Pregledi informacijske varnosti po standardu ISO/IEC 27001

Kadar govorimo o pregledu po standardu ISO/IEC 27001 govorimo o treh vrstah pregledov.

Sam standard navaja in priporoča:

• redne preglede informacijske varnosti,
• pregled nad ranljivostmi v organizaciji,
• ter pregled in testiranje aplikacij.

Za skladnost s standardom ISO/IEC 27001 mora organizacija izvajati redne preglede informacijske varnosti. Le-te sestavljajo neodvisni pregledi informacijske varnosti, pregledi skladnosti z varnostnimi politikami in standardi ter pregledi tehnične skladnosti.

Celovit pregled varovanja informacij

Pregled informacijske varnosti je pregled skladnosti in je ne-tehnične narave. Pregled informacijske varnosti vsebuje pregled ciljev, varnostnih kontrol, varnostne politike, procesov in postopkov v organizaciji. Pregled skladnosti z varnostnimi politikami in standardi vsebuje pregled skladnosti obdelave informacij in postopkov. Pregled tehnične skladnosti je pregled skladnosti tehničnih kontrol z varnostnimi politikami in standardi, lahko vključuje tudi penetracijske teste in ocene ranljivosti.

Standard navaja tudi pregled tehničnih ranljivosti. Organizacija mora redno spremljati in beležiti informacije o tehničnih ranljivostih, ovrednotiti tveganje in sprejeti ukrepe za odpravo tveganj. Način pridobitve pregleda ranljivosti informacijskega sistema ni predpisan. Tak pregled organizacija lahko pridobi s penetracijskimi testi ali s pregledom ranljivosti. Ključnega pomena je, da se organizacija na osnovi zaznanih ranljivosti pravilno odzove in prepreči morebitne nadaljnje incidente.

Za skladnost s standardom je potreben tudi varnostni pregled aplikacij. Če organizacija razvija lastne aplikacije, mora razvoj vključevati testiranje in pregled kode. V primeru zunanjega razvoja mora organizacija zagotoviti ustrezno testiranje kakovosti in zbrati dokaze, da so bili upoštevani ustrezni varnostni kriteriji ter da je bilo izvedeno ustrezno varnostno testiranje. Vsaka organizacija, ki želi biti skladna s standardom, pa mora ob uvajanju novih sistemov ali večjih sprememb sistemov izvesti oceno tveganja, analizo vplivov sprememb, specifikacijo potrebnih kontrol ter po vpeljavi sprememb pregled in testiranje kritičnih aplikacij.

Vas zanima več?
V Smart Comu nudimo več storitev, s katerimi vam lahko pripomoremo k doseganju skladnosti po standardu ISO/IEC 27001.