ISO 27001 - Non conformità nel requisito 9
Dall'allegato SL (ma anche prima di quello), la valutazione delle prestazioni era comune a tutti gli standard dei sistemi di gestione. Questi risultati si trovano anche in altri audit degli standard Annex SL, l'unica differenza è l'audit e le prestazioni dei controlli Annex A che sono unici per la ISO 27001:2013.
La Sezione 9 Valutazione delle prestazioni è la fase "Verifica" del ciclo Plan Do Check Act (PDCA). Questa infografica mostra i requisiti di vari standard dell'allegato SL allineati alle fasi PDCA. È qui che l'organizzazione verifica i due fattori più importanti:
- Le prestazioni della sua sicurezza delle informazioni
- L'efficacia del suo ISMS
È il momento in cui l'organizzazione guarda al suo interno per analizzare se stessa cercando di essere il più oggettiva e imparziale possibile per trarne il massimo valore. Tutte le organizzazioni eseguono controlli sulle varie funzioni aziendali, come gli obiettivi di vendita e il servizio clienti, quindi la sicurezza dovrebbe essere analizzata in modo analogo.
Ci sono 3 parti dei reqisiti, che ora vado ad analizzare:
9.1 Monitoraggio, misurazione, analisi e valutazione
Gli allegati SL sono standard basati sui processi e sui rischi. Ciò significa che il monitoraggio delle prestazioni della sicurezza delle informazioni deve essere:
- Basato sui processi interagenti nell'ambito del sistema di gestione
- Preoccuparsi per quei processi e risorse informative che contano di più per l'organizzazione, ad esempio quelle che comportano un rischio più elevato.
Lo standard richiede che l'organizzazione consideri cosa deve essere monitorato e misurato, come sarà monitorato, quando e chi dovrà effettuare il monitoraggio e quando e chi dovrà fare la valutazione dei risultati. In alcuni casi sono state segnalate non conformità maggiori in quanto non ci sono prove che il 9.1 sia stato rispettato.
Ma in genere si verificano non conformità perché sono stati definiti pochissimi requisiti di misurazione. Oltre a ciò, i nostri auditor spesso vedono che gli elementi identificati hanno metriche o KPIS inappropriati. Ciò può anche suggerire che gli obiettivi di sicurezza delle informazioni non siano stati completamente definiti, poiché è necessario misurarne i progressi (6.3).
Poiché questo è basato sul rischio, dovrebbe esserci un collegamento tra i rischi identificati nel requisito 6, i controlli e i processi di sicurezza delle informazioni da monitorare. Ad esempio, se sono presenti alcuni controlli di sicurezza importanti per mitigare un rischio elevato, è nell'interesse dell'organizzazione monitorare attentamente le prestazioni di tali controlli. Considerando anche l'eventualità che potrebbe ragionevolmente scegliere di non monitorare da vicino i controlli che riguardano rischi inferiori.
Ma ci sono anche casi in cui è stata definita la misurazione delle prestazioni del sistema di gestione ma nulla per i controlli di sicurezza e viceversa. E infine, spesso vediamo che sono in atto metriche complete di misurazione delle prestazioni ma non viene eseguita alcuna misurazione.
9.2 Audit interno
Vengono sollevate più non conformità contro l'audit interno rispetto a qualsiasi altro requisito della ISO 27001:2013. Il mancato svolgimento di audit interni o l'assenza di sedi nell'ambito di applicazione solleva importanti non conformità. Ciò può essere dovuto al fatto che l'organizzazione non ha pianificato alcun audit o li ha pianificati ma non li ha eseguiti. La mancanza di audit interni può impedire a un'organizzazione di passare dallo stage 1 allo stage 2 e impedire che la certificazione venga rilasciata dopo uno stage 2.
Lo standard prevede che gli audit interni debbano essere condotti a intervalli pianificati, ma non suggerisce una frequenza standard. Tuttavia, la certificazione del sistema di gestione opera in un ciclo di tre anni, quindi ci aspettiamo che tutti i requisiti del sistema di gestione siano coperti e la Dichiarazione di applicabilità controlli i campioni in base al rischio.
Non conformità minori si verificano quando il programma di audit non è appropriato ai rischi o manca di una copertura sufficiente per lo scopo. In particolare, tutte le sedi fisiche in cui si svolge l'attività da certificare, devono essere controllate e non è insolito che le strutture remote non vengano escluse dal programma. A volte vediamo il programma di audit per tutto il sistema di gestione ma senza i controlli dell'Allegato A e viceversa. Anche la mancanza di elementi del programma senza riprogrammarli nel ciclo triennale può portare a risultati errati.
Molto spesso le registrazioni di audit possono essere sbagliate, in quanto non registrano adeguatamente le osservazioni degli audit e gli eventuali risultati emersi. Infine, a volte troviamo che l'imparzialità dell'auditor venga meno.Trovare un auditor imparziale in una piccola organizzazione può essere difficile, quindi potrebbe essere necessario più di un auditor per assicurarsi che non ci siano conflitti di interesse.
9.3
Lo standard elenca tutti gli elementi obbligatori da considerare durante il riesame della direzione. La principale causa di non conformità è dovuta al fatto che alcuni degli elementi obbligatori non vengono discussi. Averli come punti permanenti all'ordine del giorno garantirà che vengano sempre presi in considerazione e discussi.
Le non conformità maggiori si verificano quando non vengono effettuati riesami da parte della direzione.
La qualità e l'accuratezza dei verbali sono molto importanti. Se il nostro auditor non è in grado di determinare cosa è stato discusso e il risultato della discussione, non ha prove oggettive. Ad esempio, la semplice registrazione di "N/A" su un elemento obbligatorio solleverà una non conformità.
I revisori di solito riesaminano il programma di audit interno prima del riesame della direzione. Si aspetteranno di vedere l'audit interno discusso durante il riesame della direzione.
Lo stato delle azioni e la loro tracciabilità o avanzamento verso la chiusura è importante. Le azioni non chiuse a lungo termine possono essere indicative di una mancanza di miglioramento continuo. Pertanto è importante gestire le azioni: alcuni possono essere progetti a lungo termine e quindi richiedono una revisione meno frequente o addirittura spostati completamente dalle azioni, ma queste decisioni devono essere registrate.
Nel mio prossimo articolo analizzerò il requisito 10.
Leggi l'articolo precedente su questa serie, ISO 27001 - Non conformità nel requisito 7, qui.
A cura di: Tim Pinnell, NQA Information Security Assurance Manager