ISO27001 y gobernanza de la seguridad de la información Serie O27000 (Pan Rong)
La versión 2013 de ISO27001 se lanzó oficialmente el 1 de junio de 2013. La nueva versión de los estándares refleja la integración con el negocio, la gestión integral de riesgos y la gobernanza, y refleja el énfasis de los nuevos estándares en el desempeño y la revisión de los métodos de evaluación de riesgos. Esto también es muy coherente con los objetivos del gobierno de TI.
La fuerza impulsora del gobierno de TI es establecer un mecanismo de toma de decisiones para el valor y la inversión en TI por parte de la junta directiva y otros niveles de gobierno, garantizar la coherencia de la estrategia de TI y la estrategia comercial, e impulsar el negocio de manera innovadora. desarrollo. El nuevo estándar para la gestión de la seguridad de la información ha pasado de equilibrar los riesgos y costos a informar periódicamente el desempeño de la gestión de la seguridad de la información. Esto refleja que el desarrollo de estándares de gestión de la seguridad de la información ha entrado en una etapa madura y también refleja que la gobernanza presta más atención a la. seguimiento esperado de las inversiones en seguridad de la información. Al mismo tiempo, la medición de la gestión de riesgos también es un tema de preocupación para las partes relevantes y la dirección.
(Ver cláusulas estándar 5.1e, 5.3b, 6.1.1a, 6.1.1.e2, 9.1).
Los objetivos de seguridad de la información son altamente consistentes con los objetivos de desarrollo del negocio. Por lo tanto, los nuevos estándares requieren que la gestión de riesgos de seguridad de la información se centre en la información y la información se integre en todo el proceso de negocio. El nuevo estándar abandona la metodología original para identificar activos, amenazas y vulnerabilidades de activos, y afirma que el nivel de gestión se basa en el valor del negocio, identifica la información y determina el valor de la información. También facilita la integración con otros estándares de gestión ISO basados en el negocio. procesos.
(Ver cláusulas estándar 5.1A/B y 6.1.2)
Debido a un mayor enfoque en los negocios, el nuevo estándar requiere que la comprensión de los objetivos comerciales y organizacionales se analice desde el principio. entorno interno y externo, incluidas políticas macro, desarrollos tecnológicos, tendencias de la industria y entorno microorganizacional. El impacto de los factores ambientales en los requisitos de seguridad de la información y los negocios. La dirección valora cómo los objetivos de gestión de la seguridad de la información respaldan la estrategia empresarial.
(Ver cláusulas estándar 4.1, 4.2, 5.1a y 5.2a)
Los riesgos de seguridad de la información se han vuelto más vívidos y neutrales en los nuevos estándares, y los riesgos también pueden significar oportunidades. El nuevo estándar requiere la definición de propietarios de riesgos, que probablemente sean propietarios de negocios o propietarios de actividades específicas, en lugar de simplemente personal de TI. Los apetitos y actitudes hacia los riesgos de seguridad de la información están completamente integrados con el marco general de gestión de riesgos de la organización.
(Ver cláusulas estándar 6.1.1. D/E, 6.1.2. C2;) 1. Con la aplicación generalizada de la tecnología en la nube y el aumento del negocio de subcontratación, la gestión de riesgos de seguridad de la cadena de suministro debe comenzar desde Identificar, explotar y controlar la organización desde el nivel estratégico hasta el nivel operativo del día a día. Incrementar la gestión de las relaciones de la cadena de suministro y prestar atención a la seguridad de la información en las relaciones de la cadena de suministro y a la seguridad de la información en el proceso de entrega de los proveedores de servicios.
(Ver Cláusulas estándar 4.3.c; 8.1, A.15)
2 Al mismo tiempo, con el aumento del big data, aumenta el riesgo de fuga de datos, y el estándar cambia el control de cifrado desde El elemento de destino del control se eleva al dominio de control.
(Ver Cláusula estándar A.10)
3. Internet móvil ha pasado de la vida a la oficina y se han agregado nuevas políticas de seguridad en el uso de dispositivos móviles.
(Ver Cláusula estándar A.6.2.1)
4. Además de las operaciones diarias, el nivel organizacional también debe prestar especial atención a la gestión de la seguridad de la información del proyecto. que es un nuevo elemento de control. Al mismo tiempo, se ha mejorado la gestión de la seguridad de la información de todo el ciclo de vida del desarrollo del sistema, incluido el análisis de requisitos, el entorno de desarrollo, la protección de los datos de las pruebas, la aceptación de las pruebas, la gestión de cambios, la gestión de la subcontratación del desarrollo y otros elementos de control.
(Ver cláusulas tipo A.6.1.5, A.14.1/2/3).
5. Con la aparición de nuevas tecnologías y puntos de riesgo, las medidas de control del procesamiento de riesgos ya no se limitan al Apéndice A. El Apéndice A es solo una opción básica necesaria. (Ver cláusula estándar 6.1.3c) Estructuralmente, la nueva versión de la norma es completamente consistente con otras normas de la serie ISO. Sigue la Guía ISO 83 y es el marco básico de las normas de certificación de sistemas de gestión ISO, que favorece la integración con otras normas ISO. sistemas de gestión.
El marco de la nueva norma se resume a continuación
0 Introducción
1 Alcance
2 Documentos normativos de referencia
3 Términos y definiciones
4 Plan organizacional, consistente con ISO31000.
5 El liderazgo, en particular, requiere orientación superior para apoyar al personal de seguridad de la información en sus esfuerzos por mejorar la eficiencia de la gestión y demostrar liderazgo en sus respectivas áreas de responsabilidad.
6 Planificación
7. Soporte, que incluye los recursos, la capacidad del personal para servir a la organización, los requisitos de concientización sobre la seguridad de la información, especialmente el establecimiento de procesos de comunicación interna y externa relacionados con la información. seguridad.
Operaciones diarias, describir los requisitos de implementación del SGSI, incluida la evaluación y el tratamiento de riesgos de seguridad de la información.
9 Revisión del desempeño, describir los requisitos para las actividades de monitoreo, medición y revisión;
10 mejora, describiendo los requisitos para las actividades de mejora se eliminan las medidas preventivas, y la gestión de riesgos en sí es prevención proactiva.