Kva seier NS-ISO/IEC 27001?
Krava under er sentrale krav i standarden ISO/IEC 27001:2022. Dei sentrale krava er strukturerte under kvar av dei syv hovudaktivitetane som blir omtalte i rettleiingsmaterialet vårt "Internkontroll i praksis - informasjonssikkerheit".
1. Innleiing, bakgrunn og føremål
Føremålet med denne sida og desse referansane er å skape eit bindeledd mellom Digitaliseringsdirektoratet sitt rettleiingsmateriell i internkontroll/styringssystem/ leiingssystem på informasjonssikkerheitsområdet og ISO/IEC-standarden. Alle referansar i parentes viser til kapittel i 2022-utgåva av standarden.
For å bli kjent med den offisielle teksten og detaljane i alle krava må verksemda lese dei kapitla det blir referert til i sjølve standarden. Dette vil vere nødvendig for alle som ønskjer å sertifisere seg. Merk at det ikkje er eit krav at offentlege verksemder i Noreg skal sertifisere seg.
Denne sida er korkje ei komplett attgjeving av standarden eller meint som grunnlag for sertifisering. Å lese originalstandarden, gjerne som utdjuping til denne sida, kan også gi nyttig støtte for alle verksemder i den faktiske implementeringa og evalueringa av eige styringssystem.
Digitaliseringsdirektoratet er ansvarleg for denne sida. Teksten har vore lagt fram for Standard Online som tar seg av opphavsrettane for standarden ISO/IEC 27001 i Noreg, og det er semje om at sida og teksten ikkje krenker Standard Online sine einerettar til eksemplarframstilling og publisering av standarden.
I 2015 endra Standard Norge namn på alle styringssystemstandardane, irekna ISO 27001, frå styringssystem til leiingssystem. Vi har i denne teksten behalde omgrepet styringssystem. Vi kallar dette uansett internkontroll (styring og kontroll) i rettleiingsmateriellet. Internkontroll, styringssystem og leiingssystem betyr det same i denne konteksten.
2. Leiinga si styring og oppfølging
2.1 Bakgrunn
Eit styringssystem for informasjonssikkerheit skal sikre nødvendig konfidensialitet, integritet og tilgang til informasjonen til verksemda. Kjernen i styringssystemet er ein risikostyringsprosess som skal gi interessentane til verksemda tillit til at informasjonssikkerheitsrisikoar blir handterte på ein adekvat måte (jf. 0.1).
Innføring av eit styringssystem for informasjonssikkerheit er ei strategisk avgjerd i ei verksemd. Etablering og implementering blir påverka av verksemda sine ulike behov, mål, sikkerheitskrav, verksemda sine arbeidsprosessar og verksemda sin storleik og struktur. Alle desse faktorane er forventa å endre seg over tid (jf. 0.1).
Det er viktig at styringssystemet for informasjonssikkerheit er ein del av og integrert i verksemda sine prosessar og heilskaplege styring. Vidare bør informasjonssikkerheit vurderast under utforming av verksemdsprosessane, informasjonssystema og tiltaka. Eit styringssystem for informasjonssikkerheit bør vere skalert og tilpassa behovet til den enkelte verksemda(jf. 0.1).
2.2 Hovudkrav i standarden
Verksemda skal etablere, implementere, vedlikehalde og forbetre eit styringssystem for informasjonssikkerheit (jf. 4.4). Dei prosessane som er nødvendige for å oppfylle mål og krav til informasjonssikkerheit i verksemda, skal ein planlegge, implementere og kontrollere (jf. 8.1). Dette gjerast ved å etablere kriterium for prosessane og etablere kontroller for prosessane iht. kriteria. Verksemda skal ha kontroll på planlagde endringar og evaluere konsekvensane av utilsikta endringar – eventuelt utføre nødvendige aktivitetar for å redusere konsekvensane (jf. 8.1).
Verksemda skal etablere mål for informasjonssikkerheitsarbeidet, og desse skal være tilgjengeleg som dokumentert informasjon og følgjast opp (jf. 6.2 d). Når verksemda vedtek behov for endringar i styringssystemet, skal dette gjerast på ein planlagt måte (jf. 6.3).
