Przegląd zarządzania ISO/IEC 27001 praktyczny przewodnik

Przegląd zarządzania ISO/IEC 27001 praktyczny przewodnik

W ramach zgodności z normą ISO/IEC 27001 organizacje muszą przeprowadzać przeglądy zarządzania, aby uwzględnić wszelkie pojawiające się trendy w zakresie bezpieczeństwa informacji i upewnić się, że ich SZBI (system zarządzania bezpieczeństwem informacji) działa zgodnie z przeznaczeniem.

 

Cel przeglądu zarządzania ISO/IEC 27001

Przeglądy zarządzania dają kadrze wyższego szczebla możliwość oceny skuteczności SZBI organizacji i wprowadzenia wszelkich zmian, które mogłyby zwiększyć jej zdolność do ochrony wrażliwych informacji.

 

Kryteria skutecznego SZBI zostaną uwzględnione w ramach pracy zgodnej z klauzulą 4 normy ISO/IEC 27001, która obejmuje organizację i jej kontekst, wymagania zainteresowanych stron, zakres SZBI i zarządzanie ryzykiem.

 

Przegląd zarządzania daje również możliwość poinformowania kadry kierowniczej o wszelkich zmianach lub korektach, które zostały wprowadzone w codziennych działaniach SZBI.

 

Co powinien obejmować przegląd zarządzania

Punkt 9.3 normy ISO/IEC 27001 określa, co powinien obejmować przegląd zarządzania.

 

Twoim pierwszym zadaniem jest ponowne sprawdzenie wszelkich bieżących działań, o których zdecydowałeś w poprzednich przeglądach zarządzania.

 

Na przykład możesz poprosić o analizę statystyczną związaną z niektórymi praktykami lub zdecydować o dostosowaniu procesu. Nadszedł czas, aby je sprawdzić i uzyskać dalsze komentarze.

 

Następnie należy omówić wszelkie kwestie zewnętrzne lub wewnętrzne, które są istotne dla SZBI.

 

„Kwestie wewnętrzne i zewnętrzne” to zwrot wprowadzony w klauzuli 4.1 normy ISO/IEC 27001 i odnosi się do czynników, które mogą wpłynąć na poufne informacje.

 

Kwestie wewnętrzne obejmują czynniki związane z zasobami informacyjnymi, ludźmi, produktami i systemami, podczas gdy kwestie zewnętrzne mogą obejmować zagadnienia polityczne, wahania gospodarcze i nowe technologie.

 

Trzecim punktem jest ogólna wydajność Twojego SZBI. Powinieneś skupić się na:

- Obszarach  SZBI, które nie działają zgodnie z przeznaczeniem;

- Działaniach podjętych w celu usunięcia wcześniej zidentyfikowanych niezgodności

- Bieżącym monitorowaniu wydajności Twojego ISMS;

- Wynikach audytu i realizacji celów bezpieczeństwa informacji;

- Informacjach zwrotnych od zainteresowanych stron;

- Wynikach oceny ryzyka i statusie planu postepowania z ryzykiem;

- Możliwościach ciągłego doskonalenia.

 

Kto powinien wziąć udział w przeglądzie zarządzania?

Jak sama nazwa wskazuje, kierownictwo wyższego szczebla powinno odgrywać kluczową rolę podczas przeglądu zarzadzania. W przeglądzie mogą uczestniczyć również kierownicy działów, którzy nadzorują przetwarzanie dużych ilości poufnych informacji.

 

Jak często należy przeprowadzać przeglądy zarządzania?

Wymagane jest przeprowadzenie przeglądu zarządzania, co najmniej raz w roku, a częściej, jeśli wystąpią jakieś istotne zmiany, które mogą wpłynąć na Twój SZBI.

 

Jak najlepiej wykorzystać przegląd zarządzania

Oto kilka wskazówek, które pomogą Ci zacząć:

1. Ogranicz liczbę uczestników do minimum

Nie musisz wypełniać pokoju, aby uzyskać jak najwięcej opinii. Lepiej jest pracować z małą grupą ludzi, których wgląd cenisz.

Uczestnicy mogą skonsultować się z kolegami spoza spotkania, jeśli potrzebują dodatkowych porad lub informacji - i możesz zaprosić ludzi w razie potrzeby - ale to nie czas na dyskusję w całej organizacji.

2. Oddziel recenzje zarządu od spotkania kierownictwa

Pracownicy wyższego szczebla prawdopodobnie spotykają się już regularnie, aby poradzić sobie z codziennymi działaniami organizacji, ale nie wpadnij w pułapkę myślenia, że możesz wrzucić swoje oceny kierownictwa na te spotkania.

Jeśli to zrobisz, przekonasz się, że problemy zostały połączone lub że obawy związane z bezpieczeństwem informacji zostały odłożone na bok na rzecz pilniejszych spraw biznesowych.

3. Sporządzaj protokół

ISO/IEC 27001 wymaga udokumentowania treści i wyników przeglądów zarządzania, więc po spotkaniu należy sporządzić protokół.

Nie chodzi tylko o udowodnienie, że organizujesz spotkania. Pomaga to przypomnieć o wszelkich poruszonych tematach i decyzjach, które podjąłeś.

4. Zapewnij podsumowanie

Uczestnicy często uważają, że przydatne jest krótkie podsumowanie tego, co zostało omówione, oprócz protokołu, w którym może być ciężko znaleźć coś, szczególnie jeśli szukasz podsumowania określonego problemu.

Streszczenia najlepiej sporządzać wkrótce po zakończeniu spotkania, ponieważ osoba je tworząca nadal ma w pamięci wszystkie informacje.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności