Cyberbrottslighet utgör ett allvarligt hot mot företag i alla branscher och storlekar - det är allmänt känt. Repertoaren sträcker sig från spionage till sabotage och utpressning. Faran kommer dock inte bara från Internet. Dina egna anställda kan också vara en allvarlig riskfaktor. Särskilt om ditt företag inte har vidtagit lämpliga åtgärder - ta en titt på bilaga A.7 i ISO 27001.

Loading...

Ett välstrukturerat ledningssystem för informationssäkerhet (ISMS) i enlighet med ISO 27001-standarden utgör grunden för ett effektivt genomförande av en holistisk informationssäkerhetsstrategi. Det systematiska tillvägagångssättet bidrar till att skydda konfidentiella företagsdata från förlust och missbruk och till att på ett tillförlitligt sätt identifiera potentiella risker för företaget, analysera dem och göra dem kontrollerbara genom lämpliga åtgärder. Detta omfattar mycket mer än bara IT-säkerhetsaspekterna. Genomförandet av åtgärderna i bilaga A till standarden är särskilt värdefullt för praktiken.

ISO/IEC 27001:2013 - Informationsteknik - Säkerhetsprocedurer - Ledningssystem för informationssäkerhet - Krav.

Bilaga A till ISO 27001: Relevant för praktiken

Förutom det ledningssystemorienterade avsnittet om krav (kapitel 4-10) innehåller ISO-standardens bilaga A en omfattande förteckning över 35 åtgärdsmål (kontroller) med 114 konkreta åtgärder för ett stort antal säkerhetsaspekter i 14 kapitel.

Anmärkning: De uttalanden som kallas "åtgärder" i bilaga A är i själva verket enskilda mål (kontroller). De beskriver hur ett standardkonformt resultat av lämpliga (enskilda) åtgärder bör se ut.

Företagen bör använda dessa kontroller som en grund för sin individuella, mer djupgående strukturering av sin informationssäkerhetspolicy. När det gäller personal är åtgärdsmålet "Personalsäkerhet" i tillägg A.7 av särskilt intresse.

"Åtgärderna bygger inte på misstro mot anställda utan på tydligt strukturerade personalprocesser."

Personalprocesser säkerställer i alla faser av anställningen att ansvar och uppgifter tilldelas med avseende på informationssäkerhet och att efterlevnaden övervakas. Brott mot informationssäkerhetspolicyn - både avsedda och oavsiktliga - är därmed inte omöjliga, men de görs mycket svårare. Och om det värsta inträffar ger ett effektivt ISMS organisationen lämpliga mekanismer för att hantera överträdelsen.

Informationssäkerhet är inte misstro

Det är ingalunda fråga om misstro om ett företag utfärdar lämpliga riktlinjer för att försvåra obehörig åtkomst inifrån eller, ännu hellre, för att förhindra den helt och hållet. En sak är trots allt klar: Om en anställds uppsägning är nära förestående eller redan har meddelats kan hans eller hennes missnöje leda till riktad datastöld. Detta händer särskilt när den uppsagda arbetstagaren tror att han eller hon har äganderätt till projektdata. Omvänt kan en ansökan om ett visst jobb redan vara gjord med avsikt att begå en brottslig handling.

Andra scenarier tyder på grovt oaktsamt beteende eller helt enkelt vårdslöshet, vilket kan få lika allvarliga konsekvenser. Det händer till exempel att hela IT-avdelningar inte följer sina egna regler - de är för besvärliga, för tidskrävande. På kontoret är det slarvig hantering av lösenord eller oskyddade smartphones. Men också slarvig anslutning av USB-minnen, öppna dokument på skärmen, hemliga dokument i tomma kontor - listan över möjliga försummelser är lång.

Bilaga A.7 till ISO 27001 - Personalsäkerhet

Företag som har infört ett ledningssystem för informationssäkerhet (ISMS) i enlighet med ISO 27001-standarden har en bättre position här. De känner till kraven och den praxisrelevanta bilaga A.7 i den internationellt erkända standarden. ISO 27001 har nämligen mycket att erbjuda här: Även om referensåtgärderna hänvisar direkt till standardens krav, är de alltid inriktade på företagets direkta praxis.

Företag med ett effektivt ISMS känner till de mål som anges i A.7, som måste genomföras med tanke på personalens säkerhet för att standarden ska kunna följas fullt ut - i alla faser av anställningen.

Vad säger ISO 27001-standarden i bilaga A.7?

