ISO 27001 – Bijlage A.6: Organisatie van informatiebeveiliging

Wat is het doel van bijlage A.6.1?

Bijlage A.6.1 gaat over de interne organisatie. Het doel in dit bijlage A-gebied is het opzetten van een managementraamwerk om de implementatie en werking van informatiebeveiliging binnen de organisatie te initiëren en te controleren.

Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen. Laten we deze vereisten en wat ze betekenen nu wat dieper begrijpen.

A.6.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging

Alle verantwoordelijkheden op het gebied van informatiebeveiliging moeten worden gedefinieerd en toegewezen. Verantwoordelijkheden op het gebied van informatiebeveiliging kunnen algemeen zijn (bijvoorbeeld het beschermen van informatie) en/of specifiek (bijvoorbeeld de verantwoordelijkheid voor het verlenen van een bepaalde toestemming).

Bij het identificeren van verantwoordelijkheden moet rekening worden gehouden met het eigendom van informatiemiddelen of groepen van middelen. Enkele voorbeelden van bedrijfsrollen die waarschijnlijk enige relevantie voor informatiebeveiliging hebben, zijn onder meer; Afdelingshoofden; Eigenaars van bedrijfsprocessen; Faciliteiten manager; HR Manager; en Interne Auditor.

De auditor zal proberen zekerheid te krijgen dat de organisatie duidelijk heeft gemaakt wie waarvoor verantwoordelijk is, op een adequate en proportionele manier, afhankelijk van de omvang en aard van de organisatie. Voor kleinere organisaties is het over het algemeen onrealistisch om fulltime functies te hebben die aan deze rollen en verantwoordelijkheden zijn gekoppeld.

Als zodanig is het verduidelijken van specifieke verantwoordelijkheden op het gebied van informatiebeveiliging binnen bestaande functies belangrijk. De Operations Director of CEO kan bijvoorbeeld ook het equivalent zijn van de CISO, de Chief Information Security Officer, met overkoepelende verantwoordelijkheid voor het gehele ISMS. De CTO kan eigenaar zijn van alle technologiegerelateerde informatiemiddelen enz.

A.6.1.2 Scheiding van taken

Conflicterende taken en verantwoordelijkheidsgebieden moeten worden gescheiden om de kansen op ongeoorloofde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verkleinen.

De organisatie moet zich afvragen of de scheiding van taken is overwogen en waar nodig is geïmplementeerd. Kleinere organisaties kunnen hiermee worstelen, maar het principe moet zoveel mogelijk worden toegepast en er moet goed bestuur en goede controles worden ingevoerd voor de informatiemiddelen met een hoger risico en een hogere waarde, die moeten worden meegenomen als onderdeel van de risico-evaluatie en -behandeling.

A.6.1.3 Contact met autoriteiten

Er moeten passende contacten worden onderhouden met de relevante autoriteiten. Houd er bij het aanpassen van deze controle rekening mee dat u moet nadenken over de wettelijke verantwoordelijkheden voor het contacteren van autoriteiten zoals de politie, het Information Commissioner's Office of andere regelgevende instanties, bijvoorbeeld rond de AVG.

Bedenk hoe dat contact tot stand moet komen, door wie, onder welke omstandigheden en wat de aard van de te verstrekken informatie is.

A.6.1.4 Contact met speciale belangengroepen

Er moeten ook passende contacten worden onderhouden met belangengroepen of andere gespecialiseerde veiligheidsfora en beroepsverenigingen. Houd er bij het aanpassen van deze controle aan uw specifieke behoeften rekening mee dat lidmaatschappen van beroepsorganisaties, brancheorganisaties, forums en discussiegroepen allemaal meetellen voor deze controle.

Het is belangrijk om de aard van elk van deze groepen te begrijpen en voor welk doel ze zijn opgericht (zit er bijvoorbeeld een commercieel doel achter).

A.6.1.5 Informatiebeveiliging in projectmanagement

Informatiebeveiliging moet worden aangepakt in projectmanagement, ongeacht het type project. Informatiebeveiliging moet verankerd zijn in de structuur van de organisatie en projectmanagement is daarbij een sleutelgebied. Wij adviseren het gebruik van sjabloonkaders voor projecten die een eenvoudige herhaalbare checklist bevatten om aan te tonen dat er aan informatiebeveiliging wordt gedacht.

De auditor zal erop toezien dat alle mensen die betrokken zijn bij projecten de taak hebben om informatiebeveiliging in alle stadia van de projectlevenscyclus in overweging te nemen, dus dit moet ook worden behandeld als onderdeel van de opleiding en bewustwording in overeenstemming met HR-beveiliging voor A.7.2.2 .

Slimme organisaties zullen A.6.1.5 ook aansluiten bij de daarmee samenhangende verplichtingen voor persoonsgegevens en security by design in overweging nemen, samen met Data Protection Impact Assessments (DPIA) en soortgelijke processen om naleving van de Algemene Verordening Gegevensbescherming (AVG) en de Wet bescherming persoonsgegevens aan te tonen 2018.

ISMS.online bevat eenvoudige, praktische raamwerken en sjablonen voor informatiebeveiliging in projectmanagement, evenals DPIA en andere gerelateerde beoordelingen van persoonlijke gegevens, bijvoorbeeld Legitimate Interest Assessments (LIA's).

Wat is het doel van bijlage A.6.2?

