קפוץ לנושא
מה כולל סעיף 5.1?
סעיף זה מזהה היבטים ספציפיים של מערכת הניהול שבהם ההנהלה הבכירה צפויה להפגין הן מנהיגות והן מחויבות. אלה כוללים בין היתר:
- אחריות על יעילות מערכת הניהול;
- הבטחת המדיניות והיעדים שנקבעו ומתאימים להקשר ולכיוון האסטרטגי של הארגון;
- הבטחת שילוב מערכת הניהול מוטמעים בתהליכים עסקיים;
- קידום השימוש בגישת התהליך וחשיבה מבוססת סיכונים
- הבטחת משאבים הולמים קיימים;
- הבטחת מערכת הניהול משיגה את תוצאותיה המיועדות;
- שיתוף, הכוונה ותמיכה באנשים לתרום לאפקטיביות של מערכת הניהול
החשיבות של מחויבות מנהיגותית
אם מנהיגות אינה מעורבת באופן פעיל, למשל, אל תשתתף בביקורות ההנהלה או לא תוכל להוכיח למבקר החיצוני שיש נציג מנהיגות שלוקח זאת ברצינות במהלך ביקורת, הארגון ייכשל כמעט בוודאות. מבקרים מדברים על הרוח של ISO 27001 שמגיעה מלמעלה ואם הם לא יראו את זה הם כנראה יסתכלו הרבה יותר לעומק וספקנות במהלך הביקורת.
כפי שנאמר פעמים רבות בעבר, ניהול אבטחת מידע הוא פילוסופיה קריטית לעסק וחייב להיות תואם למטרות ולתהליכים העסקיים של הארגון כדי שהוא יעבוד בפועל. ללא תמיכת מנהיגות, או דרישה לעשות 25 דברים לפני שמישהו באמת יעשה את העבודה שהוא רוצה לעשות, מסע ISO 27001 יתקשה לצאת לדרך.
היכולת להפגין מחויבות מנהיגותית זו חיונית לסעיף 5.1, וכאן נכנסת לתמונה מערכת ניהול אבטחת מידע רצינית יותר, המעידה גם על מחויבות מנהיגותית להשקעה ב-ISMS וגם על הראיות שהיו מעורבות בהן, למשל בסקירות ההנהלה וברחבות יותר. קבלת החלטות ISMS וכן הביקורות החיצוניות השנתיות הנדרשות עבור ISO 27001. אם רואה חשבון פיננסי סטטוטורי ראה שכל החשבונאות הפיננסית נעשית רק עם גיליונות אלקטרוניים במקום יישום חשבונאי מקצועי, הם עלולים לפקפק ביושרה ולהשקיע זמן רב יותר מאשר אם העבודה נעשתה עם xero, מרווה או פתרון מוכר אחר. זה אותו דבר לניהול אבטחת מידע. שימוש בכלים הנכונים ומעורבות האנשים הנכונים גורמים לביטחון עצמי.
קיום היסודות הללו הופכת את הסעיף הזה לקל להדגמה, ועמידה בדרישות פשוט מחייבת ראיות מתועדות כהערות כדי לחזק את העובדה שהמנהיגות והמחויבות קיימת והתייחסות לסעיף 5.1 נקודות ah בתקן ISO 27001. כל חלקי ה-ISMS המאוחדים יראו זאת בפועל.
הפוך את זה לפשוט יותר עם ISMS.online
כללנו מדיניות תבנית עם הצהרה מוצעת לארגונים לאמץ או להתאים לגבי מה שההנהלה הבכירה עושה סביב ובתוך ה-ISMS. זה מקשר לתחומים שבהם ההנהלה הבכירה תהיה מעורבת בדרך כלל, מה שהופך את זה לפשוט מאוד למבקרים לראות את הראיות שהם צריכים.
זה כולל שימוש בשירות התוכנה ISMS.online להוכחות שהתקיימו פגישות סקירת ניהול, הכוללות את ההערכה של ביצועי ה-ISMS מול יעדיו המוצהרים, את כל אלה ניתן להדגים בקלות בתוכנת ISMS. ולהראות שההנהלה הבכירה היה מעורב. בין אם הם נכנסים עמוק לעבודה של ה-ISMS, למשל על ידי בעלות על סיכונים מוכווני אבטחת מידע, השתתפות בביקורות אבטחה, הסתכלות על שיטות עבודה מומלצות של אבטחת מידע והערכת בעיות הפרטיות המתמשכות סביב הארגון וניהול אירועי אבטחה, צפויים להתבסס על הארגון גודל ומשאבים שהושקעו.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
