När du arbetar med ISO 27001-certifiering stöter du snabbt på "Bilaga A" och dess 93 kontroller. Men vad är egentligen dessa kontroller, och varför är de så viktiga för din informationssäkerhet?
Kontrollerna i ISO 27001 Bilaga A är konkreta säkerhetsåtgärder som skyddar din organisations information. Tänk på dem som säkerhetsregler - precis som du har brandlarm för att skydda byggnaden, har du dessa kontroller för att skydda din information.
Varje kontroll beskriver en specifik säkerhetsåtgärd som din organisation kan implementera. Till exempel:
Det är viktigt att förstå vad kontrollerna inte är:
De är inte obligatoriska alla 93. Du väljer vilka som är relevanta för din verksamhet (även om de flesta organisationer behöver nästan alla).
De är inte detaljerade instruktioner. Kontrollerna säger VAD du ska göra, inte exakt HUR du ska göra det. Det är upp till dig att bestämma hur du implementerar dem.
De är inte en checklista att bara bocka av. Varje kontroll kräver reflektion över hur den passar din specifika verksamhet.
De är inte statiska. Kontrollerna utvecklas över tid - den senaste versionen från 2022 innehåller uppdaterade kontroller som speglar dagens säkerhetshot.
Kontrollerna finns av flera anledningar:
Standardisering: De ger alla organisationer ett gemensamt språk för informationssäkerhet. När du säger att du följer ISO 27001, vet alla vad det innebär.
Beprövad säkerhet: Kontrollerna bygger på decennier av säkerhetserfarenhet från organisationer världen över. Du behöver inte uppfinna hjulet på nytt.
Riskhantering: Varje kontroll adresserar specifika säkerhetrisker. Tillsammans täcker de de flesta säkerhetshot som organisationer möter.
Certifieringsgrund: Kontrollerna är grunden för ISO 27001-certifiering. Utan dem finns ingen standard att certifiera mot.
Kontrollerna används i flera steg:
Du går igenom alla 93 kontroller och bedömer vilka som är relevanta för din verksamhet. Nästan alla kontroller är relevanta för de flesta organisationer.
För varje relevant kontroll bedömer du om din organisation redan uppfyller den eller inte. Detta visar var du behöver förbättra.
För kontroller du inte uppfyller skapar du en plan för hur du ska implementera dem. Detta kan innebära nya policyer, tekniska lösningar eller utbildning.
Du dokumenterar hur du uppfyller varje kontroll. Detta görs på två nivåer:
Du följer regelbundet upp att kontrollerna fungerar som tänkt och uppdaterar dem vid behov.
Arbetet med kontrollerna involverar flera roller:
Ledningen fattar beslut om vilka kontroller som ska implementeras och tilldelar resurser.
Säkerhetsansvarig eller CISO leder arbetet och säkerställer att kontrollerna implementeras korrekt.
IT-avdelningen implementerar tekniska kontroller som brandväggar, säkerhetsuppdateringar och åtkomsthantering.
HR-avdelningen hanterar personrelaterade kontroller som bakgrundskontroller och säkerhetsutbildning.
Alla medarbetare påverkas av kontrollerna genom policyer, rutiner och säkerhetsmedvetenhet.
Externa konsulter kan hjälpa till med implementering och certifieringsförberedelser.
Kontrollerna används i olika faser:
Kontroll 5.1 - Policyer för informationssäkerhet
Kontroll 8.8 - Hantering av säkerhetsbrister
Kontroll 6.1 - Screening
Kontrollerna i ISO 27001 Bilaga A är dina verktyg för att bygga robust informationssäkerhet. De ger dig en beprövad mall för säkerhetsarbetet, men det är upp till dig att anpassa dem till din verksamhet.
Framgång med kontrollerna kräver:
När du arbetar med kontrollerna, kom ihåg att målet inte är att bara uppfylla en standard - det är att skydda din organisation och skapa förtroende hos dina kunder och partners.
Nästa steg: Använd vår implementeringsguide för att komma igång med arbetet i AmpliFlow. Där får du konkret hjälp med att gå från teori till praktik.