Innhold
- Innledning, bakgrunn og formål
- Ledelsens styring og oppfølging
- Risikovurdering
- Risikohåndtering
- Overvåking og hendelseshåndtering
- Måling, evaluering og revisjon
- Kompetanse- og kulturutvikling
- Kommunikasjon
1 Innledning, bakgrunn og formål
Kravene under er sentrale krav i standarden ISO/IEC 27001:2013. Vi har her forsøkt å lage en sammenstilling tilpasset norsk offentlig sektors behov for å basere seg på standarden. De sentrale kravene er strukturert under hver av de syv hovedaktivitetene som omtales i vårt veiledningsmateriell om Internkontroll informasjonssikkerhet.
Alle referanser i parentes viser til kapitler i 2013-utgaven av standarden. Formålet med denne siden og disse referansene er å skape et bindeledd mellom Digitaliseringsdirektoratets veiledningsmateriell i internkontroll/styringssystem/ledelsessystem på informasjonssikkerhetsområdet og ISO/IEC-standarden.
For å bli kjent med den offisielle teksten og detaljene i alle kravene må virksomhetene lese de kapitlene det refereres til i selve standarden. Dette vil være nødvendig for alle som ønsker å sertifisere seg[1]. I tillegg er dette dokumentet hverken en komplett gjengivelse av standarden eller ment som grunnlag for sertifisering. Å lese originalstandarden, gjerne som utdypning til dette dokumentet, kan også gi nyttig støtte for alle virksomheter i den faktiske implementeringen og evalueringen av eget styringssystem.
Digitaliseringsdirektoratet er ansvarlig for dette dokumentet. Teksten har vært forelagt Standard Online som ivaretar opphavsrettighetene for standarden ISO/IEC 27001 i Norge, og det er enighet om at dokumentet og teksten ikke krenker Standard Onlines eneretter til eksemplarfremstilling og publisering av standarden.
Standard Norge endret for noen år siden navn på alle styringssystemstandardene, herunder ISO 27001, fra styringssystem til ledelsessystem. Vi har i denne teksten beholdt begrepet styringssystem. Vi kaller dette uansett internkontroll (styring og kontroll) i veiledningsmateriellet. Internkontroll, styringssystem og ledelsessystem anses å bety det samme i denne konteksten.
2 Ledelsens styring og oppfølging
2.1 Bakgrunn
Et styringssystem for informasjonssikkerhet skal sikre nødvendig konfidensialitet, integritet og tilgjengelighet på virksomhetens informasjon. Kjernen i styringssystemet er en risikostyringsprosess som skal gi virksomhetens interessenter tillit til at informasjonssikkerhetsrisikoer håndteres på en adekvat måte (jf. 0.1).
Innføring av et styringssystem for informasjonssikkerhet er en strategisk beslutning i en virksomhet. Etablering og implementering påvirkes av virksomhetens ulike behov, mål, sikkerhetskrav, virksomhetens arbeidsprosesser samt virksomhetens størrelse og struktur. Alle disse faktorene forventes å endre seg over tid (jf. 0.1).
Det er viktig at styringssystemet for informasjonssikkerhet er en del av og integrert i virksomhetens prosesser og helhetlige styring. Videre bør informasjonssikkerhet vurderes under utforming av virksomhetsprosessene, informasjonssystemene og tiltakene. Et styringssystem for informasjonssikkerhet bør være skalert og tilpasset den enkelte virksomhets behov (jf. 0.1).
2.2 Hovedkrav i standarden
Virksomheten skal etablere, implementere, vedlikeholde og forbedre et styringssystem for informasjonssikkerhet (jf. 4.4). De prosessene som er nødvendige for å oppfylle mål og krav til informasjonssikkerhet i virksomheten, skal planlegges, implementeres og kontrolleres (jf. 8.1). Virksomheten skal ha kontroll på planlagte endringer og evaluere konsekvensene av utilsiktede endringer – eventuelt utføre nødvendige aktiviteter for å redusere konsekvensene (jf. 8.1).
Virksomheten skal kontinuerlig forbedre egnetheten, tilstrekkeligheten og effektiviteten til styringssystemet for informasjonssikkerhet (jf. 10.2). Toppledelsen skal gjennomgå styringssystemet ved planlagte intervaller for å forsikre seg om at dette skjer (jf. 9.3).
2.3 Analyse av virksomhetens kontekst
Virksomheten skal avdekke og forstå egen kontekst, inkludert både eksterne og interne forhold som er relevante, både for virksomhetens formål og det ledelsen vil oppnå med styringssystemet for informasjonssikkerhet (jf. 4.1).
Virksomheten skal identifisere relevante interessenter og deres krav og forventninger til informasjonssikkerhet. Dette kan inkludere juridiske krav og avtalemessige forpliktelser (jf. 4.2).
Informasjon fra eksterne kilder som virksomheten anser nødvendig for planlegging og drift av styringssystemet for informasjonssikkerhet, skal være identifisert. Virksomheten skal også ha kontroll med endringer i denne informasjonen (jf. 7.5.3).
2.4 Omfang, strategi, ansvar og mål
Virksomheten skal definere og dokumentere styringssystemets omfang basert på de kartlagte eksterne og interne forholdene, interessentenes krav og forventninger samt grensesnitt og avhengigheter mellom aktiviteter utført av virksomheten selv og de som utføres av andre. (jf. 4.3). Virksomheten skal ha kontroll med prosesser som er satt ut til tredjepart (jf. 8.1).
Under planleggingen skal virksomheten kartlegge konteksten og identifisere risikoer og muligheter som må håndteres, for å sikre at styringssystemet oppnår tilsiktede resultater, reduserer eller hindrer uønskede effekter samt oppnår kontinuerlig forbedring. Virksomheten skal videre planlegge nødvendige handlinger, herunder hvordan de skal integreres i styringssystemets prosesser og evalueres (jf. 6.1.1).
Toppledelsen skal etablere en informasjonssikkerhetspolicy og sørge for at den er dokumentert og kommunisert (jf. 5.2). Policyen skal
- være hensiktsmessig i forhold til virksomhetens formål
- inneholde mål for informasjonssikkerheten eller et rammeverk for å sette slike mål
- forplikte virksomheten til å oppfylle definerte krav til informasjonssikkerhet og sørge for kontinuerlig forbedring
Toppledelsen skal sørge for at ansvar og myndighet relevant for informasjonssikkerheten, er delegert og kommunisert. Dette gjelder også ansvar og myndighet for å sikre at styringssystemet er i samsvar[2] med standarden, og for å rapportere til toppledelsen om hvordan styringssystemet fungerer (jf. 5.3).
Virksomheten skal bestemme konkrete mål for informasjonssikkerhet for relevante funksjoner og nivåer. Målene skal være i samsvar med informasjonssikkerhetspolicyen og ta høyde for relevante krav til informasjonssikkerhet samt resultater av risikovurderinger og risikohåndtering (jf. 6.2).
2.5 Føringer for risikostyring
Virksomheten skal definere og ta i bruk en prosess for risikovurdering av informasjonssikkerheten som sikrer at gjentatte risikovurderinger produserer konsistente, gyldige og sammenlignbare resultater. Informasjonssikkerhetsrelaterte kriterier skal etableres og vedlikeholdes, herunder kriterier for risikoaksept og kriterier for å gjennomføre risikovurderinger (jf. 6.1.2 a og b). Virksomheten skal også definere og ta i bruk en prosess for risikohåndtering (jf. 6.1.3).
2.6 Lederskap
Toppledelsen skal vise lederskap og engasjement rundt styringssystemet for informasjonssikkerhet, blant annet (jf. 5.1) gjennom å:
- sikre at målene for informasjonssikkerhet er i tråd med virksomhetens strategiske retning
- sikre at kravene til styringssystemet for informasjonssikkerhet er integrert i virksomhetens prosesser
- rettlede og støtte de ansatte slik at de bidrar til at styringssystemet for informasjonssikkerhet er formålseffektivt
- fremme kontinuerlig forbedring
Virksomheten skal avdekke behovet for og stille de nødvendige ressursene til disposisjon for etablering, iverksetting, vedlikehold og kontinuerlig forbedring av styringssystemet for informasjonssikkerhet (jf. 7.1).
I planleggingen av hvordan informasjonssikkerhetsmålene skal nås, skal oppgaver, ansvar, ressursbehov, tidspunkt for ferdigstillelse og evalueringsmåte fastsettes. (jf. 6.2). Planene skal implementeres (jf. 8.1).
2.7 Ledelsens gjennomgang
Ledelsens gjennomgang skal blant annet (jf. 9.3) bestå av:
- status på vedtatte tiltak etter tidligere gjennomganger
- relevante endringer i omgivelsene
- tilbakemeldinger på informasjonssikkerhetsnivået, slik som:
- avvik og korrigerende tiltak
- resultater fra måling og overvåkning
- resultater fra revisjoner
- måloppnåelse
- resultater fra risikovurderinger
- muligheter for kontinuerlig forbedring
2.8 Standardens krav til dokumentasjon
Virksomheten skal avdekke egen kontekst (jf. 4.1). Videre skal virksomheten identifisere interessenter og hvilke krav og forventninger disse har til informasjonssikkerhet i virksomheten. Dette kan inkludere juridiske krav og avtalemessige forpliktelser (jf. 4.2).
Dokumentert informasjon fra eksterne kilder som virksomheten anser nødvendig for planlegging og drift av styringssystemet for informasjonssikkerhet, skal være identifisert (jf. 7.5.3).
Virksomheten skal definere og dokumentere styringssystemets omfang (jf. 4.3).
Toppledelsen skal etablere en informasjonssikkerhetspolicy (jf. 5.2).
Toppledelsen skal sørge for at ansvar og myndighet relevant for informasjonssikkerheten er delegert og kommunisert (jf. 5.3).
Virksomheten skal oppbevare dokumentert informasjon om målene for informasjonssikkerhet (jf. 6.2).
Virksomheten skal definere og skaffe nødvendige ressurser for etablering, iverksetting, vedlikehold og kontinuerlig forbedring av styringssystemet for informasjonssikkerhet (jf. 7.1).
I planleggingen av hvordan informasjonssikkerhetsmålene skal nås, skal oppgaver, ansvar, nødvendige ressurser, tidspunkt for ferdigstillelse og evalueringsmåte fastsettes. (jf. 6.2).
Resultatene av prosesser/aktiviteter som skal inngå i ledelsens gjennomgang (jf. 9.3).
3 Risikovurdering
3.1 Generelt
Virksomheten skal benytte den risikovurderingsprosessen som er definert for virksomheten (jf. 6.1.2). Risikovurderinger skal gjennomføres i planlagte intervaller og når vesentlige endringer planlegges eller oppstår (jf. 8.2). En plan for håndtering av risikoer skal implementeres (jf. 8.3).
3.2 Risikovurdering
Risikoeiere og informasjonssikkerhetsrisikoer skal identifiseres og risikoene analyseres. Potensielle konsekvenser og realistisk sannsynlighet skal estimeres og nivået på risikoene fastsettes. Risikovurdering utføres ved at resultatene fra risikoanalysen sammenlignes med virksomhetens risikokriterier og risikoene prioriteres ut fra det i den videre risikohåndteringen (jf. 6.1.2 c, d og e).
3.3 Standardens krav til dokumentasjon
Virksomheten skal oppbevare dokumentert informasjon om prosessene for risikovurdering og risikohåndtering (jf. 6.1.2 og 6.1.3). Virksomheten skal også oppbevare dokumentert informasjon om resultatene av risikovurderingene og risikohåndteringsprosessen samt den påfølgende tiltaksetableringen (jf. 6.1.3, 8.2 og 8.3).
4 Risikohåndtering
4.1 Oppfølging av risikovurderingen
Virksomheten skal planlegge, implementere og kontrollere nødvendige prosesser for å oppfylle informasjonssikkerhetskravene og nå informasjonssikkerhetsmålene (jf. 8.1).
4.2 Vurdere og valg av tiltak
Basert på risikovurderingen skal virksomheten velge hensiktsmessig håndtering av de risikoene som krever håndtering ut fra risikokriteriene, og bestemme hvilke tiltak som er nødvendige å innføre. Tiltak kan designes etter behov eller velges fra hvilken som helst kilde. De valgte tiltakene skal likevel vurderes opp mot tiltakene beskrevet i standardens vedlegg A, for å verifisere at ingen relevante tiltak er utelatt i tiltaksvurderingen (jf. 6.1.3 a, b og c).
Virksomheten skal lage en erklæring om relevans (Statement of Applicability – SoA) som viser valgte tiltak med begrunnelse for hvorfor de er valgt og om de er implementert eller ikke. Erklæringen skal også inneholde begrunnelser for de tiltakene i vedlegg A som er utelatt (jf. 6.1.3 d).
Det skal utarbeides en plan for håndtering av risikoene. Risikoeier skal godkjenne både planen og den gjenværende risikoen (jf. 6.1.3 e og f).
4.3 Implementering av tiltak
Virksomheten skal implementere valgte tiltak (jf. 8.1).
4.4 Håndtering av endringer
Virksomheten skal styre planlagte endringer, evaluere konsekvensene av utilsiktede endringer og der det er nødvendig, implementere tiltak for å håndtere negative effekter (jf. 8.1). Effektiviteten av korrigerende tiltak skal analyseres (jf. 10.1 d).
4.5 Kontinuerlig forbedring
Virksomheten skal kontinuerlig forbedre styringssystemets egnethet, tilstrekkelighet og effektivitet. (jf. 10.2).
4.6 Standardens krav til dokumentasjon
Virksomheten skal oppbevare dokumentert informasjon om prosessene for risikohåndtering (jf. 6.1.3), om resultatene fra håndteringen av informasjonssikkerhetsrisikoene (jf. 8.3) og resultatene av korrigerende tiltak (jf. 10.1 g).
5 Overvåking og hendelseshåndtering
5.1 Overvåking
Virksomheten skal overvåke informasjonssikkerheten. Det skal defineres hva som skal overvåkes, og når, hvilke metoder som skal benyttes, hvem som skal overvåke, når resultatene skal analyseres og evalueres, samt hvem som skal gjøre analysen og evalueringen (jf. 9.1).
5.2 Avvik og korrigerende tiltak
Virksomheten skal reagere på avvik og, der det er nødvendig, iverksette tiltak for å kontrollere og korrigere avviket og håndtere konsekvensene. Virksomheten skal evaluere behovet for tiltak for å fjerne årsaken til avviket slik at det ikke oppstår på nytt på det samme eller et annet sted. Dersom det er nødvendig, skal virksomheten gjøre endringer (jf. 10.1).
5.3 Standardens krav til dokumentasjon
Virksomheten skal dokumentere resultatene fra overvåkingen (jf. 9.1).
Avvik og korrigerende tiltak samt resultatene av disse tiltakene skal dokumenteres (jf. 10.1) og er en del av grunnlaget for ledelsens gjennomgang (jf. 9.3).
6 Måling, evaluering og revisjon
6.1 Måling og evaluering
Virksomheten skal gjennomføre måling av effektiviteten på styringssystemet for informasjonssikkerhet, herunder de iverksatte sikringstiltakene. Det skal defineres hva som skal måles, når det skal måles, hvilke metoder som skal benyttes, hvem som skal gjennomføre målingen, når resultatene skal analyseres og evalueres, samt hvem som skal gjøre analysen og evalueringen (jf. 9.1).
Trender observert gjennom resultatene av målingene skal identifiseres og benyttes under ledelsens gjennomgang (jf. 9.3 c).
6.2 Intern revisjon
Virksomheten skal ved planlagte intervaller gjennomføre interne revisjoner for å avdekke om styringssystemet for informasjonssikkerhet fungerer i overensstemmelse med virksomhetens egne krav og kravene i ISO-standarden. Revisjonene skal også vise om styringssystemet er implementert – og blir vedlikeholdt – på en formålseffektiv måte (jf. 9.2 a og b).
