דרישת ISO 27001 7.4 – תקשורת

מה כולל סעיף 7.4?

כמו בחלקים אחרים של ה-ISMS, יש הזדמנויות להצטרף ולהדגים את מערכת ניהול אבטחת המידע, במיוחד דרישות התקשורת שלה הן חלק משולב מלוכד מתהליכי התקשורת, החינוך, ההדרכה והמודעות של הארגון.

סעיף 7.4 זה משתלב גם עם נספח א' 7 לאבטחת משאבי אנוש, כאשר הדרישות סביב תקשורת מתחילות במיון אבטחת משאבי אנוש, נכנסות לתנאי אבטחת מידע עבור חוזי עבודה, תהליכים משמעתיים ולאחר שינויי תפקיד או יציאה. האינטגרציה המשמעותית ביותר עבור אבטחת משאבי אנוש היא עם A 7.2.2 שבו יש בקרה על מודעות, חינוך והדרכה לאבטחת מידע.

ISO 27001 מחפש את הדברים הבאים בסעיף זה:

• מה לתקשר לגבי ה-ISMS
• מתי זה יועבר
• מי יהיה צד לתקשורת זו
• מי עושה את התקשורת
• איך כל זה קורה כלומר באילו מערכות ותהליכים ישמשו כדי להוכיח שזה קורה ויעיל

ספציפית ISO 27001: 2013 A.7.2.2 בקרה דורשת כי: "כל עובדי הארגון, ובמקרה רלוונטי, קבלנים יקבלו חינוך והכשרה מתאימים למודעות ועדכונים שוטפים במדיניות ובנהלים הארגוניים, בהתאם לתפקודם בתפקיד".

שליטה זו, שנלקחה עם הדרישה בסעיף 7.4 בדרישות העיקריות של ISO 27001 להדגים 'איך' ועד כמה התקשורת יעילה, יחד עם הצורך של ההנהלה הבכירה להגן בפועל על הארגון שלהם ולא רק לסמן תיבה, פירושו שדבר דינמי ובטוח נדרשת תקשורת לצורך ביטחון בציות.

מי צריך להתחשב בתקשורת האם הם עשויים להתעניין?

נקודת המוצא לכך צריכה להיות העבודה שנעשתה ב-4.2, הסתכלות על בעלי העניין והסתכלות לאחור כדי להבין את הצרכים והדרישות שלהם לתקשורת, מה שכמובן יתיישר עם מיקומם על מפת בעלי העניין והסוגיות והדאגות הבסיסיות שהם היו. יש לגבי הביצועים שלו. כמו בעבר מידה אחת לא תתאים לכולם מבחינת מה, למה ואיך מתרחשת התקשורת. לדוגמה, צד מעוניין 'שמור על שביעות רצון' כמו נציב המידע הבריטי על הצגת ציות לחוק הגנת נתונים ו-GDPR ירצה לדעת רק שני דברים: א) האם אתה רשום כבקר נתונים ו/או מעבד; וב) כאשר חווית אירוע ביטחוני שיוצר אובדן או השלכות אפשריות נופל בטווח העניין שלהם.

בעלי עניין אחרים מרוצים עשויים להיות לקוחות רבי עוצמה, וגם מבקרים חיצוניים עבור ISO 27001, במיוחד אם שוקלים הסמכה עצמאית של UKAS או דומה. הם רוצים להיות בטוחים שה-ISMS מתפקד היטב ויש להם את הבטחת המידע הקבועה שמגיעה מביקורות מעקב ואולי מזכות הביקורת בזמנים לפי בחירתם, כמו גם להיות מעודכן לגבי שינויים או אירועים מהותיים.

שחקנים מרכזיים ובעלי עניין מעודכנים כגון הנהלה בכירה, צוות עובדים או ספקים מעורבים באופן אינטימי שניגשו לנכסי המידע היקרים ביותר שלך צריכים להיות מעורבים ומודעים להרבה יותר על מערכת ניהול אבטחת המידע.

דברים שצריכים לשקול כאן כוללים:

• מה המשמעות של אבטחת מידע לארגון ויתרונותיו וכן ההשלכות
• מודעות למונחי השפה המרכזיים ולדוגמאות של סודיות טובה ורע, יושרה וזמינות שיש להם משמעות עבורם
• מדיניות ובקרות אבטחת המידע של הארגון המשפיעות על עבודתם ועל העובדים סביבם
• מה לעשות במקרה של אירוע, אירוע או חולשה שהם הראשונים לזהות
• מה לעשות כשמשהו קרה במקומות אחרים בארגון והם צריכים לנקוט בפעולה כדי להישאר מוגנים
• עדכונים כלליים ותקשורת דינמית הרלוונטיים לתפקידם (מעבר למדיניות ולבקרות)

הבטחת תקשורת ותאימות מושגות להצלחת ISO 27001

בעוד שמבקר חיצוני המתחייב על הסמכת ISO 27001 יחפש בזהירות אחר הוכחות לתקשורת לעיל, הנושא העסקי המשמעותי יותר הוא יותר מכך שבעלי העניין אינם מודעים לתקשורת או לא מצייתים לתקשורת. זה עלול להוביל במהירות לאירוע אבטחת מידע חמור ולאובדים גדולים, במיוחד אם מדובר בנתונים אישיים שבהם נשקלו קנסות GDPR ונזק גדול למוניטין.

סביר להניח שלרוב הארגונים יש כבר ערוצי תקשורת; עבודה פנים אל פנים, ימי צוות, דוא"ל, אינטראנט ואמצעים אחרים לשיתוף הצוות. אנו ממליצים לקחת בחשבון את כל אלה אם הרגלים אלו בנויים היטב עבור הצוות והם יגיבו להם. אולם כאשר אתה כבר מקבל יותר מדי מיילים, נסחף בשיחות ועידה טלפוניות של צוות, האם תקשורת ה-ISMS המרגשת תגיע למקום ותספק את התוצאה שאתה צריך?

האתגר של רוב הארגונים הוא חוסר היכולת להוכיח באופן חסכוני לכך שהתקשורת התרחשה ושעמידה בדרישות מובטחת על פני שרשרת האספקה ​​הפנימית והחיצונית של מחזיקי עניין מרכזיים. ביקורות פנימיות בהתאם לסעיף 9.2 עוזרות מאוד בכך, אולם הן בדרך כלל נדירות ויקרות מאוד עבור כל דבר מלבד ביקורת בגודל מדגם ואינן עומדות בקצב השינויים המהירים בסיכוני אבטחת מידע ובמיוחד בנושאי אבטחת סייבר.

המבקרים בוחנים כעת הרבה יותר מקרוב את תחומי התקשורת הללו בהתחשב בהשלכות ההולכות וגדלות של כישלון. לקוחות חכמים ובעלי מניות נותנים גם הרבה יותר התחשבות מעבר לתעודת ISO, מעבר להצהרת התחולה וההיקף, בדרישות לניטור דינמי יותר של עדכוני אבטחת מידע והבטחת תאימות. תאימות מבוססת אנשים מתקדמת הרבה יותר לכיוון הטכנולוגיה והניטור של המערכת הדיגיטלית שכבר נראים כמו חומות אש, שירותי ניטור בזמן אמת של אנטי וירוס.

כיצד ISMS.online עוזר בתקשורת ISMS

בליבה, ISMS.online היא פלטפורמת תקשורת ושיתוף פעולה, כך שהיא מקבלת התחלה טובה במערכות הקלטה סטטיות מיושנות שהיו פופולריות עבור מערכות בסגנון ISMS ו-Governance Regulation and Compliance (GRC). זה גם מפיץ מידע בדוא"ל למשתמשי קצה, וזה נהדר עבור עדכונים פשוטים ומודעות, כך שהוא משתלב באותה דרך מבוססת הרגל של תקשורת. כל מה שנדרש לעבודת ציות מפורטת יותר, כגון הוכחות להתחייבות לעשות משהו, למשל קריאת מדיניות, מחזיר את המשתמשים לפלטפורמה שבה נתיב הביקורת והראיות הפליליות מרגשות את המבקרים וחוסך כמויות עצומות של זמן למנהלי ISMS, שבתורם יכולים לתקשר עם אמון בחזרה להנהלה הבכירה.

הפלטפורמה משרתת היטב את קבוצות בעלי העניין השונות עם קלות השימוש שלה ומרחבי עבודה ממוקדים שכולם ניתנים לביקורת ומבוססים על ראיות בהתאם לדרישות התקן.

השגת אמון בתקשורת ללקוחות חזקים, הנהלה בכירה ורואי חשבון חיצוניים

פותח במיוחד בשיתוף פעולה הדוק עם משתמשי קצה חלק עיקרי של סט תכונות ב-ISMS.online הוא שירות חבילת המדיניות המאפשרת למנהלי ISMS להדגים תאימות של המדיניות והבקרות עבור כל אחד בהיקף. השירות החדשני הזה יחד עם דוח הסקירה הכללית של ISMS (בהמשך למטה) ותכונות שיתוף הפעולה הכלליות של הקבוצות מספקים יתרונות רבים לחיסכון בעלויות, הפחתת סיכונים ועוד.

• ייצור של מדיניות ובקרות פעם אחת, אך מאפשר הפצה לקבוצות ממוקדות בקלות (למשל לפי מחלקה, מיקום, תפקיד, מוצר וכו')
• היכולת לראות את המדיניות שנקראת ומתקיימת באופן דינמי בכל נקודת זמן
• היכולת לזהות ולטפל באזורים אפשריים של אי ציות במהירות ובקלות - מיקוד תשומת הלב לסיכונים הגבוהים ביותר ולא בזבוז זמן ביקורת או משאבים מוגבלים אחרים
• היכולת להראות למבקרים חיצוניים, ללקוחות קצה רבי עוצמה ולהנהלה בכירה שהם שולטים בכל ה-ISMS החל מזיהוי נכס המידע, הערכת הסיכונים שלו, הבקרות המופעלות עליו והקהל/ים שעליהם מיושמת המדיניות – כל ההיבטים המרכזיים של עמידה בדרישות ISMS עבור ISO 27001

עבור משתמשים מתקדמים יותר שרוצים לראות את הקשר בין נכסי מידע, סיכונים, בקרות ותקשורת המדיניות למשתמשים על ידי חבילות מדיניות, דוח הסקירה הכללית של ISMS עושה בדיוק את זה. זה מראה ביטחון מקצה לקצה ומסייע לבודד במהירות פערים, בעיות או בזבוז מעבר להצהרה החזקה של תחולה הנדרשת עבור ISO 27001 סעיף 6.1.3.

תקשורת אבטחת מידע לצוות, ספקים ובעלי עניין אחרים שצריכים להיות מעורבים ולהראות תאימות ל-ISO 27001

זה נהדר שמערכות ניהול אבטחת מידע חזקות יעבדו היטב עבור הנהלת ISMS ומנהלי המערכת כדי לעמוד ביעדים שלהם. ה פתרונות ISMS צריך גם לעבוד היטב עבור אותם משתמשים מזדמנים שצריכים להבין ולציית למדיניות שלהם, להיות מודעים למה שקורה, להשתתף בדיונים, להעלות תקריות ולהגיב למשימות. זה בדיוק מה ש-ISMS.online מציע, יכולת לשמור על מחזיקי העניין החשובים הללו תואמים ומעורבים במודל גישה דינמי אך מזדמן.

הצוות יכול לקרוא ולציית למדיניות אבטחת המידע (ואחרים) שלהם בחוויית קריאה כמו Kindle, ללא כל רעש מהחלקים המומחים של ה-ISMS. הם יכולים להראות בקלות את התקדמות הקריאה והתאימות שלהם כשהם משלימים את העבודה. זה גם עדכון דינמי של מסוף הניהול שלמעלה. כאשר מדיניות מתעדכנת, המנהל יכול פשוט לדחוף את זה לכל הקוראים ולהביא את תשומת לבם.

בנוסף לשירות חבילת המדיניות, ISMS מקוון מציעה מספר דרכים להבטיח תקשורת ומעורבות של הצוות, כולל קבוצות תקשורת ISMS, שהן נהדרות לשדר עדכונים, להשתתף בדיונים, להקצות משימות באמצעות הודעות דואר אלקטרוני ולהראות את ההוכחות לכך. למבקרים וכן לשמור ידע עבור עובדים חדשים ואחרים שצריכים להיות מעורבים בעתיד. הדרישות הללו אינן כל כך קלות עם כמה ממוצרי התקשורת והמסרונים המסורתיים יותר בשוק או בדוא"ל בלבד. מעבר לאותם שירותי ליבה של קבוצות וחבילות מדיניות, תכונות רבות אחרות בפלטפורמה הופכות גם את כל תהליך התקשורת לחוויה משולבת עשירה יותר.

קבל הסמכה עד פי 5 מהר יותר עם ISMS.online

תאימות לא צריכה להיות מסובכת - ISMS.online נועד לעזור לך להשיג הסמכת ISO 27001 במהירות ובמחיר סביר ללא צורך בהכשרה.
ייעלנו את תהליך ה-ISO 27001 עם שיטת התוצאות המובטחות שלנו, התחלה של 80%, מאמן וירטואלי משלך 24/7, קליטה קלה ותמיכה של מומחים.

הזמן הדגמת פלטפורמה כדי לראות כיצד ISMS.online יכול לעזור לעסק שלך