ISO 27001 Vereiste 4.2 – Belangstellendes

Wat is 'n Belangstellende Party?

Op sy eenvoudigste is 'n belanghebbende party 'n belanghebbende – iemand, 'n groep of 'n entiteit met 'n belang in jou ISMS (of dalk die organisasie self).

Jy behoort baie van jou belangstellendes maklik te kan identifiseer nadat jy die interne en eksterne kwessies afgehandel het wat die beoogde uitkomste van die inligtingsekuriteitbestuurstelsel beïnvloed.

Dit sal personeel, verskaffers, kliënte, aandeelhouers, direkteure, vooruitsigte, raadslede, mededingers, wetgewers en reguleerders, vakbonde ens insluit.

Belangstellendes is ook nie altyd die voor die hand liggende partye nie – byvoorbeeld kuberkrakers en verwante kwaadwillige partye sal dalk oorweeg moet word, asook die media en ander, afhangende van die aard van jou besigheid en die kwessies wat dit in die gesig staar.

Maar eerder as om 'n reeks van een grootte wat pas by alle beleide en kontroles vir al jou belanghebbende partye te skep, is dit beter om na daardie belanghebbende partye te kyk in terme van hul mag, belangstelling en ondersteuning – in eenvoudige terme gaan dit oor hul vermoë om jou te beïnvloed. benadering tot die ISMS.

Dan kan jy geskikte benaderings ontwikkel om te demonstreer dat jy hul behoeftes gedek het (en natuurlik joune waar dit ook 'n moontlike saboteur is!)

As 'n voorbeeld as jy 'n kliënt het wat vereis dat jy in ISO 27001 belê en 'n onafhanklik gesertifiseerde ISO 27001 ISMS bou, sou jy dit doen as hulle 'n baie klein nie-invloedryke speler was? Jy sal waarskynlik weer dink as daardie kliënt een van vele was wat jy wou wen, of 'n groot kragtige speler in sy eie reg.

Sou jy aan enkripsie dink as dit nie 'n regulasievereiste vir GDPR was nie – wetgewers en reguleerders (toesighoudende owerhede) is 'n kragtige 'hou tevrede'-belanghebbende wat jy moet oorweeg en wys dat hul belange aangespreek word!

Wie is die belanghebbende partye om tevrede te hou?

As 'n belanghebbende hoë mag en lae belangstelling het, behoort jy aan daardie individu of groep te dink as 'n 'hou tevrede'-belanghebbende. Vra jouself af, wat sal jy in jou ISMS doen met beleide en kontroles om hulle tevrede te hou?

In hierdie gebied met hoë krag en lae belangstelling, kan jy dalk organisasies sien soos wetgewers en reguleerders, baie magtige klantegroepe, aandeelhouers, ens. Daar kan ook eksterne ouditeure en ander bedryfsliggame wees wat jou besigheidsukses kan beïnvloed.

Hul belangstelling is redelik laag op 'n dag-tot-dag-basis, maar hul vermoë om jou besigheidsdoelwitte te beïnvloed is groot, so hulle moet bevredig gehou word - gewoonlik van 'n afstand af en met 'n onafhanklik gesertifiseerde ISO 27001-sertifikaat help om hul behoeftes aan te spreek.

Die baie kragtige belanghebbende partye vir inligtingversekering soos reguleerders kan ook spesifieke werkswyses voorskryf – GDPR en die Databeskermingswet is baie huidige voorbeelde.

Oorweging van ander belangstellendes se behoeftes vir 'n suksesvolle ISO 27001 ISMS

As 'n belanghebbende party beide hoë belangstelling en hoë mag het, sal ons hulle 'n sleutelspeler noem. Hierdie belanghebbendes moet aktief betrokke wees. Jou senior bestuurspan, sleutelafdelingshoofde, kritiese boetiekverskaffers, ens. sal waarskynlik in hierdie kategorie val. Jy het dalk van jou intiem verloofde belangrike kliënte in hierdie kategorie. Hulle sal dalk baie belangstel in hoe jy van dag tot dag werk, aangesien dit hulle ook beïnvloed.

Dit is maklik om lang lyste van belanghebbendes te skep om te oorweeg, maar wees versigtig om te lank te spandeer op diegene met laer krag. Diegene met 'n laer krag en hoër belangstelling moet op hoogte bly, maar hoef dalk nie geraadpleeg te word oor wat jou ISMS dek nie - jy moet dalk net vir hulle sê, anders kan hulle 'n groot sluk op jou tyd en beleggingsbegroting wees!

Wees ook versigtig om belanghebbendes waarvan jy nie hou nie, bloot in die laer kragemmers te stort – ons het dit in een firma gesien gebeur. Hulle het later daarvoor betaal omdat die belanghebbende eintlik nogal magtig was en hulle vertraag het om hul doelwitte te bereik omdat hul vereistes nie geprioritiseer is nie.

Die kombinasie van hierdie belanghebbende partye en belanghebbendes se werk met die interne en eksterne kwessies wat jy in 4.1 geïdentifiseer het, help lei tot 'n beter begrip van waar bedreigings en geleenthede vandaan kan spruit in jou inligtingsekuriteitbestuurstelsel.

Dit tesame met die omvang van jou ISMS (4.3) lei tot 'n baie meer logiese en besigheidsgeleide benadering tot die risiko-assessering in 6.1 en baie groter inligtingversekering met beleide en kontroles wat jou personeel en belanghebbendes sal waardeer en omhels.

In ISMS.online verskaf ons 'n sjabloon en die instrument met 'n 'bank van belanghebbendes' om jou te help om maklik aan die vereistes van ISO 27001 Klousule 4.2 te voldoen. Die opsionele Virtual Coach-program kom ook met video-afrigting oor hoe om aan die vereistes te voldoen.