כיצד להימנע מהנחות הרות אסון עם ISO 27001 סעיף 9

לומדות מקצועיות רבות מועילות באמת רק בעולם העסקים. אבל יש עיקרון אחד שעוזר לי בכל חלק בחיי, מהגעה לילדים לבית הספר בכל בוקר ועד לתכנון החופשה החלומית שלאחר קוביד. זה זה:

  • ההנחה היא אם כל האסונות

אם רק תניח הנחות במקום לבדוק דברים, לא תתפוס בעיות ובעיות כשהן עדיין קטנות וקל לתקן. אתה תזהה אותם רק ברגע שאי אפשר לפספס אותם וכנראה אסון.

למרבה המזל, יש קל פִּתָרוֹן. אל תניח הנחות. החליפו אותם במעשיים, בונים, מובנים ביקורת. זה יכול להיראות משעמם ומייגע, אבל זה תמיד חיוני.

למה חשוב פיקוח

באמצעות כוחות תשומת הלב שלו לפרטים, בתפקיד קודם אחד מעמיתינו:

  • עזר ללקוחו דאז להימנע מנזק כספי גדול ומוניטין רב
  • הציל את חייהם של יצורים תת ימיים רבים ללא אשם
  • מנע תקרית בינלאומית גדולה

הוא ביקר יחידת אחסון תת-ימית לפני התקנתה על קרקעית האוקיינוס. הוא גילה שספק השתמש בו בצבע הלא נכון. הצבע היה מתכלה במהירות. ואז יחידת האחסון תתפרק במהירות. ואז זה היה נפתח.

היחידה תוכננה להכיל בבטחה חומר רדיואקטיבי למטרות מדידה תת-ימית.

אתה יכול לדמיין את השאר.

כולם הניחו שבדיקת עבודת הצבע היא בזבוז זמן. איך מישהו יכול לקבל משהו כל כך בסיסי כל כך לא נכון? הקולגה שלנו ספג ביקורת על היותו בררן מדי. אבל, שוב, החיים האמיתיים הוכיחו שההנחה היא אם כל האסונות.

פיקוח ב-ISO 27001

מכיוון שביקורת כל כך חשובה, ISO 27001 מכסה אותו בפירוט מסוים. סעיף 9 של ISO 27001 מבקש ממך לחשוב היטב כיצד תוכל:

  • מדוד והגדר יעדים ליעילות ה-ISMS שלך (סעיף 9.1)
  • בדוק אותו באופן קבוע כדי לוודא שהוא פוגע במטרות הללו (סעיף 9.2)
  • שמור על ההנהלה הבכירה שלך מעודכן (סעיף 9.3)

זה נותן לך רשימת בדיקה שימושית מאוד לפיקוח על מידע, בין אם אתה או לא תואם או מאושר. למרות שאנחנו צריכים לפנות אליו סעיף 10.2 לפרט אחרון חשוב מאוד:

  • שקול לבצע שיפורים ב-ISMS שלך על סמך מה שמצאת

סעיף 9.1: מדידה והגדרת יעדים עבור ה-ISMS שלך

ISMS לא נבדק לא שווה. אבל כדי לבחון את זה כמו שצריך, צריך לדעת מה אתה מחפש, איפה אתה מחפש ומי מחפש את זה. סעיף 9.1 מבקש ממך לתכנן:

  • אילו חלקים שלך ISMS שאתה צריך להשגיח על
  • איך אתה הולך לנטר, למדוד, לנתח ולהעריך אותם
  • באיזו תדירות תבצע את כל הבדיקות האלה
  • מי עושה את הבדיקה
  • איך הם ידווחו על הממצאים שלהם

הקפד לתעד את הכל. קיום סט יחיד של הנחיות מעשיות ברורות ימנע מאנשים להניח הנחות. אנחנו יודעים לאן הם יכולים להוביל...

סעיף 9.2: ביקורת ה-ISMS שלך

עכשיו אתה מוכן למציאות שלך ביקורת פנימית, כמפורט בסעיף 9.2. זה המקום שבו אתה בודק את הציור ובועט בצמיגים. מציצה דרך השיניים היא גם אפשרות.

