Popis obavezne dokumentacije potrebne za ISO/IEC 27001 (Revizija 2013.) 1) Koji dokumenti i zapisi su potrebni? Popis u nastavku prikazuje minimalni skup dokumenata i zapisa koji su potrebni za ISO/IEC 27001 revizija 2013.: Dokumenti* ISO 27001:2013 broj klauzule Opseg ISMS-a 4.3 Politika informacijske sigurnosti i ciljevi 5.2, 6.2 Metodologija za procjenu i obradu rizika 6.1.2 Izvješće o primjenjivosti 6.1.3 d) Plan za obradu rizika 6.1.3 e), 6.2 Izvješće o procjeni rizika 8.2 Definicija sigurnosnih uloga i odgovornosti A.7.1.2, A.13.2.4 Popis resursa A.8.1.1 Prihvatljivo korištenje informacijskih resursa A.8.1.3 Politika kontrole pristupa A.9.1.1 Operativne procedure za upravljanje IT-em A.12.1.1 Načela sigurnog sistemskog inženjeringa A.14.2.5 Sigurnosna politika za dobavljače A.15.1.1 Procedura za upravljanje incidentima A.16.1.5 Procedure kontinuiteta poslovanja A.17.1.2 Pravni, regulatorni i ugovorni zahtjevi A.18.1.1 Zapisi* ISO 27001:2013 broj klauzule Zapisi o obučavanju, vještinama, iskustvu i kvalifikacijama 7.2 Rezultati monitoringa i mjerenja 9.1 Program internog audita 9.2 Rezultati internih audita 9.2 ©2013 27001Academy www.iso27001standard.com Page 1 of 9 Rezultati pregleda od strane menadžmenta 9.3 Rezultati korektivnih mjera 10.1 Dnevnici o aktivnostima korisnika, iznimkama i A.12.4.1, A.12.4.3 sigurnosnim događajima *Kontrole iz Aneksa A se mogu izostaviti ukoliko organizacija zaključuje da nema rizika ili drugih zahtjeva koji zahtijevaju implementaciju kontrole. Ovo nipošto nije konačan popis dokumenata i zapisa, koji se može koristiti za vrijeme implementacije ISO 27001, standard dozvoljava dodavanje svakog drugog dokumenta kako bi se poboljšala razina sigurnosti informacija. 2) Često korišteni neobvezni dokumenti Ostali dokumenti koji se često koriste su sljedeći: Dokumenti ISO 27001:2013 broj klauzule Procedura za upravljanje dokumentima 7.5 Kontrole za upravljanje zapisima 7.5 Procedura za interni audit 9.2 Procedura za korektivne mjere 10.1 Politika korištenja vlastitih uređaja (BYOD) A.6.2.1 Politika mobilnih uređaja i rada kod kuće A.6.2.1 Politika o klasifikaciji informacija A.8.2.1, A.8.2.2, A.8.2.3 Politika uporabe lozinki A.9.2.1, A.9.2.2, A.9.2.4, A.9.3.1, A.9.4.3 Politika uklanjanja i uništavanja A.8.3.2, A.11.2.7 Procedure za rad u sigurnim područjima A.11.1.5 Politika čistog stola i čistog ekrana A.11.2.9 Politika upravljanja promjenama A.12.1.2, A.14.2.4 Politika sigurnosnih kopija A.12.3.1 Politika prijenosa informacija A.13.2.1, A.13.2.2, A.13.2.3 ©2013 27001Academy www.iso27001standard.com Page 2 of 9 Analiza utjecaja na poslovanje A.17.1.1 Plan vježbanja i testiranja A.17.1.3 Plan održavanja i pregleda A.17.1.3 Strategija kontinuiteta poslovanja A.17.2.1 3) Kako strukturirati najčešće dokumente i zapise Opseg ISMS-a Ovaj dokument je obično prilično kratak i piše se na početku implementacije ISO 27001. Uobičajeno je to samostalan dokument, ali se može spojiti u politiku sigurnosti informacija. Pročitajte više ovdje: Problems with defining the scope in ISO 27001. Politika informacijske sigurnosti i ciljevi Politika informacijske sigurnosti je obično kratak dokument najviše razine koji opisuje glavnu svrhu ISMS-a. Ciljevi za ISMS su obično samostalnan dokument, ali se isto tako mogu spojiti u politiku sigurnosti informacija. Za razliku