ISO 27001 Vereiste 7.4 – Kommunikasie

Wat behels klousule 7.4?

Soos met ander dele van die ISMS is daar geleenthede om aan te sluit en die inligtingsekuriteitbestuurstelsel te demonstreer, veral die kommunikasievereistes daarvan is 'n samehangende geïntegreerde deel van die organisasie se kommunikasie-, onderwys-, opleiding- en bewusmakingsprosesse.

Hierdie klousule 7.4 sluit ook aan by Bylae A 7 vir menslike hulpbronsekuriteit waar die vereistes rondom kommunikasie begin met MH-sekuriteitsifting, ingaan op inligtingsekuriteitsbepalings vir dienskontrakte, dissiplinêre prosesse en na rolveranderings of uittrede. Die belangrikste integrasie vir MH-sekuriteit is met A 7.2.2 waar daar 'n beheer is vir inligtingsekuriteitbewustheid, opvoeding en opleiding.

ISO 27001 soek die volgende dinge in hierdie klousule:

• wat om te kommunikeer oor die ISMS
• wanneer dit gekommunikeer sal word
• wie 'n party tot daardie kommunikasie sal wees
• wie doen die kommunikasie
• hoe dit alles gebeur, maw watter stelsels en prosesse sal gebruik word om te demonstreer dat dit gebeur en effektief is

Spesifiek ISO 27001: 2013 A.7.2.2 beheer vereis dat: "Alle werknemers van die organisasie en, waar relevant, kontrakteurs sal toepaslike bewusmakingsopvoeding en opleiding en gereelde opdaterings ontvang in organisatoriese beleide en prosedures, soos relevant vir hul werkfunksie."

Daardie beheer, geneem met die vereiste in klousule 7.4 van die belangrikste ISO 27001-vereistes om 'hoe' en hoe effektief kommunikasie is te demonstreer, tesame met die behoefte vir senior bestuur om hul organisasie werklik te beskerm en nie net 'n blokkie af te merk nie, beteken dat dinamiese en versekerde kommunikasie vir vertroue in voldoening word vereis.

Wie moet in ag geneem word in die kommunikasie waarin hulle waarskynlik sal belangstel?

Die beginpunt hiervoor moet die werk wat in 4.2 gedoen word, wees om na die belanghebbende partye te kyk en terug te kyk om hul behoeftes en vereistes vir kommunikasie te verstaan, wat natuurlik in lyn sou wees met hul posisie op die belangegroepkaart en die onderliggende kwessies en bekommernisse wat hulle sou wou hê. oor sy prestasie het. Soos voorheen sal een grootte nie almal pas in terme van wat, hoekom en hoe die kommunikasie plaasvind nie. Byvoorbeeld, 'n 'hou tevrede'-belanghebbende party soos die Britse inligtingskommissaris vir voldoening aan Databeskermingswet en GDPR sal net twee dinge wil weet: a) is jy geregistreer as 'n databeheerder en/of verwerker; en b) wanneer jy 'n sekuriteitsvoorval ervaar het wat verliese skep of potensiële gevolge binne hul omvang van belang val.

Ander hou tevrede belanghebbendes sal waarskynlik kragtige kliënte wees, en ook eksterne ouditeure vir ISO 27001, veral as onafhanklike UKAS of soortgelyke sertifisering oorweeg word. Hulle wil vertroue hê dat die ISMS goed presteer en daardie gereelde inligtingversekering hê wat van toesigoudits en dalk die reg van oudit op tye van hul keuse kom, sowel as op hoogte gehou word van wesenlike veranderinge of voorvalle.

Sleutelspelers en belanghebbendes soos senior bestuur, personeel of intiem betrokke verskaffers wat toegang tot jou waardevolste inligtingbates verkry het, moet betrokke wees en bewus wees van baie meer oor die inligtingsekuriteitbestuurstelsel.

