Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013



Relaterede dokumenter
Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Kursus: Ledelse af it- sikkerhed

Erfaringer fra innføring av ISO i danske kommuner (styringssystem for informasjonssikkerhet)

1. Introduktion til SoA Indhold og krav til SoA 4

God it-sikkerhed i kommuner

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Fra DS 484 til ISO 27001

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november

Denne publikation er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

serien og nyheder i ISO og ISO 27002

Resultatet af undersøgelse af status på implementering af ISO27001-principper i staten

Informationssikkerhedspolitik for Horsens Kommune

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

Et godt og effektivt vedligehold af en ISO27001 certificering. Erwin Lansing Head of Security & Chief Technologist

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

ISO 27001/27002:2013 i SecureAware Policy TNG

Fællesregional Informationssikkerhedspolitik

Hovedresultater: ISO modenhed i staten. December 2018

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

MÅLING AF INFORMATIONSSIKKERHED

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

Digitaliseringsstyrelsens konference 1. marts 2018

Vejledning i informationssikkerhedsstyring. Februar 2015

Vejledning om evaluering af beredskab. April 2015

Digitaliseringsstyrelsen Risikovurdering Marts 2018

Dropbox vej til overholdelse af GDPR

Kvalitetssikring af IT udvikling hos TDC

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Databeskyttelsesdagen

SecureAware Compliance Analysis Manual

Guide til implementering af ISO27001

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Leverandørstyring: Stil krav du kan måle på

Tjekliste: Sådan laver du en it-risikovurdering i TRIN. Sikker it-drift. Leveret af specialister.

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon digst@digst dk

Region Hovedstadens Ramme for Informationssikkerhed

Vejledning i informationssikkerhedspolitik. Februar 2015

Struktureret Compliance

Overordnet Informationssikkerhedspolitik

Guide til awareness om informationssikkerhed. Marts 2013

Agenda. AGENDA Lars Bærentzen & Siscon Indledning Konsekvensanalyse (Plan) Konsekvensanalyse (Do) Konsekvensanalyse (Check) Konsekvensanalyse (Act)

Retningslinjer for behandling af cookies og personoplysninger

Overordnet It-sikkerhedspolitik

Persondataforordningen...den nye erklæringsstandard

Ledelsesforankret informationssikkerhed. med ISO/IEC 27001

Målbillede for risikostyring i signalprogrammet. Juni 2018

IT-SIKKERHED. Michael Hald, konsulent, KL INFORMATIONSDAG OM DEN FÆLLESKOMMUNALE HANDLINGSPLAN OG DEN FÆLLESOFFENTLIGE DIGITALISERINGSSTRATEGI

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

Faxe Kommune. informationssikkerhedspolitik

It-anvendelsen i Langeland Kommune har til formål at understøtte kommunens overordnede visioner.

IT-sikkerhedspolitik S i d e 1 9

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

Tilsyn med Databehandlere

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Hos Lasse Ahm Consult vurderer vi at følgende supplerende krav i de enkelte kravelementer er væsentlige at bemærke:

IT-sikkerhedspolitik for

It-sikkerhedspolitik for Københavns Kommune

Organisering og styring af informationssikkerhed. I Odder Kommune

Rollen som DPO. September 2016

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

ISO 9001:2015 OG ISO 14001:2015 NYE VERSIONER AF STANDARDERNE ER PÅ VEJ ER DU KLAR? Move Forward with Confidence

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Informationssikkerhedspolitik for <organisation>

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Struktureret Compliance. på tværs af ISO9001, ISO27001 & EU GDPR

ISO Styr på Arbejdsmiljøet på din virksomhed

Transkript:

Statement of Applicability Hjørnestenen i jeres ISMS Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013 Af Jesper E. Siig Senior Security Advisor hos Neupart 2014 Neupart 1

