קפוץ לנושא
מה כולל סעיף 7.5?
אחת הדרישות העיקריות ל-ISO 27001 היא אפוא לתאר את מערכת ניהול אבטחת המידע שלך ולאחר מכן להדגים כיצד התוצאות המיועדות שלה מושגות עבור הארגון. חשוב להפליא שכל מה שקשור ל-ISMS יהיה מתועד, מתוחזק היטב וקל למצוא אותו אם הארגון רוצה להשיג אישור ISO 27001 עצמאי מגוף כמו UKAS.
ISO 27001 סעיף 7.5 מתחלק כדלקמן:
סעיף 7.5.1 - תיעוד כללי עבור ISO 27001
ה-ISMS צריך לכלול בבירור:
- תיאור של האופן שבו הוא מתייחס ל-4.1 עד 10.2 של דרישות הליבה, כולל הערכת הסיכונים והטיפול שמובילים לבחירת הבקרות נספח A.
- הבקרות הרלוונטיות נספח A שהן חלק מהצהרת התחולה - מה שאומר למעשה שאתה צריך לרשום את כל הבקרות. גם אם ארגון מחליט שבקרה אינה רלוונטית, עליו לתעד שלמשל אם אין לו צורך בשטחי מסירה והעמסה בנספח A 11.1.6 כי מדובר בעסק דיגיטלי גרידא, אז הוא צריך להראות למבקר שיש לו נחשב שאין סיכון ואין צורך בשליטה זו.
סעיף 7.5.2 – יצירה ועדכון של מידע מתועד עבור ISO 27001
ISO 27001 רוצה בהירות בתיעוד, מחפש זיהוי ותיאור, פורמט, סקירה ואישור להתאמה והתאמה לשרת את מטרתו. קל לפספס את הניואנסים של דרישות אלה, אך מעשית משמעות הדבר היא התחשבות במחבר, תאריך, כותרת, הפניה וכו', ותהליך האישור הזה חשוב מאוד גם להתאמה עם נספח A 5.1.2 כמתואר להלן.
סעיף 7.5.3 – בקרה על מידע מתועד עבור ISO 27001
בלב ה-ISMS עומד עקרון הסודיות, היושרה והזמינות של המידע. זה זהה ל-ISMS עצמו, הוא צריך להיות זמין כאשר נדרש ומוגן כראוי מפני אובדן סודיות, שימוש לא מורשה או פגיעה אפשרית בשלמות.
עצם השלכת תוכן ה-ISMS בכונן השיתופי של הצוות והשלמתו לא מבוקרת או עם הרשאות גישה לא יעילות יובילו כמעט בוודאות לבעיות עבור הארגון בביקורת. באופן דומה, השארת אותו בכונן אישי בלתי נגיש למי שצריך לדעת על ה-ISMS תהיה בעיה באותה מידה, ולכן יש לתת את הדעת על תחומים רבים לשליטה יעילה. ISO מחפש ארגון שיתייחס להיבטים הבאים:
- בהירות שיתוף והפצה, בקרות על גישה לחלק מה-ISMS או כולו - בהתחשב בהרשאות הגישה לקריאה, עדכון, אישור, מחיקה וכו' עשויות להיות שונות בהתאם לתפקיד בעל העניין
- אחסון ושימור, כולל שליטה בשינויים (הצגת גרסאות ישנות יותר, אישורים היסטוריים וכו')
- גם שמירה וסילוק דורשים התייחסות
דרישה זו מתיישרת גם עם הסקירה הרגילה של מדיניות המודגשת בנספח A.5.1.2, שגם עליה נגע להלן.
אנו נדריך אותך בכל שלב
הכלי המובנה שלנו לוקח אותך מההגדרה ועד להסמכה עם אחוזי הצלחה של 100%.
הזמן הדגמהכמה צריך לכתוב כדי שתיעוד של ה-ISMS ייחשב כמקובל על ידי מבקר?
