W ramach zgodności z normą ISO/IEC 27001 organizacje muszą przeprowadzać przeglądy zarządzania, aby uwzględnić wszelkie pojawiające się trendy w zakresie bezpieczeństwa informacji i upewnić się, że ich SZBI (system zarządzania bezpieczeństwem informacji) działa zgodnie z przeznaczeniem.
Cel przeglądu zarządzania ISO/IEC 27001
Przeglądy zarządzania dają kadrze wyższego szczebla możliwość oceny skuteczności SZBI organizacji i wprowadzenia wszelkich zmian, które mogłyby zwiększyć jej zdolność do ochrony wrażliwych informacji.
Kryteria skutecznego SZBI zostaną uwzględnione w ramach pracy zgodnej z klauzulą 4 normy ISO/IEC 27001, która obejmuje organizację i jej kontekst, wymagania zainteresowanych stron, zakres SZBI i zarządzanie ryzykiem.
Przegląd zarządzania daje również możliwość poinformowania kadry kierowniczej o wszelkich zmianach lub korektach, które zostały wprowadzone w codziennych działaniach SZBI.
Co powinien obejmować przegląd zarządzania
Punkt 9.3 normy ISO/IEC 27001 określa, co powinien obejmować przegląd zarządzania.
Twoim pierwszym zadaniem jest ponowne sprawdzenie wszelkich bieżących działań, o których zdecydowałeś w poprzednich przeglądach zarządzania.
Na przykład możesz poprosić o analizę statystyczną związaną z niektórymi praktykami lub zdecydować o dostosowaniu procesu. Nadszedł czas, aby je sprawdzić i uzyskać dalsze komentarze.
Następnie należy omówić wszelkie kwestie zewnętrzne lub wewnętrzne, które są istotne dla SZBI.
„Kwestie wewnętrzne i zewnętrzne” to zwrot wprowadzony w klauzuli 4.1 normy ISO/IEC 27001 i odnosi się do czynników, które mogą wpłynąć na poufne informacje.
Kwestie wewnętrzne obejmują czynniki związane z zasobami informacyjnymi, ludźmi, produktami i systemami, podczas gdy kwestie zewnętrzne mogą obejmować zagadnienia polityczne, wahania gospodarcze i nowe technologie.
Trzecim punktem jest ogólna wydajność Twojego SZBI. Powinieneś skupić się na:
- Obszarach SZBI, które nie działają zgodnie z przeznaczeniem;
- Działaniach podjętych w celu usunięcia wcześniej zidentyfikowanych niezgodności
- Bieżącym monitorowaniu wydajności Twojego ISMS;
- Wynikach audytu i realizacji celów bezpieczeństwa informacji;
- Informacjach zwrotnych od zainteresowanych stron;
- Wynikach oceny ryzyka i statusie planu postepowania z ryzykiem;
- Możliwościach ciągłego doskonalenia.
Kto powinien wziąć udział w przeglądzie zarządzania?
Jak sama nazwa wskazuje, kierownictwo wyższego szczebla powinno odgrywać kluczową rolę podczas przeglądu zarzadzania. W przeglądzie mogą uczestniczyć również kierownicy działów, którzy nadzorują przetwarzanie dużych ilości poufnych informacji.
Jak często należy przeprowadzać przeglądy zarządzania?
Wymagane jest przeprowadzenie przeglądu zarządzania, co najmniej raz w roku, a częściej, jeśli wystąpią jakieś istotne zmiany, które mogą wpłynąć na Twój SZBI.
Jak najlepiej wykorzystać przegląd zarządzania
Oto kilka wskazówek, które pomogą Ci zacząć:
1. Ogranicz liczbę uczestników do minimum
Nie musisz wypełniać pokoju, aby uzyskać jak najwięcej opinii. Lepiej jest pracować z małą grupą ludzi, których wgląd cenisz.
Uczestnicy mogą skonsultować się z kolegami spoza spotkania, jeśli potrzebują dodatkowych porad lub informacji - i możesz zaprosić ludzi w razie potrzeby - ale to nie czas na dyskusję w całej organizacji.
2. Oddziel recenzje zarządu od spotkania kierownictwa
Pracownicy wyższego szczebla prawdopodobnie spotykają się już regularnie, aby poradzić sobie z codziennymi działaniami organizacji, ale nie wpadnij w pułapkę myślenia, że możesz wrzucić swoje oceny kierownictwa na te spotkania.
Jeśli to zrobisz, przekonasz się, że problemy zostały połączone lub że obawy związane z bezpieczeństwem informacji zostały odłożone na bok na rzecz pilniejszych spraw biznesowych.
3. Sporządzaj protokół
ISO/IEC 27001 wymaga udokumentowania treści i wyników przeglądów zarządzania, więc po spotkaniu należy sporządzić protokół.
Nie chodzi tylko o udowodnienie, że organizujesz spotkania. Pomaga to przypomnieć o wszelkich poruszonych tematach i decyzjach, które podjąłeś.
4. Zapewnij podsumowanie
Uczestnicy często uważają, że przydatne jest krótkie podsumowanie tego, co zostało omówione, oprócz protokołu, w którym może być ciężko znaleźć coś, szczególnie jeśli szukasz podsumowania określonego problemu.
Streszczenia najlepiej sporządzać wkrótce po zakończeniu spotkania, ponieważ osoba je tworząca nadal ma w pamięci wszystkie informacje.