Popis obavezne dokumentacije potrebne za ISO

Popis obavezne dokumentacije potrebne za
ISO/IEC 27001 (Revizija 2013.)
1) Koji dokumenti i zapisi su potrebni?
Popis u nastavku prikazuje minimalni skup dokumenata i zapisa koji su potrebni za ISO/IEC
27001 revizija 2013.:
Dokumenti*
ISO 27001:2013 broj klauzule
Opseg ISMS-a
4.3
Politika informacijske sigurnosti i ciljevi
5.2, 6.2
Metodologija za procjenu i obradu rizika
6.1.2
Izvješće o primjenjivosti
6.1.3 d)
Plan za obradu rizika
6.1.3 e), 6.2
Izvješće o procjeni rizika
8.2
Definicija sigurnosnih uloga i odgovornosti
A.7.1.2, A.13.2.4
Popis resursa
A.8.1.1
Prihvatljivo korištenje informacijskih resursa
A.8.1.3
Politika kontrole pristupa
A.9.1.1
Operativne procedure za upravljanje IT-em
A.12.1.1
Načela sigurnog sistemskog inženjeringa
A.14.2.5
Sigurnosna politika za dobavljače
A.15.1.1
Procedura za upravljanje incidentima
A.16.1.5
Procedure kontinuiteta poslovanja
A.17.1.2
Pravni, regulatorni i ugovorni zahtjevi
A.18.1.1
Zapisi*
ISO 27001:2013 broj klauzule
Zapisi o obučavanju, vještinama, iskustvu i kvalifikacijama
7.2
Rezultati monitoringa i mjerenja
9.1
Program internog audita
9.2
Rezultati internih audita
9.2
©2013 27001Academy
www.iso27001standard.com
Page 1 of 9
Rezultati pregleda od strane menadžmenta
9.3
Rezultati korektivnih mjera
10.1
Dnevnici o aktivnostima korisnika, iznimkama i
A.12.4.1, A.12.4.3
sigurnosnim događajima
*Kontrole iz Aneksa A se mogu izostaviti ukoliko organizacija zaključuje da nema rizika ili
drugih zahtjeva koji zahtijevaju implementaciju kontrole.
Ovo nipošto nije konačan popis dokumenata i zapisa, koji se može koristiti za vrijeme
implementacije ISO 27001, standard dozvoljava dodavanje svakog drugog dokumenta kako
bi se poboljšala razina sigurnosti informacija.
2) Često korišteni neobvezni dokumenti
Ostali dokumenti koji se često koriste su sljedeći:
Dokumenti
ISO 27001:2013 broj klauzule
Procedura za upravljanje dokumentima
7.5
Kontrole za upravljanje zapisima
7.5
Procedura za interni audit
9.2
Procedura za korektivne mjere
10.1
Politika korištenja vlastitih uređaja (BYOD)
A.6.2.1
Politika mobilnih uređaja i rada kod kuće
A.6.2.1
Politika o klasifikaciji informacija
A.8.2.1, A.8.2.2, A.8.2.3
Politika uporabe lozinki
A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1,
A.9.4.3
Politika uklanjanja i uništavanja
A.8.3.2, A.11.2.7
Procedure za rad u sigurnim područjima
A.11.1.5
Politika čistog stola i čistog ekrana
A.11.2.9
Politika upravljanja promjenama
A.12.1.2, A.14.2.4
Politika sigurnosnih kopija
A.12.3.1
Politika prijenosa informacija
A.13.2.1, A.13.2.2, A.13.2.3
©2013 27001Academy
www.iso27001standard.com
Page 2 of 9
Analiza utjecaja na poslovanje
A.17.1.1
Plan vježbanja i testiranja
A.17.1.3
Plan održavanja i pregleda
A.17.1.3
Strategija kontinuiteta poslovanja
A.17.2.1
3) Kako strukturirati najčešće dokumente i zapise
Opseg ISMS-a
Ovaj dokument je obično prilično kratak i piše se na početku implementacije ISO 27001.
Uobičajeno je to samostalan dokument, ali se može spojiti u politiku sigurnosti informacija.
Pročitajte više ovdje: Problems with defining the scope in ISO 27001.
Politika informacijske sigurnosti i ciljevi
Politika informacijske sigurnosti je obično kratak dokument najviše razine koji opisuje glavnu
svrhu ISMS-a. Ciljevi za ISMS su obično samostalnan dokument, ali se isto tako mogu spojiti
u politiku sigurnosti informacija. Za razliku od ISO 27001 revizije iz 2005. Ne postoji više
potreba za politiku ISMS-a i politiku sigurnosti informacija, samo je potrebna jedna politika
sigurnosti informacija.
Pročitajte više ovdje: Information security policy – how detailed should it be?
Metodologija za procjenu i obradu rizika & izvješće
Metodologija za procjenu i obradu rizika je obično dokument od 4 do 5 stranica i treba ga
napisati prije nego se izvode procjene i obrada rizika. Izvješće procjene i obrade rizika treba
napisati nakon sto se izvode procjena i obrada rizika i rezimira sve rezultate.
Pročitajte više ovdje: ISO 27001 risk assessment & treatment – 6 basic steps.
©2013 27001Academy
www.iso27001standard.com
Page 3 of 9
Izvješće o primjenjivosti
Izvješće o primjenjivosti pisana je na osnovi rezultata obrade rizika. To je centralni dokument
unutar ISMS-a jer ne opisuje samo koje kontrole iz Aneksa A se primjenjuju, već i kako će se
implementirati i kako je njihov aktualni status. Izvješće o primjenjivosti možete isto tako uzeti
u obzir kao dokument, koji opisuje sigurnosni profil vašeg poduzeća.
Pročitajte više ovdje: The importance of Statement of Applicability for ISO 27001.
Plan za obradu rizika
Ovo je zapravo akcijski plan kako implementirati razne kontrole koje definira izjava o
primjenjivosti. Razvijen je na osnovi Izvješća o primjenjivosti, te se aktivno koristi i ažurira
kroz cijelu implementaciju ISMS-a. Ponekad se može spojiti u projektni plan.
Pročitajte više ovdje: Risk Treatment Plan and risk treatment process – What’s the
difference?
Sigurnosne uloge i odgovornosti
Najbolji način je opisati ih kroz sve politike i procedure što preciznije moguće. Izbjegavajte
izraze kao "treba se učiniti", umjesto toga napišite nešto poput "CISO će izvesti xyz svakog
ponedjeljka u zxy sati." Neka poduzeća radije opisuju sigurnosne uloge i odgovornosti u
svojim opisima poslova, međutim, to može dovesti do velike količine papirologije.
Sigurnosne uloge i odgovornosti za treće strane su definirane u ugovorima.
Popis informacijskih resursa
Ako nemate takav popis prije nego započnete projekt ISO 27001, najbolje je da sastavite
takav dokument direktno iz rezultata procjene rizika. Za vrijeme procjene rizika se identificira
svi resursi i njezini vlasnici, tako da se mogu rezultati jednostavno prekopirati.
©2013 27001Academy
www.iso27001standard.com
Page 4 of 9
Prihvatljivo korištenje informacijskih resursa
Ova dokument je obično pisan u obliku politike i može pokriti širok raspon tema, jer u
standardu ova kontrola nije definirana vrlo dobro. Vjerojatno je najbolji način pristupa
slijedeći: (1) ostavite to za kraj implementacije ISMS-a i (2) sva područja i kontrole, koje još
niste pokrili s drugim dokumentima, a koji se tiču svih zaposlenih, možete pokriti onda ovom
politikom.
Politika kontrole pristupa
U ovom dokumentu možete pokriti samo poslovnu stranu odobravanja pristupa nekim
informacijama i sistemima, ili tehničku stranu kontrole pristupa. Nadalje, možete se odlučiti
za definiciju uloga za samo logičan pristup, ili također za fizički pristup. Ovaj dokument bi
trebali pisati tek nakon završite proces procjene i obrade rizika.
