קפוץ לנושא
מה כולל סעיף 9.3?
ISO עצמה אומרת שהביקורות צריכות להתקיים במרווחי זמן מתוכננים, מה שאומר בדרך כלל לפחות פעם בשנה ובתקופת מעקב ביקורת חיצונית. עם זאת, עם קצב השינויים באיומי אבטחת המידע, והרבה מה שצריך לכסות בסקירות ההנהלה, ההמלצה שלנו היא לעשות אותם בתדירות גבוהה הרבה יותר, כפי שמתואר להלן ולוודא שה-ISMS פועל בצורה טובה בפועל, ולא רק לסמן תיבה עבור תאימות ל-ISO.
הערך של סקירת ניהול מערכת אבטחת המידע (ISMS) מוערכת לעתים קרובות לזלזל. חלקם עשויים להסתכל על זה כדרישת תיוג שצריכה להתקיים אך ורק כדי לעמוד בדרישת ISO 27001 9.3. עם זאת, כדי באמת 'לחיות ולנשום' נוהלי אבטחת מידע טובים, תפקידו לא יסולא בפז.
מטרת סקירת ההנהלה היא להבטיח שה-ISMS ויעדיו יישארו מתאימים, נאותים ואפקטיביים בהתחשב במטרה של הארגון, הבעיות והסיכונים סביב נכסי המידע. אלה טופלו בעבר במסגרת 4.1 הארגון וההקשר שלו, 4.2 הדרישות של בעלי עניין, 4.3 היקף ה-ISMS ו-6.1 עבור עבודת ניהול הסיכונים.
העבודה לקראת ומסביב לסקירת ההנהלה תאפשר להנהלה הבכירה לקבל החלטות מושכלות ואסטרטגיות שישפיעו מהותית על אבטחת המידע והדרך בה הארגון מנהל אותה.
מה צריך להיכלל בסקירת הניהול של ISO 27001?
סקירת ההנהלה חייבת להיות לכל הפחות לפי פורמט סטנדרטי שבוחן את הדרישות של 9.3 עבור ISO 27001:2103. אלה מפורטים להלן. בנוסף, ייתכן גם שהארגון מעוניין לכלול בסקירה משטרי ציות אחרים, כגון Cyber Essentials, ISO 9001 ושיטות עבודה טובות אחרות, כדי להקל על ביקורות אפקטיביות וקבלת החלטות מושכלת. זה אפילו יכול לקשור את היבטי אבטחת המידע 9.3 עבור 9.3 לישיבות הנהלה בכירה רחבות יותר או ישיבות דירקטוריון רשמיות. כך או כך היא צריכה לתעד את התוצאות והפעולות מהביקורות.
לארגונים שנמצאים בשלב ההטמעה של ה-ISMS שלהם, אנו ממליצים גם לערוך סקירות ניהול מדי שבוע כחלק מהרגל בניית תרגול טוב, ולכלול שיעורי יישום, יעדים ונושאים בתקופה הבאה לצד אותם מרכיבים בסדר היום הניהולי הפורמלי שניתן מכוסה. מבקרים חיצוניים מאוד אוהבים לראות את הארגון מחבק את רוח סקירת ההנהלה ואוהבים לראות אפקטיביות מעבודת התכנון והיישום, המשתלבת גם בדרישות של סעיף 7.5 וסעיף 8 לתפעול.
סדר היום הפורמלי של ISO 27001 סקירת ניהול 9.3 צריכה לכלול התייחסות ל:
- סטטוס הפעולות מסקירות ההנהלה הקודמות
- שינויים בנושאים חיצוניים ופנימיים הרלוונטיים למערכת ניהול אבטחת המידע
- משוב על ביצועי אבטחת המידע, כולל מגמות ב:
- אי התאמות ופעולות מתקנות;
- תוצאות ניטור ומדידה;
- תוצאות ביקורת; ו
- הגשמת יעדי אבטחת מידע.
- משוב מבעלי עניין
- תוצאות הערכת סיכונים ומצב של תוכנית טיפול בסיכון; ו
- הזדמנויות לשיפור מתמיד.
אולי כדאי גם להוסיף נקודה נוספת:
- הסכימו על מיקוד הביקורת לתקופה הקרובה. זה אופציונלי אם אתה ארגון זריז ולא מסוגל לפרט באופן מלא את כל תוכנית הביקורת ולתכנן יותר מדי זמן מראש. עם זאת, זכור שכמה מבקרים חיצוניים רוצים יותר בהירות על כל התוכנית עבור מחזור ההסמכה!
התפוקות של סקירת ההנהלה צריכות לכלול החלטות הקשורות להזדמנויות שיפור מתמיד וכל צורך בשינויים במערכת ניהול אבטחת המידע.
מי צריך להשתתף בסקירת הניהול של ISO 27001?
בהתחשב באמור לעיל, ברור לראות כי בהתחשב בראוי, סקירת ההנהלה ISO 27001 היא כלי הכרחי כדי להבטיח שה-ISMS ממשיך להיות אפקטיבי בסיוע לארגון להשיג את התוצאות המיועדות לו מההשקעות בניהול אבטחת מידע.
כדי שה-ISMS יהיה אפקטיבי בארגון, הוא זקוק למחויבות של ההנהלה הבכירה, וככזה, הגיוני שלחברי "דירקטוריון" של ISMS יהיו סמכויות בנושאים הנוגעים לאבטחת מידע. בדרך כלל מועצת ISMS עשויה לכלול את קצין אבטחת המידע הראשי (CISO), והנהלה בכירה אחרת יחד עם הנציגים המנהלים את ה-ISMS בפועל. תפקידים סביב אבטחת מידע אינם צריכים להיות במשרה מלאה או בלעדית, אך כן זקוקים לבהירות בתפקידים, באחריות ובסמכויות כפי שמתואר בסעיף 5.3. קיום לוח ISMS עוזר גם לתהליך הזה.
התפוקות של סקירת ההנהלה יכללו החלטות הקשורות להזדמנויות שיפור מתמיד וכל צורך בשינויים במערכת ניהול אבטחת המידע.
מהי התדירות האידיאלית של סקירת ניהול?
ישנה דרישה מינימלית לביצוע סקירת הנהלה אחת לשנה, ובתדירות גבוהה יותר אם יש שינויים מהותיים שעלולים להשפיע על אבטחת המידע וה-ISMS. עם זאת, התדירות תוגדר על ידי דרישת ההנהלה לנטר את הצלחת ה-ISMS. קיימת גם סכנה שככל שהמרווח יהיה גדול יותר, העבודה שתהיה כרוכה בסקירת התקופה הקודמת גדולה יותר. זה גם מגביר את הסיכון לכשל ב-ISMS לא מזוהה באופן מיידי.
מסיבה זו, אנו ממליצים מדי חודש, דו-חודשי או אפילו רבעוני אם ה-ISMS שלך די יציב. אין ספק, סקירות ההנהלה חייבות להתקיים במרווחי זמן מתוכננים כדי להבטיח שה-ISMS יישאר "מתאים, הולם ואפקטיבי".
לאלו המבקשים אישור ISO 27001 של ה-ISMS שלהם, חשוב גם לציין שקיימת דרישה להוכיח, במהלך ביקורת שולחן העבודה שלב 1, שהביקורות הרגילות מתקיימות.
אנו מציעים סקירות שבועיות של ההנהלה לפני ביקורת שלב 1, שכן הדבר ישמור על פרויקט ההטמעה שלך על המסלול, תבנה את ההרגל, ותוך חודש אחד תבנה מספיק ראיות, באמצעות תוכנית סקירת הניהול הקלה בפלטפורמה, כדי לספק את המבקר להיכנס לתלם לביקורות עתידיות.
ביקורות ניהול באמצעות ISMS.online
ISMS.online הופך את ניהול ה-ISMS המלא שלך לפשוט, כולל סקירות הניהול לאבטחת מידע.
ISMS.online מפגיש הכל בסביבה מאובטחת ומקוונת אחת שבה אתה יכול לשתף פעולה עם עמיתים, ללכוד את הראיות הנדרשות פעם אחת בלבד ולנווט אליהן בקלות לפני, במהלך ואחרי הסקירה.
הזמן הדגמהציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
