Skip to main content

Załącznik A

(informacyjny)

A.1 Ogólne

Niniejszy załącznik zawiera tabelę ilustrującą sposób wykorzystania atrybutów do tworzenia różnych widoków kontroli. Pięć przykładów atrybutów to (zobacz 4.2): a) Typy kontroli (#Preventive, #Detective, #Corrective)
b) Właściwości bezpieczeństwa informacji (#Confidentiality, #Integrity, #Availability)
c) Koncepcje cyberbezpieczeństwa (#Identify, #Protect, #Detect, #Respond, #Recover)
d) Zdolności operacyjne (#Governance, #Asset_management, #Information_protection, #Human_resource_security, #Physical_security, #System_and_network_security, #Application_security, #Secure_configuration, #Identity_and_access_management, #Threat_and_vulnerability_management, #Continuity, #Supplier_relationships_security, #Legal_and_compliance, #Information_security_event_management, #Information_security_assurance)
e) Domeny bezpieczeństwa (#Governance_and_Ecosystem, #Protection, #Defence, #Resilience)

Tabela A.1 zawiera matrycę wszystkich kontroli w tym dokumencie wraz z przypisanymi im wartościami atrybutów.
Filtrowanie lub sortowanie tej matrycy można zrealizować za pomocą narzędzia, takiego jak prosty arkusz kalkulacyjny lub baza danych, które mogą zawierać dodatkowe informacje, takie jak tekst kontroli, wskazówki, specyficzne dla organizacji wytyczne lub atrybuty (zobacz A.2).

TABELA

A.2 Widoki organizacyjne

Ponieważ atrybuty są używane do tworzenia różnych widoków kontroli, organizacje mogą odrzucić przykłady atrybutów zaproponowane w tym dokumencie i stworzyć własne atrybuty z różnymi wartościami, aby sprostać specyficznym potrzebom organizacji. Ponadto, wartości przypisane do każdego atrybutu mogą różnić się między organizacjami, ponieważ organizacje mogą mieć różne poglądy na temat użycia lub stosowalności kontroli lub wartości związanych z atrybutem (gdy wartości są specyficzne dla kontekstu organizacji).

Pierwszym krokiem jest zrozumienie, dlaczego atrybut specyficzny dla organizacji jest pożądany. Na przykład, jeśli organizacja opracowała swoje plany traktowania ryzyka (zobacz ISO/IEC 27001:2013, 6.1.3 e)) na podstawie zdarzeń, może chcieć przypisać atrybut scenariusza ryzyka do każdej kontroli w tym dokumencie.
Korzyść z takiego atrybutu polega na przyspieszeniu procesu realizacji wymagań ISO/IEC 27001 związanych z traktowaniem ryzyka, czyli porównaniu kontroli określonych w procesie traktowania ryzyka (określanych jako „niezbędne” kontrole) z tymi w ISO/IEC 27001:2013, Załącznik A (które pochodzą z tego dokumentu), aby upewnić się, że żadna niezbędna kontrola nie została pominięta.

Po poznaniu celu i korzyści, następnym krokiem jest określenie wartości atrybutów. Na przykład, organizacja może zidentyfikować 9 zdarzeń:

  1. utrata lub kradzież urządzenia mobilnego;
  2. utrata lub kradzież z siedziby organizacji;
  3. siła wyższa, wandalizm i terroryzm;
  4. awaria oprogramowania, sprzętu, zasilania, internetu i komunikacji;
  5. oszustwo;
  6. hakowanie;
  7. ujawnienie informacji;
  8. naruszenie prawa;
  9. inżynieria społeczna.

Drugi krok można zrealizować, przypisując identyfikatory do każdego zdarzenia (np. E1, E2, ..., E9).

Trzeci krok polega na skopiowaniu identyfikatorów kontroli i nazw kontroli z tego dokumentu do arkusza kalkulacyjnego lub bazy danych i przypisaniu wartości atrybutów do każdej kontroli, pamiętając, że każda kontrola może mieć więcej niż jedną wartość atrybutu.

Ostatni krok to posortowanie arkusza kalkulacyjnego lub zapytanie bazy danych w celu wyodrębnienia wymaganych informacji.

Inne przykłady atrybutów organizacyjnych (i możliwych wartości) obejmują:

  • a) dojrzałość (wartości z serii ISO/IEC 33000 lub innych modeli dojrzałości);
  • b) stan wdrożenia (do zrobienia, w toku, częściowo wdrożone, w pełni wdrożone);
  • c) priorytet (1, 2, 3, itd.);
  • d) obszary organizacyjne zaangażowane (bezpieczeń