Operativne procedure za IT menadžment
Ovo možete pisati kao pojedinačan dokument, ili kao seriju politika i procedura. Ako ste
manje poduzeće radije ćete imati manji broj dokumenata. Obično možete pokriti sva područja
od sekcije A 12 i A 13, upravljanje promjenama, usluge vanjskih strana, sigurnosne kopije,
sigurnost mreže, zlonamjerni kod, uklanjanje i uništavanje, prijenos informacija, monitoring
sustava itd. Ovaj dokument bi trebali pisati tek nakon što ste završili Vaš proces procjene i
obrade rizika.
Pročitajte više o IT menadžmentu ovdje: ITIL & ISO 20000 Blog.
Načela sigurnog sistemskog inženjeringa
Ovo je nova kontrola unutar ISO 27001:2013 koja zahtjeva da se dokumentiraju načela
sigurnog sistemskog inženjeringa u obliku procedure ili standarda, a treba definirati kako
ugraditi sigurnosne tehnike u sve slojeve arhitekture, u poslovne podatke, aplikacije i
tehnologiju. To može uključivati i provjeru ulaznih podataka, otklanjanje pogrešaka, tehnike
za provjeru autentičnosti, kontrole sigurnih sesija itd.
©2013 27001Academy
www.iso27001standard.com
Page 5 of 9
Sigurnosna politika za dobavljače
Ovo je također nova kontrola unutar ISO 27001:2013, a takva politika može pokriti širok
raspon kontrola – kako izvesti probir potencijalnih izvođača, kako izvesti procjenu rizika
dobavljača, koje sigurnosne klauzule treba unijeti u ugovor, kako nadzirati ispunjavanje
ugovorenih klauzula sigurnosti, kako zatvoriti pristup nakon što je ugovor ukinut itd.
Procedura za upravljanje incidentima
Ovo je važna procedura, koja definira kako se prijavljuju sigurnosne slabosti, događaji i
incidenti, kako se klasificiraju i obrađuju. Ova procedura također definira kako učiti iz
incidenata sigurnosti informacija, tako da ih je moguće ubuduće spriječiti. Takva procedura
može se također pozvati na plan kontinuiteta poslovanja, ako je incident izazvao poduži
prekid.
Procedure kontinuiteta poslovanja
Ovo su obično planovi kontinuiteta poslovanja, planovi reakcija na incidente, planovi
oporavka za poslovnu stranu organizacije i plan oporavka nakon havarije (disaster recovery
planovi). Ovo je najbolje opisano u standardu ISO 22301, koji je vodeći međunarodni
standard za kontinuitet poslovanja.
Kako bi saznali više, kliknite ovdje: Business continuity plan: How to structure it according to
ISO 22301.
Pravni, regulatorni i ugovorni zahtjevi
Ovaj popis treba sastaviti što ranije moguće, jer će se mnogi dokumenti razvijati na osnovu
tog popisa. Ovaj popis treba sadržati ne samo odgovornosti za ispunjavanje određenih
zahtjeva, već i rokove.
©2013 27001Academy
www.iso27001standard.com
Page 6 of 9
Zapisi o obučavanju, vještinama, iskustvu i kvalifikacijama
Ovi se zapisi obično održavaju u odjelu za ljudske resurse, ako nemate takav odjel, onda bi
svako tko inače održava evidenciju zaposlenih trebao raditi i taj posao. U principu, bit će
dovoljno da imate mapu koja sadrži sve potrebne dokumente.
Rezultati monitoringa i mjerenja
Najjednostavniji način opisa kako se mjere kontrole je kroz politike i procedure koje definiraju
svaku kontrolu. Obično se ti opisi mogu pisati na kraju svakog dokumenta, a takvi opisi
definiraju vrste KPI-a (ključne pokazatelje učinka) koje treba mjeriti za svaku kontrolu ili
grupu kontrola.
Nakon što se ta metoda mjerenja uspostavlja, morate i izvoditi mjerenje u skladu s njom.