Introduktion En Statement of Applicability (SoA) er en central og obligatorisk del af ISO 27001-standarden for Ledelsessystemer for informationssikkerhed (Information Security Management System ISMS). Denne vedledning beskriver, hvorfor en SoA er vigtig, og hvordan I udarbejder den. Desuden beskrives et antal værktøjer, I kan bruge, når I skal udvikle jeres SoA. Hvis I følger anbefalingerne i denne vejledning, vil I ikke bare kunne udvikle jeres SoA hurtigere. I er også sikre på, at arbejdet gennemføres efter de metoder til implementering af et ISMS, som er fastlagt i ISO 27001:2013-standarden. Hvorfor? Bortset fra at være en obligatorisk del af et ISMS, er der mange grunde til, at det kan betale sig at bruge tid på at udarbejde en præcis og opdateret SoA. En SoA udgør bindeleddet mellem jeres risikovurdering og den sikkerhed, I har implementeret. Formålet med en SoA er at dokumentere hvilke kontroller fra ISO 27001 Anneks A (og dermed ISO 27002- standarden for informationssikkerhed) I implementerer, hvorfor I har valgt disse, samt hvorfor I har fravalgt de kontroller, der ikke er medtaget. Det anses desuden for god skik også at medtage følgende i SoA-dokumentet (selv om standarden ikke direkte kræver det): Status på implementeringen af eksisterende kontroller En henvisning til dokumentationen for kontrollerne samt en kort beskrivelse af, hvordan de enkelte kontroller implementeres En krydsreference til kilderne til andre krav, som nødvendiggør de valgte kontroller. På denne måde får I en komplet oversigt over, hvilke kontroller, det er nødvendigt at implementere, hvorfor de implementeres, hvordan de implementeres, og hvor godt de er implementeret. Nedenfor ser vi på, hvordan I kan udvikle jeres SoA. Hvordan En SoA er resultatet af flere aktiviteter, som er defineret i planlægningsfasen af en ISO 27001- implementering. De to primære kilder til en SoA er risikovurderingen og Anneks A til standarden (som egentlig er indholdsfortegnelsen til ISO 27002-standarden). De øvrige kilder er de kontroller, som i forvejen eksisterer i organisationen samt eksterne sikkerhedskrav, som organisationen skal overholde. 2014 Neupart 2

Jeres vej til en SoA kan illustreres på følgende måde: Identifikation og analyse af risici Valg af kontroller Anneks A/ ISO 27002 Gap analyse Statement of Applicability Nuværende kontroller Planlægning af risikohåndtering Plan for risikohåndtering Implementering af kontroller Eksterne krav Figur 1. Vejen til SoA - og videre Identifikation og analyse af risici For at sikre, at de kontroller, I implementerer, afspejler de relevante risici, skal I udføre en risikovurdering. Risikovurderingen tager udgangspunkt i en identifikation af risici. Identifikationen består af følgende aktiviteter: 1) Identificer de risici, som er forbundet med mistet: a. Fortrolighed b. Integritet c. Tilgængelighed 2) Fastlæg ejerne af de enkelte risici Dernæst skal risici analyseres og evalueres. Analysen består af følgende aktiviteter: 3) Vurder de potentielle konsekvenser, hvis de identificerede risici bliver til virkelighed 4) Vurder den realistiske sandsynlighed for, at de identificerede risici bliver virkelighed 5) Beregn risikoniveau for alle risici ud fra konsekvenser og sandsynligheder 6) Sammenlign de beregnede risikoniveauer med organisationens kriterier for accept af risici, og prioriter håndteringen 2014 Neupart 3