בעיקרון, אתה בודק שה-ISMS שלך:

  • עומד בכל היעדים שהצבת עבורו
  • מנוהל היטב ומתוחזק כראוי

רק ביקורת אחת לא תעשה את העבודה. אתה צריך לתכנן ביקורת שוטפת. כל ביקורת חדשה צריכה להתייחס לביקורות קודמות, כך שאתה יודע בוודאות שאתה קולט ומגיב לכל בעיה. אז כל ביקורת חדשה צריכה להיות מתועדת באופן ברור ועקבי ומדווחת.

אתה גם צריך להפוך אנשים ספציפיים אחראים לכל ביקורת. צריך להיות להם היקף ברור לכל ביקורת. ובעיקר, הם צריכים להיות אובייקטיביים. בחר מבקרים שיאתגרו את ההנחות שלך, לא יאשרו אותן.

וכל ביקורת צריכה להיות תהליך חיובי ומוסיף ערך. באופן אידיאלי, מבקרים מחפשים התאמות ואולי יעבדו עם הנבדק כדי למצוא שיפורים פוטנציאליים. המבקר שלך לא מחפש אי-התאמות. זה פשוט קורה שלפעמים הם יבחינו בהם.

סעיף 9.3: הקפדה על ההנהלה הבכירה

ההנחה שההנהלה הבכירה יודעת איך הדברים הולכים זו תמיד טעות. אתה צריך לוודא שהם מבינים, קונים ו(במידת הצורך) מעצבים את ה-ISMS שלך. אחרי הכל, כמו סעיף 5 הערות, הם בסופו של דבר אחראים ל-ISMS שלך.

אז, סעיף 9.3 מבקש ממך לבצע ביקורות ניהול קבועות ומתוכננות. אתה תעדכן את ההנהלה הבכירה באיזו כושר שלך האיזמים מגן על הארגון שלך, מכסה:

  • בעיות ספציפיות שזוהו וכיצד תיקנת אותן
  • ביצועים כלליים מול היעדים שהגדרת
  • כל הערה או משוב מ בעלי עניין
  • מה המבקרים שלך אומרים לך
  • פרטים מתמשכים הערכת סיכונים וטיפול
  • שיפורים שאתה מתכנן לעשות או שביצע

כדאי גם להסתמך על הסקירה הכוללת של הארגון שלך. ודא שהם משתפים פרטים על בעיות פנימיות או חיצוניות שעלולות להשפיע על ההיקף והפעולה של ה-ISMS שלך. וכמובן תתעדכן בפעולות הנובעות מביקורות קודמות.

אה, ויש הנחה אחת גדולה לאתגר. אנשים בדרך כלל מניחים שסקירת מערכת הניהול צריכה להיעשות בפגישה. אבל איפה כתוב את זה בסעיף 9.2? הרמז שלנו: זה לא...

הנחה אחרונה שאנו רוצים להימנע ממנה

אז ככה סעיף 9 של ISO 27001 עוזר לך להחליף הנחות מעורפלות בביקורות מעשיות, בונות ומובנות. לאחר מכן תוכל לעקוב אחר סעיף 10.2 ולפעול לפיו.

אנו מקווים שהראינו לך איך התהליך עובד ונתנו לך כמה עצות שימושיות שיעזרו לך לפקוח עין על אמצעי המידע שלך.

אבל זה נשמע בדיוק מה שאנחנו רוצים להימנע ממנו: הנחה! אז אם הפוסט הזה היה שימושי או מעורר השראה, יידעו אותנו בטוח.

« דרישה 9.3 - סקירת הנהלה

Req 10.1, 10.2 - שיפור עבור ISO 27001 »

נערך לאחרונה: 7 בפברואר, 2022
מְחַבֵּר

אל רוברטסון

אל הוא סופר מקצועי ומחבר פורסם המכסה מגוון נושאים. הוא כתב מגוון מאמרים על ציות ובעיקר על אבטחת מידע וכיצד הסמכת ISO 27001 יכולה לעזור לארגונים לצמוח.

צפה בכל הפוסטים של אל רוברטסון

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף