ISO 27001 og ISO 9001 ledelsessystem
Udvidelse af et ISO 9001 system med ISO 27001
Hvis en organisation allerede har et kvalitetsledelsessystem opbygget efter ISO 9001, så kan et ledelsessystem til informationssikkerhed ske gennem en udvidelse. Hermed bliver opgaven med at implementere ISO 27001 forsimplet væsentligt.
Her beskriver vi en række betragtninger om, hvordan dette kan ske i praksis ved at gennemgå de to standarders ligheder og forskelle.
Den overordnede struktur
2015-versionen af ISO 9001 fik ny hovedstruktur som følger ISOs High Level Structure (HLS). Dette gav anledning til en ændring, som ikke i sig selv gav stor værdi til ISO 9001, men denne fælles struktur giver til gengæld rigtig god mening, når flere ISO standarder, som følger HLS er i spil samtidigt.
På figuren herunder er vist HLS strukturen, som nemt genkendes fra kapitel 4 til 10 i ISO 9001, samt de to nye bidrag fra ISO 27001.
Som det fremgår, følger ISO 27001 samme hovedstruktur som ISO 9001 og bidrager dertil med to nye områder under hovedområdet drift (eng. Operation). Vurdering og håndtering af risici vedr. informationssikkerhed er nye og understreger det store fokus på risici i forbindelse med informationssikkerhed. Men ellers matcher de to standarder hinanden meget smukt.
Herunder beskrives overordnet, hvad ISO 27001 vil kræve ekstra i forhold til ISO 9001 med udgangspunkt i hovedstrukturen.
Organisationens kontekst (4)
Her skal organisationen og dens kontekst beskrives samt interessenternes behov og forventninger forstås. Disse elementer fra ISO 9001 kan genbruges strukturelt og indholdsmæssigt, men det kan imødeses at tilføjelsen af informationssikkerhed giver flere interessenter og dermed også flere forventninger. Det er vigtigt at blive klar omkring krav til informationssikkerhed fra lovgivning, myndigheder og kunder.
Ledelsessystemets omfang vil formentlig også blive større da det typisk omfatter andre organisationer, som bidrager til – og forøger risikoen forbundet med – informationssikkerhed. Her tænkes eks. på tjenester i skyen, ekstern hosting og faste samarbejdspartnere, ligesom organisationer der udvikler til organisationen, også er relevante, hvis deres software er relateret til informationssikkerhed.
Slutteligt skal omfanget af ledelsessystemet til informationssikkerhed fastlægges ud fra det beskrevne, se figuren herunder.
Beskrivelsen af omfanget (Scope på tegningen) for ISO 27001 tager udgangspunkt i organisatoriske grænseflader og afhængigheder, hvor ISO 9001 har udgangspunkt i produkter og services.
Lederskab (5)
Grundelementerne i lederskab er uændrede; det handler om at fastlægge en politik for informationssikkerhed og etablering af den nødvendige organisation til at efterleve denne politik.
Politikken er meget central i implementeringen af ISO 27001 og skal etableres fra ny. Lederskabet handler om, at denne bliver implementeret og omfatter derfor en nedbrydning i passende målsætninger. Hertil også arbejdet med at kommunikere og indprente kendskab og kompetencer ind i organisationen. Selvom det kan være fristende at kombinere politikker for de to standarder, så skal man være opmærksom på, at ISO 27001 omfatter en del forskellige og mangeartede politikker (eks. om kryptografi, mobile apparater og backup) som kan være svære at styre ændringer til, hvis de er samlet i ét dokument. Hertil er det ikke usædvanligt, at kunder ønsker at se informationssikkerhedspolitikken.
Organisationen til ISO 27001 kan forventes at være meget anderledes end ISO 9001. Dette skyldes blandt andet, at der er mange detaljerede, specialiserede og konkrete krav til informationssikkerhed. Som traditionelle eksempler kan nævnes it-kompetencer eks. omkring datanetværk og databaser, ligesom der er mange praktiske aspekter omkring adgang, opdeling af ansvar samt fysisk sikring. Det er naturligvis muligt, at samme person kan være manager for kvalitetsledelse og informationssikkerhed.
Planlægning (6)
Naturen af denne planlægning, som sker før planlægningen af drift, vil formentlig opfattes anderledes i ISO 27001, hvor arbejdet med risikoanalyse og risikohåndtering er meget centralt. Hvor risikoledelse er en væsentlig del af ISO 9001 (og meget mere central i 2015-versionen), er den helt central i ISO 27001 for standardens korrekte implementering, da der i praksis er krav om at løse to større konkrete opgaver, som beskrives herunder.
1. Udarbejdelse af virksomhedens risikoprofil - Statement of Applicability (SoA)
En væsentlig opgave indenfor planlægning er udarbejdelsen af en "Statement of Applicability" (SoA), som angiver og begrunder virksomhedens risikoprofil gennem organisationens til- og fravalg af indhold i Anneks A. Med andre ord skal det sikres, at ingen nødvendige kontroller er udeladt. Virksomheden må gerne tilføje flere kontroller (fx krav fra andre sikkerhedsstandarder, virksomheden skal følge).
Dette dokument (typisk et regneark eller dedikeret værktøj) er krævet i standarden, både mht udarbejdelse og vedligeholdelse og skal fremlægges ved en evt. certificering. Udarbejdelsen giver dog stor værdi for ledelsens forståelse af det rette sikkerhedsniveau, så dette kan under alle omstændigheder anbefales. Det danner desuden grundlag for den næste konkrete opgave.
2. Etablering af sikkerhedskontroller
Risikohåndteringen omfatter etablering af diverse tiltag og løbende undersøgelser, der skal sikre informationssikkerhed, kort benævnt sikkerhedskontroller. Disse kontroller beskytter, eller udgør modforanstaltninger, i forhold til de identificerede risici. De kan opdeles på flere måder eks. som præventive, detekterende eller korrigerende kontroller. Andre finder værdi i en opdeling i strategiske, taktiske og operationelle kontroller. Der er mange forskellige opdelinger, men den eneste ”officielle” fra ISO er nedenstående opdeling i 14 grupper (nummereret fra 5 til 18).
Et eksempel på en kontrol er adgangskoden til en computer, som skal forhindre uautoriseret adgang til informationer. Dette kan betragtes som en præventiv kontrol, da den skal forhindre et potentielt problem.
Referencekontrolmål og kontrol er angivet i standardens Anneks A. Dette er opdelt i de områder, som er vist på figuren herunder.
Support (7)
Dette omfatter ressourcer og kompetencer til informationssikkerhed samt bevidsthed og kommunikation i relation til samme. Disse områder er strukturelt uændrede sammenlignet med ISO 9001, men der skal naturligvis udpeges ressourcer, som er specifikke for informationssikkerhed ligesom kompetencer også skal matche.
”Dokumenteret information” er ISO's begreb for information, som fastholdes og styres, typisk i form af dokumenter eller information opbevaret i it-systemer. Eksempler på dette er politikker, risikoregistret og logs for gennemførte kontroller (såsom autorisationer, anti-virus beskyttelse, adgangskoder mv.).
Processer relateret til behandling af dokumenteret information i ISO 9001 kan genbruges, men der er tale om nye, forandrede og andre dokumenterede informationer. Eksempelvis har politikker et større fokus i ISO 27001, eks. tales om politikker for mobile enheder, for adgangskontrol og for backup. Der er dog ikke noget i vejen for, at disse kan samles i færre dokumenter, blot det er tydeligt for enhver i organisationen, hvad der forlanges opfyldt omkring sikkerhed.
Drift (8)
Drift (eng. Operation) har samme udgangspunkt i ISO 27001 som i ISO 9001, dvs. allokering af planlægning/opfølgning samt operationalisering. Det handler om at udføre de overordnede mål og planer i hele organisationen, ligesom det handler om at håndtere både planlagte og uventede større ændringer eller hændelser. Den praktiske implementering er dog forandret i ISO 27001, hvor det handler meget om implementering af kontroller til informationssikkerhed.
Indenfor dette hovedområder fortsætter fokus på risikoidentifikation og risikohåndtering. Disse områder skal løbende opdateres og operationaliseres, så de også håndteres på tværs i organisationen. Det forventes at sikkerhedsapparatet følger med i udviklingen af omverdenens trusselsbillede, ligesom opgraderinger eller nyindkøb af systemer skal vurderes inden implementering.
Til at gennemføre de føromtalte kontroller kræves konkret bemanding, udførelse og opfølgning. Dette betragtes som et driftsaspekt.
Evaluering (9)
Området omfatte de traditionelle områder som overvågning, måling, analyse og evaluering, samt intern audit og ledelses gennemgang. Fundamentalt er disse områder uændrede.
For mange vil intern audit repræsentere den største udfordring i overgang fra ISO 9001 til ISO 27001, da kompetencekravene til auditors kan være ret omfattende og anderledes. Informationssikkerhed omfatter strategiske, taktiske og operationelle indsatser ligesom en række specialiserede og tekniske kompetencer.
Det kan blive nødvendigt at frigøre personer til at hjælpe med audit. Det kan være en hjælp at nogle audits kan udføres automatisk, hvis logning kan ske maskinelt.
Man skal være opmærksom på, at ledelsens evaluering for ISO 27001 ganske vist kan gennemføres med en lignende proces som i ISO 9001, men kræver en række andre inputs, herunder en gennemgang af SoA'en med henblik på at sikre, at det valgte risikoniveau fortsat er korrekt.
Forbedring (10)
Forbedring handler i en bred forstand om korrigerende og præventive handlinger, der giver anledning til løbende justering af processer, værktøjer og metoder for kontrolgennemførelse (fx øget automatisering). Implementeringen i ISO 27001 ligner meget ISO 9001, blot anvendt på et andet område.
Opsummering
Som det fremgår af ovenstående, så er rigtig mange sammenfald mellem ISO 9001 og ISO 27001. Det er forventeligt, nu hvor begge standarder er baseret på samme hovedstruktur dvs. ISO HLS.
Det er derfor oplagt at høste fordelene ved at opgradere et eksisterende kvalitetsledelsessystem til også at omfatte ledelse af informationssikkerhed. Integrationen af ledelsessystemerne kan bygge på mange synergier og fælles ressourcer, hvilket vil spare tid og penge i relation til vedligehold og forbedring.
ISO 9001 og 27001 deler også overordnede mål, eks. målet om at give kunder tryghed og sikkerhed. Dermed kan styring af informationssikkerhed være adgang til nye markeder og bedre kundetilfredshed.