ISO 27001 -vaatimus 4.2 – Asianomaiset osapuolet

Mikä on kiinnostunut osapuoli?

Yksinkertaisimmillaan kiinnostunut osapuoli on sidosryhmä – joku, ryhmä tai yhteisö, joka on kiinnostunut ISMS:stäsi (tai ehkä organisaatiosta itsestäsi).

Sinun pitäisi pystyä helposti tunnistamaan monet kiinnostuneet osapuolesi, kun olet suorittanut tietoturvan hallintajärjestelmän suunniteltuihin tuloksiin vaikuttavat sisäiset ja ulkoiset asiat.

Näitä ovat henkilöstö, toimittajat, asiakkaat, osakkeenomistajat, johtajat, mahdolliset asiakkaat, hallituksen jäsenet, kilpailijat, lainsäätäjät ja sääntelijät, ammattiliitot jne.

Kiinnostuneet osapuolet eivät myöskään aina ole ilmeisiä – esimerkiksi hakkerit ja niihin liittyvät haitalliset osapuolet saattavat tarvita harkintaa, samoin kuin media ja muut yrityksesi luonteesta ja sen kohtaamista ongelmista riippuen.

Sen sijaan, että luot kaikille kiinnostuneille osapuolille yhden koon käytännöt ja hallintalaitteet, on parempi tarkastella kyseisiä osapuolia niiden voiman, kiinnostuksen ja tuen perusteella – yksinkertaisesti sanottuna kyse on heidän kyvystään vaikuttaa lähestymistapa ISMS:ään.

Sitten voit kehittää sopivia lähestymistapoja osoittaaksesi, että sinulla on heidän tarpeensa (ja tietysti sinunkin, jos kyseessä on myös mahdollinen sabotööri!)

Esimerkkinä, jos sinulla olisi asiakas, joka vaatii sinua investoimaan ISO 27001:een ja rakentamaan itsenäisesti sertifioidun ISO 27001 ISMS:n, tekisitkö sen, jos he olisivat hyvin pieni, ei-vaikuttava toimija? Ajattelet luultavasti uudelleen, jos kyseinen asiakas olisi yksi monista, jotka haluat voittaa, tai suuri voimakas toimija itsessään.

Ajattelitko salausta, ellei se olisi GDPR:n säännösvaatimus – lainsäätäjät ja sääntelijät (valvontaviranomaiset) ovat voimakas "pysy tyytyväisenä" sidosryhmä, jota sinun on otettava huomioon ja osoitettava, että heidän etujaan käsitellään!

Ketkä ovat kiinnostuneita osapuolia pitääkseen tyytyväisinä?

Jos sidosryhmällä on suuri valta ja alhainen kiinnostus, sinun tulee ajatella kyseistä henkilöä tai ryhmää "pysy tyytyväisenä" sidosryhmänä. Kysy itseltäsi, mitä aiot tehdä ISMS-järjestelmässäsi käytännöillä ja ohjaimilla pitääksesi ne tyytyväisinä?

Tällä suuren tehon ja matalan intressin alueella saatat nähdä organisaatioita, kuten lainsäätäjiä ja sääntelijöitä, erittäin voimakkaita asiakasryhmiä, osakkeenomistajia jne. Myös ulkopuolisia tarkastajia ja muita toimialan elimiä voi olla, jotka voivat vaikuttaa yrityksesi menestykseen.

Heidän kiinnostuksensa on melko alhainen päivittäin, mutta heidän voimansa vaikuttaa liiketoimintatavoitteisiisi on suuri, joten heidän on pysyttävä tyytyväisinä – yleensä etänä, ja itsenäisesti sertifioitu ISO 27001 -sertifikaatti vastaa heidän tarpeisiinsa.

Tietoturvan erittäin voimakkaat osapuolet, kuten sääntelyviranomaiset, voivat myös määrätä erityisiä toimintatapoja – GDPR ja tietosuojalaki ovat hyvin ajankohtaisia ​​esimerkkejä.

Ottaen huomioon muiden kiinnostuneiden osapuolten tarpeet onnistuneelle ISO 27001 ISMS:lle

Jos kiinnostuneella osapuolella on sekä suuri kiinnostus että suuri valta, kutsumme häntä avaintoimijaksi. Näiden sidosryhmien tulisi olla aktiivisesti mukana. Ylin johtoryhmäsi, keskeiset osastopäälliköt, putiikin tärkeät toimittajat jne. kuuluvat todennäköisesti tähän luokkaan. Sinulla saattaa todella olla joitakin läheisesti sitoutuneita tärkeitä asiakkaita tässä luokassa. He saattavat olla hyvin kiinnostuneita siitä, miten työskentelet päivittäin, koska se vaikuttaa myös heihin.

On helppo luoda pitkiä luetteloita harkittavista sidosryhmistä, mutta varo käyttämästä liian pitkiä sidosryhmiä, joilla on vähemmän tehoa. Ne, joilla on pienempi teho ja korkeampi kiinnostus, tarvitsevat ajan tasalla, mutta heitä ei ehkä tarvitse kuulla siitä, mitä ISMS-järjestelmäsi kattaa – sinun on ehkä vain kerrottava heille, muuten he voivat kuluttaa paljon aikaasi ja investointibudjettiasi!

Ole myös varovainen yksinkertaisesti pudottaessasi sidosryhmiä, joista et pidä, pienemmän tehon ämpäriin – näin tapahtui yhdessä yrityksessä. He maksoivat siitä myöhemmin, koska sidosryhmä oli itse asiassa melko voimakas ja viivästytti heitä saavuttamaan tavoitteensa, koska heidän vaatimuksiaan ei priorisoitu.

Tämän asianosaisten ja sidosryhmien työn yhdistäminen kohdassa 4.1 tunnistamiisi sisäisiin ja ulkoisiin ongelmiin auttaa ymmärtämään paremmin, mistä tietoturvan hallintajärjestelmässäsi saattaa johtua uhkia ja mahdollisuuksia.

Tämä yhdessä ISMS:si (4.3) laajuuden kanssa johtaa paljon loogisempaan ja liiketoimintalähtöisempään lähestymistapaan 6.1:n riskinarviointiin ja paljon parempaan tietoturvaan politiikoilla ja valvonnalla, joita henkilöstösi ja sidosryhmäsi arvostavat ja ottavat vastaan.

ISMS.online tarjoaa mallin ja työkalun "sidosryhmäpankin" avulla, jotta voit helposti täyttää ISO 27001 lausekkeen 4.2 vaatimukset. Valinnaisen Virtual Coach -ohjelman mukana tulee myös videovalmennus vaatimusten täyttämisestä.