ISO 27001 Krav 4.2 – Interesserede parter

Hvad er en interesseret part?

På det enkleste er en interesseret part en interessent – ​​en person, en gruppe eller en enhed med interesse i dit ISMS (eller måske selve organisationen).

Du bør nemt kunne identificere mange af dine interesserede parter efter at have afsluttet de interne og eksterne problemer, der påvirker de tilsigtede resultater af informationssikkerhedsstyringssystemet.

Disse vil omfatte personale, leverandører, kunder, aktionærer, direktører, kundeemner, bestyrelsesmedlemmer, konkurrenter, lovgivere og regulatorer, fagforeninger osv.

Interesserede parter er heller ikke altid de oplagte – for eksempel kan hackere og relaterede ondsindede parter have behov for at blive overvejet, ligesom medierne og andre afhængigt af arten af ​​din virksomhed og de problemer, den står over for.

Men i stedet for at skabe et udvalg af én størrelse, der passer til alle politikker og kontroller for alle dine interesserede parter, er det bedre at se på disse interesserede parter i form af deres magt, interesse og støtte – i enkle vendinger handler det om deres evne til at påvirke din tilgang til ISMS.

Så kan du udvikle passende tilgange til at demonstrere, at du har deres behov dækket (og selvfølgelig dine, hvor det også er en mulig sabotør!)

Som et eksempel, hvis du havde en kunde, der kræver, at du investerer i ISO 27001 og bygger et uafhængigt certificeret ISO 27001 ISMS, ville du gøre det, hvis de var en meget lille ikke-indflydelsesrig aktør? Du ville sikkert tro om igen, hvis den kunde var en af ​​mange, du ville vinde, eller en stor magtfuld spiller i sig selv.

Ville du tænke på kryptering, hvis det ikke var et reguleringskrav for GDPR – lovgivere og regulatorer (tilsynsmyndigheder) er en magtfuld 'hold tilfreds' interessent, du skal overveje og vise, at du har deres interesser varetaget!

Hvem er de interesserede parter til at holde sig tilfredse med?

Hvis en interessent har stor magt og lav interesse, bør du tænke på den pågældende person eller gruppe som en 'hold tilfreds' interessent. Spørg dig selv, hvad vil du gøre i dit ISMS med politikker og kontroller for at holde dem tilfredse?

I dette område med stor magt og lav interesse kan du se organisationer som lovgivere og regulatorer, meget magtfulde kundegrupper, aktionærer osv. Der kan også være eksterne revisorer og andre brancheorganer, der kan påvirke din virksomheds succes.

Deres interesse er ret lav i det daglige, men deres evne til at påvirke dine forretningsmål er høj, så de skal holdes tilfredse – normalt på afstand og at have et uafhængigt certificeret ISO 27001-certifikat er en del af deres behov.

De meget magtfulde interesserede parter for informationssikkerhed såsom regulatorer kan også foreskrive specifikke måder at arbejde på – GDPR og databeskyttelsesloven er meget aktuelle eksempler.

Overvejelse af andre interesserede parters behov for et vellykket ISO 27001 ISMS

Hvis en interesseret har både stor interesse og stor magt, vil vi kalde dem en nøglespiller. Disse interessenter bør inddrages aktivt. Dit seniorledelsesteam, nøgleafdelingsledere, kritiske boutiqueleverandører osv. vil sandsynligvis falde ind under denne kategori. Du kan faktisk have nogle af dine intimt engagerede vigtige kunder i denne kategori. De kan være meget interesserede i, hvordan du arbejder fra dag til dag, da det også påvirker dem.

Det er nemt at oprette lange lister over interessenter, der skal tages i betragtning, men vær forsigtig med at bruge for lang tid på dem med lavere magt. Dem med lavere magt og større interesse har brug for at holde sig orienteret, men behøver måske ikke at blive konsulteret om, hvad dit ISMS dækker – du skal måske bare fortælle dem, ellers kan de være et stort smut på dit tids- og investeringsbudget!

Vær også forsigtig med blot at dumpe interessenter, du ikke bryder dig om, i de lavere strømspande – vi så dette ske i en virksomhed. De betalte for det senere, fordi interessenten faktisk var ret magtfuld og forsinkede dem med at nå deres mål, fordi deres krav ikke blev prioriteret.

Ved at kombinere dette arbejde med interessenter og interessenter med de interne og eksterne problemer, du har identificeret i 4.1, hjælper det med at føre til en bedre forståelse af, hvor trusler og muligheder kan stamme fra i dit informationssikkerhedsstyringssystem.

Det sammen med omfanget af dit ISMS (4.3) fører til en meget mere logisk og forretningsstyret tilgang til risikovurderingen i 6.1 og meget større informationssikkerhed med politikker og kontroller, som dine medarbejdere og interessenter vil værdsætte og omfavne.

I ISMS.online leverer vi en skabelon og værktøjet med en 'bank af interessenter' for at hjælpe dig med nemt at opfylde kravene i ISO 27001, paragraf 4.2. Det valgfri Virtual Coach-program kommer også med videocoaching om, hvordan man opfylder kravene.