Revisjonsprogram skal planlegges, der blant annet metoder, ansvar og krav til rapportering er inkludert. For hver revisjon skal revisjonskriterier og omfang defineres, og revisjonene skal utføres av personer som er uavhengige overfor prosessene som revideres. Revisjonsprogrammet skal ta hensyn til viktigheten av prosessen som er fremhevet, og resultatet av tidligere revisjoner (jf. 9.2 c, d, e og f).
6.3 Standardens krav til dokumentasjon
Virksomheten skal oppbevare dokumentert informasjon som bevis på gjennomføring av måling (jf. 9.1).
Trender som er observert gjennom resultater av målingen skal dokumenteres og er en del av grunnlaget for ledelsens gjennomgang (jf. 9.3).
Revisjonsplanene med tilhørende beskrivelse av kriterier og omfang samt resultatene av revisjonen skal dokumenteres og rapporteres til relevant ledelse og er en del av grunnlaget for ledelsens gjennomgang (jf. 9.2 g og 9.3).
7 Kompetanse- og kulturutvikling
7.1 Bevisstgjøring
Personer som arbeider i virksomheten, skal kjenne til informasjonssikkerhetspolicyen, deres bidrag til effektiviteten av styringssystemet for informasjonssikkerhet og fordelene med forbedret håndtering av informasjonssikkerheten. De skal også kjenne til hva det kan medføre dersom kravene til informasjonssikkerhet ikke etterleves (jf. 7.3).
7.2 Kartlegging
Virksomheten skal kartlegge hvilken kompetanse som er nødvendig for personer under virksomhetens styring som utfører arbeid som kan påvirke informasjonssikkerheten (jf. 7.2 a).
7.3 Kompetanse- og kulturutvikling
Basert på kartleggingen skal virksomheten påse at disse personene får nødvendig erfaring og kompetanse gjennom utdanning og trening (jf. 7.2 b). Effekten av kompetansehevingstiltak skal evalueres (jf. 7.2 c).
7.4 Standardens krav til dokumentasjon
Virksomheten skal oppbevare hensiktsmessig dokumentert informasjon som bevis på kompetansen (jf. 7.2 d).
8 Kommunikasjon
8.1 Avdekke behov, ansvar, myndighet og form
Virksomheten skal fastsette behovet for intern og ekstern kommunikasjon, herunder hvem som er ansvarlige for å kommunisere, hva som skal kommuniseres, når det skal kommuniseres, i hvilken form det skal kommuniseres og til hvem (jf. 7.4).
Dokumentert informasjon skal ha hensiktsmessig identifikasjon, være hensiktsmessig beskrevet og være i et hensiktsmessig format. Den skal være gjennomgått og godkjent ut fra formålene egnethet og tilstrekkelighet (jf. 7.5.2).
Dokumentert informasjon skal være tilgjengelig og egnet for bruk når det er behov for den. Den skal være tilstrekkelig sikret. Avhengig av relevans skal virksomheten vurdere bl.a. distribusjon, tilgang, lagring, bevaring og endringskontroll (jf. 7.5.3).
8.2 Standardens krav til dokumentasjon
Styringssystemet skal inneholde dokumentert informasjon for det ISO-standarden krever, samt den informasjonen virksomheten selv har definert som nødvendig for å sikre styringssystemets effektivitet (jf. 7.5.1).
Virksomheten skal oppbevare dokumentert informasjon i det omfang som er nødvendig, for å kunne ha tillitt til at prosessene utføres som planlagt (jf. 8.1).
[1] Det er ikke et krav at offentlige virksomheter i Norge skal sertifisere seg. Jf. også fotnote 2.
[2] Merk at offentlige virksomheter i Norge ikke er pålagt eller anbefalt å være i samsvar med standarden. Pålegget er å basere seg på anerkjente standarder. Anbefalingen er å basere seg på ISO/IEC 27001:2013.