Przykłady stron zainteresowanych w ISO/IEC  27001

Przykłady stron zainteresowanych w ISO/IEC 27001 i wymagania dotyczące zgodności

Przykłady stron zainteresowanych w ISO/IEC  27001 i wymagania dotyczące zgodności

Punkt 4.2 normy ISO/IEC 27001 jest zatytułowany „Zrozumienie potrzeb i oczekiwań zainteresowanych stron”.

Czym jest „zainteresowana strona”? Standard nie jest tak przejrzysty w tym zakresie, więc poniżej spróbujemy rozjaśnić ten temat.

 

Co to jest zainteresowana strona?

Zainteresowana strona to zasadniczo interesariusz - osoba lub grupa osób, na które wpływ mają działania Twojej organizacji.

W kontekście ISO/IEC 27001 ich interesy dotyczą twojego ISMS (systemu zarządzania bezpieczeństwem informacji) i twojej zdolności do zapobiegania naruszeniom danych.

 

Przykłady zainteresowanych stron

Zainteresowane strony mogą obejmować dowolne z poniższych:

  • Pracownicy, ponieważ są to osoby, które przestrzegają praktyk opisanych w SZBI.
  • Akcjonariusze, ponieważ skuteczne bezpieczeństwo informacji wpływa na sukces finansowy organizacji.
  • Organy regulacyjne i rząd, ponieważ tworzą przepisy dotyczące bezpieczeństwa informacji i zapewniają ich przestrzeganie.
  • Dostawcy i partnerzy, ponieważ masz ustalenia umowne dotyczące sposobu ochrony wrażliwych informacji.
  • Klienci, ponieważ korzystają z Twoich usług i udostępniają Ci poufne informacje.

 

Jak zidentyfikować zainteresowane strony

Istnieją dwa sposoby ustalenia, kim są zainteresowane strony. Po pierwsze, możesz zapytać kierowników działów i innych pracowników wyższego szczebla, ponieważ będą oni dobrze rozumieli, na co wpływają twoje praktyki bezpieczeństwa informacji.

Alternatywnie możesz zidentyfikować zainteresowane strony, przeglądając swoją dokumentację.

Punkt 4.1 normy ISO 27001, „Zrozumienie organizacji i jej kontekstu”, wymaga przedstawienia wewnętrznych i zewnętrznych kwestii, które wpływają na zamierzone wyniki twojego SZBI, co z kolei ukazuje zainteresowane strony.

Na przykład częstym problemem jest brak kontroli nad sposobem zarządzania pracownikami w firmach zewnętrznych.

W końcu będziesz musiał zdecydować, jak rozwiązać ten problem, w którym sprawy się komplikują, ale na razie musisz tylko zauważyć, jaki jest problem i kogo dotyczy.

W takim przypadku należy pamiętać, że na dostawców wpływa ryzyko bezpieczeństwa związane z outsourcingiem.

 

Potrzeby i oczekiwania zainteresowanych stron

Gdy masz już listę zainteresowanych stron, musisz udokumentować ich potrzeby i oczekiwania, czyli czego oczekują od Twojej organizacji.

Na przykład pracownicy chcą jasnych instrukcji dotyczących postępowania z danymi wrażliwymi, dostawcy chcą osiągalnych umów, a media chcą przejrzystości w zakresie incydentów bezpieczeństwa.

Takie ogólne stwierdzenia są dobrym punktem wyjścia, ale musisz być możliwie jak najbardziej szczegółowy w procesie dokumentacji. Określ, jakie klauzule są konieczne w umowach z dostawcami, w jaki sposób pracownicy powinni chronić dane wrażliwe i tak dalej.

Musisz także ustalić, czy potrzeby i oczekiwania zainteresowanych stron leżą w Twoim najlepszym interesie.

Cyberprzestępcy są technicznie zainteresowanymi stronami, ponieważ mają na nie wpływ praktyki bezpieczeństwa organizacji (im silniejsza jest twoja obrona, tym trudniejsza jest ich praca), ale to, czego chcą, jest oczywiście przeciwieństwem tego, czego chcesz.

W relacjach z klientami jest subtelniejszy przykład tej dychotomii. Zasadniczo chcą udostępniać jak najmniej wrażliwych informacji w obawie, że zostaną one naruszone, podczas gdy organizacje chcą mieć jak najwięcej danych.

Tylko poprzez ustalenie, czego zainteresowane strony chcą od ciebie, możesz odpowiednio zaplanować i upewnić się, że wszyscy są zadowoleni.

Przekonasz się, że kroki, które podejmujesz, aby zaspokoić potrzeby i oczekiwania jednej zainteresowanej strony, często przynoszą korzyść drugiej.

Na przykład umowa z dostawcą może również zapewnić spełnienie wymogu regulacyjnego opartego na ogólnych praktykach bezpieczeństwa, satysfakcjonując klientów, którzy chcą wiedzieć, czy mogą zaufać organizacji w zakresie ochrony ich danych osobowych.

 

Nie wszystkie zainteresowane strony są równie ważne

Rozwiązania potrzeb zainteresowanych stron nie zawsze są korzystne dla obu stron. W takich przypadkach musisz nadać priorytet niektórym działaniom.

Ustalenie, które potrzeby są najważniejsze, jest tak proste, jak określenie negatywnych konsekwencji ignorowania potrzeb zainteresowanych stron.

Powiedz, że ktoś uważa, że Twoja organizacja powinna być bardziej rygorystyczna w zakresie szyfrowania danych. To, kim jest ta osoba, będzie miało ogromny wpływ na to, czy skorzystasz z jej porady.

Na przykład nowy klient może dla ciebie niewiele znaczyć: można stosunkowo niewiele stracić, ignorując jego potrzeby i oczekiwania, i może robić z Tobą więcej interesów, niezależnie od tego, czy zastosujesz się do ich rad.

Ale to inna historia, jeśli jest jednym z najbardziej cenionych klientów. Jak zignorujesz ich prośbę, to ryzykujesz utratą działalności.

Nagle szyfrowanie danych jest najwyższym priorytetem i powinno być kluczowym zagadnieniem przy poszukiwaniu rozwiązań opartych na ocenie ryzyka - w tym procesie kształtuje się ISMS.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności