ISO 27001:n vaatimus 9.1 – Suorituskyvyn arviointi

Mitä lauseke 9.1 sisältää?

Jos organisaatio hakee ISO 27001 -sertifikaattia, UKASiin (tai vastaavaan kansainvälisesti ISO-sertifiointiin akkreditoidussa elimessä) liittyvässä sertifiointielimessä työskentelevä riippumaton auditoija tarkastelee tarkasti seuraavia alueita:

• mitä se on päättänyt seurata ja mitata, ei vain tavoitteita vaan myös prosesseja ja valvontaa
• miten se varmistaa pätevät tulokset mittauksessa, seurannassa, analysoinnissa ja arvioinnissa
• milloin tämä mittaus, seuranta, arviointi ja analysointi tapahtuu ja kuka sen tekee
• miten tuloksia käytetään

Kuten kaikessa muussakin kansainvälisessä ISO IEC -standardissa, mukaan lukien ISO 27001, dokumentoidut tiedot ovat tärkeitä – joten sen kuvaaminen ja sen tapahtuman osoittaminen on avain menestykseen!

Kuinka täyttää kohdan 9.1 vaatimukset?

Kuten suuressa osassa tietoturvan hallintajärjestelmän toimintaa koskevaa lauseketta 8, kohta 9.1 hoidetaan tarkastelemalla koko ISMS:ää ja muita tähän vaatimukseen vaikuttavia osia.

Esimerkiksi:

• Kohdissa 4.1, 4.2 ja 4.3 valmistuneessa työssä yksilöidään asiat (mukaan lukien tietovarat), asianosaiset ja laajuus
• 6.1 korostaa sitten riskien tunnistamista, arviointia ja hoitoa jäsennellyllä tavalla tämän vaatimuksen täyttämiseksi
• 6.2 dokumentoi ISMS:n tavoitteet, ja jos se tehdään hyvin, se sisältää mittauksen, seurannan, taajuuden, lähteiden hallinnan ja todisteet
• 9.2 auttaa koko järjestelmän sisäisissä auditoinneissa, jotka osoittavat, mikä toimii ja missä on parantamisen varaa
• 9.3 tuo suuren osan vaatimuksista yhteen johdon arviointeja ja analyyseja varten strategisen päätöksenteon kanssa sen kattaman asialistan kautta
• Kohdassa 10.1 tarkastellaan sitten tietoturvan hallintajärjestelmän vaatimustenvastaisuutta ja 10.2 laajempia jatkuvan parantamisen mahdollisuuksia.
• Monet liitteen A kontrollit ohjaavat myös suorituskyvyn arviointia ja tarkastelua, mukaan lukien liite A.5.1, liite A.18 sekä lainsäädännön noudattamisen että tietoturvan riippumattomien arvioiden osalta.

Joten olettaen, että nämä ISMS:n osat on toteutettu dokumentaation 7.5 vakautta ajatellen, voit hengittää rauhallisesti. Ei auta muuta kuin dokumentoida, että yllä olevat kohdat 9.1 täyttää ja liittää johtamisjärjestelmään niin, että tarkastaja voi nähdä, että kaikki toimii käytännössä. Se on helppo tehdä ISMS.onlinen avulla.

Hanki sertifiointi jopa 5 kertaa nopeammin ISMS.onlinen avulla

Vaatimustenmukaisuuden ei tarvitse olla monimutkaista – ISMS.online on suunniteltu auttamaan sinua saavuttamaan ISO 27001 -sertifikaatti nopeasti ja edullisesti ilman koulutusta.
Olemme virtaviivaistaneet ISO 27001 -prosessia Assured Results -menetelmällämme, 80-prosenttisella Headstartilla, omalla 24/7 Virtual Coachilla, helpolla käyttöönotolla ja asiantuntijatuella.

Varaa alustan esittely nähdäksesi, kuinka ISMS.online voi auttaa yritystäsi