Valg af kontroller I de tilfælde hvor I vurderer, at risici ikke er acceptable, skal I iværksætte de nødvendige handlinger til risikohåndtering. Der er typisk følgende muligheder for håndtering af risici: a) Implementering af relevante kontroller b) Accept af risici c) Undgåelse af risici eller d) Deling af risici med andre parter, f.eks. forsikringsselskaber eller leverandører. For de risici, hvor I vælger mulighed a), skal I vælge relevante kontroller. Heldigvis har vi i ISO 27002 en rigtig god oversigt over kontrolmål og kontroller til håndtering af risici samt gode retningslinjer for, hvordan I kan implementere kontrollerne. Dette er også tidspunktet at revurdere, om de allerede eksisterende kontroller skal bevares. Hvis ikke risikovurderingen viser, at der er et behov for en kontrol, kan den måske afskaffes. Ud over ISO 27002 har I mulighed for at anvende andre kilder ved valg af kontroller. Følgende kilder kan være relevante: Payment Card Industry Data Security Standard (PCI DSS) National persondatalovgivning baseret på EU's direktiv om databeskyttelse eller andre lovmæssige krav SANS 20 kritiske kontroller til et effektivt cyberforsvar Digitaliseringsstyrelsen og Center for Cybersikkerheds vejledning Cyberforsvar der virker Øvrige kilder kan være: Branchespecifikke lovmæssige krav Kontraktmæssige sikkerhedskrav Selskabets eller koncernens sikkerhedskrav, som datterselskabet skal overholde NIST Security and Privacy Controls for Federal Information Systems and Organizations Vi anbefaler at I, hvis I ønsker at overholde ISO 27001, udarbejder jeres SoA i henhold til ISO 27002, og at I derefter kortlægger de forskellige sikkerhedskrav inden for rammerne af denne standard. For hvert valgt kontrol bør SoA indeholde følgende: 1. Kilden til det krav, som har medført, at I har valgt kontrollen 2. Kontrollens modenhed eller graden af overholdelse 3. En henvisning til, hvor i kilden kravet om denne sikkerhedsforanstaltning er angivet, ELLER årsagen til, at kontrollen ikke er valgt 4. En kort beskrivelse af kontrollen eller en henvisning til et sted, hvor den er beskrevet. 2014 Neupart 4

Gap-analyse Når de krævede kontroller er valgt anbefaler vi, at I udfører en analyse af mangler (en gap-analyse). Dette er ikke et ufravigeligt krav i ISO 27001-standarden, men gap-analysen hjælper jer med at afdække hvor langt I er kommet med implementeringen af kontrollerne. For at sikre, at evalueringen af kontrollen bliver ensartet og sammenhængende, anbefales det at vælge en generelt accepteret model for modenhedsniveau. Eksempler på modenhedsskalaer er: COBIT 4.1 Maturity Model Carnegie Mellon Software Engineering Institute Capability Maturity Model (CMM) Digitaliseringsstyrelsens ISO 27001-benchmark Modenhedsskalaen for kontroller inddeles typisk i 6 trin: 0. Ikke-eksisterende 1. Ad hoc 2. Uformelle 3. Beskrevne 4. Styrede 5. Optimerede Udarbejdelse af en SoA Når I har valgt kontrollerne, og der er foretaget gap-analyse, har I de informationer, I skal bruge for at skrive en SoA. Vi anbefaler, at I anvender et struktureret værktøj til dokumentation af SoA'en. Et værktøj gør det nemmere at arbejde med indholdet i SoA'en og eksempelvis foretage sortering og filtrering baseret på modenhedsniveau, kilden til kravene og andre parametre. Eksempler på relevante værktøjer til brug ved udarbejdelse af en SoA er regneark, databaser og dedikerede ISMS-værktøjer som f.eks. SecureAware fra Neupart. Vær opmærksom på, at en SoA ikke udarbejdes én gang for alle. Den skal opdateres, når der sker ændringer i kontrollerne, i modenhedsniveau eller i de krav, som nødvendiggør kontrollerne. Planlægning af risikohåndtering Som nævnt i introduktionen er en SoA et meget centralt dokument i et ISMS. Når den første version af en SoA er udviklet, anvendes den både under udviklingen af risikohåndteringsplanen og ved implementering af de kontroller, der er valgt under aktiviteten Vælg kontroller. Man kan sige, at risikohåndteringsplanen er virksomhedens plan for implementering af sikkerhed, og at planens primære mål er at opnå organisationens mål for sikkerhed. 2014 Neupart 5