Važno je redovito izvješćivati rezultatima osobe, koje su zadužene za ocjenu tih rezultata.
Pročitajte više ovdje: ISO 27001 control objectives – Why are they important?
Program internog audita
Interni program audita nije ništa drugo nego jednogodišnji plan za izvedbu tih audita. Za
manje poduzeće to može biti samo jedan audit, dok za veće organizacije to može biti serija
od, npr. 20 internih audita. Taj program definira, tko će izvoditi audit, metode i kriterije audita
itd.
Rezultati internih audita
Interni auditor izrađuje izvješće audita, koje sadrži nalaze audita (zapažanja i korektivne
mjere). Takvo izvješće treba izraditi unutar dva dana nakon internog audita. U nekim
slučajevima će interni auditor provjeravati da li su se izvele sve korektivne mjere kako treba.
©2013 27001Academy
www.iso27001standard.com
Page 7 of 9
Rezultati pregleda od strane menadžmenta
Ovi zapisi su obično sastavljeni u obliku zapisnika sa sastanka. Moraju sadržati sve
materijale koji su uključeni u upravljanju sastankom, kao i sve odluke koje su se donijele.
Zapisnici mogu biti u digitalnom obliku ili na papiru.
Rezultati korektivnih mjera
Ovo je obično uključeno u predlošcima za korektivne mjere (CAR). Međutim, bolje je uključiti
takve zapise u neku aplikaciju, koja se već koristi u organizaciji za Help desk, jer korektivne
mjere nisu ništa drugo nego to-do liste sa jasno definiranim odgovornostima, zadacima i
rokovima.
Zapisi o aktivnostima korisnika, iznimkama i sigurnosnim događajima
Njih treba obično čuvati u dva oblika: (1) u digitalnom obliku – automatski ili poluautomatski
zapisi koji proizlaze iz raznih IT i drugih sustava, te (2) u obliku papira, gdje je svaki zapis
upisan ručno.
Procedura za kontrolu dokumenta
Ovo je obično samostalna procedura, koja sadrži 2 do 3 stranice. Ako ste već implementirali
neki drugi standard kao što je ISO 9001, ISO 14001, ISO 22301 ili slično, možete koristiti istu
proceduru za sve te sustave upravljanja. Ponekad je najbolje napisati tu proceduru kao prvi
dokument u projektu.
Pročitajte više ovdje: Document management in ISO 27001 & BS 25999-2.
Kontrole za upravljanje zapisima
Najjednostavniji način kako bi se opisala kontrola zapisa u svakoj politici ili proceduri (ili drugi
dokument) koji zahtjeva stvaranje zapisa. Ove kontrole su obično pisane prema kraju svakog
dokumenta i uobičajeno su u obliku tablice, koja opisuje gdje se arhivira zapis, tko ima
pristup, kako je zaštićen, na koje vrijeme se arhivira itd.
©2013 27001Academy
www.iso27001standard.com
Page 8 of 9
Procedura za interni audit
Ovo je obično samostalna procedura, koja sadrži 2 do 3 stranice, koju treba napisati prije
nego počinje interni audit. Kao što i procedura za kontrolu dokumenata, može se jedna
procedura za interni audit koristiti za bilo koji sustav upravljanja.
Pročitajte više ovdje: Dilemmas with ISO 27001 & BS 25999-2 internal auditors.
Procedura za korektivne mjere
Ova procedura ne bi trebala biti dulja od 2 do 3 stranice i može biti pisana na kraju projekta
implementacije, iako je bolje da se napiše ranije kako bi se zaposlenici navikli na nju.
Pročitajte više ovdje: Mandatory documented procedures required by ISO 27001.
4) Uzorak predložaka dokumentacije
Ovdje možete preuzeti besplatni uzorak Paketa dokumentacije za ISO 27001 & ISO 22301 –
u tom besplatnom pregledu možete vidjeti pregled sadržaja svake od spomenutih politika i
procedura, kao i nekoliko sekcija iz svakog dokumenta.
©2013 27001Academy
www.iso27001standard.com
Page 9 of 9