Verksemda skal kontinuerleg forbetre eignaheita, tilstrekkelegheita og effektiviteten til styringssystemet for informasjonssikkerheit (jf. 10.2). Toppleiinga skal gjennomgå styringssystemet ved planlagde intervall for å forsikre seg om at dette skjer (jf. 9.3).
Eksternt leverte prosessar, produkter eller tenester som er relevante for styringssystemet for informasjonssikkerheit skal kontrollerast (jf. 8.1).
2.3 Analyse av konteksten verksemda står i
Verksemda skal avdekke og forstå eigen kontekst, inkludert både eksterne og interne tilhøve som er relevante, både for verksemda sitt føremål og det leiinga vil oppnå med styringssystemet for informasjonssikkerheit (jf. 4.1).
Verksemda skal identifisere relevante interessentar og deira krav og forventningar til informasjonssikkerheit. Verksemda skal også vurdere hvilke av diesse kravane som vil omfattast av styringssystemet (4.2 c). Dette kan inkludere juridiske krav og avtalemessige forpliktingar (jf. 4.2).
Informasjon frå eksterne kjelder som verksemda meiner er nødvendig for planlegging og drift av styringssystemet for informasjonssikkerheit, skal vere identifisert. Verksemda skal også ha kontroll med endringar i denne informasjonen (jf. 7.5.3).
2.4 Omfang, strategi, ansvar og mål
Verksemda skal definere og dokumentere omfanget til styringssystemet basert på dei kartlagde eksterne og interne tilhøva, interessentane sine krav og forventningar og dessutan grensesnitt og avhengigheiter mellom aktivitetar utførte av verksemda sjølv og dei som blir utførte av andre. (jf. 4.3). Verksemda skal ha kontroll med prosessar, produkt og tenester som er sett ut til tredjepart (jf. 8.1).
Under planlegginga skal verksemda kartlegge konteksten og identifisere risikoar og moglegheiter som må bli handterte for å sikre at styringssystemet oppnår tilsikta resultat, reduserer eller hindrar uønskte effektar og dessutan oppnår kontinuerleg forbetring. Verksemda skal vidare planlegge nødvendige handlingar, irekna korleis dei skal integrerast i styringssystemet sine prosessar og evaluerast (jf. 6.1.1).
Toppleiinga skal etablere ein informasjonssikkerheitspolicy og syte for at han er dokumentert og kommunisert (jf. 5.2). Policyen skal
- vere føremålstenleg i samsvar med føremålet til verksemda
- innehalde mål for informasjonssikkerheita eller eit rammeverk for å setje slike mål
- forplikte verksemda til å oppfylle definerte krav til informasjonssikkerheit og syte for kontinuerleg forbetring
Toppleiinga skal syte for at ansvar og vedtaksmakt som er relevant for informasjonssikkerheita, er delegert og kommunisert. Dette gjeld også ansvar og vedtaksmakt for å sikre at styringssystemet er i samsvar med standarden, og for å rapportere til toppleiinga om korleis styringssystemet fungerer (jf. 5.3). (Merk at offentlege verksemder i Noreg ikkje er pålagde å vere i samsvar med standarden. Pålegget er å basere seg på anerkjende standardar. Tilrådinga er å basere seg på gjeldande versjon av NS-ISO/IEC 27001. Offentlege verksemder er i Referansekatalogen for IT-standarder tilråda å bruke dette rettleiingsmaterialet (Internkontroll i praksis - informasjonssikkerhet) som referanse og støtte ved analyse av status, og ved etablering og forbetring av internkontroll på informasjonssikkerheitsområdet.)
Verksemda skal bestemme konkrete mål for informasjonssikkerheit for relevante funksjoner og nivå. Måla skal vere i samsvar med informasjonssikkerheitspolicyen og ta høgde for relevante krav til informasjonssikkerheit og dessutan resultata av risikovurderingar og risikohandtering (jf. 6.2).
2.5 Føringar for risikostyring
Verksemda skal definere og ta i bruk ein prosess for risikovurdering av informasjonssikkerheita som sikrar at gjentatte risikovurderingar produserer konsistente, gyldige og samanliknbare resultat. Informasjonssikkerheitsrelaterte kriterium skal etablerast og vedlikehaldast, irekna kriterium for risikoaksept og kriterium for å gjennomføre risikovurderingar (jf. 6.1.2 a og b). Verksemda skal også definere og ta i bruk ein prosess for risikohandtering (jf. 6.1.3).