Under planlægning af implementeringen skal det afklares og beskrives: 1. Hvad skal der gøres? 2. Hvilke ressourcer kræver det? 3. Hvem har ansvaret? 4. Hvornår skal det være færdigt? 5. Hvordan skal resultaterne evalueres? En anden vigtig faktor, som I skal overveje ved sikkerhedsplanlægningen, er væsentligheden af de kontroller, som implementeres. Sikkerhedsaktiviteterne skal derfor prioriteres i forhold til følgende parametre: De beregnede risikoniveauer for de risici, som kontrollerne skal adressere Juridiske og regulative krav Implementering af kontroller Når planlægningen af risikohåndteringen er udført, begynder det egentlige sikkerhedsarbejde. Afhængigt af, hvor stor forskellen mellem det aktuelle og det krævede sikkerhedsniveau er, kan opgaven kræve både en stor arbejdsindsats og megen tid. Det er derfor ikke ualmindeligt, at man ser risikohåndteringsplaner, der strækker sig over flere måneder eller sågar år. Under implementeringen af kontrollerne, forbedres ISMS-systemets modenhed, og virksomhedens SoA skal derfor opdateres, efterhånden som denne udvikling sker. Vedligeholdelse af SoA Som nævnt ovenfor skal en SoA løbende opdateres, og Neupart anbefaler, at tidligere (større) opdateringer gemmes, så forbedringerne i implementeringen af kontroller og modenheden kan dokumenteres. Efterhånden som virksomhedens risikohåndteringsmetode modnes, er det desuden sandsynligt, at efterfølgende risikovurderinger medfører, at det samlede risikobillede og dermed også virksomhedens SoA skal opdateres. En opdateret SoA er meget nyttigt i forbindelse med dokumentation af ISMS-systemets samlede implementeringsniveau samt effektiviteten af de kontroller, der er implementeret. 2014 Neupart 6

Værktøjer Som nævnt ovenfor kan man med fordel anvende et struktureret værktøj til dokumentation for en SoA. Neupart tilbyder et komplet ISMS, SecureAware. SecureAware er udviklet på basis af den metodik, der er angivet i ISO 27001 og ISO 27002 samt standarden for it-risikohåndtering ISO 27005. I kan bruge SecureAware ved automatisering af implementeringen af jeres ISMS og spare værdifulde ressourcer, samtidig med at det sikres, at implementeringen bliver i overensstemmelse med standarderne. SecureAware fås som en gratis tidsbegrænset prøveversion, som I kan bruge til at oprette jeres SoA. Hvis I vil påbegynde implementeringen af ISMS-systemet uden brug af SecureAware, har vi udviklet en template, som I kan bruge til at dokumentere jeres SoA. Templaten er opbygget på samme måde som ISO 27002-kontrollerne, hvilket betyder, at det følger de kontrolmål og kontroller, der er angivet i ISO 27001 Anneks A. Templaten har følgende kolonner: Overskrift Anvendelse ISO 27002-kontrol # Afsnittets nummer Identifikation Afsnittets titel Kolonnerne nedenfor er eksempler på krav Kilde til krav: Der kan tilføjes andre kilder alt efter virksomhedens behov RV Risikovurderinger Nuv. Nuværende kontroller Kont. Kontraktmæssige krav PDL Persondatalov Vurder kontrollens modenhed efter denne skala: 0. Ikke-eksisterende 1. Ad hoc 2. Uformelle Modenhed 3. Beskrevne 4. Styrede 5. Optimerede Ikke relevant Kildehenvisning/ Dokumenter årsagen til relevans ved at angive det relevante afsnit i kilden Begrundelse for medtagelse/ til kravet ikke-relevans ELLER Angiv, hvorfor denne sikkerhedsforanstaltning ikke er relevant Kontrolbeskrivelse/ Henvisning til kontrol Angiv en kort beskrivelse af kontrollerne ELLER Angiv en henvisning til beskrivelsen af kontrollen Download templaten her: www.neupart.dk/temaer/iso-27001/soa-template-dk 2014 Neupart 7

Referencer ISO Standard 27001 - Ledelsessystemer for informationssikkerhed Krav http://webshop.ds.dk/da-dk/standard/ds-iso-iec-270012013 ISO Standard 27002 - Regelsæt for styring af informationssikkerhed http://webshop.ds.dk/da-dk/standard/ds-iso-iec-270022014 EU's direktiv om databeskyttelse 95/46/EF http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=celex:31995l0046:da:html Persondataloven https://www.retsinformation.dk/forms/r0710.aspx?id=828 Digitaliseringsstyrelsens ISO 27001-benchmark http://www.digst.dk/arkitektur-og-standarder/styring-af-informationssikkerhed-efter-iso- 27001/~/media/Files/Arkitektur%20og%20standarder/Informationssikkerhed%20efter%20ISO27001/ISO270 01_Benchmark.ashx Digitaliseringsstyrelsen og Center for Cybersikkerheds vejledning Cyberforsvar der virker http://fe-ddis.dk/cfcs/cfcsdocuments/cyberforsvar%20der%20virker.pdf Payment Card Industry - Data Security Standard (PCI DSS) https://www.pcisecuritystandards.org/security_standards/index.php SANS Institute - Twenty Critical Security Controls for Effective Cyber Defense http://www.sans.org/critical-security-controls/ NIST Special Publication 800-53 Security and Privacy Controls for Federal Information Systems and Organizations http://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-53r4.pdf 2014 Neupart 8

