דרישת ISO 27001 7.2 - כשירות

מה כולל סעיף 7.2?

ISO IEC 27001 לסעיף 7.2 אומר בעצם שהארגון יבטיח שיש לו:

• קבע את הכשירות של האנשים שעושים את העבודה על ה-ISMS שעלולה להשפיע על הביצועים שלו
• אנשים הנחשבים מוכשרים על בסיס ההשכלה, ההכשרה או הניסיון הרלוונטיים
• במידת הצורך, לנקוט בפעולה כדי לרכוש את הכשירות הדרושה והעריך את יעילות הפעולות
• שמר ראיות לאמור לעיל למטרות ביקורת

על בסיס הדרישות הללו, קל לחשוב שהתשובה עבור 7.2 עשויה להיות גיוס מומחה לאבטחת מידע - אבל זה לא תמיד הכרחי!

יש חבורה שלמה של מיומנויות והתנסויות הנדרשות ליישום מוצלח וניהול שוטף של ISMS המוסמך ל-ISO 27001, מעבר למומחיות באבטחה פיזית, אבטחת סייבר, אבטחת מחשבים או צורות אחרות של אבטחת מידע כשלעצמה.

אלה כוללים: מסחרי, משפטי, משאבי אנוש, IT, כמו גם מומחיות המוצרים והשירותים הרלוונטיים לעבודה בהיקף.

בנייה והפעלה של ISMS היא בדרך כלל עבודת צוות שיתופית. הדבר החשוב ביותר הוא הבנה של הארגון, מטרתו ומטרותיו, התרבות שלו, תיאבון הסיכון והדרישות המתבטאות בסעיפים 4.1, 4.2, 4.3, 6.1, 6.2.

הוכחת עמידה בסעיף 7.2

לצד סעיפי המודעות 7.3 ו-7.4 לתקשורת, ניתן להדגים את 7.2 באמצעות הצהרה גורפת על הצוות המעורב ואמינותם, עם קישורים ברחבי ה-ISMS כדי להדגים את עבודתם כראיה לחיסכון בזמן (אם אתה משתמש בפלטפורמה מצורף כמו ISMS.online).

בנוסף, טבלה פשוטה להצגת האנשים המעורבים, את התפקיד שהם מבצעים עם הערות לצד הניסיון הרלוונטי, ההכשרה או ההשכלה שלהם מועילה ויש אודיטורים שאוהבים לראות את הפרט הזה. זה לא חייב להיות קורות חיים, רק הראה למה הם מעורבים:
למשל Fred Bloggs - מנהיג הטמעה עם עבודה יומית של מתן שירות ומנהל IT. בעל ניסיון של 5 שנים בשני התחומים, והכשרה או השכלה רלוונטית, למשל השתתף בקורסים מקוונים לאבטחת סייבר, עבר תואר שני במדעי המחשב.

זה יכול להישמר פשוט מאוד, זה לא ניתוח צורכי אבטחת מידע או תוכנית פעולה מפורטת (אם כי אולי תרצה גם אחת כזו בהתאם לסגנון הארגון והגישה שלו לתוכניות פיתוח משאבי אנוש).

כל מה שהמבקר החיצוני ירצה לדעת הוא שהצוות המעורב מוכשר וסביר להניח שחלק מהצוות או כולו יהיו מעורבים בכל מקרה בתהליך הביקורת, ובשלב זה המבקר יגבש דעה משלו בכל מקרה.

זכור, אבטחת מידע הנעשית בגישה עסקית מובילה היא לנהל את העסק טוב יותר, לא רק ליישם בקרות 114 לשם כך. לכן לא סביר שיהיו פערים במיומנויות הליבה ובהבנה של הארגון שלך, אחרת לא סביר שהוא יפעל!

אם עם זאת ישנם פערים בכישורים, במיומנויות ובניסיון סביב יישום והפעלת מערכת ניהול אבטחת מידע כדי לעמוד בסעיף זה, ניתן לסגור אותם במספר דרכים:

• שליחת הצוות המעורב בקורסי הדרכה של מבקר מוביל, מיישם מוביל והטמעה של ISO 27001, או באחד מקורסי אבטחת מידע רבים אחרים שקיימים. עם זאת, זה יכול להיות יקר עבור אדם אחד שלא לדבר על צוות הן במונחים של עלות והן במונחים של זמן קצוב במשרד. זה עלול להוביל לבעיות יישום בפני עצמו אם המאמן או התוכנית הם כלליים מדי, מיושנים או לא מצליחים להבין את תרבות הארגון, דרכי העבודה וכו'.
• קריאה סביב רבים מהמשאבים החינמיים באינטרנט כמו משאבי אתר זה, אתרים כמו המרכז הלאומי לאבטחת סייבר (NCSC) עם המדריכים המומחים שלו ורשימות הבדיקה שלו, ועיכול תקני ISO 27001 ו-ISO 27002 יראה למבקר רמה של גם כשירות. זה משתלב עם נספח A 6.1.4 לשמירה על מודעות ומעורבות בפורומים מומחים לאבטחת מידע ואיגודים מקצועיים.
• שכור משאבים פיזיים מומחים כדי לסייע בבניית יכולת - יש שוק הולך וגדל עבור CISO וירטואליים (Chief Information Security Officers) וצוותים סביבם. זה בהחלט יכול להיות הגיוני ואנו ממליצים על כך לעבודה ממוקדת לצד המשאבים הפנימיים המומחים בתחומם כאשר לארגון יש בעיות קיבולת ויכולת והתקציב פחות מהווה בעיה. רבים מהשותפים של ISMS.online מציעים שירות כזה ואנו שמחים מאוד להציע שותף שיוכל לעזור לסגור פערים אלו ולהוסיף ערך נוסף על ISMS.online.
• השתמש בשירות המאמן הוירטואלי בתוך ISMS.online כדי לבנות ולהגדיל מיומנות בכל צוות ההטמעה ולהראות למבקר שכל אחד מחברי הצוות עבר אימון/ליווי אבטחת מידע והוכשר על תוכנית ההכנה כדי שיידע מהשטח מהי מערכת ניהול אבטחת מידע, מדוע היא נדרשת ומה תפקידם בצוות. הם יכולים גם להדגים עבודה בביטחון ובעקביות עד לרמה שעוקבת אחר מדריכי המאמן הוירטואלי, הטיפים והסרטונים בתוך כל אחד מהדרישות ואזורי הבקרה של נספח A.

קבל הסמכה עד פי 5 מהר יותר עם ISMS.online

תאימות לא צריכה להיות מסובכת - ISMS.online נועד לעזור לך להשיג הסמכת ISO 27001 במהירות ובמחיר סביר ללא צורך בהכשרה.
ייעלנו את תהליך ה-ISO 27001 עם שיטת התוצאות המובטחות שלנו, התחלה של 80%, מאמן וירטואלי משלך 24/7, קליטה קלה ותמיכה של מומחים.

הזמן הדגמת פלטפורמה כדי לראות כיצד ISMS.online יכול לעזור לעסק שלך