2.6 Leiarskap
Toppleiinga skal vise leiarskap og engasjement rundt styringssystemet for informasjonssikkerheit, blant anna (jf. 5.1) gjennom å:
- sikre at måla for informasjonssikkerheit er i tråd med den strategiske retninga til verksemda
- sikre at krava til styringssystemet for informasjonssikkerheit er integrerte i verksemda sine prosessar
- rettleie og støtte dei tilsette slik at dei bidrar til at styringssystemet for informasjonssikkerheit er effektivt etter føremålet
- fremje kontinuerleg forbetring
Verksemda skal avdekke behovet for og stille dei nødvendige ressursane til disposisjon for etablering, iverksetjing, vedlikehald og kontinuerleg forbetring av styringssystemet for informasjonssikkerheit (jf. 7.1).
I planlegginga av korleis ein skal nå informasjonssikkerheitsmåla, skal oppgåver, ansvar, ressursbehov, tidspunkt for ferdigstilling og evalueringsmåte fastsetjast. (jf. 6.2). Planane skal implementerast (jf. 8.1).
2.7 Leiinga sin gjennomgang
Leiinga sin gjennomgang skal blant anna (jf. 9.3) bestå av:
- status på vedtatte tiltak etter tidlegare gjennomgangar
- relevante endringar i omgivnader
- relevante endringar i interessentane sine krav og forventningar (relevant for styringssystemet)
- tilbakemeldingar på informasjonssikkerheitsnivået, slik som:
- avvik og korrigerande tiltak
- resultata frå måling og overvaking
- resultata frå revisjonar
- måloppnåing
- tilbakemeldingar frå interessentane
- resultata frå risikovurderingar
- moglegheiter for kontinuerleg forbetring
2.8 Krav til dokumentasjon i standarden
Verksemda skal avdekke eigen kontekst (jf. 4.1). Vidare skal verksemda identifisere interessentar og kva for slags krav og forventningar desse har til informasjonssikkerheit i verksemda, samt hvilke av dei identifiserte krava som skal adresserast i styringssystemet (4.2 c). Dette kan inkludere juridiske krav og avtalemessige forpliktingar (jf. 4.2).
Dokumentert informasjon frå eksterne kjelder som verksemda reknar som nødvendig for planlegging og drift av styringssystemet for informasjonssikkerheit, skal vere identifisert (jf. 7.5.3).
Verksemda skal definere og dokumentere omfanget på styringssystemet (jf. 4.3).
Toppleiinga skal etablere ein informasjonssikkerheitspolicy (jf. 5.2).
Toppleiinga skal syte for at ansvar og avgjerdsmakt som er relevant for informasjonssikkerheita, er delegert og kommunisert (jf. 5.3).
Verksemda skal oppbevare dokumentert informasjon om måla for informasjonssikkerheit (jf. 6.2).
Verksemda skal definere og skaffe nødvendige ressursar for etablering, iverksetjing, vedlikehald og kontinuerleg forbetring av styringssystemet for informasjonssikkerheit (jf. 7.1).
I planlegginga av korleis ein skal nå informasjonssikkerheitsmåla, skal oppgåver, ansvar, nødvendige ressursar, tidspunkt for ferdigstilling og evalueringsmåte fastsetjast. (jf. 6.2). Sikkerheitsmåla skal monitorerast (6.2 d), og være tilgjengelege som dokumentert informasjon (6.2 g).
Resultata av prosessar/aktivitetar som skal inngå i leiinga sin gjennomgang, og resultata frå gjennomgangen, skal dokumenterast (jf. 9.3).
3. Vurdering av risiko
3.1 Generelt
Verksemda skal ta i bruk den risikovurderingsprosessen som er definert for verksemda (jf. 6.1.2). Risikovurderingar skal gjennomførast i planlagde intervall og når vesentlege endringar planleggast eller oppstår (jf. 8.2). Ein plan for handtering av risikoar skal implementerast (jf. 8.3).
3.2 Risikovurdering
Risikoeigarar og informasjonssikkerheitsrisikoar skal identifiserast og risikoane analyserast. Potensielle konsekvensar og realistisk sannsyn skal estimerast og nivået på risikoane fastsetjast. Risikovurdering utførast ved at resultata frå risikoanalysen blir samanlikna med verksemda sine risikokriterium og risikoane blir prioriterte ut frå det i den vidare risikohandteringa (jf. 6.1.2 c, d og e).
