ISO 27001-vereiste 5.1 – Leierskap en toewyding

Wat behels klousule 5.1?

Hierdie klousule identifiseer spesifieke aspekte van die bestuurstelsel waar van topbestuur verwag word om beide leierskap en toewyding te demonstreer. Dit sluit in, maar is nie beperk nie tot:

• Aanspreeklikheid vir die doeltreffendheid van die bestuurstelsel;
• Om te verseker dat die beleid en doelwitte vasgestel is en versoenbaar is met die konteks en strategiese rigting van die organisasie;
• Verseker dat die integrasie van die bestuurstelsel in besigheidsprosesse ingebed is;
• Bevordering van die gebruik van die prosesbenadering en risiko-gebaseerde denke
• Om te verseker dat voldoende hulpbronne in plek is;
• Om te verseker dat die bestuurstelsel sy beoogde resultate bereik;
• Betrek, rig en ondersteun persone om by te dra tot die doeltreffendheid van die bestuurstelsel

Die belangrikheid van leierskapverbintenis

Indien leierskap nie aktief betrokke is nie, bv. neem nie deel aan bestuursoorsigte nie of kan nie aan die eksterne ouditeur demonstreer dat daar 'n leierskapverteenwoordiger is wat dit ernstig opneem tydens 'n oudit nie, dan sal die organisasie byna seker misluk. Ouditeure praat van die gees van ISO 27001 wat van bo af kom en as hulle dit nie sien nie, sal hulle waarskynlik baie dieper en skepties kyk tydens die oudit.

Soos al baie kere voorheen gesê is, is inligtingsekuriteitsbestuur 'n besigheidskritiese filosofie en moet dit versoenbaar wees met 'n organisasie se besigheidsdoelwitte en -prosesse sodat dit in die praktyk kan werk. Sonder leierskapondersteuning, of 'n vereiste om 25 dinge te doen voordat iemand werklik die werk doen wat hulle wil doen, sal die ISO 27001-reis sukkel om van die grond af te kom.

Om hierdie leierskapverbintenis te kan demonstreer, is noodsaaklik vir klousule 5.1, en dit is waar 'n ernstiger inligtingsekuriteitbestuurstelsel ter sprake kom wat beide leierskapstoewyding tot belegging in 'n ISMS bewys en die bewyse het dat hulle betrokke was, bv. by bestuursoorsigte en breër ISMS-besluitneming sowel as die vereiste jaarlikse eksterne oudits vir ISO 27001. As 'n statutêre finansiële rekenmeester sien dat al die finansiële rekeningkunde net met sigblaaie gedoen word in plaas van 'n professionele rekeningkundige toepassing, kan hulle die integriteit daarvan bevraagteken en langer spandeer as wanneer die werk gedoen is met xero, salie of 'n ander erkende oplossing. Dit is dieselfde vir inligtingsekuriteitbestuur. Om die regte gereedskap te gebruik en die regte mense betrokke te hê, kweek selfvertroue.

Om daardie fondamente in plek te hê, maak hierdie klousule maklik om te demonstreer en voldoening vereis eenvoudig gedokumenteerde bewyse as notas om te versterk dat leierskap en toewyding in plek is en om klousule 5.1 punte ah in die ISO 27001-standaard aan te spreek. Al die dele van die saamgevoegde ISMS sal dit dan in die praktyk wys.

Maak dit eenvoudiger met ISMS.online

Ons het 'n sjabloonbeleid ingesluit met 'n voorgestelde verklaring vir organisasies om aan te neem of aan te pas rakende wat die senior bestuur rondom en binne die ISMS doen. Dit skakel met die areas waar senior bestuur tipies betrokke sal wees, wat dit baie eenvoudig maak vir ouditeure om die bewyse te sien wat hulle nodig het.

Dit sluit in die gebruik van die ISMS.aanlyn sagtewarediens om te bewys dat bestuursoorsigvergaderings plaasgevind het, wat insluit die evaluering van hoe die ISMS presteer teenoor sy gestelde doelwitte, wat alles maklik in die ISMS.sagteware gedemonstreer kan word en wys dat senior bestuur betrokke is. Of hulle diep in die werking van die ISMS kom, bv. deur inligtingsekuriteitsgeoriënteerde risiko's te besit, aan sekuriteitsoudits deel te neem, na die beste praktyk van inligtingversekering te kyk en die voortdurende privaatheidskwessies rondom die organisasie te assesseer en sekuriteitsinsidente te bestuur, sal waarskynlik op organisasie gebaseer wees grootte en hulpbronne belê.