ISO 27001:n vaatimus 7.2 – Pätevyys

Mitä lauseke 7.2 sisältää?

ISO IEC 27001 lausekkeelle 7.2 sanoo periaatteessa, että organisaatio varmistaa, että sillä on:

• määritti ISMS-työtä tekevien ihmisten pätevyyden, joka voi vaikuttaa sen suorituskykyyn
• henkilöt, jotka katsotaan päteviksi asiaankuuluvan koulutuksen tai kokemuksen perusteella
• tarvittaessa ryhtyä toimenpiteisiin tarvittavan pätevyyden hankkimiseksi ja arvioinut toimien tehokkuutta
• säilytti todisteet edellä mainituista tilintarkastustarkoituksiin

Näiden vaatimusten perusteella on helppo ajatella, että vastaus 7.2:een voisi olla tietoturva-asiantuntijan palkkaaminen – mutta se ei aina ole välttämätöntä!

ISO 27001 -sertifioidun ISMS:n onnistunut käyttöönotto ja jatkuva hallinta edellyttävät koko joukko taitoja ja kokemuksia fyysisen turvallisuuden, kyberturvallisuuden, tietoturvan tai muun tietoturvan asiantuntemuksen lisäksi sinänsä.

Näitä ovat: kaupallinen, juridinen, HR, IT sekä asiaankuuluva tuote- ja palveluasiantuntemus työhön.

ISMS:n rakentaminen ja ylläpito on yleensä tiimityötä. Tärkeintä on ymmärrys organisaatiosta, sen tarkoituksesta ja tavoitteista, kulttuurista, riskinottohalusta ja kohdissa 4.1, 4.2, 4.3, 6.1, 6.2 ilmaistuista vaatimuksista.

Kohdan 7.2 noudattamisen osoittaminen

Kohdan 7.3 tietoisuus- ja 7.4 viestintälausekkeiden lisäksi kohta 7.2 voidaan osoittaa kattavalla lausunnolla mukana olevasta tiimistä ja heidän uskottavuudestaan ​​sekä linkeillä ISMS:n yli osoittaakseen työnsä todisteena ajan säästämiseksi (jos käytät yhdistettyä alustaa, kuten esim. ISMS.online).

Lisäksi yksinkertainen taulukko, jossa näkyvät mukana olevat henkilöt, heidän roolinsa ja muistiinpanot asiaankuuluvan kokemuksensa, koulutuksensa tai koulutuksensa ohella, on hyödyllinen, ja jotkut tarkastajat haluavat nähdä tämän yksityiskohdan. Sen ei tarvitse olla CV:tä, kerro vain miksi he ovat mukana:
Esim. Fred Bloggs – toteutusjohtaja, jolla on päivätyö palveluiden toimittamisesta ja IT-päällikkö. Hänellä on 5 vuoden kokemus molemmista aloista ja asiaankuuluva koulutus tai koulutus esim. osallistunut kyberturvallisuuden verkkokursseille, suorittanut tietojenkäsittelytieteen maisterintutkinnon.

Tämä voidaan pitää hyvin yksinkertaisena, se ei ole tietoturvakoulutuksen tarveanalyysi tai yksityiskohtainen toimintasuunnitelma (vaikka saatat haluta myös sellaisen riippuen organisaation tyylistä ja sen lähestymistavasta henkilöstön kehittämissuunnitelmiin).

Ulkoinen tarkastaja haluaa vain tietää, että mukana oleva tiimi on pätevä ja on todennäköistä, että osa tai koko tiimi on joka tapauksessa mukana auditointiprosessissa, jolloin tilintarkastaja muodostaa joka tapauksessa oman mielipiteensä.

Muista, että yritysvetoisella lähestymistavalla toteutetussa tietoturvassa on kyse yrityksen paremmasta johtamisesta, ei vain 114-ohjausten toteuttamisesta sen vuoksi. Siksi on epätodennäköistä, että organisaatiosi ydinosaamisessa ja ymmärryksessä jää aukkoja, muuten se ei todennäköisesti toimi!

Jos tämän lausekkeen mukaisen tietoturvan hallintajärjestelmän toteuttamisessa ja käytössä on kuitenkin aukkoja osaamisessa, taidoissa ja kokemuksissa, ne voidaan korjata useilla tavoilla:

• Osallistuvien henkilöiden lähettäminen ISO 27001 -päällisen tarkastajan, päätäytäntöönpanon ja toteutuskoulutuksen kursseille tai jollekin monista muista tietoturvakursseista. Tämä voi kuitenkin tulla kalliiksi yhdelle henkilölle saati tiimistä sekä kustannusten että toimiston poistumisajan kannalta. Se voi johtaa itsessään toteutusongelmiin, jos kouluttaja tai ohjelma on liian yleinen, vanhanaikainen tai ei ymmärrä organisaatiokulttuuria, työtapoja jne.
• Lukemalla monia ilmaisia ​​Internetin resursseja, kuten tämän verkkosivuston resursseja, sivustoja, kuten National Cyber ​​Security Center (NCSC) erikoisoppaineen ja tarkistuslistoineen, ja sulauttamalla ISO 27001- ja ISO 27002 -standardit osoittavat tarkastajalle myös osaamista. Tämä sopii yhteen liitteen A 6.1.4 kanssa, jotta pysyt tietoisena tietoturvafoorumeista ja ammatillisista järjestöistä ja osallistuu niihin.
• Vuokraa erityisiä fyysisiä resursseja osaamisen rakentamiseen – virtuaalisille CISO:lle (Chief Information Security Officers) ja heidän ympärillään oleville tiimeille on kasvavat markkinat. Tässä voi toki olla järkeä ja suosittelemme kohdennettuun työhön oman alansa asiantuntijan sisäisten resurssien rinnalle, kun organisaatiolla on kapasiteetti- ja osaamisongelmia ja budjetti on vähemmän ongelmallinen. Monet ISMS.online-kumppaneista tarjoavat tällaista palvelua, ja olemme erittäin iloisia voidessamme ehdottaa kumppania, joka voi auttaa kuromaan umpeen nämä aukot ja tuomaan lisäarvoa ISMS.onlinen päälle.
• Käytä ISMS.onlinen Virtual Coach -palvelua rakentaaksesi ja kasvattaaksesi pätevyyttä koko käyttöönottotiimin läpi ja näytä tarkastajalle, että jokainen tiimin jäsen on käynyt läpi tietoturvavalmennuksia/mentorointia ja koulutettu valmistautumissuunnitelmaan, jotta he tietävät alusta alkaen mitä tietoturvan hallintajärjestelmä on, miksi sitä tarvitaan ja mikä heidän tehtävänsä on tiimissä. He voivat myös osoittaa työskentelevänsä itsevarmasti ja johdonmukaisesti tasolla, joka noudattaa Virtual Coach -oppaita, vinkkejä ja videoita kunkin vaatimuksen ja liitteen A valvonta-alueen sisällä.

Hanki sertifiointi jopa 5 kertaa nopeammin ISMS.onlinen avulla

Vaatimustenmukaisuuden ei tarvitse olla monimutkaista – ISMS.online on suunniteltu auttamaan sinua saavuttamaan ISO 27001 -sertifikaatti nopeasti ja edullisesti ilman koulutusta.
Olemme virtaviivaistaneet ISO 27001 -prosessia Assured Results -menetelmällämme, 80-prosenttisella Headstartilla, omalla 24/7 Virtual Coachilla, helpolla käyttöönotolla ja asiantuntijatuella.

Varaa alustan esittely nähdäksesi, kuinka ISMS.online voi auttaa yritystäsi