Przykłady stron zainteresowanych w ISO/IEC  27001

Przykłady stron zainteresowanych w ISO/IEC 27001 i wymagania dotyczące zgodności

Przykłady stron zainteresowanych w ISO/IEC  27001 i wymagania dotyczące zgodności

Punkt 4.2 normy ISO/IEC 27001 jest zatytułowany „Zrozumienie potrzeb i oczekiwań zainteresowanych stron”.

Czym jest „zainteresowana strona”? Standard nie jest tak przejrzysty w tym zakresie, więc poniżej spróbujemy rozjaśnić ten temat.

 

Co to jest zainteresowana strona?

Zainteresowana strona to zasadniczo interesariusz - osoba lub grupa osób, na które wpływ mają działania Twojej organizacji.

W kontekście ISO/IEC 27001 ich interesy dotyczą twojego ISMS (systemu zarządzania bezpieczeństwem informacji) i twojej zdolności do zapobiegania naruszeniom danych.

 

Przykłady zainteresowanych stron

Zainteresowane strony mogą obejmować dowolne z poniższych:

  • Pracownicy, ponieważ są to osoby, które przestrzegają praktyk opisanych w SZBI.
  • Akcjonariusze, ponieważ skuteczne bezpieczeństwo informacji wpływa na sukces finansowy organizacji.
  • Organy regulacyjne i rząd, ponieważ tworzą przepisy dotyczące bezpieczeństwa informacji i zapewniają ich przestrzeganie.
  • Dostawcy i partnerzy, ponieważ masz ustalenia umowne dotyczące sposobu ochrony wrażliwych informacji.
  • Klienci, ponieważ korzystają z Twoich usług i udostępniają Ci poufne informacje.

 

Jak zidentyfikować zainteresowane strony

Istnieją dwa sposoby ustalenia, kim są zainteresowane strony. Po pierwsze, możesz zapytać kierowników działów i innych pracowników wyższego szczebla, którzy dobrze znają Twoją organizację, rozumieją zachodzące w niej procesy oraz wiedzą w jaki sposób twoje praktyki bezpieczeństwa informacji wpływają na otoczenie.

 

Alternatywnie możesz zidentyfikować zainteresowane strony, przeglądając swoją dokumentację.

 

Punkt 4.1 normy ISO 27001, „Zrozumienie organizacji i jej kontekstu”, wymaga przedstawienia wewnętrznych i zewnętrznych kwestii, które wpływają na zamierzone wyniki twojego SZBI, co z kolei ukazuje zainteresowane strony.

 

Na przykład częstym problemem jest brak nadzoru nad pracownikami z firm zewnętrznych i dostawcami poruszającymi się po terenie Twojej organizacji lub mającymi dostęp do Twoich systemów informacyjnych.

 

System Zarządzania Bezpieczeństwem Informacji będzie wymagał od Ciebie aby w końcu pochylić się na tym problemem i zdecydować, jak go rozwiązać.

 

W takim przypadku należy pamiętać, że na dostawców wpływa ryzyko bezpieczeństwa związane z outsourcingiem.

 

Potrzeby i oczekiwania zainteresowanych stron

Gdy masz już listę zainteresowanych stron, musisz udokumentować ich potrzeby i oczekiwania, czyli czego oczekują od Twojej organizacji.

 

Na przykład pracownicy chcą jasnych instrukcji dotyczących postępowania z danymi wrażliwymi, dostawcy precyzyjnych i możliwych do spełnienia zapisów w umowie, a media chcą przejrzystości w zakresie incydentów bezpieczeństwa.

 

 

Takie ogólne stwierdzenia są dobrym punktem wyjścia, ale musisz być możliwie jak najbardziej szczegółowy w procesie dokumentacji. Określ, jakie klauzule są konieczne w umowach z dostawcami, w jaki sposób pracownicy powinni chronić dane wrażliwe i tak dalej.

 

Musisz także ustalić, czy potrzeby i oczekiwania zainteresowanych stron leżą w Twoim najlepszym interesie.

 

Cyberprzestępcy również mogą być traktowani jako strony zainteresowane, ponieważ stosowane w organizacji praktyki bezpieczeństwa mają na nich bezpośredni wpływ (im silniejsza jest twoja ochrona, tym trudniejsza jest ich praca). Oczywiście w przypadku cyberprzestępców wasze cele są całkowicie odmienne. Twoim zadaniem jest ochrona informacji a ich celem jest ich zdobycie i wykorzystanie.

 

Z podobną dychotomią (choć nieco subtelniejszą), mamy do czynienia w przypadku relacji z klientami. Zasadniczo chcą oni udostępniać jak najmniej wrażliwych informacji w obawie, że zostaną one naruszone, podczas gdy organizacje chcą zwykle gromadzić jak najwięcej danych.

 

Tylko poprzez ustalenie, czego zainteresowane strony chcą od ciebie, możesz odpowiednio zaplanować i upewnić się, że wszyscy są zadowoleni.

 

Przekonasz się, że kroki, które podejmujesz, aby zaspokoić potrzeby i oczekiwania jednej zainteresowanej strony, często przynoszą korzyść drugiej.

 

Na przykład umowa z dostawcą może również zapewnić spełnienie wymogu regulacyjnego opartego na ogólnych praktykach bezpieczeństwa, satysfakcjonując klientów, którzy chcą wiedzieć, że mogą zaufać organizacji w zakresie ochrony ich danych osobowych.

 

Nie wszystkie zainteresowane strony są równie ważne

Spełnienie potrzeb zainteresowanych stron nie zawsze będzie korzystne dla obu stron. W takich przypadkach musisz nadać priorytet niektórym działaniom.

 

Ustalenie, które i czyje potrzeby są najważniejsze, jest tak proste, jak określenie konsekwencji ich ignorowania.

 

Załóżmy, że ktoś uważa, iż Twoja organizacja powinna być bardziej rygorystyczna w zakresie szyfrowania danych. To, kim jest ta osoba, będzie miało ogromny wpływ na to, czy skorzystasz z jej sugestii.

 

Jeśli takie oczekiwania zostaną wysunięte przez jednego z Twoich cenionych klientów, ich zignorowanie może skutkować jego utratą i sporymi problemami finansowymi dla Twojej organizacji.

 

W tej sytuacji szyfrowanie danych powinno stać się priorytetem i być kluczową kwestią podczas szukania rozwiązań opartych na ocenie ryzyka – czyli procesie, w którym Twój ISMS nabiera kształtu.

 

Skontaktuj się z nami, by uzyskać akredytowany certyfikat ISO/IEC 27001!

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności