ISO 27001 – נספח A.5: מדיניות אבטחת מידע

מהי המטרה של נספח A.5.1?

נספח A.5.1 עוסק בכיוון ניהול לאבטחת מידע. המטרה בנספח זה היא לנהל כיוון ותמיכה באבטחת מידע בהתאם לדרישות הארגון, וכן בהתאם לחוקים ולתקנות הרלוונטיים.

הוא כולל את שני הפקדים המפורטים להלן. זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001. בואו נבין את הדרישות האלה ואת המשמעות שלהן קצת יותר לעומק עכשיו.

A.5.1.1 מדיניות אבטחת מידע

יש להגדיר מערך מדיניות לאבטחת מידע, לאשר על ידי ההנהלה, לפרסם ולהעביר לעובדים ולגורמים חיצוניים רלוונטיים. המדיניות חייבת להיות מובלת על ידי צרכים עסקיים, לצד התקנות והחקיקה החלים המשפיעים גם על הארגון.

מדיניות אלו בפועל הן בקרות נספח A, המסוכמות גם למסמך מדיניות אבטחת מידע ראשי ברמה גבוהה יותר המחזק את ההצהרות המרכזיות של הארגון סביב אבטחה לחלוקה עם מחזיקי עניין כמו לקוחות.

המדיניות הכוללת הזו הופכת אמינה וחזקה הרבה יותר עם הסמכה עצמאית ל-ISO 27001 מ-UKAS מאחוריה.

מדיניות גם מהווה את עמוד השדרה של אבטחת מידע וצריכה להיות חלק מתוכנית החינוך, ההכשרה והמודעות בהתאם ל-A7.2.2.

המדיניות קובעת את העקרונות שחברי הארגון וגורמי מפתח כמו ספקים חייבים לפעול. מדיניות זו צריכה להיבדק באופן קבוע ולעדכן בעת ​​הצורך בהתאם ל-A.5.1.2 להלן.

A.5.1.2 סקירת המדיניות לאבטחת מידע

יש לבחון את מדיניות אבטחת המידע במרווחי זמן מתוכננים, או אם מתרחשים שינויים משמעותיים, כדי להבטיח את המשך התאמתם, הלימותם ויעילותם.

בכל פעם שנעשים שינויים בעסק, הסיכונים והבעיות שלו, הטכנולוגיה או החקיקה והרגולציה או אם חולשות אבטחה, אירועים או תקריות מצביעות על צורך בשינוי מדיניות.

יש גם לעיין ולעדכן את המדיניות על בסיס קבוע. ISO מחשיב את 'רגיל' לפחות שנתי, וזה יכול להיות עבודה קשה אם אתה מנהל באופן ידני כל כך הרבה ביקורות וגם משלב את זה עם הסקירה העצמאית כחלק מ-A.18.2.1.

כיצד ISMS.online עוזר עם מדיניות אבטחת מידע?

בנוסף לתכונות רבות אחרות, ISMS.online כולל תהליכים גלויים ואוטומטיים כדי לעזור לפשט את כל דרישת הסקירה ולחסוך כמויות אדירות של זמן ניהול לעומת דרכי עבודה אחרות.

ISMS.online נותן לך מדיניות ובקרות ISO 27001 הניתנות לפעולה כדי לתת לך את ההתחלה הנהדרת הזו.