ISO 27001 -vaatimus 9.3 – Johdon katsaus

Mitä lauseke 9.3 sisältää?

ISO itse sanoo, että tarkastukset tulisi tehdä suunnitelluin väliajoin, mikä tarkoittaa yleensä vähintään kerran vuodessa ja ulkoisen auditoinnin valvontajakson sisällä. Tietoturvauhkien muutosvauhdin vuoksi ja johdon arvioinneissa on kuitenkin paljon käsiteltävää, joten suosittelemme tekemään niitä paljon useammin alla kuvatulla tavalla ja varmistamaan, että ISMS toimii hyvin käytännössä, ei vain rastita ruutuun. ISO-yhteensopivuus.

Tietoturvan hallintajärjestelmän (ISMS) hallintakatsauksen arvoa aliarvioidaan usein. Jotkut saattavat pitää sitä valintaruutuvaatimuksena, jonka on tapahduttava puhtaasti ISO 27001 -standardin vaatimuksen 9.3 täyttämiseksi. Hyvien tietoturvakäytäntöjen todella "elämiseen ja hengittämiseen" sen rooli on kuitenkin korvaamaton.

Johdon arvioinnin tarkoituksena on varmistaa, että ISMS ja sen tavoitteet pysyvät edelleen sopivina, riittävinä ja tehokkaina ottaen huomioon organisaation tarkoituksen, ongelmat ja tietoresursseihin liittyvät riskit. Näitä on aiemmin käsitelty kohdassa 4.1 organisaatio ja sen konteksti, 4.2 sidosryhmien vaatimukset, 4.3 ISMS:n soveltamisala ja 6.1 riskienhallintatyössä.

Johdon katselmukseen johtava ja sen ympärillä tehtävä työ mahdollistaa sen, että ylin johto voi tehdä tietoon perustuvia, strategisia päätöksiä, joilla on olennainen vaikutus tietoturvaan ja organisaation johtamistapaan.

Mitä pitäisi sisällyttää ISO 27001 Management Reviewiin?

Johdon arvioinnin tulee noudattaa vähintään standardimuotoa, jossa tarkastellaan standardin ISO 9.3:27001 2103 vaatimuksia. Nämä on kuvattu alla. Lisäksi voi myös olla, että organisaatio haluaa sisällyttää tarkasteluun muita vaatimustenmukaisuusjärjestelmiä, kuten Cyber ​​Essentialsin, ISO 9001:n ja muita hyviä käytäntöjä tehokkaan arvioinnin ja tietoisen päätöksenteon helpottamiseksi. Se voi jopa yhdistää 9.3:n tietoturvanäkökohdat laajempiin ylimmän johdon kokouksiin tai muodollisiin hallituksen kokouksiin. Joka tapauksessa sen on dokumentoitava arvostelujen tulokset ja toimet.

Organisaatioille, jotka ovat ISMS:nsä käyttöönottovaiheessa, suosittelemme, että he tekevät viikoittain johdon arviointeja osana hyvän käytännön rakentamista ja sisällyttävät toteutusoppitunteja, seuraavan kauden tavoitteita ja kysymyksiä niiden muodollisen johtamisohjelman elementtien rinnalle, jotka voidaan peitetty pois. Ulkopuoliset tarkastajat haluavat todella nähdä organisaation omaksuvan johdon katsauksen hengen ja näkevät suunnittelu- ja toteutustyön tehokkuuden, mikä sopii myös kohdan 7.5 ja 8 toiminnan vaatimuksiin.

Virallisen ISO 27001 -standardin johdon arvioinnin 9.3 asialistassa tulisi ottaa huomioon:

• Toimintojen tila edellisistä johdon arvioinneista
• Muutokset tietoturvan hallintajärjestelmän kannalta oleellisissa ulkoisissa ja sisäisissä asioissa
• Palaute tietoturvan tehokkuudesta, mukaan lukien suuntaukset:
• poikkeamat ja korjaavat toimet;
• seuranta- ja mittaustulokset;
• tarkastuksen tulokset; ja
• tietoturvatavoitteiden saavuttaminen.
• Palaute kiinnostuneilta tahoilta
• Riskinarvioinnin tulokset ja riskinhoitosuunnitelman tila; ja
• Mahdollisuudet jatkuvaan parantamiseen.

Haluat ehkä myös lisätä lisäkohdan:

• Sovi tarkastuksen painopisteestä tulevalle kaudelle. Tämä on valinnainen, jos olet ketterä organisaatio etkä pysty määrittelemään koko auditointiohjelmaa ja suunnittelemaan sitä liian pitkälle etukäteen. Muista kuitenkin, että jotkut ulkopuoliset tarkastajat haluavat lisää selkeyttä koko sertifiointisyklin ohjelmaan!

Johdon arvioinnin tulosten tulee sisältää jatkuvaan parantamiseen liittyvät päätökset ja tietoturvan hallintajärjestelmän muutostarpeet.

Kenen tulisi osallistua ISO 27001 Management Reviewiin?

Edellä esitetyn perusteella on selvää, että ISO 27001 johdon tarkastus on asianmukaisesti harkittuna välttämätön työkalu sen varmistamiseksi, että ISMS on edelleen tehokas auttamaan organisaatiota saavuttamaan tietoturvan hallintaan liittyvillä investoinneilla aiotut tulokset.

Jotta ISMS olisi tehokas organisaatiossa, se vaatii ylimmän johdon sitoutumista ja sellaisenaan ISMS:n ”hallituksen” jäsenillä on järkevää olla toimivaltaa tietoturvaan liittyvissä asioissa. Tyypillisesti ISMS-hallitukseen voi kuulua Chief Information Security Officer (CISO) ja muuta ylintä johtoa sekä ISMS:ää käytännössä hallinnoivat edustajat. Tietoturvaan liittyvien roolien ei tarvitse olla kokopäiväisiä tai yksinomaisia, mutta niiden roolit, vastuut ja valtuudet on selkeytettävä kohdassa 5.3 kuvatulla tavalla. ISMS Board auttaa myös tätä prosessia.

Johdon arvioinnin tuotos sisältää päätökset, jotka liittyvät jatkuvaan parantamiseen ja tietoturvan hallintajärjestelmän muutostarpeisiin.

Mikä on ihanteellinen johdon tarkastelutaajuus?

Vähimmäisvaatimus on tehdä johdon tarkastus kerran vuodessa ja useammin, jos tapahtuu olennaisia ​​muutoksia, jotka voivat vaikuttaa tietoturvaan ja ISMS:ään. Taajuus määräytyy kuitenkin johdon vaatimuksen mukaan seurata ISMS:n onnistumista. Vaarana on myös se, että mitä pitempi aikaväli, sitä suurempi työ on edellisen kauden tarkastelussa. Se lisää myös ISMS:n epäonnistumisen riskiä, ​​jota ei tunnisteta nopeasti.

Tästä syystä suosittelemme kuukausittain, kahdesti kuukaudessa tai jopa neljännesvuosittain, jos ISMS-tietosi on melko vakaa. Tietysti johdon arvioinnit on tehtävä suunnitelluin väliajoin, jotta varmistetaan, että ISMS pysyy "sopivana, riittävänä ja tehokkaana".

Niille, jotka hakevat ISO 27001 -sertifikaattia ISMS-järjestelmälleen, on myös tärkeää huomata, että vaiheen 1 työpöytätarkastuksen aikana vaaditaan todisteita siitä, että säännölliset tarkistukset ovat käynnissä.

Suosittelemme viikoittaisia ​​johdon arviointeja ennen vaiheen 1 auditointia, koska tämä pitää toteutusprojektisi raiteilla, rakentaa tottumuksia ja kuukauden kuluessa olet kerännyt tarpeeksi näyttöä alustan helpon Management Review -ohjelman avulla tyydyttääksesi tilintarkastajan ja päästä uraan tulevia arvioita varten.

Johdon arvioinnit ISMS.onlinen avulla

ISMS.online tekee koko ISMS:n hallinnasta helppoa, mukaan lukien tietoturvaa koskevat johdon arvioinnit.

ISMS.online yhdistää kaiken yhteen turvalliseen verkkoympäristöön, jossa voit tehdä yhteistyötä kollegoiden kanssa, kerätä vaaditut todisteet vain kerran ja navigoida niihin helposti ennen tarkistusta, sen aikana ja sen jälkeen.