ISO 27001 – Bijlage A.18: Naleving

Wat is het doel van bijlage A.18.1?

Bijlage A.18.1 gaat over de naleving van wettelijke en contractuele eisen. Het doel is om schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen met betrekking tot informatiebeveiliging en van eventuele beveiligingsvereisten te voorkomen.

Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen.

A.18.1.1 Identificatie van toepasselijke wetgeving en contractuele vereisten

Een goede controle beschrijft hoe alle relevante wettelijke, reglementaire en contractuele vereisten, en de aanpak van de organisatie om aan deze vereisten te voldoen, expliciet moeten worden geïdentificeerd, gedocumenteerd en actueel gehouden voor elk informatiesysteem en de organisatie. Simpel gezegd: de organisatie moet ervoor zorgen dat zij op de hoogte blijft van de wet- en regelgeving die van invloed is op het behalen van haar bedrijfsdoelstellingen en de resultaten van het ISMS en deze wet- en regelgeving documenteert.

Het is belangrijk dat de organisatie de wet-, regelgeving en contractuele vereisten begrijpt waaraan zij moet voldoen. Deze moeten centraal worden vastgelegd in een register om beheer en coördinatie te vergemakkelijken. De identificatie van wat relevant is, zal grotendeels afhangen van; Waar de organisatie gevestigd is of actief is; Wat de aard van de activiteiten van de organisatie is; en De aard van de informatie die binnen de organisatie wordt verwerkt. Bij de identificatie van de relevante wet- en regelgeving en contractuele vereisten zal waarschijnlijk overleg met juridische experts, regelgevende instanties en contractmanagers betrokken zijn.

Dit is een gebied dat organisaties vaak in de gaten houdt, omdat er over het algemeen veel meer wet- en regelgeving van invloed is op de organisatie dan op het eerste gezicht wordt gedacht. De auditor zal kijken hoe de organisatie haar wettelijke, regelgevende en contractuele verplichtingen heeft geïdentificeerd en vastgelegd; de verantwoordelijkheden voor het voldoen aan dergelijke vereisten en eventueel noodzakelijk beleid, procedures en andere controles die nodig zijn om aan de controles te voldoen.

Bovendien zullen ze ervoor zorgen dat dit register regelmatig wordt bijgehouden tegen elke relevante verandering – vooral in de wetgeving op gemeenschappelijke gebieden waarvan ze verwachten dat elke organisatie er gevolgen van zal ondervinden.

A.18.1.2 Intellectuele-eigendomsrechten

Een goede controle beschrijft hoe de juiste procedures de naleving garanderen van wet-, regelgevende en contractuele vereisten met betrekking tot intellectuele eigendomsrechten en het gebruik van propriëtaire softwareproducten. Simpel gezegd moet de organisatie passende procedures implementeren die ervoor zorgen dat zij voldoet aan al haar eisen, of deze nu wetgevend, regelgevend of contractueel zijn – gerelateerd aan het gebruik van softwareproducten of intellectuele eigendomsrechten.

Er zijn twee aspecten van IPR-beheer waarmee rekening moet worden gehouden; Bescherming van de intellectuele eigendomsrechten van de organisatie; en Preventie van misbruik of inbreuk op de intellectuele-eigendomsrechten van anderen. De eerstgenoemde zullen ook worden behandeld met A.13.24 voor geheimhoudings- en vertrouwelijkheidsovereenkomsten, waarbij we ook voorstellen dat bedrijven hun bredere raamcontracten met derde partijen beheren, en ook binnen A.15 voor de toeleveringsketen specifiek. Voor personeel zullen A7.1.2 Arbeidsvoorwaarden ook betrekking hebben op intellectuele-eigendomsrechten.

Voor beide aspecten zijn waarschijnlijk beleid, processen en technische controles nodig. Binnen de activaregisters en het beleid voor aanvaardbaar gebruik is het waarschijnlijk dat er overwegingen moeten worden gemaakt over intellectuele-eigendomsrechten. Als een actief bijvoorbeeld intellectuele-eigendomsrechten bevat of bevat, moet bij de bescherming van dit actief rekening worden gehouden met het aspect van de intellectuele-eigendomsrechten. Controles om ervoor te zorgen dat alleen geautoriseerde en gelicentieerde software binnen de organisatie wordt gebruikt, moeten regelmatige inspecties en audits omvatten.

De auditor zal willen zien dat registers van licenties die eigendom zijn van de organisatie voor het gebruik van de software en andere activa van anderen worden bijgehouden en bijgewerkt. Voor hen zal het van bijzonder belang zijn ervoor te zorgen dat wanneer licenties een maximumaantal gebruikers of installaties omvatten, dit aantal niet wordt overschreden en dat de gebruikers- en installatieaantallen periodiek worden gecontroleerd om de naleving ervan te controleren. De auditor zal ook kijken naar hoe de organisatie haar eigen IPR beschermt, waaronder mogelijk: Controles op gegevensverlies en preventie; Beleid en bewustmakingsprogramma's gericht op gebruikerseducatie; of geheimhoudings- en vertrouwelijkheidsovereenkomsten die van kracht blijven na beëindiging van het dienstverband.