שאלה אחת שנשאלת לעתים קרובות לגבי תיעוד ניהול אבטחת מידע היא 'כמה זה מספיק'. התשובה הקצרה היא שמדובר באיכות, לא בכמות. כל עוד הארגון עומד בדרישות המסוכמות להלן, ויכול להוכיח שהוא אינו זקוק לתיעוד רב-משמעי, המבקר ללא ספק ייקח זאת בחשבון במהלך ביקורת - למשל בגלל שמדובר בארגון קטן עם מעט משתתפים סביב ה-ISMS , יציב, ברור, מטופח ופשוט בתפעול.
האם תיעוד למערכת ניהול אבטחת המידע הוא 'מסמכים בסגנון מילים' או שמא מותרות צורות תוכן אחרות?
שאילתות לגבי סוג התיעוד הצפוי היא אחת השאלות הנפוצות האחרות לגבי תיעוד סעיף 7.5 עבור מערכת ניהול אבטחת המידע. למעשה ISO 27001 מציין בבירור בהערה בצד את סעיף 7.5.1:
"היקף המידע המתועד עבור מערכת ניהול אבטחת מידע יכול להיות שונה מארגון אחד למשנהו עקב:"
- גודל הארגון וסוג הפעילויות, התהליכים, המוצרים והשירותים שלו;
- מורכבות התהליכים והאינטראקציות ביניהם; ו
- כשירותם של אנשים.
מספר ספקי 'ערכת כלים' של תיעוד אבטחת מידע ISO 27001 הנציחו את המיתוס שמידע מתועד עבור ISMS חייב להיות מסמכי word וגיליונות אקסל. ברור שמסמכים אלה יכולים לקבל מקום ב-ISMS (למשל, היכן שיש לתקשר גם תמונות או תהליכים מורכבים), אך יש להשתמש בהם במשורה בהתחשב בהופעתם של כלים מקוונים טובים יותר.
שירותים מקוונים כמו ISMS.online מקלים על מסמכים בצורה מסורתית יותר ומציעים גם דרכים יעילות יותר לניהול תיעוד שיכולות להראות שליטה ותיאום טובים יותר, דרכים טובות יותר לשיתוף ופרסום לקהלים ולהפוך את כל התהליך של ניהול התיעוד לדרישות של סעיף 7.5 להלן הרבה יותר קל. זה גם אומר שהימים הישנים של בזבוז זמן עם עמודים ראשיים של מסמכים המציגים את כל שינויי הגרסאות והאישורים בדוא"ל חלפו מזמן!
הצטרפות 7.5 עם בקרות נספח A
כאשר אתה מחשיב את דרישות סעיף 7.5 גם משתלבות עם יעדי הבקרה הנספחים, הגיוני עוד יותר לחשוב על מערכת ניהול מתואמת היטב במקום מסמכים מיושנים וכוננים משותפים לאחסון. דוגמאות להיכן לצרף את סעיף 7.5 עם בקרות נספח A כוללות:
נספח א' 5.1.1
בנוסף להגדרה, מדיניות אבטחת מידע צריכה להיות מאושרת על ידי ההנהלה, לפרסם ולהעביר לעובדים ולגורמים חיצוניים רלוונטיים. לא קל להוכיח אישור למסמכים כשלעצמם, ופרסום מסמכים כבדי משקל לא סביר שיעוכל או יובן על ידי בעלי העניין גם אם הם נמסרו (משאיר את הארגון בסיכון של אי ציות ואיום בהפסד על ידי בורות).
נספח א' 5.1.2
סקירת המדיניות לאבטחת מידע. תקן ISO 27001 אומר שיש לבחון את המדיניות באופן קבוע במרווחי זמן מתוכננים (או אם מתרחשים שינויים משמעותיים) כדי להבטיח את התאמתם המתמשכת. מבקרי ISO בלתי תלויים יצפו לראות את הבדיקה הזו נעשית לפחות מדי שנה עבור כל מדיניות.
נספח א' 18.2
בקרת נספח א' זו עוסקת בסקירות אבטחת מידע, ובוצעה היטב, היא משתלבת בצורה מסודרת עם סעיף 7.5 לניהול תיעוד של ISMS כולל ביקורות עצמאיות, בדיקות לתאימות ובמידת הצורך גם תאימות טכנית. סקירה, בקרת גרסאות, הצגת עדכונים ולאחר מכן אישור ישנים מסמכים מעוצבים שבהם הם לא צריכים להיות מסמכים כשלעצמם יכולים באמת להאט את המנהלים של ה-ISMS. זה יכול גם לעכב או לאבד את מעורבות הצוות ולהוביל לאי ציות.
כיצד לנהל תיעוד ב-ISMS שלך?
קל להבין לא נכון את סעיף 7.5 ולהסתובב סביבו, מה שמוביל לכשל בביקורת, או אולי להנדס פיתרון ולהקדיש זמן רב מדי לבניית מבנה מערכת ניהול שקשה מדי לתחזק אותו בשינוי הראשון. מתכנן המקרים העסקיים של ISMS.online בוחן את האפשרויות של בנייה לעומת קנייה, אז בדוק אם אתה חושב ליצור פתרון משלך.
זה באמת קשה להגיע נכון ולעמוד בכל הדרישות של סעיף 7.5 והבקרות הקשורות בנספח A. זו הסיבה שארגונים רבים מחפשים פתרון תוכנת ISMS ייעודי ורוצים משהו עם המאפיינים של ISMS.online.
אחרי הכל, לא תבזבז זמן על בניית מערכת CRM או פיננסים משלך כאשר אחרים כבר השקיעו זמן בפיתוח הפתרון הנכון שניתן לספק ישירות מהקופסה תמורת חלק קטן מהעלות של פתרון עשה זאת בעצמך. לא חלק מיכולות הליבה של הארגון.
ISMS.online מספק מבנה קל למעקב עבור כל התיעוד הנדרש. הוא עוקב בדיוק אחר אותו מבנה כמו התקן עצמו כך שאתה ומבקר יכולים לנווט בקלות ובמהירות אל התיעוד הנדרש. הוא כלל תפקידים והרשאות לגישה, עריכה, אישור ושיתוף. יש גם בקרת גרסאות אוטומטית ותזכורות לביקורות. אפילו הלכנו צעד אחד קדימה וכללנו תיעוד מדיניות ובקרה שתוכלו לאמץ, להתאים ולהוסיף אליו, ישירות מהקופסה.
שימוש בפתרון התוכנה ISMS.online יאפשר לך להתמקד ביעדי ה-ISMS שלך. ISMS.online עושה עבודה קלה של המינהל, כך שאתה יכול בקלות ליצור, לשלוט, לתאם, לנהל ולשתף את התיעוד שלך עם בעלי העניין, כולל באמצעות ערכות מדיניות שמגבירות את האמון מקצה לקצה לציות. כמו כן, היא תעניק לכם את כל הכלים לבצע את תהליכי העבודה הרבים הנדרשים בתקן. זו גם הסיבה שאנו אומרים שהמסמכים שאנו מספקים הם 'ניתנים לפעולה'. הן יותר מתבניות מסמכים פשוטות שמשאירות לך לפרש ולמצוא דרך להדגים את התהליכים שלך...ISMS.online הוא פתרון ISMS שלם במקום אחד.
ראה את ISMS.online בעצמך
הזמן הדגמה עם מומחה מוצר וקבל הצצה חיה בכלים החזקים שיעזרו לך לנהל ולייעל את התאימות שלך, הכל על סמך הדרישות שלך
הזמן הדגמת פלטפורמהקבל הסמכה עד פי 5 מהר יותר עם ISMS.online
תאימות לא צריכה להיות מסובכת - ISMS.online נועד לעזור לך להשיג הסמכת ISO 27001 במהירות ובמחיר סביר ללא צורך בהכשרה.
ייעלנו את תהליך ה-ISO 27001 עם שיטת התוצאות המובטחות שלנו, התחלה של 80%, מאמן וירטואלי משלך 24/7, קליטה קלה ותמיכה של מומחים.
הזמן הדגמת פלטפורמה כדי לראות כיצד ISMS.online יכול לעזור לעסק שלך
הזמן הדגמהקבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
