Klausel 4 – Ettevõtte kontekst
Klausel 4 nõuab strateegiliste aluste määratlemist, millele on üles ehitatud kogu teie ettevõtte infoturbe juhtimissüsteem (ISMS). Enne kui hakkate kirjutama uusi poliitikaid/kordasid või tegema muudatusi tarkvarades/riistvaras peaksite määratlema, kes te olete, mida te omate, kes on teiega seotud ja kuskohast lähevad piirid. Antud tegevus aitab teil ehitada turvasüsteemi, mis on tegelikult teie äritegevusega seotud.
Klausel 4 sisaldab nelja alapunkti.
4.1 Ettevõtte ja selle konteksti mõistmine – Millised on ettevõtte turvalisust mõjutavad sisemised ja välised tegurid? (kultuur, konkurendid, poliitika)
4.2 Huvitatud osapooled – Kes on huvitatud osapooled (kliendid, juhatus jms) ning millised on nende peamised nõuded?
4.3. Infoturbe juhtimissüsteemi skoop – Milline on sertifitseerimise täpne füüsiline ja loogiline ulatus?
4.4. Infoturbe juhtimissüsteem – Nõue juhtimissüsteemi protsesside loomiseks, rakendamiseks haldamiseks ja pidevaks täiustamiseks
Klausel 5 – Juhtimine ja eestvedamine
Klausel 5 nõuab tippjuhtkonna osalemist, eestvedamist ja pühendumist infoturbe juhtimissüsteemi osas. Vastutus ISMS osas lasub juhtkonnal ning IT turvalisus ei ole enam IT probleem. Põhimõte, mida siin klauslis peab ettevõte endale selgeks tegema on – ISMSga seotud ülesandeid saab täitma määrata CISO, IT juht KUID lõplik vastutus lasub tippjuhtkonnal/juhatusel.
5.1. Juhtimine ja pühendumine – Juhatus peab tagama ISMS vastavuse strateegilistele ärieesmärkidele ning tagama ka selleks vajalikud ressursid
5.2. Poliitika/kord – Juhtkond peab kehtestama, allkirjastama ja avaldama infoturbepoliitika/korra, mis määrab kogu ettevõtte infoturbealase suuna
5.3. Rollid, kohustused ja asutused – Tuleb määrata konkreetsed rollid, et ISMS ja ISMS tulemuslikkuse aruandlus vastaks nõuetele.
Klausel 6 – Planeerimine
Klausel 6 nõue ettevõttele on luua ISMS sisu, mis nõuab riskide süstemaatilist tuvastamist ja eesmärkide määratlemist, mis aitab täide viia edaspidist turvastrateegiat.
6.1 Tegevused riskide ja võimaluste käsitlemiseks – vaja on määratleda metoodika, hinnata oma riske ning koostama riski käsitlusplaani.
6.2 Infoturbe eesmärgid ja plaanide nende saavutamiseks – ettevõte peab püstitama infoturbe mõõdetavad eesmärgid.
6.3 Muudatuste planeerimine – infoturbe juhtimissüsteemi muutumisel tuleb muudatused viia planeeritult.
Klausel 7 – Tugi
Klausel 7 nõuab, et ettevõte tagaks vajalikud tugimehhanismid ISMS-I toimimiseks. Juhtkond peab mõistma, et ilma ressursside, pädevuse, teadlikkuse ja dokumenteeritud teabeta on ISMS vaid teooria mitte reaalselt toimiv infoturbe juhtimissüsteem.
7.1. Ressursid – peab olema tagatud nii isikuline-, rahaline ressurrs kui ka infrastrukuur
7.2. Kompetents – peab olema tagatud, et tööd tegevatel inimestel on töö tegemiseks vajaminevad oskused
7.3. Teadlikkus – tagatud peab olema, et kogu ettevõte mõistab infoturbe tähtsust, kehtestatud poliitikaid/kordasid ning mõistaksid ka rikke tagajärgi
7.4. Kommunikatsioon – infoturbe alane teabevoog (sisene-väline) peab olema kontrollitud ja koordineeritud
7.5. Dokumenteeritud teave – dokumentatsioon peab omama õigeid juurdepääsuõigusid, säilitamistähtaegu ja versioonikontrolli.
Klausel 8 – Toimimine
Klausel 8 nõue on klausel 6 defineeritud, kavandatu ja analüüsitu elluviimine. Klausel nõuab, et kavandatud turvanõutee täitmiseks vajaminevad protsessid oleksid rakendatud, kontrollitud ja hooldatud.
8.1. Tegevuse planeerimine ja kontroll – infoturbenõuete täitmiseks vajalikud protsessid peavad olema planeeritud, rakendatud ja kontrollitud. Kontrollitud peavad olema nii muudatuste kui allhanke korras teostatavad protsessid.
8.2. Infoturbe riskide hindamine – riskihindamine peab toimuma planeeritud ajavahemike järel, et tagada vastavus punktis 6.1.2 kehtestatud (tuvastada ja hinnata) ning hoiab ettevõtte riskikäsitlemise plaani asjakohase ja tõhusana.
8.3. Infoturbe riskide käsitlemine – nõuab organisatsioonidelt punktis 6.1.3 määratletud riskide käsitlemise plaani rakendamist. Nõude kohaselt on vajalikud ametlikud tõendid, et valitud turvakontrollid leevendavad tuvastatud riske tõhusalt vastuvõetava tasemeni järjepideva rakendamise ja juhtimise kaudu
Klausel 9 – Tulemuslikkuse hindamine
Klausel 9 keskendub rakendatud ISMS-I tõhususe jälgimise ja hindamise kriitilistele aspektidele. Eesmärk on tahata, et ISMS jääb tõhusaks arenevate ohtudega tegelemisel ja kavandatud eesmärkide saavutamisel.
9.1. Monitooring, mõõtmine, analüüs ja hindamine – ettevõttelt nõutakse ISMS tõhususe tagamise jälgimist vajamineva kindlaksmääramist. Nõutakse kehtivate analüüsimeetodite kasutamist, tagades, et tulemused võimaldavad juhtkonnal hinnata turvalisuse tulemuslikkust ja eesmärke.
9.2. Siseaudit – kohustuslik tulemuslikkuse hindamise kontroll, millega nõutakse ettevõtetelt auditite läbiviimist planeeritud intervallidega. Auditi tulemusena saadakse objektiivsed tõendid, et ISMS vastab standardi nõuetele ja on jätkuvalt tõhusalt rakendatud. Protsessiga tagatakse, et juhtkond tuvastab lüngad enne kui need muutuvad kriitilisteks turvavigadeks.
9.3. Juhtkonna ülevaade – on tulemuslikkuse hindamise kontroll, mis nõuab juhtkonnalt ettevõtte ISMS-i läbivaatamist planeeritud ajavahemike järel. Protsess tagab turvaraamistiku jätkuva sobivuse, piisavuse ja tõhususe, viies selle samal ajal vastavusse ettevõtte strateegiliste suundadega.
Klausel 10 – Täiustamine -parendamine
Eesmärk on nõuda ettevõttelt keskendumist ISMS pideva täiustamise kriitilistele aspektidele.
10.1 Pidev täiustamine – nõuab ettevõttelt oma ISMS-I sobivuse, piisavuse ja tõhususe parandamist. See tagab, et juhtimissüsteem areneb koos uuete ohtude ja äritegevuse muutustega, kasutades auditite ja ülevaadete andmeid, et aja jooksul ellu viia olulisi turvalisuse täiustusi.
10.2 Mittevastavus ja parendusmeetmed – nõue määratleb, kuidas ettevõtted reageerivad turvavigadele. Nõutakse süstemaatilist protsessi probleemide algpõhjuse väljaselgitamiseks, paranduste rakendamiseks ja kontrollimiseks, et need tegevused takistavad probleemi kordumist kogu juhtimissüsteemis.