ISO 27001 Vereiste 7.2 – Bevoegdheid

Wat behels klousule 7.2?

ISO IEC 27001 vir klousule 7.2 sê basies dat die organisasie sal verseker dat dit het:

• bepaal die bevoegdheid van die mense wat die werk op die ISMS doen wat die prestasie daarvan kan beïnvloed
• mense wat bekwaam geag word op grond van die relevante onderwys, opleiding of ervaring
• waar nodig, aksie neem om die nodige bevoegdheid te bekom en die doeltreffendheid van die aksies geëvalueer
• bewyse van bogenoemde vir ouditdoeleindes behou het

Op grond van hierdie vereistes is dit maklik om te dink dat die antwoord vir 7.2 dalk 'n inligtingsekuriteitskenner aanstel – maar dit is nie altyd nodig nie!

Daar is 'n hele klomp vaardighede en ervarings wat nodig is vir 'n suksesvolle implementering en deurlopende bestuur van 'n ISMS wat volgens ISO 27001 gesertifiseer is, buiten kundigheid in fisiese sekuriteit, kubersekuriteit, rekenaarsekuriteit of ander vorme van inligtingsekuriteit per se.

Dit sluit in: kommersiële, regs-, HR-, IT-, sowel as die relevante produkte en dienste kundigheid vir die werk in omvang.

Die bou en bestuur van 'n ISMS is gewoonlik 'n samewerkende spanwerk. Die belangrikste ding is 'n begrip van die organisasie, sy doel en doelwitte, sy kultuur, risiko-aptyt en die vereistes uitgedruk in klousules 4.1, 4.2, 4.3, 6.1, 6.2.

Demonstreer voldoening aan klousule 7.2

Benewens die 7.3 bewustheid en 7.4 kommunikasie klousules, kan 7.2 gedemonstreer word met 'n kombers verklaring oor die betrokke span en hul geloofwaardigheid, met skakels oor die ISMS om hul werk te demonstreer as bewys om tyd te bespaar (as jy 'n saamgevoegde platform gebruik soos ISMS.aanlyn).

Boonop is 'n eenvoudige tabel om die betrokke mense te wys, die rol wat hulle verrig met aantekeninge saam met hul relevante ervaring, opleiding of opleiding nuttig en sommige ouditeure hou daarvan om daardie detail te sien. Dit hoef nie 'n CV te wees nie, wys net hoekom hulle betrokke is:
Bv. Fred Bloggs – implementeringsleier met 'n dagtaak van dienslewering en IT-bestuurder. Het 5 jaar ondervinding in beide velde, en toepaslike opleiding of onderwys, bv. het kubersekuriteit aanlyn kursusse bygewoon, 'n meestersgraad in rekenaarwetenskap onderneem.

Dit kan baie eenvoudig gehou word, dit is nie 'n inligtingsekuriteitsopleidingsbehoefte-analise of gedetailleerde aksieplan nie (alhoewel jy dalk ook een daarvan wil hê, afhangende van die organisasiestyl en sy benadering tot MH-ontwikkelingsplanne).

Al wat die eksterne ouditeur sal wil weet, is dat die betrokke span bevoeg is en dit is waarskynlik dat sommige of die hele span in elk geval by die ouditproses betrokke sal wees, op watter punt die ouditeur in elk geval hul eie mening sal vorm.

Onthou, inligtingsekuriteit wat met 'n besigheidsgeleide benadering gedoen word, gaan daaroor om die besigheid beter te bestuur, nie net die implementering van 114-kontroles ter wille daarvan nie. Daarom is dit onwaarskynlik dat daar leemtes in die kernvaardighede en begrip van jou organisasie sal wees, anders is dit onwaarskynlik dat dit werk!

As daar egter leemtes is in die bevoegdheid, vaardighede en ervarings rondom die implementering en bestuur van 'n inligtingsekuriteitbestuurstelsel om aan hierdie klousule te voldoen, kan dit op 'n aantal maniere gesluit word:

• Stuur die personeel betrokke by ISO 27001 hoofouditeur, hoofimplementeerder en implementeringsopleidingskursusse, of een van die vele ander inligtingsekuriteitskursusse wat daar is. Dit kan egter duur word vir een persoon wat nog te sê van 'n span wat koste en tyd uit die kantoor betref. Dit kan in eie reg tot implementeringskwessies lei as die opleier of program te algemeen, outyds is of nie die organisasiekultuur, werkswyses, ens. verstaan ​​nie.
• Deur baie van die gratis bronne op die internet soos hierdie webwerf-hulpbronne, webwerwe soos die National Cyber ​​Security Centre (NCSC) met sy spesialisgidse en kontrolelyste te lees en die ISO 27001- en ISO 27002-standaarde te verteer, gaan die ouditeur 'n vlak van bevoegdheid ook. Dit sluit aan by Bylaag A 6.1.4 om bewus te bly van en betrokke te wees by gespesialiseerde inligtingsekuriteitsforums en professionele verenigings.
• Huur spesialis-fisiese hulpbronne in om bekwaamheid te help bou – daar is 'n groeiende mark vir virtuele CISO (Hoofinligtingsekuriteitsbeamptes) en spanne rondom hulle. Dit kan beslis sin maak en ons beveel dit aan vir doelgerigte werk saam met die interne hulpbronne wat spesialiste in hul velde is wanneer die organisasie kapasiteit en vermoë kwessies het en begroting is minder van 'n probleem. Baie van die ISMS.online vennote bied so 'n diens aan en ons stel baie graag 'n vennoot voor wat kan help om hierdie gapings te vernou en selfs meer waarde toe te voeg bo en te ISMS.online.
• Gebruik die Virtual Coach-diens binne ISMS.online om bevoegdheid oor die implementeringspan te bou en te laat groei en vir die ouditeur te wys dat elke lid van die span deur inligtingsekuriteitafrigting/mentorskap is en opgelei is oor die voorbereidingsplan sodat hulle van die grond af weet op wat 'n inligtingsekuriteitbestuurstelsel is, hoekom dit vereis word en wat hul werk in die span is. Hulle kan ook demonstreer om met selfvertroue en konsekwent te werk tot 'n vlak wat die virtuele afrigter-gidse, wenke en video's binne elk van die vereistes en Bylae A-kontrole-areas volg.

Word tot 5 keer vinniger gesertifiseer met ISMS.online

Voldoening hoef nie ingewikkeld te wees nie – ISMS.online is ontwerp om jou te help om ISO 27001-sertifisering vinnig en bekostigbaar te bereik sonder enige opleiding nodig.
Ons het die ISO 27001-proses vaartbelyn gemaak met ons metode van versekerde resultate, 'n 80% voorsprong, jou eie 24/7 virtuele afrigter, maklike aanboord en kundige ondersteuning.

Bespreek 'n platformdemonstrasie om te sien hoe ISMS.online jou besigheid kan help