ISO 27001:n vaatimus 7.4 – Viestintä

Mitä lauseke 7.4 sisältää?

Kuten muissakin ISMS:n osissa, on mahdollisuuksia liittyä ja esitellä tietoturvan hallintajärjestelmä, erityisesti sen viestintävaatimukset ovat yhtenäinen osa organisaation viestintä-, koulutus-, koulutus- ja tietoisuusprosesseja.

Tämä kohta 7.4 sopii myös yhteen henkilöstöturvallisuuden liitteen A 7 kanssa, jossa viestinnän vaatimukset alkavat HR-turvatarkastuksesta, siirtyvät työsopimusten tietoturvaehtoihin, kurinpitoprosesseihin ja roolinvaihdosten tai irtautumisen jälkeen. Merkittävin integraatio HR-turvallisuuden kannalta on A 7.2.2:ssa, jossa valvotaan tietoturvatietoisuutta, koulutusta ja koulutusta.

ISO 27001 etsii seuraavia asioita tästä lausekkeesta:

• mitä viestiä ISMS:stä
• milloin siitä tiedotetaan
• kuka on osapuolena tässä viestinnässä
• kuka viestii
• miten tämä kaikki tapahtuu eli mitä järjestelmiä ja prosesseja käytetään osoittamaan, että se tapahtuu ja on tehokasta

Erityisesti ISO 27001: 2013 A.7.2.2 -ohjaus edellyttää, että: "Kaikki organisaation työntekijät ja tarvittaessa urakoitsijat saavat asianmukaista tietoisuutta lisäävää koulutusta ja koulutusta sekä säännöllisiä päivityksiä organisaation politiikoista ja menettelyistä heidän työtehtävänsä mukaisesti."

Tämä valvonta yhdistettynä ISO 7.4 -standardin päävaatimusten lausekkeen 27001 vaatimukseen osoittaa "miten" ja kuinka tehokas viestintä on sekä ylimmän johdon tarve todella suojella organisaatiotaan, ei vain rastita ruutuun, tarkoittaa, että dynaaminen ja varma viestintä vaaditaan, jotta varmistetaan noudattaminen.

Ketkä on otettava huomioon viestinnässä, ovatko he todennäköisesti kiinnostuneita?

Tämän lähtökohtana tulisi olla kohdassa 4.2 tehty työ, jossa tarkastellaan kiinnostuneita osapuolia ja katsotaan taaksepäin ymmärtääksemme heidän tarpeitaan ja vaatimuksiaan viestinnässä, mikä ilmeisesti vastaisi heidän asemaansa sidosryhmäkartalla ja taustalla olevia kysymyksiä ja huolenaiheita. on sen suorituskyvystä. Kuten ennenkin, yksi koko ei sovi kaikille sen suhteen, mitä, miksi ja miten viestintä tapahtuu. Esimerkiksi "pysy tyytyväisenä" kiinnostunut osapuoli, kuten UK Information Commissioner, joka osoittaa tietosuojalain ja GDPR:n noudattamisen, haluaa tietää vain kaksi asiaa: a) oletko rekisteröity rekisterinpitäjäksi ja/tai käsittelijäksi; ja b) kun olet kokenut turvavälikohtauksen, joka aiheuttaa tappioita tai mahdollisia seurauksia, kuuluu heidän kiinnostukseensa.

Muut pitävät tyytyväisinä sidosryhmät ovat todennäköisesti tehokkaita asiakkaita ja myös ulkoisia auditoijia ISO 27001 -standardille varsinkin jos harkitaan riippumatonta UKAS- tai vastaavaa sertifikaattia. He haluavat luottaa siihen, että ISMS toimii hyvin, ja he haluavat saada säännöllisen tietovarmuuden, joka tulee valvonta-auditoinneista ja kenties auditointioikeudesta heidän valitsemanaan ajankohtana, sekä saada tietoa olennaisista muutoksista tai tapahtumista.

Keskeisten toimijoiden ja ajan tasalla olevien sidosryhmien, kuten ylimmän johdon, henkilöstön tai läheisesti mukana olevien toimittajien, jotka ovat käyttäneet arvokkainta tietovarallisuuttasi, on oltava sitoutuneita ja tietoisia tietoturvan hallintajärjestelmästä.

Tässä huomioitavia asioita ovat mm.

• Mitä tietoturva tarkoittaa organisaatiolle ja sen hyödyt ja seuraukset
• Tietoisuus tärkeimmistä kielitermeistä ja esimerkkejä hyvistä ja huonoista luottamuksellisuudesta, eheydestä ja saatavuudesta, jotka ovat heille merkityksellisiä
• Organisaation tietoturvapolitiikka ja valvonta, jotka vaikuttavat heidän työhönsä ja heidän ympärillään työskenteleviin
• Mitä tehdä, jos he havaitsevat ensimmäisenä tapahtuman, tapahtuman tai heikkouden
• Mitä tehdä, kun jotain on tapahtunut muualla organisaatiossa ja heidän on ryhdyttävä toimiin pysyäkseen suojattuna
• Yleiset päivitykset ja dynaaminen viestintä, jotka liittyvät heidän rooliinsa (käytäntöjen ja hallintalaitteiden lisäksi)

Viestinnän ja vaatimustenmukaisuuden varmistaminen ISO 27001 -standardin onnistumiseksi

Vaikka ISO 27001 -sertifioinnin suorittava ulkopuolinen tarkastaja etsii huolellisesti todisteita yllä olevasta viestinnästä, tärkeämpi liiketoimintakysymys liittyy enemmän siihen, että sidosryhmät eivät ole tietoisia tai eivät noudata viestintää. Tämä voi nopeasti johtaa vakavaan tietoturvaloukkaukseen ja suuriin menetyksiin, varsinkin jos henkilötietojen ympärillä, joissa GDPR-sakkoja ja merkittäviä mainevaurioita harkitaan.

Useimmilla organisaatioilla on todennäköisesti jo viestintäkanavat; kasvokkain työskentely, tiimipäivät, sähköposti, intranet ja muut keinot henkilöstön sitouttamiseen. Suosittelemme, että kaikki nämä harkitaan, jos nämä tavat ovat hyvin rakennettu henkilöstölle ja he reagoivat niihin. Kuitenkin, kun saat jo liian monta sähköpostia, ajaudut pois tiimien puhelinkokouksissa, pääsevätkö jännittävä ISMS-viestintä paikalle ja tuottavat tarvitsemasi lopputuloksen?

Useimpien organisaatioiden haasteena on kyvyttömyys saada kustannustehokkaasti todisteita siitä, että viestintää on tapahtunut ja että vaatimustenmukaisuus on taattu keskeisten sidosryhmien sisäisessä ja ulkoisessa toimitusketjussa. Kohdan 9.2 mukaiset sisäiset auditoinnit ovat suureksi avuksi siinä mielessä, että ne ovat kuitenkin yleensä harvinaisia ​​ja erittäin kalliita muuhun kuin otoskokoisiin auditointeihin eivätkä yleensä pysy tietoturvariskien ja erityisesti kyberturvallisuusasioiden nopeiden muutosten tahdissa.

Tilintarkastajat tarkastelevat nyt paljon tarkemmin näitä viestintäalueita, koska epäonnistumisen seuraukset kasvavat. Älykkäät asiakkaat ja osakkeenomistajat kiinnittävät myös paljon enemmän huomiota ISO-sertifikaatin lisäksi soveltuvuusselvityksen ja laajuuden lisäksi tietoturvapäivitysten dynaamisemman seurannan ja vaatimustenmukaisuuden varmistamisen vaatimuksiin. Ihmisiin perustuva vaatimustenmukaisuus on siirtymässä paljon lähemmäksi teknologiaa ja digitaalista järjestelmävalvontaa, joka on jo nähty esimerkiksi palomuureissa, virustentorjunnan reaaliaikaisissa seurantapalveluissa.

Miten ISMS.online auttaa ISMS-viestinnässä

Pohjimmiltaan ISMS.online on viestintä- ja yhteistyöalusta, joten se saa hyvän etumatkan vanhanaikaisille staattisille tallennusjärjestelmille, jotka olivat aiemmin suosittuja ISMS- ja GRC (Governance Regulation and Compliance) -tyyppisissä järjestelmissä. Se myös jakaa tietoa sähköpostitse myös loppukäyttäjille, mikä sopii mainiosti yksinkertaisiin päivityksiin ja tietoisuuden lisäämiseen, joten se sopii tähän tapaan perustuvaan viestintätapaan. Kaikki mitä tarvitaan yksityiskohtaisempaan noudattamistyössä, kuten todiste sitoutumisesta johonkin, esim. käytännön lukeminen, tuo käyttäjät takaisin alustalle, jossa rikostekninen kirjausketju ja todisteet hämmästyttävät tarkastajat ja säästävät valtavia määriä aikaa ISMS-järjestelmänvalvojille, jotka puolestaan ​​voivat kommunikoida luottamus takaisin ylimmälle johdolle.

Alusta palvelee eri sidosryhmiä erittäin hyvin helppokäyttöisyydellään ja kohdistetuilla työtiloillaan, jotka ovat kaikki auditoitavia ja näyttöön perustuvia standardin vaatimusten mukaisesti.

Viestinnän luottamuksen saavuttaminen tehokkaille asiakkaille, ylimmälle johdolle ja ulkoisille tarkastajille

Erityisesti kehitetty läheisessä yhteistyössä loppukäyttäjien kanssa, joista suurin osa ominaisuussarja ISMS.onlinessa on Policy Pack -palvelu, jonka avulla ISMS:n järjestelmänvalvojat voivat osoittaa käytäntöjen ja hallintalaitteiden noudattamisen kaikille piiriin kuuluville. Tämä innovatiivinen palvelu yhdistettynä ISMS-yleisraporttiin (jatkossa alla) ja yleisiin ryhmien yhteistyöominaisuuksiin tarjoaa monia kustannussäästöjä, riskejä vähentäviä ja muita etuja.

• käytäntöjen ja kontrollien tuottaminen kerran, mutta mahdollistaa jakelun helposti kohderyhmille (esim. osasto, sijainti, rooli, tuote jne.)
• mahdollisuus nähdä, että käytännöt luetaan ja noudatetaan dynaamisesti milloin tahansa
• kyky havaita ja käsitellä mahdolliset noudattamatta jättämiset nopeasti ja helposti – huomio kiinnittäminen suurimpiin riskeihin ja tarkastusaikaa tai muita rajallisia resursseja ei tuhlata
• kyky näyttää ulkopuolisille tarkastajille, voimakkaille loppuasiakkaille ja ylimmälle johdolle, että he hallitsevat koko ISMS:ää tietoresurssin tunnistamisesta, riskinarvioinnista, siihen sovellettavista kontrollista ja yleisöstä, joihin politiikkaa sovelletaan – kaikki keskeiset näkökohdat ISMS:n ISO 27001 -vaatimusten noudattamiseen

Edistyneemmille käyttäjille, jotka haluavat nähdä suhteet tietoresurssien, riskien, hallinnan ja käytäntöjen käyttäjille käytäntöpakettien avulla viestimisen välillä, ISMS-yleisraportti tekee juuri sen. Se osoittaa luottamuksen päästä päähän ja auttaa nopeasti eristämään aukkoja, ongelmia tai hukkaa ISO 27001 -standardin lausekkeessa 6.1.3 vaaditun tehokkaan soveltuvuusilmoituksen lisäksi.

Tietoturvaviestintä henkilökunnalle, tavarantoimittajille ja muille sidosryhmille, joiden on sitouduttava ja osoitettava noudattavansa ISO 27001 -standardia

Se on hienoa, jos tehokkaat tietoturvan hallintajärjestelmät toimivat hyvin, jotta ISMS-hallinta ja järjestelmänvalvojat voivat saavuttaa tavoitteensa. The ISMS ratkaisuja on toimittava hyvin myös niille satunnaisille käyttäjille, joiden on ymmärrettävä ja noudatettava käytäntöjään, oltava tietoisia siitä, mitä tapahtuu, osallistua keskusteluihin, tuoda esiin tapauksia ja vastata tehtäviin. Juuri tätä ISMS.online tarjoaa, kyvyn pitää nämä tärkeät sidosryhmät vaatimustenmukaisina ja sitoutuneena dynaamiseen mutta satunnaiseen pääsymalliin.

Henkilökunta saa lukea ja noudattaa tietoturvakäytäntöjään (ja muita) Kindlen kaltaisessa lukukokemuksessa, ilman ISMS:n erikoisosien aiheuttamaa melua. He voivat helposti näyttää lukemisen edistymisensä ja noudattamisensa suorittaessaan työn. Tämä päivittää myös yllä olevaa hallintakonsolia dynaamisesti. Kun käytäntöä päivitetään, järjestelmänvalvoja voi yksinkertaisesti välittää sen kaikille lukijoille ja tuoda sen heidän tietoonsa.

Policy Pack -palvelun lisäksi ISMS online tarjoaa useita tapoja varmistaa henkilöstön viestintä ja sitoutuminen, mukaan lukien ISMS-viestintäryhmät, jotka ovat hyviä lähettämään päivityksiä, osallistumaan keskusteluihin, jakamaan tehtäviä sähköposti-ilmoituksilla ja näyttämään todisteita siitä. tilintarkastajille sekä säilyttää tietämys uusille työntekijöille ja muille, jotka on otettava mukaan tulevaisuudessa. Nämä vaatimukset eivät ole niin yksinkertaisia ​​joidenkin perinteisempien viestintä- ja messenger-tuotteiden kanssa markkinoilla tai pelkällä sähköpostilla. Ryhmien ydinpalvelujen ja käytäntöpakettien lisäksi monet muut alustan ominaisuudet tekevät koko viestintäprosessista rikkaamman ja integroidun kokemuksen.

Hanki sertifiointi jopa 5 kertaa nopeammin ISMS.onlinen avulla

Vaatimustenmukaisuuden ei tarvitse olla monimutkaista – ISMS.online on suunniteltu auttamaan sinua saavuttamaan ISO 27001 -sertifikaatti nopeasti ja edullisesti ilman koulutusta.
Olemme virtaviivaistaneet ISO 27001 -prosessia Assured Results -menetelmällämme, 80-prosenttisella Headstartilla, omalla 24/7 Virtual Coachilla, helpolla käyttöönotolla ja asiantuntijatuella.

Varaa alustan esittely nähdäksesi, kuinka ISMS.online voi auttaa yritystäsi