Kuinka tehdä ISO 27001 -hallintakatselmus

Mikä on ISO 27001:2013 johtamiskatsauksen tarkoitus?

Tietoturvan hallintajärjestelmän (ISMS) hallintakatsauksen arvo on usein aliarvioitu.

Jotkut saattavat pitää sitä valintaruudun vaatimuksena, jonka on tapahduttava puhtaasti täyttääkseen ISO 27001 vaatimus 9.3. Hyvien tietoturvakäytäntöjen todella "elämiseen ja hengittämiseen" sen rooli on kuitenkin korvaamaton.

Johdon arvioinnin tarkoituksena on varmistaa, että ISMS ja sen tavoitteet pysyvät edelleen sopivina, riittävinä ja tehokkaina ottaen huomioon organisaation tarkoituksen, asiat ja riskit. Näitä on käsitelty aiemmin sisällä 4.1 Organisaatio ja sen konteksti, 4.2 Asianomaisten osapuolten vaatimukset, ja 6.1.Riskienhallinta.

Tulokset johdon tarkastelu mahdollistaa ylimmän johdon olevan hyvin perillä, strategiset päätökset, joilla on olennainen vaikutus tietoturvaan ja organisaation tapaan sitä hallinnoida.

Mitä johdon katsaukseen tulisi sisällyttää?

Johdon arvioinnin tulee seurata a standardi muoto, joka vastaa odotuksia ISO 27001: 2103.

Saattaa myös olla, että organisaatio haluaa sisällyttää tarkasteluun muita vaatimustenmukaisuusjärjestelmiä, kuten Cyber ​​Essentials, ISO 9001 ja muita hyviä käytäntöjä, jotka helpottavat tehokkaita arviointeja ja tietoon perustuvaa päätöksentekoa.

ISO 27001 -standardin mukaiseen johdon katsaukseen tulee ottaa huomioon:

a) aiempien johdon arvioiden toimien tila;

b) muutokset ulkoisissa ja sisäisissä asioissa, jotka ovat olennaisia tietoturvan hallinta järjestelmä;

c) palaute tietoturvan tehokkuudesta, mukaan lukien suuntaukset:

1. poikkeamat ja korjaavat Toiminnot;
2. seuranta ja mittaus tulokset;
3. tilintarkastus tulokset; ja
4. täyttyminen tietoturvatavoitteet.

d) palaute kiinnostuneet osapuolet;

e) tulokset risk_assessment”>riskin arviointi ja riskihoidon tila suunnitelma; ja

f) mahdollisuudet jatkuva parantaminen.

Haluat ehkä myös lisätä lisäkohdan g) Sovi tarkastuksen painopiste tulevalle kaudelle. Tämä on valinnaista, jos olet ketterä organisaatiota, eikä se pysty täysin määrittelemään koko tarkastusohjelmaa ja suunnittele liian pitkälle etukäteen. Mutta muista, että jotkut ulkopuoliset tarkastajat haluavat enemmän selkeyttä koko ohjelmasta sertifiointisyklin aikana!

Johdon arvioinnin tulosten tulee sisältää päätökset, jotka liittyvät jatkuva parantaminen mahdollisuudet ja tarpeet muuttaa tietoturvan hallintajärjestelmää.

Kenen tulisi osallistua johdon tarkastukseen?

Yllä oleva huomioon ottaen on selvää, että asianmukaisesti harkittuna ISO 27001 johdon arviointi on välttämätön työkalu varmistaakseen, että ISMS on edelleen tehokas yhdessä sen keskeisessä tavoitteessa, lieventämisessä tietoturvariskejä.

Jotta ISMS olisi tehokas organisaatiossa, se tarvitsee vanhempia johdon sitoutuminen ja sellaisenaan on järkevää, että ISMS:n "hallituksen" jäsenillä on toimivalta tietoturvaan liittyvissä asioissa.

Tyypillisesti ISMS-hallitukseen voi kuulua Chief Information Security Officer (CISO), vanhempi tietoriskien omistaja (SIRO), tekninen johtaja ja ehkä jopa toimitusjohtaja.

Johdon arvioinnin tuotokset sisältävät mm jatkuva parantaminen mahdollisuudet ja tarpeet muuttaa tietoturvan hallintajärjestelmää.

Johdon tarkistustiheys

On vähimmäisvaatimus suorittaa a johdon tarkastelu kerran vuodessa ja useammin, jos tapahtuu olennaisia ​​muutoksia, jotka voivat vaikuttaa tietoturvaan ja ISMS:ään.

Taajuus määräytyy kuitenkin johdon vaatimuksen mukaan seurata ISMS:n onnistumista. Vaarana on myös se, että mitä pitempi aikaväli, sitä suurempi työ on edellisen kauden tarkastelussa. Se lisää myös ISMS:n epäonnistumisen riskiä, ​​jota ei tunnisteta nopeasti.

Tästä syystä suosittelemme kuukausittain, kahdesti kuukaudessa tai jopa neljännesvuosittain, jos ISMS-tietosi on melko vakaa. Varmasti, johdon katselmukset on tehtävä suunnitellusti väliajoin, jotta ISMS pysyy "sopivana, riittävänä ja tehokkaana".

Niille, jotka etsivät ISO 27001 -sertifikaatti On myös tärkeää huomata, että vaiheen 1 työpöytätarkastuksen aikana vaaditaan todisteita siitä, että säännölliset tarkistukset ovat käynnissä.

At ISMS.online suosittelemme viikoittaisia ​​johdon arviointeja ennen vaiheen 1 auditointia, koska tämä pitää toteutusprojektisi raiteilla, rakennat tottumuksia ja olet kerännyt kuukauden kuluessa tarpeeksi näyttöä helpon Management Review -ohjelma alustassa, tilintarkastajaa tyydyttäväksi.

Kuinka hallita viestintää ja toimia

Tyypillisesti johdon katselmukseen sisältyy kokouskutsujen, esityslistan, todisteiden ja raporttien jakamisen tai arvioinnin tueksi sekä aiempien toimenpiteitä vaativien asioiden jakaminen sähköpostitse etukäteen.

Katsauksen aikana havainnoista voidaan tehdä muistiinpanoja myöhempää kirjoittamista ja jakelua varten.

Korjaustoimenpiteitä ja parannuksia varten tunnistetut alueet on myös dokumentoitava ja tehtävä niille henkilöille, jotka ovat vastuussa näiden toimien toteuttamisesta.

Jokaisessa vaiheessa on säilytettävä todisteet, jotka vakuuttavat ulkopuoliselle tarkastajalle, että tarkastus ja prosessit ovat käynnissä ja tehokkaita.

Se on paljon sähköposteja, paljon suunnittelua ja paljon todisteita!

Kuvittele verkossa johdon arviointiohjelma jonka ansiosta ISMS Board -tiimin perustaminen oli helppoa, tarkistusten ajoittaminen ja normaalin esityslistan noudattaminen, linkkien luominen aikaisempiin arvosteluihin ja kaikkiin tarvittaviin tietoihin sekä korjaavien toimenpiteiden ja parannusten määrittäminen ja seuranta on helppoa?

Sinä kuvittelet ISMS.online mikä tekee koko ISMS:n hallinnasta helppoa.

Kokoa kaikki yhteen turvalliseen verkkoympäristöön missä voit tehdä yhteistyötä kollegoiden kanssa, kerää vaaditut todisteet vain kerran ja navigoi niihin helposti ennen tarkistusta, sen aikana ja sen jälkeen.

Sinun ei edes tarvitse kaikkien hallituksen jäsenten olla yhdessä yhdessä paikassa… Suorita se verkossa ja säästä matka-aikaa ja -kuluja!

Sisällytä meidän Virtuaalinen valmentaja Ohjelma asiantuntevaa ohjausta ja käytännön neuvoja varten kussakin vaaditussa toiminnassa