SVENSK STANDARD SS 62 77 99-2 Fastställd 2003-03-07 Utgåva 2 Ledningssystem för informationssäkerhet Specifikation med vägledning för användning Information security management systems Specification with guidance for use ICS 01.140.30; 03.120.10; 33.040.40; 35.020.00; 35.080.00 Språk: engelska, svenska Publicerad: april 2003 Copyright SIS. Reproduction in any form without permission is prohibited.
Dokumentet består av 71 sidor. Upplysningar om sakinnehållet i standarden lämnas av SIS, Swedish Standards Institute, tel 08-555 520 00. Standarder kan beställas hos SIS Förlag AB som även lämnar allmänna upplysningar om svensk och utländsk standard. Postadress: SIS Förlag AB, 118 80 STOCKHOLM Telefon: 08-555 523 10. Telefax: 08-555 523 11 E-post: sis.sales@sis.se. Internet: www.sis.se
Denna standard är en överföring av BS 7799-2:2002 till svensk standard och implementerad med tillstånd från British Standards Publishing Ltd. Denna standard är en översättning till svenska med tillstånd från British Standards Publishing Ltd. BSPL tar inget ansvar för riktigheten i översättningen. Vid eventuella tvister om innehållet i de två versionerna skall den engelska originaltexten ha företräde. This standard is an adoption of BS 7799-2:2002 and is implemented with the permission of British Standards Publishing Ltd. This standard is a translation into Swedish with the permission of British Standards Publishing Ltd. BSPL takes not responsibility for the accuracy of this translation. In any cases of dispute the English original shall be taken as authoritative.
Page 1 SS 62 77 99-2, edition 2 Contents Page Foreword... 2 0 Introduction... 3 1 Scope... 5 2 Normative references... 5 3 Terms and definitions... 5 4 Information security management systems... 7 5 Management responsibility... 10 6 Management review of the ISMS... 11 7 ISMS improvement... 12 Annex A (normative) Control objectives and controls... 13 Annex B (informative) Guidance on use of the standard... 24 Annex C (informative) Correspondence between BS EN ISO 9001:2000, BS EN ISO 14001:1996 and BS 7799-2:2002... 30 Annex D (informative) Changes to internal numbering... 32 Bibliography... 34
Sida 1 SS 62 77 99-2, utgåva 2 Innehåll Sida Förord... 2 0 Orientering... 3 1 Omfattning... 5 2 Normativa hänvisningar... 5 3 Termer och definitioner... 5 4 Ledningssystem för informationssäkerhet... 7 5 Ledningens ansvar... 10 6 Ledningens genomgång av LIS... 11 7 Förbättring av LIS... 12 Bilaga A (normativ) Styrmål och styrmedel... 13 Bilaga B (informativ) Vägledning för användning av denna standard... 24 Bilaga C (informativ) Samband mellan SS-EN ISO 9001 (2000), SS-EN ISO 14001 (1996) och SS 62 7799-2 (2003)... 30 Bilaga D (informativ) Ändringar i intern numrering... 32 Litteraturförteckning... 34
Page 2 SS 62 77 99-2, edition 2 Foreword This part of BS 7799 has been prepared by BDD/2, Information security management. It supersedes BS 7799-2:1999, which is obsolescent. This new edition has been produced to harmonize it with other management system standards such as BS EN ISO 9001:2000 and BS EN ISO 14001:1996 to provide consistent and integrated implementation and operation of management systems. It also introduces a Plan-Do-Check-Act (PDCA) model as part of a management system approach to developing, implementing, and improving the effectiveness of an organization s information security management system. The implementation of the PDCA model will also reflect the principles as set out in the OECD guidance (2002) 1) governing the security of information systems and networks. In particular, this new edition gives a robust model for implementing the principles in those guidelines governing risk assessment, security design and implementation, security management and reassessment. The control objectives and controls referred to in this edition are directly derived from and aligned with those listed in BS ISO/IEC 17799:2000. The list of control objectives and controls in this British Standard is not exhaustive and an organization might consider that additional control objectives and controls are necessary. Not all the controls described will be relevant to every situation, nor can they take account of local environmental or technological constraints, or be present in a form that suits every potential user in an organization. This publication does not purport to include all the necessary provisions of a contract. Users are responsible for its correct application. Compliance with a British Standard does not in itself confer immunity from legal obligations. 1) OECD. OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org
Sida 2 SS 62 77 99-2, utgåva 2 Förord Denna del av BS 7799 har utarbetats av BDD/2, Information security management. Den ersätter BS 7799-2:1999 som är föråldrad. ANM. Den engelska texten i SS 62 77 99-2 är identisk med BS 7799-2:2002. Den svenska översättningen har gjorts inom SIS/TK 318, Ledningssystem för informationssäkerhet. Standarden ersätter SS 62 77 99-2, utgåva 1 (1999). Denna nya utgåva har tagits fram i syfte att harmoniseras med andra ledningssystemstandarder såsom SS-EN ISO 9001 (2000) och SS-EN ISO 14001 (1996) och därigenom kunna ge stöd för enhetligt och integrerat införande och drift av ledningssystem. Denna nya utgåva introducerar också en Plan-Do-Check-Act (PDCA)-modell. Den bidrar till ett ledningssystemorienterat angreppssätt för att utveckla, införa och förbättra effektiviteten hos en organisations ledningssystem för informationssäkerhet. Införandet av PDCA-modellen avspeglar även principerna i OECD:s riktlinjer (2002) 1 för hantering av säkerhet för informationssystem och nätverk. Denna nya utgåva ger framför allt en robust modell för att kunna införa principerna i de riktlinjer som rör riskanalys, utformning och införande av säkerhet samt hantering av säkerhet och återkommande granskning. De styrmål och styrmedel som hänvisas till i denna utgåva är direkt härledda från och i linje med de som nämns i SS-ISO/IEC 17799 (2001). Listan över styrmål och styrmedel i denna standard är inte uttömmande och en organisation bör överväga om ytterligare styrmål och styrmedel är nödvändiga. Alla beskrivna styrmål och styrmedel är inte relevanta för varje situation. De tar inte heller hänsyn till lokala miljömässiga eller tekniska restriktioner eller är beskrivna på ett sätt som passar alla tänkbara användare inom en organisation. Denna utgåva avser inte att omfatta alla nödvändiga bestämmelser i ett avtal. Användare är ansvariga för dess korrekta tillämpning. Uppfyllelse av en standard medför i sig inte befrielse från skyldighet att iaktta andra rättsliga förpliktelser. 1 OECD. OECD Guidelines for the Security of Information Systems and Networks Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org
Page 3 SS 62 77 99-2, edition 2 0 Introduction 0.1 General This British Standard has been prepared for business managers and their staff to provide a model for setting up and managing an effective Information Security Management System (ISMS). The adoption of an ISMS should be a strategic decision for an organization. The design and implementation of an organization s ISMS is influenced by business needs and objectives, resulting security requirements, the processes employed and the size and structure of the organization. These and their supporting systems are expected to change over time. It is expected that simple situations require simple ISMS solutions. This British Standard can be used by internal and external parties including certification bodies, to assess an organization s ability to meet its own requirements, as well as any customer or regulatory demands. 0.2 Process approach This British Standard promotes the adoption of a process approach for establishing, implementing, operating, monitoring, maintaining and improving the effectiveness of an organization s ISMS. An organization must identify and manage many activities in order to function effectively. Any activity using resources and managed in order to enable the transformation of inputs into outputs, can be considered to be a process. Often the output from one process directly forms the input to the following process. The application of a system of processes within an organization, together with the identification and interactions of these processes, and their management, can be referred to as a process approach. A process approach encourages its users to emphasize the importance of: a) understanding business information security requirements and the need to establish policy and objectives for information security; b) implementing and operating controls in the context of managing an organization s overall business risk; c) monitoring and reviewing the performance and effectiveness of the ISMS; d) continual improvement based on objective measurement. The model, known as the Plan-Do-Check-Act (PDCA) model, can be applied to all ISMS processes, as adopted in this standard. Figure 1 illustrates how an ISMS takes as input the information security requirements and expectations of the interested parties and through the necessary actions and processes produces information security outcomes (i.e. managed information security) that meets those requirements and expectations. Figure 1 also illustrates the links in the processes presented in Clauses 4, 5, 6 and 7. EXAMPLE 1 A requirement might be that breaches of information security will not cause serious financial damage to an organization and/or cause embarrassment to the organization. EXAMPLE 2 An expectation might be that if a serious incident occurs perhaps hacking of an organization s ebusiness web site there should be people with sufficient training in appropriate procedures to minimize the impact. NOTE The term procedure is, by convention, used in information security to mean a process that is carried out by people as opposed to a computer or other electronic means.
Sida 3 SS 62 77 99-2, utgåva 2 0 Orientering 0.1 Allmänt Denna standard har utformats för verksamhetschefer och deras personal och erbjuder en modell för att införa och hantera ett effektivt ledningssystem för informationssäkerhet (LIS). Att införa ett LIS bör vara ett strategiskt beslut för en organisation. Utformning och införande av en organisations LIS styrs av dess verksamhetsbehov och -mål, dess säkerhetskrav, de processer som tillämpas samt organisationens storlek och struktur. Dessa förhållanden och tillhörande stödsystem kan förväntas ändras med tiden. Det är rimligt att anta att enkla situationer kräver enkla LIS-lösningar. Denna standard kan tillämpas av interna och externa parter, inklusive certfieringsföretag, för att bedöma en organisations förmåga att uppfylla såväl egna krav som kundkrav och författningsmässiga krav. 0.2 Processinriktning Denna standard förordar tillämpning av processinriktning för att upprätta, införa, driva, övervaka, upprätthålla samt förbättra effektiviteten hos en organisations LIS. För att fungera effektivt måste en organisation kunna definiera och styra många aktiviteter. Varje aktivitet som använder resurser och som styrs för att möjliggöra omvandling av underlag till resultat kan betraktas som en process. Ofta utgör resultat från en process direkt underlaget för nästa process. Tillämpningen av ett system av processer inom en organisation tillsammans med identifiering och samspel mellan dessa processer, och deras styrning, kan betecknas som "processinriktning". Processinriktning uppmuntrar användare att betona betydelsen av: a) förståelse för verksamhetens krav på informationssäkerhet samt behovet av att upprätta policy och mål för informationssäkerhet; b) införande och hantering av styrmedel inom ramen för att hantera en organisations övergripande verksamhetsrisk; c) övervakning och granskning av prestanda och effektivitet hos LIS; d) ständig förbättring baserad på mätning av måluppfyllelse. PDCA-modellen ( Plan-Do-Check-Act ) kan tillämpas på alla LIS-processer som omfattas av denna standard. Figur 1 illustrerar hur ett LIS som underlag tar informationssäkerhetskrav och förväntningar från intressenterna och via de nödvändiga åtgärderna och processerna skapar resultat i form av styrd informationssäkerhet som uppfyller kraven och förväntningarna. Figur 1 illustrerar också processernas inbördes förhållanden så som de anges i avsnitten 4, 5, 6 och 7. EXEMPEL 1 Ett krav kan vara att överträdelser av informationssäkerhet inte får orsaka allvarlig finansiell skada och/eller försämrat anseende för organisationen. EXEMPEL 2 En förväntning kan vara att om en allvarlig incident inträffar kanske dataintrång i organisationens webbsajt för e-handel bör det finnas personal som är tillräckligt utbildad i lämpliga rutiner som skall minimera skadeverkan. ANM. Termen rutin används enligt praxis inom informationssäkerhet med betydelsen process som utförs av människor till skillnad från processer som utförs av datorer eller andra elektroniska hjälpmedel.
Page 4 SS 62 77 99-2, edition 2 Plan Establish the ISMS Interested parties Do Implement and operate the ISMS Development, maintenance and improvement cycle Maintain and improve the ISMS Act Interested parties Information security requirements and expectations Monitor and review the ISMS Check Managed information security Figure 1 PDCA model applied to ISMS processes Plan (establish the ISMS) Do (implement and operate the ISMS) Check (monitor and review the ISMS) Act (maintain and improve the ISMS) Establish security policy, objectives, targets, processes and procedures relevant to managing risk and improving information security to deliver results in accordance with an organization s overall policies and objectives. Implement and operate the security policy, controls, processes and procedures. Assess and, where applicable, measure process performance against security policy, objectives and practical experience and report the results to management for review. Take corrective and preventive actions, based on the results of the management review, to achieve continual improvement of the ISMS. 0.3 Compatibility with other management systems This standard is aligned with BS EN ISO 9001:2000 and BS EN ISO 14001:1996 in order to support consistent and integrated implementation and operation with related management standards. Table C.1 illustrates the relationship between the clauses of this British Standard, BS EN ISO 9001:2000 and BS EN ISO 14001:1996. This British Standard is designed to enable an organization to align or integrate its ISMS with related management system requirements.
Sida 4 SS 62 77 99-2, utgåva 2 Planera Establish Upprätta ISMS LIS Context & Risk Assessment Interested Intressenter Parties Informationssäkerhetskrav och & Security Requirements förväntningar Expectations Inför Design och& Implement driv LIS ISMS Följ Monitor upp och& granska Review LIS ISMS Upprätthåll Improve ISMS och förbättra LIS Interested Intressenter Parties Managed Styrd informationssäkerhet Information Security Genomföra Förbättra Utvecklings-, underhålls- och förbättringscykel Följa upp Figur 1 PDCA-modellen tillämpad på LIS-processer Planera (skapa LIS) Genomföra (inför och verkställ LIS) Följa upp (övervaka och granska LIS) Förbättra (upprätthåll och förbättra LIS) Fastställ säkerhetspolicy, syfte, mål, processer och rutiner relevanta för riskhantering och förbättring av informationssäkerhet och som ger resultat i linje med organisationens övergripande policy och mål. Inför och verkställ säkerhetspolicy, styrmedel, processer och rutiner. Fastställ och, där så är tillämpbart, mät processens prestanda mot säkerhetpolicy, mål och praktisk erfarenhet och rapportera resultaten till ledningen för granskning. Vidta korrigerande och förebyggande åtgärder baserade på resultaten av ledningens genomgång, för att uppnå ständig förbättring av LIS. 0.3 Förenlighet med andra ledningssystem Denna standard är samordnad med SS-EN ISO 9001 (2000) och SS-EN ISO 14001 (1996) i syfte att stödja införande och drift som är enhetligt och integrerat med relaterade ledningssystemstandarder. Tabell C.1 visar sambanden mellan avsnitten i denna standard, SS-EN ISO 9001 (2000) och SS-EN ISO 14001 (1996). Denna standard är utformad så att en organisation kan anpassa eller integrera sitt LIS med krav i relaterade ledningssystem.