ISO 27001 Krav 7.2 – Kompetence

Hvad indebærer paragraf 7.2?

ISO IEC 27001 for paragraf 7.2 siger grundlæggende, at organisationen vil sikre, at den har:

• fastlagt kompetencen hos de personer, der udfører arbejdet på ISMS, som kunne påvirke dets ydeevne
• personer, der vurderes at være kompetente på baggrund af den relevante uddannelse, træning eller erfaring
• hvor det er nødvendigt, tage skridt til at erhverve den nødvendige kompetence og evaluere effektiviteten af ​​handlingerne
• beholdt bevis for ovenstående til revisionsformål

På baggrund af disse krav er det let at tænke, at svaret til 7.2 kan være at ansætte en informationssikkerhedsekspert – men det er ikke altid nødvendigt!

Der kræves en hel masse færdigheder og erfaringer til en vellykket implementering og løbende styring af et ISMS, der er certificeret til ISO 27001, ud over ekspertise inden for fysisk sikkerhed, cybersikkerhed, computersikkerhed eller andre former for informationssikkerhed i sig selv.

Disse omfatter: kommerciel, juridisk, HR, IT, samt den relevante produkt- og serviceekspertise til arbejdet i omfang.

Opbygning og drift af et ISMS er normalt et samarbejdende teamjob. Det vigtigste er en forståelse af organisationen, dens formål og mål, dens kultur, risikovillighed og kravene udtrykt i paragraf 4.1, 4.2, 4.3, 6.1, 6.2.

Påvisning af overholdelse af paragraf 7.2

Ud over 7.3 bevidsthed og 7.4 kommunikationsklausulerne kan 7.2 demonstreres med en generel erklæring om det involverede team og deres troværdighed, med links på tværs af ISMS for at demonstrere deres arbejde som bevis for at spare tid (hvis du bruger en samlet platform som f.eks. ISMS.online).

Derudover er en simpel tabel til at vise de involverede personer, den rolle, de udfører med noter sammen med deres relevante erfaring, træning eller uddannelse nyttig, og nogle revisorer kan lide at se den detalje. Det behøver ikke at være et CV, bare vis hvorfor de er involveret:
Fx Fred Bloggs – implementeringsleder med et dagligt job med service levering og IT-chef. Har 5 års erfaring inden for begge områder, og relevant uddannelse eller uddannelse, fx deltaget i cybersikkerhed online kurser, gennemført en master i datalogi.

Dette kan holdes meget simpelt, det er ikke en informationssikkerhedsuddannelse behovsanalyse eller detaljeret handlingsplan (selvom du måske også ønsker en af ​​dem afhængigt af organisationsstilen og dens tilgang til HR-udviklingsplaner).

Det eneste, den eksterne revisor vil vide, er, at det involverede team er kompetent, og det er sandsynligt, at nogle af eller hele teamet alligevel vil være involveret i revisionsprocessen, på hvilket tidspunkt revisoren alligevel vil danne sig deres egen mening.

Husk, informationssikkerhed udført med en virksomhedsledet tilgang handler om at drive virksomheden bedre, ikke kun at implementere 114-kontroller for dens skyld. Derfor er det usandsynligt, at der vil være huller i din organisations kernefærdigheder og forståelse, ellers er det usandsynligt, at den fungerer!

Hvis der imidlertid er huller i kompetence, færdigheder og erfaringer omkring implementering og drift af et informationssikkerhedsstyringssystem for at opfylde denne klausul, kan de lukkes på en række måder:

• Sende det involverede personale på ISO 27001 lead auditor, lead implementer og implementeringskurser eller et af de mange andre informationssikkerhedskurser derude. Dette kan dog blive dyrt for én person endsige et team både med hensyn til omkostninger og timeout på kontoret. Det kan føre til implementeringsproblemer i sig selv, hvis underviseren eller programmet er for generel, gammeldags eller ikke forstår organisationskulturen, måder at arbejde på osv.
• At læse rundt i mange af de gratis ressourcer på internettet som denne hjemmesideressourcer, websteder som National Cyber ​​Security Center (NCSC) med dets specialistvejledninger og tjeklister og fordøje ISO 27001- og ISO 27002-standarderne vil vise revisoren et niveau af også kompetence. Det passer sammen med bilag A 6.1.4 for at være opmærksom på og involveret i specialiserede informationssikkerhedsfora og faglige sammenslutninger.
• Hyr specialiserede fysiske ressourcer til at hjælpe med at opbygge kompetence – der er et voksende marked for virtuelle CISO (Chief Information Security Officers) og teams omkring dem. Dette kan bestemt give mening, og vi anbefaler det til målrettet arbejde sammen med de interne ressourcer, der er specialister på deres områder, når organisationen har kapacitets- og kapacitetsproblemer, og budgettet er et mindre problem. Mange af ISMS.online-partnerne tilbyder en sådan service, og vi er meget glade for at foreslå en partner, der kan hjælpe med at lukke disse huller og tilføje endnu mere værdi oven i ISMS.online.
• Brug Virtual Coach-tjenesten inde i ISMS.online til at opbygge og udvikle kompetence på tværs af implementeringsteamet og vise revisoren, at hvert medlem af teamet har været igennem informationssikkerhedscoaching/mentoring og er blevet trænet i forberedelsesplanen, så de ved fra jorden op, hvad et informationssikkerhedsstyringssystem er, hvorfor det er påkrævet, og hvad deres job er på holdet. De kan også demonstrere, at de arbejder selvsikkert og konsekvent til et niveau, der følger Virtual Coach-vejledningerne, tips og videoer inden for hvert af kravene og bilag A-kontrolområderne.

Bliv certificeret op til 5 gange hurtigere med ISMS.online

Overholdelse behøver ikke at være kompliceret – ISMS.online er designet til at hjælpe dig med at opnå ISO 27001-certificering hurtigt og til en overkommelig pris uden behov for uddannelse.
Vi har strømlinet ISO 27001-processen med vores Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, nem onboarding og ekspertsupport.

Book en platformdemo for at se, hvordan ISMS.online kan hjælpe din virksomhed