SecureConsult fra Neupart: Erfarne it-sikkerhedskonsulenter Skal I etablere et ISMS? Hvordan udarbejdes en Statement of Applicability? Skal den årlige risikovurdering gennemføres? Skal beredskabsplanerne opdateres? Hvordan følger I op på hændelser? Har I aftalt sikkerhedsansvar med jeres it-leverandører? Beskyttes persondata tilstrækkeligt? Vil I starte med en ISO 27001 gap-analyse? Der er mange ting man skal overveje i forhold til it-sikkerhed. Derfor stiller vi dygtige og erfarne konsulenter til rådighed, så du kan få en problemfri it-risikovurdering. Neupart har været certificeret siden 2003. Vores viden og erfaringer bringer virksomheder, institutioner og styrelser sikkert i mål med ISO 27001-efterlevelse på kortere tid. Når I planlægger og udfører jeres ISO 27001-aktiviteter rigtigt, kan den nødvendige informationssikkerhed indføres pragmatisk og fleksibelt. Det er Neupart eksperter i. Vi kalder vores konsulentydelser for SecureConsult. Ring til Louise Bøttner, Jeppe Kodahl, Jakob Holm Hansen eller Lars Neupart på 7025 8030 hvis du vil høre lidt mere om, hvordan vi kan hjælpe dig det er uforpligtende. 2014 Neupart 9

SecureAware ISMS fra Neupart er et information security management-værktøj, der gør det muligt for organisationer effektivt at håndtere it-risici og efterleve compliance-krav, som ISO 27001/2, EU Persondataloven og PCI DSS. SecureAware tilbydes som et komplet ISMS-værktøj eller som individuelle produkter. Læs mere og hent en gratis prøveversion på www.neupart.dk/produkter SecureAware Risk TNG Professionel it-risikostyring på kortere tid Hovedfunktioner Risikohåndtering (treatment) Business Impact Assessment Risikofokuseret aktiv-database Risikovurdering af leverandører og Cloud Service Providers Automatisk risikorapportering SecureAware 27001 Policy & Compliance Få styr på informationssikkerheden Hovedfunktioner Skabeloner til it-sikkerhedspolitik og -regler Politikstyring, regler, procedurer Krav-bibliotek med mapning og compliance gap-rapporter til ISO 2700x og persondatalovgivning Versionering, publicering, opgavestyring, intern audit Phishing-test & Awareness-quizzer SecureAware BCP Altid ajour og tilgængelige beredskabsplaner Hovedfunktioner Skabeloner til it-beredskab Plan for fortsat drift Gen-etableringsplaner Nødprocedurer Workflow til opdatering, test og øvelser af planerne Planer kan tilgås udenfor SecureAware 2014 Neupart 10

Tilmeld dig Neuparts nyhedsbrev om it-sikkerhedsledelse. Modtag white papers, vejledninger, webinar-invitationer etc. www.neupart.dk/om-neupart/nyhedsbrev t Neupart hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Neupart er forskellig fra de traditionelle konsulenthuse, fordi vores egenudviklede ISMS-løsning, SecureAware, sparer virksomheders tid og kræver færre konsulenttimer. Neupart er specialist i ISO 27001, EU persondatalovgivning, Cobit, PCI DSS og cloudsikkerhed. Med mere end 200 private og offentlige virksomheder som kunder er Neupart den førende IT GRC-leverandør. Neupart er ISO 27001-certificeret. Neupart A/S Hollandsvej 12 DK-2800 Lyngby T: +45 7025 8030 www.neupart.dk 2014 Neupart 11

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback