werk bespaart.

Het is volkomen logisch om dit samen te voegen in één geïntegreerde oplossing om u te helpen uw volledige ISMS te bereiken, te onderhouden en te verbeteren. Waarom zou je tenslotte tijd verspillen aan het zelf bouwen als er al een speciaal gebouwde oplossing bestaat?