A.18.1.3 Bescherming van gegevens

Een goede controle beschrijft hoe documenten worden beschermd tegen verlies, vernietiging, vervalsing, ongeoorloofde toegang en ongeoorloofde vrijgave, in overeenstemming met de wettelijke, regelgevende, contractuele en zakelijke vereisten.

Verschillende soorten documenten vereisen waarschijnlijk verschillende beschermingsniveaus en -methoden. Het is van cruciaal belang dat documenten adequaat en proportioneel worden beschermd tegen verlies, vernietiging, vervalsing, ongeoorloofde toegang of vrijgave. De bescherming van documenten moet voldoen aan alle relevante wet- en regelgeving of contractuele verplichtingen. Het is vooral belangrijk om te begrijpen hoe lang gegevens moeten, moeten of kunnen worden bewaard en welke technische of fysieke problemen deze in de loop van de tijd kunnen beïnvloeden – rekening houdend met het feit dat sommige wetgeving andere kan overtroeven wat betreft bewaring en bescherming. De auditor zal controleren of er overwegingen voor de bescherming van documenten zijn gemaakt op basis van zakelijke vereisten, wettelijke, regelgevende en contractuele verplichtingen.

A.18.1.4 Privacy en bescherming van persoonlijk identificeerbare informatie

Een goede controle beschrijft hoe de privacy en bescherming van persoonlijk identificeerbare informatie wordt gewaarborgd voor relevante wet- en regelgeving. Alle verwerkte informatie die persoonlijk identificeerbare informatie (PII) bevat, is waarschijnlijk onderworpen aan de verplichtingen van wet- en regelgeving. PII stelt waarschijnlijk met name hoge eisen aan vertrouwelijkheid en integriteit, en in sommige gevallen ook aan beschikbaarheid (bijvoorbeeld gezondheidsinformatie, financiële informatie). Volgens sommige wetgeving (bijvoorbeeld de AVG) worden sommige soorten PII als extra ‘gevoelig’ gedefinieerd en vereisen ze verdere controles om naleving te garanderen.

Het is belangrijk dat er bewustmakingscampagnes worden gevoerd onder personeel en belanghebbenden om te zorgen voor een herhaald begrip van de individuele verantwoordelijkheid voor de bescherming van PII en privacy. De auditor zal kijken hoe met PII wordt omgegaan, of de juiste controles zijn geïmplementeerd, of deze worden gemonitord, beoordeeld en waar nodig verbeterd. Ze zullen ook controleren of aan de verwerkingsvereisten wordt voldaan en op passende wijze worden gecontroleerd. Er bestaan ​​ook aanvullende verantwoordelijkheden; de AVG zal bijvoorbeeld een regelmatige audit verwachten voor gebieden waar persoonlijke gegevens gevaar lopen. Slimme organisaties zullen deze audits naast hun ISO 27001-audits koppelen en dubbel werk of lacunes vermijden.

A.18.1.5 Regulering van cryptografische controles

Een goede controle beschrijft hoe cryptografische controles worden ingezet in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving. Het gebruik van cryptografische technologieën is in veel gebieden onderworpen aan wet- en regelgeving en het is belangrijk dat een organisatie begrijpt welke van toepassing zijn en controles en bewustmakingsprogramma's implementeert die de naleving van dergelijke vereisten garanderen. Dit geldt met name wanneer cryptografie wordt getransporteerd of gebruikt in andere gebieden dan de normale verblijfplaats of vestigingsplaats van de organisatie of gebruiker. Grensoverschrijdende import-/exportwetten kunnen vereisten omvatten met betrekking tot cryptografische technologieën of gebruik. De auditor zal erop toezien dat er overwegingen zijn gemaakt voor de juiste regulering van cryptografische controles en dat er relevante controles en bewustmakingsprogramma's zijn geïmplementeerd om naleving te garanderen.

Wat is het doel van bijlage A.18.2?

Bijlage A.18.2 gaat over informatiebeveiligingsbeoordelingen. Het doel van deze bijlage is ervoor te zorgen dat informatiebeveiliging wordt geïmplementeerd en beheerd in overeenstemming met het beleid en de procedures van de organisatie.

A.18.2.1 Onafhankelijke beoordeling van informatiebeveiliging

Een goede controle beschrijft de aanpak van de organisatie voor het beheer van informatiebeveiliging en de implementatie ervan (dat wil zeggen controledoelstellingen, controles, beleid, processen en procedures voor informatiebeveiliging) wordt onafhankelijk beoordeeld met geplande tussenpozen of wanneer zich significante veranderingen voordoen.