Dinge wat hier oorweeg moet word, sluit in:

• Wat inligtingsekuriteit vir die organisasie beteken en die voordele daarvan sowel as die gevolge daarvan
• Bewustheid van die sleuteltaalterme en voorbeelde van goeie en slegte vertroulikheid, integriteit en beskikbaarheid wat vir hulle betekenisvol is
• Die organisasie se inligtingsekuriteitsbeleide en -kontroles wat hul werk en diegene wat rondom hulle werk, raak
• Wat om te doen in die geval van 'n voorval, gebeurtenis of swakheid wat hulle eerste is om te identifiseer
• Wat om te doen wanneer iets elders in die organisasie gebeur het en hulle moet optree om beskerm te bly
• Algemene opdaterings en dinamiese kommunikasie wat relevant is vir hul rol (buiten beleide en kontroles)

Verseker kommunikasie en voldoening word bereik vir ISO 27001 sukses

Terwyl 'n eksterne ouditeur wat ISO 27001-sertifisering onderneem, noukeurig sal kyk vir bewyse van die kommunikasie hierbo, gaan die meer beduidende besigheidskwessie meer daaroor dat die belanghebbendes nie bewus is of nie voldoen aan die kommunikasie nie. Dit kan vinnig lei tot 'n ernstige inligtingsekuriteitsvoorval en groot verliese, veral as dit rondom persoonlike data waar GDPR-boetes en groot reputasieskade oorweeg word.

Dit is waarskynlik dat die meeste organisasies reeds kanale vir kommunikasie het; van aangesig tot aangesig werk, spandae, e-pos, intranet en ander maniere om personeel te betrek. Ons beveel aan dat enige en al hierdie in ag geneem word as daardie gewoontes goed opgebou is vir personeel en hulle sal daarop reageer. Maar wanneer jy reeds te veel e-posse ontvang, wegdryf in span-telekonferensies, sal die opwindende ISMS-kommunikasie die plek bereik en die uitkoms lewer wat jy nodig het?

Die uitdaging vir die meeste organisasies is die onvermoë om kostedoeltreffend te bewys dat kommunikasie plaasgevind het en dat voldoening oor die interne en eksterne voorsieningsketting van sleutelbelanghebbendes verseker word. Interne oudits in ooreenstemming met klousule 9.2 is 'n groot hulp omdat dit egter oor die algemeen selde en baie duur is vir enigiets anders as steekproefgrootte oudits en oor die algemeen nie tred hou met die vinnige veranderinge in inligtingsekuriteitsrisiko's en veral kubersekuriteitskwessies nie.

Ouditeure kyk nou baie nader na hierdie areas van kommunikasie gegewe die toenemende gevolge van mislukking. Slim kliënte en aandeelhouers gee ook baie meer oorweging buite die ISO-sertifikaat, buite die verklaring van toepaslikheid en die omvang, in die vereistes vir meer dinamiese monitering van inligtingsekuriteitopdaterings en voldoeningsversekering. Mensegebaseerde nakoming beweeg baie nader na die tegnologie en digitale stelselmonitering wat reeds gesien word in soos firewalls, antivirus-intydse moniteringdienste.

Hoe ISMS.online help met ISMS-kommunikasie

In sy hart is ISMS.online 'n kommunikasie- en samewerkingsplatform, so dit kry 'n goeie voorsprong op outydse statiese opnamestelsels wat vroeër gewild was vir ISMS en Governance Regulation and Compliance (GRC) stylstelsels. Dit versprei ook inligting per e-pos aan eindgebruikers, wat ideaal is vir eenvoudige opdaterings en bewustheid, so dit pas by daardie gewoonte-gebaseerde manier van kommunikeer. Enigiets wat nodig is vir meer gedetailleerde nakomingswerk, soos bewyse 'n verbintenis om iets te doen, bv. lees van 'n beleid bring gebruikers terug na die platform waar die forensiese ouditspoor en bewyse ouditeure betower en groot hoeveelhede tyd bespaar vir ISMS-administrateurs, wat op hul beurt kan kommunikeer met vertroue terug na senior bestuur.

Die platform dien die verskillende belangegroepe baie goed met sy gebruiksgemak en gefokusde werkruimtes wat almal ouditeerbaar en bewysgebaseer is in ooreenstemming met die vereistes van die standaard.

Die bereiking van kommunikasievertroue vir kragtige kliënte, senior bestuur en eksterne ouditeure

Spesifiek ontwikkel in noue samewerking met eindgebruikers 'n groot deel van die kenmerkstel in ISMS.online is die Policy Pack-diens wat ISMS-administrateurs in staat stel om voldoening aan die beleide en kontroles vir almal in omvang te demonstreer. Daardie innoverende diens tesame met die ISMS-oorsigverslag (verder hieronder) en die algemene groepsamewerkingskenmerke lewer baie kostebesparende, risiko-verminderende en ander voordele.

• produksie van beleide en kontroles eenmalig, maar laat verspreiding maklik na geteikende groepe toe (bv. volgens afdeling, ligging, rol, produk, ens.)
• die vermoë om beleide gelees en dinamies nagekom te sien op enige tydstip
• die vermoë om areas van moontlike nie-nakoming vinnig en maklik raak te sien en aan te spreek – fokus op die hoogste risiko's en mors nie oudittyd of ander beperkte hulpbronne nie
• die vermoë om eksterne ouditeure, kragtige eindkliënte en senior bestuur te wys dat hulle in beheer is van die hele ISBS vanaf identifikasie van inligtingsbate, die risiko-assessering daarvan, die beheermaatreëls wat daarop toegepas word en die gehoor/s op wie die beleid toegepas word – alle sleutelaspekte van voldoening aan ISMS-vereistes vir ISO 27001

Vir meer gevorderde gebruikers wat die verband tussen inligtingsbates, risiko's, kontroles en die kommunikasie van die beleide in die gebruikers deur Polispakke wil sien, doen die ISMS-oorsigverslag presies dit. Dit toon einde tot einde vertroue en help om gapings, kwessies of vermorsing vinnig te isoleer buite die kragtige verklaring van toepaslikheid wat vereis word vir ISO 27001 klousule 6.1.3.

Inligtingsekuriteitskommunikasie in personeel, verskaffers en ander belanghebbendes wat betrek moet word en voldoen aan ISO 27001

Dit is wonderlik vir kragtige inligtingsekuriteitbestuurstelsels om goed te werk vir die ISMS-bestuur en administrateurs om hul doelwitte te bereik. Die ISMS oplossings moet ook goed werk vir daardie geleentheidgebruikers wat hul beleid moet verstaan ​​en daaraan moet voldoen, bewus moet wees van wat aangaan, aan besprekings deelneem, voorvalle moet opper en op take moet reageer. Dit is presies wat ISMS.online bied, 'n vermoë om hierdie belangrike belanghebbendes voldoen aan en betrokke te hou by 'n dinamiese dog af en toe toegangsmodel.

Personeel kan hul inligtingsekuriteit (en ander) beleide lees en daaraan voldoen in 'n Kindle-agtige leeservaring, sonder enige geraas van die spesialisdele van die ISMS. Hulle kan maklik hul leesvordering en nakoming wys terwyl hulle die werk voltooi. Dit is ook besig om die administrasiekonsole hierbo dinamies op te dateer. Wanneer 'n beleid bygewerk word, kan die administrateur dit eenvoudig na al die lesers uitdruk en dit onder hul aandag bring.

Benewens die Policy Pack-diens, bied ISMS aanlyn 'n aantal maniere om die personeelkommunikasie en -betrokkenheid te verseker, insluitend ISMS-kommunikasiegroepe, wat wonderlik is om opdaterings uit te saai, betrokke te raak by besprekings, take toe te wys via e-poskennisgewings en die bewyse daarvan te wys aan ouditeure sowel as om kennis te behou vir nuwe werknemers en ander wat in die toekoms betrokke moet wees. Hierdie vereistes is nie so maklik met sommige van die meer tradisionele kommunikasie- en boodskapperprodukte wat in die mark of e-pos alleen beskikbaar is nie. Behalwe daardie kerndienste van groepe en beleidspakkette, maak baie ander kenmerke op die platform ook die hele kommunikasieproses 'n ryker meer geïntegreerde ervaring.

Word tot 5 keer vinniger gesertifiseer met ISMS.online

Voldoening hoef nie ingewikkeld te wees nie – ISMS.online is ontwerp om jou te help om ISO 27001-sertifisering vinnig en bekostigbaar te bereik sonder enige opleiding nodig.
Ons het die ISO 27001-proses vaartbelyn gemaak met ons metode van versekerde resultate, 'n 80% voorsprong, jou eie 24/7 virtuele afrigter, maklike aanboord en kundige ondersteuning.

Bespreek 'n platformdemonstrasie om te sien hoe ISMS.online jou besigheid kan help