מהי מטרת סקירת הניהול של ISO 27001:2013?
הערך של סקירת ניהול מערכת אבטחת המידע (ISMS) אינו מוערך לרוב.
חלקם עשויים להסתכל על זה כדרישת תיוג שצריכה להתקיים אך ורק כדי לעמוד בה ISO 27001 דרישה 9.3. עם זאת, כדי באמת 'לחיות ולנשום' נוהלי אבטחת מידע טובים, תפקידו לא יסולא בפז.
מטרת סקירת ההנהלה היא להבטיח שה-ISMS ויעדיו יישארו מתאימים, נאותים ואפקטיביים בהתחשב במטרה, בנושאים וסיכונים של הארגון. אלה טופלו בעבר בפנים 4.1 הארגון וההקשר שלו, 4.2 הדרישות של בעלי עניין, ו- 6.1.ניהול סיכונים.
התוצאות סקירת ההנהלה תאפשר להנהלה הבכירה לקבל מידע טוב, החלטות אסטרטגיות שתהיה להן השפעה מהותית על אבטחת המידע והדרך בה הארגון מנהל אותה.
מה צריך לכלול בסקירת ההנהלה?
סקירת ההנהלה חייבת לעקוב אחר א תֶקֶן פורמט שמסתכל על הציפיות של ISO 27001: 2103.
ייתכן גם שהארגון מעוניין לכלול בסקירה משטרי ציות אחרים, כגון יסודות סייבר, ISO 9001 ושיטות עבודה טובות אחרות, כדי להקל על ביקורות אפקטיביות וקבלת החלטות מושכלת.
סקירת ההנהלה ISO 27001 צריכה לכלול התייחסות ל:
א) מצב הפעולות מסקירות ההנהלה הקודמות;
ב) שינויים בסוגיות חיצוניות ופנימיות הרלוונטיות ל ניהול אבטחת מידע מערכת;
ג) משוב על ביצועי אבטחת המידע, כולל מגמות ב:
- אי התאמות ומתקנות פעולות;
- ניטור ומדידה תוצאות;
- בדיקה תוצאות; ו
- הגשמה של מטרות אבטחת מידע.
ד) משוב מ בעלי עניין;
ה) תוצאות של הערכת_סיכון”>הערכת סיכונים ומצב הטיפול בסיכון לְתַכְנֵן; ו
ו) הזדמנויות עבור שיפור מתמשך.
ייתכן שתרצה להוסיף נקודה נוספת ז) הסכמה על מיקוד הביקורת לתקופה הקרובה. זה אופציונלי אם אתה זריז ארגון ואינו מסוגל לציין באופן מלא את כל תוכנית הביקורת ולתכנן יותר מדי זמן מראש. אבל זכור שכמה מבקרים חיצוניים רוצים יותר בהירות על כל התוכנית לאורך מחזור ההסמכה!
התפוקות של סקירת ההנהלה צריכות לכלול החלטות הקשורות שיפור מתמשך הזדמנויות וכל צורך בשינויים במערכת ניהול אבטחת המידע.
מי צריך להשתתף בסקירת ההנהלה?
בהתחשב באמור לעיל, ברור לראות כי בהתחשב בראוי, ה ISO 27001 ביקורת ההנהלה היא הכרחית כלי על הבטחת ה-ISMS ממשיך להיות יעיל באחת מיעדי המפתח שלו, זו של הפחתה סיכוני אבטחת מידע.
כדי שה-ISMS יהיה יעיל בארגון, הוא צריך בכיר מחויבות ההנהלה וככזה, הגיוני שלחברי "דירקטוריון" של ISMS יהיו סמכויות בנושאים הנוגעים לאבטחת מידע.
בדרך כלל מועצת ISMS עשויה לכלול את קצין אבטחת המידע הראשי (CISO), בעל סיכוני מידע בכיר (SIRO), קצין טכני ראשי ואולי אפילו את המנכ"ל.
התפוקות של סקירת ההנהלה יכללו החלטות הקשורות שיפור מתמשך הזדמנויות וכל צורך בשינויים במערכת ניהול אבטחת המידע.
תדירות סקירת ההנהלה
יש דרישת מינימום לביצוע א סקירה מנהלתית פעם בשנה, ובתדירות גבוהה יותר אם יש שינויים מהותיים שיכולים להשפיע על אבטחת המידע וה-ISMS.
עם זאת, התדירות תוגדר על ידי דרישת ההנהלה לנטר את הצלחת ה-ISMS. קיימת גם סכנה שככל שהמרווח יהיה גדול יותר, העבודה שתהיה כרוכה בסקירת התקופה הקודמת גדולה יותר. זה גם מגביר את הסיכון לכשל ב-ISMS לא מזוהה באופן מיידי.
מסיבה זו, אנו ממליצים מדי חודש, דו-חודשי או אפילו רבעוני אם ה-ISMS שלך די יציב. בְּהֶחלֵט, סקירות ההנהלה חייבות להתקיים במועד המתוכנן מרווחי זמן כדי להבטיח שה-ISMS יישאר "מתאים, הולם ואפקטיבי".
למי שמחפש ISO 27001 הסמכה של ה-ISMS שלהם, חשוב גם לציין שקיימת דרישה להוכיח, במהלך ביקורת שולחן העבודה שלב 1, שהביקורות הרגילות מתקיימות.
At ISMS.online אנו מציעים סקירות שבועיות של ההנהלה לפני ביקורת שלב 1, שכן זה ישמור על פרויקט ההטמעה שלך על המסלול, תבנה את ההרגל, ותוך חודש אחד תבנה מספיק ראיות, תוך שימוש בשיטות הקלות תוכנית סקירת ניהול בפלטפורמה, כדי לרצות את המבקר.
כיצד לנהל תקשורת ופעולות
בדרך כלל סקירת ההנהלה תהיה כרוכה בהפצה, בדוא"ל מראש, של ההזמנות לפגישה, סדר היום, הראיות והדוחות לבדיקה, או כדי לתמוך בסקירה, והפריטים הקודמים שדרשו פעולה.
במהלך הסקירה, ניתן לרשום הערות לממצאים לצורך כתיבה והפצה בהמשך.
תחומים שיזוהו לפעולות מתקנות ושיפורים יצטרכו להיות מתועדים ולהטיל עליהם משימה לאנשים שיהיו אחראים להשלמת פעולות אלו.
בכל שלב, יש לשמור ראיות כדי לשכנע מבקר חיצוני שהסקירה והתהליכים מתקיימים ויעילים.
זה הרבה מיילים, הרבה תכנון והרבה הוכחות!
תאר לעצמך אינטרנט תוכנית ביקורת ההנהלה שהקל על הקמת צוות ה-ISMS Board שלך, קל לתזמן סקירות ולעקוב אחר סדר יום סטנדרטי, פשוט לקשר לסקירות קודמות ולכל המידע הדרוש, ופשוט להקצות ולעקוב אחר פעולות מתקנות ושיפורים?
אתה מדמיין ISMS.online שהופך את ניהול ה-ISMS המלא שלך לפשוט.
חבר הכל יחד בסביבה מאובטחת ומקוונת אחת שבה אתה יכול לשתף פעולה עם עמיתים, ללכוד את הראיות הנדרשות פעם אחת בלבד ולנווט אליהן בקלות לפני, במהלך ואחרי הסקירה.
אתה אפילו לא צריך שכל חברי ההנהלה יהיו ביחד במקום אחד... בצעו את זה באינטרנט וחסכו זמן והוצאות נסיעה!
כלול שלנו מאמן וירטואלי תכנית להכוונה מקצועית וייעוץ פרגמטי בכל אחת מהפעילויות הנדרשות