Åtgärder före anställning

Organisationen måste se till att en nyanställd förstår sitt framtida ansvar och är lämplig för sin roll innan den anställer honom eller henne - enligt bilaga A.7.1. I avsnittet om krav (kapitel 7.2) talar standarden om "kompetens".

Som en målinriktad referensåtgärd får sökande till ett arbete först en säkerhetsprövning som överensstämmer med etiska principer och tillämpliga lagar. Denna kontroll måste vara lämplig i förhållande till verksamhetens krav, klassificeringen av den information som ska erhållas och eventuella risker (A.7.1.1). För att kunna uppnå detta bör bland annat följande vara på plats, säkerställt eller verifierat:

  • Ett förfarande för att erhålla information (hur och på vilka villkor).
  • En förteckning över de rättsliga och etiska kriterier som ska följas.
  • Säkerhetskontrollen måste vara lämplig, relaterad till riskerna och företagets behov.
  • Trovärdighet och äkthet hos C.V., bokslut och andra handlingar.
  • Den sökandes pålitlighet och kompetens för den avsedda tjänsten.

Kontraktliga överenskommelser

Nästa steg handlar om anställnings- och avtalsvillkor. Denna referensåtgärd i bilaga A till ISO/IEC 27001 består alltså av avtalsöverenskommelsen om vilket ansvar de anställda har gentemot företaget och vice versa (A.7.1.2). Ett framgångsrikt genomförande av detta krav omfattar bland annat att dessa punkter uppfylls:

  • Undertecknande av ett sekretessavtal av den anställde (entreprenör) som har tillgång till konfidentiell information.
  • En avtalsenlig skyldighet för den anställde (uppdragstagaren) att följa till exempel upphovsrätts- eller dataskyddsfrågor.
  • En avtalsbestämmelse om de anställdas (entreprenörernas) ansvar vid hantering av extern information.

Under anställningen - Den högsta ledningens ansvar.

De anställda måste vara medvetna om sitt ansvar för informationssäkerheten. Detta är målet för A.7.2, och ännu viktigare är att de anställda måste leva upp till detta ansvar.

Den första åtgärden (A.7.2.1) är inriktad på ledningens skyldighet att uppmuntra sina anställda att genomföra informationssäkerhet i enlighet med fastställda riktlinjer och förfaranden. I detta syfte måste åtminstone följande punkter regleras:

  • På vilket sätt uppmuntrar den högsta ledningen de anställda att genomföra? Var finns det risker?
  • Hur ser den till att de anställda är medvetna om de riktlinjer som tillämpas för att hantera informationssäkerhet?
  • Hur kontrolleras det att de anställda följer riktlinjerna för hantering av informationssäkerhet?
  • Hur motiverar de sina anställda att genomföra riktlinjer och förfaranden och tillämpa dem på ett säkert sätt?

Skapa medvetenhet

I kapitel 7.3 "Medvetenhet" kräver ISO 27001 att personer som utför relevant verksamhet är medvetna om följande

  • Organisationens policy för informationssäkerhet.
  • om det bidrag de ger till informationssäkerhetshanteringssystemets (ISMS) effektivitet
  • Fördelarna med förbättrad informationssäkerhet.
  • Konsekvenserna av att inte uppfylla kraven i ISMS.

Särskilt nyanställda behöver regelbunden information i ämnet, t.ex. via e-post eller intranätet, utöver den obligatoriska genomgången om informationssäkerhetsfrågor. Konkret utbildning (särskilt om beredskapsplaner och övningar), ämnesspecifika seminarier och informationskampanjer (t.ex. via affischer) stärker medvetenheten om ledningssystemet för informationssäkerhet.

Till exempel tjänar referensåtgärd A.7.2.1 i bilaga A till ISO 27001 också till att skapa lämplig medvetenhet om informationssäkerhet. Organisationer måste utbilda och utbilda sina anställda och, i förekommande fall, sina entreprenörer i yrkesmässigt relevanta ämnen. Motsvarande riktlinjer och förfaranden måste uppdateras regelbundet. Bland annat följande aspekter måste beaktas:

  • Det sätt på vilket den högsta ledningen å sin sida engagerar sig i informationssäkerhet.
  • Karaktären av yrkesutbildning och fortbildning.
  • Hur ofta politik och förfaranden ses över och uppdateras.
  • Andra verktyg som används
  • Konkreta åtgärder för att göra de anställda förtrogna med interna riktlinjer och förfaranden för informationssäkerhet.

TIPS: Säkerställ en väl fungerande kommunikation med flera kanaler för kunskapsöverföring. Detta beror på att medvetenheten om ISMS och relaterade aspekter som krävs enligt standarden är nära kopplad till kunskapsöverföring.

Förfarande för tillrättavisning

Bilaga 7.2.3: Denna åtgärd specificerar hur organisationen kommer att hantera tillrättavisningar i händelse av brott mot informationssäkerheten. Grunden för detta är en process för korrigerande åtgärder. Den ska definieras, upprättas och tillkännages formellt. Följande måste säkerställas:

  • Det måste finnas kriterier enligt vilka allvarlighetsgraden av en överträdelse av informationssäkerhetspolicyn klassificeras.
  • Det disciplinära förfarandet får inte strida mot tillämpliga lagar.
  • Den disciplinära processen måste innehålla åtgärder som motiverar de anställda att ändra sitt beteende på ett positivt sätt på lång sikt.

Avslutande av anställning - Ansvar

I bilaga A.7.3 till ISO 27001 anges som mål en effektiv uppsägnings- eller förändringsprocess för att skydda organisationens intressen. Detta mål fokuserar på ansvarsområden för uppsägning eller förändring av anställning. Följaktligen måste informationssäkerhetsrelaterat ansvar och skyldigheter som kvarstår efter uppsägning eller byte av anställning definieras, kommuniceras och verkställas. Det är klokt att ta hänsyn till dessa aspekter:

  • Överenskommelser i anställningsavtalen om hur de anställda ska hantera fortsatt ansvar och skyldigheter som rör informationssäkerhet efter avslutad anställning.
  • Övervakningsmekanismer för att se till att dessa avtal följs.
  • Förfaranden för att se till att det fortsatta ansvaret och de fortsatta skyldigheterna efterlevs.

Cybersäkerhet genom systematisk personalsäkerhet

Hotet inifrån är verkligt - och de flesta företag är medvetna om det. Enligt en säkerhetsstudie (Balabit 2018) är anställda som har omfattande åtkomsträttigheter särskilt sårbara för attacker. Och eftersom anställda är inblandade i 50 procent av alla säkerhetsöverträdelser anser 69 procent av de svarande IT-professionella att ett intrång i insiderdata är den största risken. Ändå görs det inte mycket åt det. I praktiken är det ofta svårt att göra anklagelser mot intern personal. Särskilt i små och medelstora företag, där folk känner varandra, har man ofta ett visst förtroende för dem - ibland med obehagliga konsekvenser. En välstrukturerad förvaltning av informationssäkerheten utgör grunden för att garantera säkerheten för information som behöver skyddas.

Slutsats: ISO 27001 i praktiken - bilaga A

I bilaga A.7 ger ISO/IEC 27001 referensåtgärder för personalsäkerhet som måste genomföras som en del av införandet av standarden. Företagen bör använda dessa kontroller som en grund för sin individuella, mer djupgående utformning av sin informationssäkerhetspolicy. Åtgärderna bygger inte på misstro mot anställda utan på tydligt strukturerade personalprocesser.

Sakkunskap och förtroende

Certifierade företag värdesätter ledningssystem som verktyg för den högsta ledningen som skapar öppenhet, minskar komplexiteten och ger säkerhet. Ledningssystemen gör dock ännu mer: De bedöms och certifieras av en neutral och oberoende tredje part som DQS och skapar förtroende hos berörda parter för företagets resultat.

Många organisationer upplever fortfarande certifiering som en kontroll av efterlevnad. Våra kunder däremot ser det som en möjlighet att fokusera på framgångskritiska faktorer och resultaten av deras ledningssystem. Eftersom vår kärnkompetens ligger i utförandet av certifieringsrevisioner och bedömningar. Detta gör oss till en av de ledande leverantörerna i världen med anspråk på att alltid sätta nya standarder för tillförlitlighet, kvalitet och kundorientering.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certification according to ISO 27001

Hur mycket arbete måste du göra för att få ditt ledningssystem för informationssäkerhet certifierat enligt ISO 27001? Ta reda på det gratis och utan förpliktelser.

Observera: Våra artiklar skrivs uteslutande av våra interna experter på ledningssystem och långvariga revisorer. Om du har några frågor till våra författare om informationssäkerhet (ISMS), vänligen kontakta oss. Vi ser fram emot att prata med dig.

Författare
André Saeckel

Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.

Loading...