I forrige blogg snakket jeg litt generelt om hvordan forskjellige behov kan styre hvor mye krutt man legger i å opprette et godt styringssystem. Nå tar vi for oss den enkleste modellen av et ISMS.
ISMS Light er en grei inngangsbillett for enkelte selskaper for å beskrive hvordan de ivaretar informasjonssikkerhet.
Knowit Secure Norge valgte også en light versjon når de ønsket å sertifisere sin virksomhet. Denne tilnærmingen passer bra for en konsulentvirksomhet på 10-15 personer hvor nær alle ansatte sitter ute hos kunder eller opererer fra hjemmekontor. Og hvor antall applikasjoner er en snau håndfull og man i hovedsak benytter timeføring, office og andre produkter som er outsourcet IT driftsmessig. Da blir det med andre ord ikke mye igjen som skal ISO 27001 sertifiseres. Allikevel har vi brukt godt over et halvt år på å oppnå sertifiseringen.
Vi starter med å sette rammene
I utgangspunktet fordrer standarden noen få administrative dokumenter for å sette rammene.
- Omfangsbeskrivelse av ISMS’et
- Beskrivelse av Risikotilnærming
- Et «Statement of Applicability»
Deretter må vi vise strategiske veivalg
Så kommer et lite sett «Policy» dokumenter for å vise strategiske veivalg
- Policy for Informasjonssikkerhet i selskapet
- Policy for endringsledelse (med hensyn til endringer i dokumentene i ISMS'et)
- IT Sikkerhetspolicy
Overordnede prosedyrer
Deretter kommer et sett dokumenter som beskriver «Prosedyrer» eller aktuelle prosesser som selskapet benytter for å etablere etterlevelse av sine veivalg. Dette er altså taktiske beskrivelser av hvordan veivalgene skal oppfylles. For Knowit Secure sitt vedkommende har man etablerte prosedyrer som:
- Prosedyre for dokumentstyring
- Prosedyre for IT avdelingen
- Prosedyre for fysisk adgangskontroll
- Prosedyre for risikostyring
- Prosedyre for beredskapsplan
- Prosedyre for korrigerende og forebyggende tiltak
- Prosedyre for bruk av kryptering
- Prosedyre for avhending av dokumentasjon og lagringsmedium
- Prosedyre avvikshåndtering
- Prosedyre salgsprosess
- Prosedyre Internrevisjon
Detaljerte retningslinjer
For enkelte av prosessene har man i tillegg til den overordnede prosedyren utarbeidet mer detaljerte retningslinjer for de ansatte å bruke:
- Retningslinjer for informasjonssikkerhet i selskapet
- Retningslinjer for klassifisering av informasjon
- Retningslinjer for akseptabel bruk av aktiva
- Retningslinjer for roller og ansvar i Internkontroll og sikkerhetsarbeidet.
- Retningslinjer for avvikshåndtering
- Retningslinjer for tilgangskontroll
Andre verktøy?
Og til slutt har man enkelte hjelpemidler/skjemaer etc. som bidrar med opplysninger og fungerer som en «verktøykasse»
- Nettverksskisser
- Skjema for korrigerende tiltak
- Avvikshåndteringsskjema
- Risikomatrise
- Oversikt relevante lover og forskrifter samt referanse til øvrig dokumentasjon.
- Personvern for prosesseiere
Totalt blir dette 29 dokumenter som skal vedlikeholdes regelmessig, og som skal understøttes med ytterligere dokumentasjon som viser (dokumenterer) at prosessene blir fulgt.
Man må altså kunne gi bevis til en revisor på at for eksempel prosedyren for fysisk adgangskontroll er fulgt. Og man må ha skrevet inn i prosedyren hvordan dette kontrollsporet skal skapes og oppbevares. «Check and balance» mellom beskrivelse og faktiske arbeidsoppgaver.
Neste gang vil jeg snakke litt om et mer om større styringssystemer.
Lurer du på hvordan vi kan hjelpe dere?
Ta en titt på tjenestene vi tilbyr!