Bijlage A.6.2 gaat over mobiele apparaten en telewerken. Het doel op dit gebied van bijlage A is het opzetten van een beheerskader om de veiligheid van telewerken en het gebruik van mobiele apparaten te waarborgen.

A.6 lijkt een vreemde plek om mobiele apparaten en telewerkbeleid af te dekken, maar dat is het wel, en bijna alles in A.6.2 hangt samen met andere controles in Bijlage A, aangezien een groot deel van het beroepsleven mobiel en telewerken omvat.

Telewerken omvat in dit geval ook thuiswerkers en mensen op satellietlocaties die misschien niet dezelfde fysieke infrastructuurcontroles nodig hebben als (laten we zeggen) het hoofdkantoor, maar toch blootgesteld zijn aan waardevolle informatie en aanverwante activa.

A.6.2.1 Beleid voor mobiele apparaten

Er moeten beleid en ondersteunende veiligheidsmaatregelen worden aangenomen om de risico's te beheersen die worden geïntroduceerd door het gebruik van mobiele telefoons en andere mobiele apparaten zoals laptops, tablets enz. Naarmate mobiele apparaten steeds slimmer worden, wordt dit beleidsterrein veel belangrijker dan het traditionele gebruik van mobiele telefoons. telefoon. Het gebruik van mobiele apparaten en telewerken zijn tegelijkertijd een uitstekende mogelijkheid voor flexibel werken en een potentieel beveiligingsprobleem.

BYOD of Bring Your Own Device is ook een belangrijk onderdeel van de overweging. Hoewel het enorme voordelen biedt om personeel in staat te stellen hun eigen apparaten te gebruiken, zonder adequate controles op het gebruik en vooral het verlaten van het leven, kunnen de bedreigingen ook aanzienlijk zijn.

Een organisatie moet er zeker van zijn dat wanneer mobiele apparaten worden gebruikt of personeel buiten de locatie werkt, de informatie en die van klanten en andere geïnteresseerde partijen beschermd blijven en idealiter onder controle blijven. Dat wordt steeds moeilijker met consumentencloudopslag, geautomatiseerde back-up en persoonlijke apparaten die door familieleden worden gedeeld.

Een organisatie zou moeten overwegen om een ​​‘Defense in Depth’-strategie te implementeren met een combinatie van complementaire fysieke, technische en beleidsmatige controles. Een van de belangrijkste aspecten is voorlichting, training en bewustwording rond het gebruik van mobiele apparaten, ook op openbare plaatsen, waarbij het risico van 'gratis' wifi wordt vermeden, waardoor informatie snel in gevaar kan worden gebracht of waardoor ongenode waarnemers tijdens de treinreis niet naar het scherm kunnen kijken. thuis.

De auditor zal willen zien dat er duidelijk beleid en duidelijke controles zijn ingevoerd die de zekerheid bieden dat informatie veilig blijft wanneer er buiten de fysieke locaties van de organisatie wordt gewerkt. Het beleid moet de volgende gebieden bestrijken:

• registratie en beheer
• fysieke bescherming
• beperkingen op welke software kan worden geïnstalleerd, welke services en apps kunnen worden toegevoegd en geopend, gebruik van geautoriseerde en niet-geautoriseerde ontwikkelaars
• updates van besturingsapparaten en patchapplicaties
• de toegankelijke informatieclassificatie en eventuele andere beperkingen op het gebied van de toegang tot activa (bijvoorbeeld geen toegang tot infrastructuurkritische activa)
• verwachtingen op het gebied van cryptografie, malware en antivirus
• vereisten voor inloggen, uitschakelen op afstand, wissen, uitsluiten en 'vind mijn apparaat'
• back-up en opslag
• familie- en andere toegangsvoorwaarden voor gebruikers (indien BYOD), bijvoorbeeld scheiding van accounts
• gebruik op openbare plaatsen
• connectiviteit en vertrouwde netwerken

A.6.2.2 Telewerken

Er moeten ook beleid en ondersteunende veiligheidsmaatregelen worden geïmplementeerd om de informatie te beschermen waartoe toegang wordt verkregen, die wordt verwerkt of opgeslagen op telewerklocaties. Telewerken verwijst naar thuiswerken en ander werken buiten de locatie, zoals op locatie van leveranciers of klanten. Voor telewerkend personeel zijn opleiding, training en bewustzijn met betrekking tot potentiële risico's van cruciaal belang.

De auditor zal verwachten dat beslissingen met betrekking tot het gebruik van mobiele apparaten en telewerken en beveiligingsmaatregelen gebaseerd zijn op een passende risicobeoordeling, waarbij de behoefte aan flexibel werken wordt afgewogen tegen de potentiële bedreigingen en kwetsbaarheden die een dergelijk gebruik met zich mee zou brengen.

Telewerken houdt ook nauw verband met veel van de andere controlegebieden van bijlage A in A.6, A.8, A.9, A.10, A.11, A.12 en A.13, dus voeg deze samen als onderdeel van de kantoor- en telewerkaanpak om dubbel werk en lacunes te voorkomen. A.7 is ook essentieel om de juiste screening en rekrutering van telewerkers en management gedurende de levenscyclus te regelen. Het wordt van cruciaal belang om deze op te nemen in audits en aan auditors aan te tonen dat telewerkers geen slecht beheerde bedreiging vormen.