od ISO 27001 revizije iz 2005. Ne postoji više potreba za politiku ISMS-a i politiku sigurnosti informacija, samo je potrebna jedna politika sigurnosti informacija. Pročitajte više ovdje: Information security policy – how detailed should it be? Metodologija za procjenu i obradu rizika & izvješće Metodologija za procjenu i obradu rizika je obično dokument od 4 do 5 stranica i treba ga napisati prije nego se izvode procjene i obrada rizika. Izvješće procjene i obrade rizika treba napisati nakon sto se izvode procjena i obrada rizika i rezimira sve rezultate. Pročitajte više ovdje: ISO 27001 risk assessment & treatment – 6 basic steps. ©2013 27001Academy www.iso27001standard.com Page 3 of 9 Izvješće o primjenjivosti Izvješće o primjenjivosti pisana je na osnovi rezultata obrade rizika. To je centralni dokument unutar ISMS-a jer ne opisuje samo koje kontrole iz Aneksa A se primjenjuju, već i kako će se implementirati i kako je njihov aktualni status. Izvješće o primjenjivosti možete isto tako uzeti u obzir kao dokument, koji opisuje sigurnosni profil vašeg poduzeća. Pročitajte više ovdje: The importance of Statement of Applicability for ISO 27001. Plan za obradu rizika Ovo je zapravo akcijski plan kako implementirati razne kontrole koje definira izjava o primjenjivosti. Razvijen je na osnovi Izvješća o primjenjivosti, te se aktivno koristi i ažurira kroz cijelu implementaciju ISMS-a. Ponekad se može spojiti u projektni plan. Pročitajte više ovdje: Risk Treatment Plan and risk treatment process – What’s the difference? Sigurnosne uloge i odgovornosti Najbolji način je opisati ih kroz sve politike i procedure što preciznije moguće. Izbjegavajte izraze kao "treba se učiniti", umjesto toga napišite nešto poput "CISO će izvesti xyz svakog ponedjeljka u zxy sati." Neka poduzeća radije opisuju sigurnosne uloge i odgovornosti u svojim opisima poslova, međutim, to može dovesti do velike količine papirologije. Sigurnosne uloge i odgovornosti za treće strane su definirane u ugovorima. Popis informacijskih resursa Ako nemate takav popis prije nego započnete projekt ISO 27001, najbolje je da sastavite takav dokument direktno iz rezultata procjene rizika. Za vrijeme procjene rizika se identificira svi resursi i njezini vlasnici, tako da se mogu rezultati jednostavno prekopirati. ©2013 27001Academy www.iso27001standard.com Page 4 of 9 Prihvatljivo korištenje informacijskih resursa Ova dokument je obično pisan u obliku politike i može pokriti širok raspon tema, jer u standardu ova kontrola nije definirana vrlo dobro. Vjerojatno je najbolji način pristupa slijedeći: (1) ostavite to za kraj implementacije ISMS-a i (2) sva područja i kontrole, koje još niste pokrili s drugim dokumentima, a koji se tiču svih zaposlenih, možete pokriti onda ovom politikom. Politika kontrole pristupa U ovom dokumentu možete pokriti samo poslovnu stranu odobravanja pristupa nekim informacijama i sistemima, ili tehničku stranu kontrole pristupa. Nadalje, možete se odlučiti za definiciju uloga za samo logičan pristup, ili također za fizički pristup. Ovaj dokument bi trebali pisati tek nakon završite proces procjene i obrade rizika. Operativne procedure za IT menadžment Ovo možete pisati kao pojedinačan dokument, ili kao seriju politika i procedura. Ako ste manje poduzeće radije ćete imati manji broj dokumenata. Obično možete pokriti sva područja od sekcije A 12 i A 13, upravljanje promjenama, usluge vanjskih strana, sigurnosne kopije, sigurnost mreže, zlonamjerni kod, uklanjanje i uništavanje, prijenos informacija, monitoring sustava itd. Ovaj dokument bi trebali pisati tek nakon što ste završili Vaš proces procjene i obrade rizika. Pročitajte više o IT menadžmentu ovdje: ITIL & ISO 20000 Blog. Načela sigurnog sistemskog inženjeringa Ovo je nova kontrola unutar ISO 27001:2013 koja zahtjeva da se dokumentiraju načela sigurnog sistemskog inženjeringa u obliku procedure ili standarda, a treba definirati kako ugraditi sigurnosne tehnike u sve slojeve arhitekture, u poslovne podatke, aplikacije i tehnologiju. To može uključivati i provjeru ulaznih podataka, otklanjanje pogrešaka, tehnike za provjeru autentičnosti, kontrole sigurnih sesija itd. ©2013 27001Academy www.iso27001standard.com Page 5 of 9 Sigurnosna politika za dobavljače Ovo je također nova kontrola unutar ISO 27001:2013, a takva politika može pokriti širok raspon kontrola – kako izvesti probir potencijalnih izvođača, kako izvesti procjenu rizika dobavljača, koje sigurnosne klauzule treba unijeti u ugovor, kako nadzirati ispunjavanje ugovorenih klauzula sigurnosti, kako zatvoriti pristup nakon što je ugovor ukinut itd. Procedura za upravljanje incidentima Ovo je važna procedura, koja definira kako se prijavljuju sigurnosne slabosti, događaji i incidenti, kako se klasificiraju i obrađuju. Ova procedura također definira kako učiti iz incidenata sigurnosti informacija, tako da ih je moguće ubuduće spriječiti. Takva procedura može se također pozvati na plan kontinuiteta poslovanja, ako je incident izazvao poduži prekid. Procedure kontinuiteta poslovanja Ovo su obično planovi kontinuiteta poslovanja, planovi reakcija na incidente, planovi oporavka za poslovnu stranu organizacije i plan oporavka nakon havarije (disaster recovery planovi). Ovo je najbolje opisano u standardu ISO 22301, koji je vodeći međunarodni standard za kontinuitet poslovanja. Kako bi saznali više, kliknite ovdje: Business continuity plan: How to structure it according to ISO 22301. Pravni, regulatorni i ugovorni zahtjevi Ovaj popis treba sastaviti što ranije moguće, jer će se mnogi dokumenti razvijati na osnovu tog popisa. Ovaj popis treba sadržati ne samo odgovornosti za ispunjavanje određenih zahtjeva, već i rokove. ©2013 27001Academy www.iso27001standard.com Page 6 of 9 Zapisi o obučavanju, vještinama, iskustvu i kvalifikacijama Ovi se zapisi obično održavaju u odjelu za ljudske resurse, ako nemate takav odjel, onda bi svako tko inače održava evidenciju zaposlenih trebao raditi i taj posao. U principu, bit će dovoljno da imate mapu koja sadrži sve potrebne dokumente. Rezultati monitoringa i mjerenja Najjednostavniji način opisa kako se mjere kontrole je kroz politike i procedure koje definiraju svaku kontrolu. Obično se ti opisi mogu pisati na kraju svakog dokumenta, a takvi opisi definiraju vrste KPI-a (ključne pokazatelje učinka) koje treba mjeriti za svaku kontrolu ili grupu kontrola. Nakon što se ta metoda mjerenja uspostavlja, morate i izvoditi mjerenje u skladu s njom. Važno je redovito izvješćivati rezultatima osobe, koje su zadužene za ocjenu tih rezultata. Pročitajte više ovdje: ISO 27001 control objectives – Why are they important? Program internog audita Interni program audita nije ništa drugo nego jednogodišnji plan za izvedbu tih audita. Za manje poduzeće to može biti samo jedan audit, dok za veće organizacije to može biti serija od, npr. 20 internih audita. Taj program definira, tko će izvoditi audit, metode i kriterije audita itd. Rezultati internih audita Interni auditor izrađuje izvješće audita, koje sadrži nalaze audita (zapažanja i korektivne mjere). Takvo izvješće treba izraditi unutar dva dana nakon internog audita. U nekim slučajevima će interni auditor provjeravati da li su se izvele sve korektivne mjere kako treba. ©2013 27001Academy www.iso27001standard.com Page 7 of 9 Rezultati pregleda od strane menadžmenta Ovi zapisi su obično sastavljeni u obliku zapisnika sa sastanka. Moraju sadržati sve materijale koji su uključeni u upravljanju sastankom, kao i sve odluke koje su se donijele. Zapisnici mogu biti u digitalnom obliku ili na papiru. Rezultati korektivnih mjera Ovo je obično uključeno u predlošcima za korektivne mjere (CAR). Međutim, bolje je uključiti takve zapise u neku aplikaciju, koja se već koristi u organizaciji za Help desk, jer korektivne mjere nisu ništa drugo nego to-do liste sa jasno definiranim odgovornostima, zadacima i rokovima. Zapisi o aktivnostima korisnika, iznimkama i sigurnosnim događajima Njih treba obično čuvati u dva oblika: (1) u digitalnom obliku – automatski ili poluautomatski zapisi koji proizlaze iz raznih IT i drugih sustava, te (2) u obliku papira, gdje je svaki zapis upisan ručno. Procedura za kontrolu dokumenta Ovo je obično samostalna procedura, koja sadrži 2 do 3 stranice. Ako ste već implementirali neki drugi standard kao što je ISO 9001, ISO 14001, ISO 22301 ili slično, možete koristiti istu proceduru za sve te sustave upravljanja. Ponekad je najbolje napisati tu proceduru kao prvi dokument u projektu. Pročitajte više ovdje: Document management in ISO 27001 & BS 25999-2. Kontrole za upravljanje zapisima Najjednostavniji način kako bi se opisala kontrola zapisa u svakoj politici ili proceduri (ili drugi dokument) koji zahtjeva stvaranje zapisa. Ove kontrole su obično pisane prema kraju svakog dokumenta i uobičajeno su u obliku tablice, koja opisuje gdje se arhivira zapis, tko ima pristup, kako je zaštićen, na koje vrijeme se arhivira itd. ©2013 27001Academy www.iso27001standard.com Page 8 of 9 Procedura za interni audit Ovo je obično samostalna procedura, koja sadrži 2 do 3 stranice, koju treba napisati prije nego počinje interni audit. Kao što i procedura za kontrolu dokumenata, može se jedna procedura za interni audit koristiti za bilo koji sustav upravljanja. Pročitajte više ovdje: Dilemmas with ISO 27001 & BS 25999-2 internal auditors. Procedura za korektivne mjere Ova procedura ne bi trebala biti dulja od 2 do 3 stranice i može biti pisana na kraju projekta implementacije, iako je bolje da se napiše ranije kako bi se zaposlenici navikli na nju. Pročitajte više ovdje: Mandatory documented procedures required by ISO 27001. 4) Uzorak predložaka dokumentacije Ovdje možete preuzeti besplatni uzorak Paketa dokumentacije za ISO 27001 & ISO 22301 – u tom besplatnom pregledu možete vidjeti pregled sadržaja svake od spomenutih politika i procedura, kao i nekoliko sekcija iz svakog dokumenta. ©2013 27001Academy www.iso27001standard.com Page 9 of 9
© Copyright 2024 Paperzz