3.3 Krav til dokumentasjon i standarden
Verksemda skal oppbevare dokumentert informasjon om prosessane for risikovurdering og risikohandtering (jf. 6.1.2 og 6.1.3). Verksemda skal også oppbevare dokumentert informasjon om resultata av risikovurderinga og risikohandteringsprosessen, og dessutan den påfølgjande tiltaksetableringa (jf. 6.1.3, 8.2 og 8.3).
4. Handtering av risiko
4.1 Oppfølging av risikovurderinga
Verksemda skal planlegge, implementere og kontrollere nødvendige prosesser for å oppfylle informasjonssikkerheitskrava og informasjonssikkerheitsmåla (jf. 8.1).
4.2 Vurdere og val av tiltak
Basert på risikovurderinga skal verksemda velje føremålstenleg handtering av dei risikoane som krev handtering ut frå risikokriteria, og bestemme kva tiltak som er nødvendige å innføre. Tiltak kan designast etter behov eller bli valde frå kva kjelde som helst. Dei valde tiltaka skal likevel vurderast opp mot tiltaka skildra i vedlegg A i standarden, for å verifisere at ingen relevante tiltak er utelatne i tiltaksvurderinga (jf. 6.1.3 a, b og c).
Verksemda skal lage ei erklæring om relevans (Statement of Applicability – SoA) som viser valde tiltak med grunngiving for kvifor dei er valde, og om dei er implementerte eller ikkje. Erklæringa skal også innehalde grunngjeving for dei tiltaka i vedlegg A som er utelatne (jf. 6.1.3 d).
Det skal utarbeidast ein plan for handtering av risikoane. Risikoeigar skal godkjenne både planen og den attverande risikoen (jf. 6.1.3 e og f).
4.3 Implementering av tiltak
Verksemda skal implementere valde tiltak (jf. 8.3).
4.4 Handtering av endringar
Verksemda skal styre planlagde endringar, evaluere konsekvensane av utilsikta endringar og der det er nødvendig, implementere tiltak for å handtere negative effektar (jf. 8.1). Effektiviteten av korrigerande tiltak skal analyserast (jf. 10.2 d).
4.5 Kontinuerleg forbetring
Verksemda skal kontinuerleg forbetre styringssystemet sine ønskelege eigenskapar, tilstrekkelegheit og effektivitet. (jf. 10.1).
4.6 Krav til dokumentasjon i standarden
Verksemda skal oppbevare dokumentert informasjon om prosessane for risikohandtering (jf. 6.1.3), om resultata frå handteringa av informasjonssikkerheitsrisikoane (jf. 8.3) og resultata av korrigerande tiltak (jf. 10.2 g).
5. Overvaking og hendingshandtering
5.1 Overvaking
Verksemda skal overvake informasjonssikkerheita. Det skal definerast kva som skal overvakast, og kva tid, kva for slags metodar ein skal ta i bruk, kven som skal overvake, kva tid resultata skal analyserast og evaluerast, og i tillegg kven som skal gjere analysen og evalueringa (jf. 9.1).
5.2 Avvik og korrigerande tiltak
Verksemda skal reagere på avvik, og, der det er nødvendig, setje i verk tiltak for å kontrollere og korrigere avviket og handtere konsekvensane. Verksemda skal evaluere behovet for tiltak for å fjerne årsaka til avviket slik at det ikkje oppstår på nytt på den same eller ein annan stad. Så framt det er nødvendig, skal verksemda gjere endringar (jf. 10.2).
5.3 Krav til dokumentasjon i standarden
Verksemda skal dokumentere resultata frå overvakinga (jf. 9.1).
Avvik og korrigerande tiltak og resultata av desse tiltaka skal dokumenterast (jf. 10.2 f og g) og er ein del av grunnlaget for leiinga sin gjennomgang (jf. 9.3).
6. Måling, evaluering og revisjon
6.1 Måling og evaluering
Verksemda skal gjennomføre måling av effektiviteten på styringssystemet for informasjonssikkerheit, irekna dei sikringstiltaka som er sette i verk. Det skal definerast kva som skal målast, kva tid det skal målast, kva for slags metodar som skal tas i bruk, kven som skal gjennomføre målinga, kva tid resultata skal analyserast og evaluerast, og dessutan kven som skal gjere analysen og evalueringa (jf. 9.1).
Trendar observert gjennom resultata av målinga skal identifiserast og tas i bruk under leiinga sin gjennomgang (jf. 9.3 c).
6.2 Intern revisjon
Verksemda skal ved planlagde intervall gjennomføre interne revisjonar for å avdekke om styringssystemet for informasjonssikkerheit fungerer i samsvar med verksemda sine eigne krav og krava i ISO-standarden. Revisjonane skal også vise om styringssystemet er implementert – og blir vedlikehalde– på ein føremålseffektiv måte (jf. 9.1 a og b).
Revisjonsprogram skal planleggast, der mellom anna metodar, ansvar og krav til rapportering er inkludert. For kvar revisjon skal revisjonskriterium og omfang definerast, og revisjonane skal utførast av personar som er sjølvstendige overfor prosessane som reviderast. Revisjonsprogrammet skal ta omsyn til viktigheita av prosessen som er framheva, og resultatet av tidlegare revisjonar (jf. 9.2.2).
6.3 Krav til dokumentasjon i standarden
Verksemda skal oppbevare dokumentert informasjon som bevis på gjennomføring av måling (jf. 9.1).
Trendar som er observert gjennom resultata av målinga, skal dokumenterast og er ein del av grunnlaget for leiinga sin gjennomgang (jf. 9.3).
Revisjonsplanane med tilhøyrande skildring av kriteria og omfang, og dessutan resultata av revisjonen skal dokumenterast og rapporterast til relevant leiing og er ein del av grunnlaget for leiinga sin gjennomgang (jf. 9.2 g og 9.3).
7. Kompetanse- og kulturutvikling
7.1 Bevisstgjering
Personar som arbeider i verksemda, skal kjenne til informasjonssikkerheitspolicyen, deira bidrag til effektiviteten av styringssystemet for informasjonssikkerheit og fordelane med forbetra handtering av informasjonssikkerheita. Dei skal også kjenne til kva det kan føre med seg om krava til informasjonssikkerheit ikkje blir etterlevde (jf. 7.3).
7.2 Kartlegging
Verksemda skal kartlegge kva slags kompetanse som er nødvendig for personar under verksemda si styring som utfører arbeid som kan påverke informasjonssikkerheita (jf. 7.2 a).
7.3 Kompetanse- og kulturutvikling
Basert på kartlegginga skal verksemda sjå til at desse personane får nødvendig erfaring og kompetanse gjennom utdanning og trening (jf. 7.2 b). Effekten av kompetansehevingstiltak skal evaluerast (jf. 7.2 c).
7.4 Krav til dokumentasjon i standarden
Verksemda skal oppbevare føremålstenleg dokumentert informasjon som bevis på kompetansen (jf. 7.2 d).
8. Kommunikasjon
8.1 Avdekke behov, ansvar, vedtaksmakt og form
Verksemda skal fastsette behovet for intern og ekstern kommunikasjon, irekna kven som er ansvarlege for å kommunisere, kva som skal kommuniserast, kva tid det skal kommuniserast, i kva for slags form det skal kommuniserast, og til kven (jf. 7.4).
Dokumentert informasjon skal ha føremålstenleg identifikasjon, vere føremålstenleg skildra og vere i eit føremålstenleg format. Han skal vere gjennomgått og godkjend ut frå føremåla sine ønskelege eigenskapar og tilstrekkelegheit (jf. 7.5.2).
Dokumentert informasjon skal vere tilgjengeleg og eigna for bruk når det er behov for han. Han skal vere tilstrekkeleg sikra. Avhengig av relevans skal verksemda vurdere blant anna distribusjon, tilgang, lagring og endringskontroll (jf. 7.5.3).
8.2 Krav til dokumentasjon i standarden
Styringssystemet skal innehalde dokumentert informasjon for det ISO-standarden krev, og dessutan den informasjonen verksemda sjølv har definert som nødvendig for å sikre effektiviteten til styringssystemet (jf. 7.5.1).
Verksemda skal lagre dokumentert informasjon i det omfanget som er nødvendig, for å kunne ha tillit til at prosessane blir utførte som planlagt (jf. 8.1).