Het is goed om een ​​onafhankelijke beoordeling van de veiligheidsrisico's en -controles te krijgen om onpartijdigheid en objectiviteit te garanderen en om te profiteren van frisse ogen. Dat betekent niet dat het extern moet zijn, maar dat u er alleen maar van kunt profiteren dat een andere collega naast de hoofdauteur/beheerder het beleid beoordeelt. Deze beoordelingen moeten worden uitgevoerd met geplande, regelmatige tussenpozen en wanneer zich significante, voor de veiligheid relevante wijzigingen voordoen – ISO interpreteert regelmatig als minimaal jaarlijks.

De auditor zal op zoek gaan naar zowel regelmatige, onafhankelijke beveiligingsbeoordelingen als naar evaluaties wanneer er zich significante veranderingen voordoen, en er ook op vertrouwen dat er een plan is voor regelmatige beoordelingen. Ze zullen ook bewijs nodig hebben dat er beoordelingen zijn uitgevoerd en dat eventuele problemen of verbeteringen die in de beoordelingen zijn geïdentificeerd, op passende wijze worden beheerd.

A.18.2.2 Naleving van beveiligingsbeleid en -normen

ISMS-managers moeten regelmatig de naleving van de informatieverwerking en procedures binnen hun verantwoordelijkheidsgebied beoordelen. Beleid is alleen effectief als het wordt gehandhaafd en de naleving ervan regelmatig wordt getest en beoordeeld. Het is doorgaans de verantwoordelijkheid van het lijnmanagement om ervoor te zorgen dat hun ondergeschikte medewerkers het beleid en de controles van de organisatie naleven, maar dit moet worden aangevuld met zo nu en dan een onafhankelijke beoordeling en audit. Wanneer niet-naleving wordt vastgesteld, moet dit worden geregistreerd en beheerd, waarbij wordt aangegeven waarom dit heeft plaatsgevonden, hoe vaak dit voorkomt en de noodzaak voor eventuele verbeteringsacties die betrekking hebben op de controle of op het bewustzijn, de opleiding of training van de gebruiker die de oorzaak is van de overtreding. niet-naleving.

De auditor zal erop toezien dat beide; Er zijn proactief preventief beleid, controles en bewustmakingsprogramma's ingevoerd, geïmplementeerd en effectief; en er is ook sprake van reactieve monitoring, beoordeling en audit van de naleving. Ze zullen ook kijken of er bewijs is van hoe er in de loop van de tijd verbeteringen worden aangebracht om een ​​verbetering van de nalevingsniveaus of het onderhoud te garanderen als de naleving al 100% bedraagt. Dit sluit aan bij de belangrijkste eisen van ISO 27001 voor 9 en 10 rond interne audits, managementbeoordelingen, verbeteringen en ook non-conformiteiten. Bewustwording en betrokkenheid van het personeel in overeenstemming met A 7.2.2 is ook belangrijk om aan dit onderdeel te koppelen voor vertrouwen in de naleving.

A.18.2.3 Technische nalevingsbeoordeling

Informatiesystemen moeten regelmatig worden beoordeeld op naleving van het informatiebeveiligingsbeleid en de normen van de organisatie. Geautomatiseerde tools worden normaal gesproken gebruikt om systemen en netwerken te controleren op technische conformiteit en deze moeten waar nodig worden geïdentificeerd en geïmplementeerd. Wanneer dergelijke hulpmiddelen worden gebruikt, is het noodzakelijk om het gebruik ervan te beperken tot zo weinig mogelijk geautoriseerd personeel en om zorgvuldig te controleren en te coördineren wanneer ze worden gebruikt om te voorkomen dat de beschikbaarheid en integriteit van het systeem in gevaar komen. Adequate niveaus van nalevingstests zullen afhankelijk zijn van de bedrijfsvereisten en risiconiveaus, en de auditor zal verwachten dat hij bewijs ziet dat deze overwegingen worden gemaakt. Ze zullen ook verwachten dat ze testschema's en -gegevens kunnen inspecteren.

Hoe helpt ISMS.online met Compliance?

ISMS.online maakt een groot deel van de compliance-kant van informatiebeveiliging aanzienlijk eenvoudiger. De ingebouwde goedkeuringsprocessen en geautomatiseerde herinneringen voor beoordelingen maken het leven veel eenvoudiger en bieden een 'leefplan' om auditors te laten zien dat u de controle heeft over het ISMS. Het vooraf ingevulde risico-instrument voor toepasselijke wetgeving omvat veel gemeenschappelijke gebieden van wet- en regelgeving die vaak over het hoofd worden gezien, en maakt dat hele gebied van beheer eenvoudiger. Interne en externe audits, corrigerende maatregelen, verbeteringen en non-conformiteiten kunnen allemaal eenvoudig worden beheerd met de vooraf gebouwde tools en functies. Met de Policy Pack-tool kan de naleving van personeelszaken, of het nu gaat om personeel, leveranciers of anderen, eenvoudig worden aangetoond. ISMS.online-partners bieden indien nodig ook gespecialiseerde, onafhankelijke gezondheidscontroles en auditondersteuning binnen uw platform.