ISO 27001-vereiste 9.3 – Bestuursoorsig

Wat behels klousule 9.3?

ISO self sê die hersiening moet met beplande tussenposes plaasvind, wat gewoonlik ten minste een keer per jaar en binne 'n eksterne oudit-toesigtydperk beteken. Met die tempo van verandering in inligtingsekuriteitsbedreigings, en baie om in bestuursoorsigte te dek, is ons aanbeveling om dit baie meer gereeld te doen, soos hieronder beskryf en te verseker dat die ISMS in die praktyk goed werk, nie net 'n blokkie vir ISO nakoming.

Die waarde van die inligtingsekuriteitbestuurstelsel (ISMS) Bestuursoorsig word dikwels onderskat. Sommige sal dalk daarna kyk as 'n regmerkie-vereiste wat bloot moet plaasvind om aan ISO 27001-vereiste 9.3 te voldoen. Om goeie inligtingsekuriteitspraktyke werklik te 'leef en asem te haal', is die rol daarvan van onskatbare waarde.

Die doel van die Bestuursoorsig is om te verseker dat die ISMS en sy doelwitte steeds geskik, voldoende en doeltreffend bly gegewe die organisasie se doel, kwessies en risiko's rondom die inligtingsbates. Dit sal voorheen aangespreek gewees het binne 4.1 die organisasie en sy konteks, 4.2 die vereistes van belanghebbende partye, 4.3 omvang van die ISBS, en 6.1 vir die risikobestuurswerk.

Die werk wat tot en rondom die bestuursoorsig lei, sal senior bestuur in staat stel om goed ingeligte, strategiese besluite te neem wat 'n wesenlike uitwerking sal hê op inligtingsekuriteit en die manier waarop die organisasie dit bestuur.

Wat moet by die ISO 27001 Bestuursoorsig ingesluit word?

Die bestuursoorsig moet ten minste 'n standaardformaat volg wat na die vereistes van 9.3 vir ISO 27001:2103 kyk. Dit word hieronder uiteengesit. Daarbenewens kan dit ook wees dat die organisasie ander voldoeningsregimes by die hersiening wil insluit, soos Cyber ​​Essentials, ISO 9001 en ander goeie praktyke, om effektiewe hersiening en ingeligte besluitneming te fasiliteer. Dit kan selfs die 9.3 inligtingsekuriteitsaspekte vir 9.3 koppel aan breër senior bestuursvergaderings of formele Raadsvergaderings. Dit moet in elk geval die resultate en aksies van die resensies dokumenteer.

Vir organisasies wat in die implementeringsfase van hul ISMS is, beveel ons ook aan dat hulle weekliks bestuursoorsigte doen as deel van 'n goeie praktykbougewoonte, en insluit implementeringslesse, volgende tydperk doelwitte en kwessies saam met daardie elemente van die formele bestuursagenda wat kan wees. afgedek. Eksterne ouditeure hou baie daarvan om te sien dat die organisasie die gees van die bestuursoorsig omhels en hou daarvan om doeltreffendheid van beplanning en implementeringswerk te sien, wat ook inpas by die vereistes vir klousule 7.5 en klousule 8 vir bedryf.

Die formele ISO 27001 bestuursoorsig 9.3 agenda moet oorweging van:

• Die status van aksies van vorige bestuursoorsigte
• Veranderinge in eksterne en interne kwessies wat relevant is tot die inligtingsekuriteitbestuurstelsel
• Terugvoer oor die prestasie van inligtingsekuriteit, insluitend neigings in:
• nie-konformiteite en regstellende aksies;
• monitering en meetresultate;
• oudit resultate; en
• vervulling van inligtingsekuriteitsdoelwitte.
• Terugvoer van belangstellendes
• Resultate van risikobepaling en status van risikobehandelingsplan; en
• Geleenthede vir voortdurende verbetering.

Jy sal dalk ook 'n bykomende punt wil byvoeg:

• Stem saam oor ouditfokus vir komende tydperk. Dit is opsioneel as jy 'n ratse organisasie is en nie in staat is om die hele ouditprogram volledig te spesifiseer en te ver vooruit te beplan nie. Hou egter in gedagte dat sommige eksterne ouditeure meer duidelikheid oor die hele program vir die sertifiseringsiklus wil hê!

Die uitsette van die bestuursoorsig moet besluite insluit wat verband hou met voortdurende verbeteringsgeleenthede en enige behoeftes aan veranderinge aan die inligtingsekuriteitbestuurstelsel.

Wie moet die ISO 27001 Bestuursoorsig bywoon?

Met inagneming van bogenoemde, is dit duidelik om te sien dat, gegewe behoorlike oorweging, die ISO 27001-bestuursoorsig 'n onontbeerlike hulpmiddel is om te verseker dat die ISMS steeds doeltreffend is om die organisasie te help om sy beoogde uitkomste uit die inligtingsekuriteitbestuurbeleggings te bereik.

Vir die ISMS om effektief in 'n organisasie te wees, benodig dit senior bestuurstoewyding en as sodanig maak dit sin dat die lede van 'n ISMS “Raad” gesag het in sake rakende inligtingsekuriteit. Tipies kan 'n ISMS-raad die Hoofinligtingsekuriteitsbeampte (CISO) en ander senior bestuur insluit saam met die verteenwoordigers wat die ISMS in die praktyk bestuur. Rolle rondom inligtingsekuriteit hoef nie voltyds of eksklusief te wees nie, maar het wel duidelikheid nodig in rolle, verantwoordelikhede en owerhede soos uiteengesit in klousule 5.3. Om 'n ISMS-raad te hê, help ook daardie proses.

Die uitsette van die bestuursoorsig sal besluite insluit wat verband hou met voortdurende verbeteringsgeleenthede en enige behoeftes aan veranderinge aan die inligtingsekuriteitbestuurstelsel.

Wat is die ideale Bestuursoorsigfrekwensie?

Daar is 'n minimum vereiste om een ​​keer per jaar 'n bestuursoorsig te doen, en meer gereeld as daar enige wesenlike veranderinge is wat inligtingsekuriteit en die ISMS kan beïnvloed. Die frekwensie sal egter gedefinieer word deur die bestuur se vereiste om die sukses van die ISMS te monitor. Die gevaar bestaan ​​ook dat, hoe groter die interval, hoe groter die werk wat by die hersiening van die vorige tydperk betrokke sal wees. Dit verhoog ook die risiko dat mislukking in die ISMS nie dadelik geïdentifiseer word nie.

Om hierdie rede sal ons maandeliks, tweemaandeliks of selfs kwartaalliks aanbeveel as jou ISMS redelik stabiel is. Bestuursoorsig moet beslis met beplande tussenposes plaasvind om te verseker dat die ISMS 'gepas, voldoende en doeltreffend' bly.

Vir diegene wat ISO 27001-sertifisering van hul ISMS soek, is dit ook belangrik om daarop te let dat daar 'n vereiste is om tydens die Fase 1-rekenaaroudit te bewys dat die gereelde hersiening plaasvind.

Ons stel weeklikse bestuursoorsigte voor Fase 1-oudit voor, aangesien dit jou implementeringsprojek op koers sal hou, die gewoonte sal bou, en binne een maand sal jy genoeg bewyse opgebou het deur die maklike Bestuursoorsig-program in die platform te gebruik om die ouditeur en kom in die groef vir toekomstige resensies.

Bestuursresensies met behulp van ISMS.online

ISMS.online maak die bestuur van jou volledige ISMS eenvoudig, insluitend die bestuursresensies vir inligtingsekuriteit.

ISMS.online bring alles saam in een veilige, aanlyn omgewing waar jy met kollegas kan saamwerk, die vereiste bewyse net een keer kan vaslê en maklik daarheen kan navigeer voor, tydens en na die hersiening.