ISO 27001 Krav 7.4 – Kommunikation

Hvad indebærer paragraf 7.4?

Som med andre dele af ISMS er der muligheder for at blive tilsluttet og demonstrere informationssikkerhedsstyringssystemet, især dets kommunikationskrav er en sammenhængende integreret del af organisationens kommunikations-, uddannelses-, trænings- og bevidstgørelsesprocesser.

Denne paragraf 7.4 passer også sammen med Annex A 7 for menneskelig ressourcesikkerhed, hvor kravene omkring kommunikation starter med HR-sikkerhedsscreening, går ind på informationssikkerhedsvilkår for ansættelseskontrakter, disciplinære processer og efter rolleændringer eller fratræden. Den væsentligste integration for HR-sikkerhed er med A 7.2.2, hvor der er kontrol med informationssikkerhedsbevidsthed, uddannelse og træning.

ISO 27001 leder efter følgende ting i denne klausul:

• hvad man skal kommunikere om ISMS
• hvornår det vil blive meddelt
• hvem vil være part i den kommunikation
• hvem kommunikerer
• hvordan det hele sker, dvs. hvilke systemer og processer der vil blive brugt til at demonstrere det sker og er effektivt

Specifikt ISO 27001: 2013 A.7.2.2 kontrol kræver, at: "Alle medarbejdere i organisationen og, hvor det er relevant, entreprenører skal modtage passende bevidsthedsundervisning og -træning og regelmæssige opdateringer i organisationens politikker og procedurer, som er relevante for deres jobfunktion."

Denne kontrol, taget med kravet i paragraf 7.4 i de vigtigste ISO 27001-krav om at demonstrere "hvordan" og hvor effektiv kommunikation er, sammen med behovet for, at den øverste ledelse faktisk beskytter deres organisation og ikke bare afkrydser et felt, betyder, at dynamisk og sikker kommunikation for tillid til overholdelse er påkrævet.

Hvem skal tages i betragtning i den kommunikation, de sandsynligvis vil være interesseret i?

Udgangspunktet for dette bør være det arbejde, der er udført i 4.2, hvor man ser på de interesserede parter og ser tilbage for at forstå deres behov og krav til kommunikation, hvilket naturligvis ville stemme overens med deres position på interessentkortet og de underliggende problemer og bekymringer, de ville have. har om dens ydeevne. Som før vil én størrelse ikke passe alle med hensyn til hvad, hvorfor og hvordan kommunikationen foregår. For eksempel vil en 'hold tilfreds' interesseret part som den britiske informationskommissær for at vise overholdelse af databeskyttelsesloven og GDPR kun ønske at vide to ting: a) er du registreret som dataansvarlig og/eller databehandler; og b) når du har oplevet en sikkerhedshændelse, der skaber tab eller potentielle konsekvenser, falder inden for deres interesseområde.

Andre holder tilfredse interessenter er sandsynligvis stærke kunder, og også eksterne revisorer for ISO 27001, især hvis uafhængig UKAS eller lignende certificering overvejes. De ønsker at have tillid til, at ISMS'en fungerer godt og have den regelmæssige informationssikkerhed, der kommer fra overvågningsrevisioner og måske retten til revision på tidspunkter efter eget valg, samt holdes orienteret om væsentlige ændringer eller hændelser.

Nøglespillere og holde informerede interessenter såsom topledelse, personale eller intimt involverede leverandører, der havde adgang til dine mest værdifulde informationsaktiver, skal være engageret og opmærksomme på meget mere om informationssikkerhedsstyringssystemet.

Ting, der skal overvejes her, inkluderer:

• Hvad informationssikkerhed betyder for organisationen og dens fordele samt konsekvenserne
• Bevidsthed om nøglesprogsbegreber og eksempler på god og dårlig fortrolighed, integritet og tilgængelighed, der er meningsfulde for dem
• Organisationens informationssikkerhedspolitikker og kontroller, der påvirker deres job og dem, der arbejder omkring dem
• Hvad skal man gøre i tilfælde af en hændelse, hændelse eller svaghed, som de først identificerer
• Hvad skal man gøre, når der er sket noget andre steder i organisationen, og de er nødt til at handle for at forblive beskyttet
• Generelle opdateringer og dynamisk kommunikation, der er relevant for deres rolle (ud over politikker og kontroller)

Sikring af kommunikation og overholdelse af ISO 27001 succes

Mens en ekstern revisor, der udfører ISO 27001-certificering, omhyggeligt vil lede efter beviser for ovenstående kommunikation, handler det mere væsentlige forretningsproblem mere om, at interessenterne ikke er opmærksomme på eller ikke overholder kommunikationen. Det kunne hurtigt føre til en alvorlig informationssikkerhedshændelse og store tab, især hvis omkring persondata, hvor GDPR-bøder og større omdømmeskader var under overvejelse.

Det er sandsynligt, at de fleste organisationer allerede har kanaler til kommunikation; ansigt til ansigt arbejde, teamdage, e-mail, intranet og andre midler til at engagere medarbejdere. Vi anbefaler, at alle disse overvejes, hvis disse vaner er godt opbygget for personalet, og de vil reagere på dem. Men når du allerede modtager for mange e-mails, glider af i team-telekonferencer, vil den spændende ISMS-kommunikation nå frem til stedet og levere det resultat, du har brug for?

Udfordringen for de fleste organisationer er manglende evne til omkostningseffektivt at bevise, at kommunikation har fundet sted, og at overholdelse er sikret på tværs af den interne og eksterne forsyningskæde af nøgleinteressenter. Interne revisioner i overensstemmelse med paragraf 9.2 er en stor hjælp, idet de dog generelt er sjældne og meget omkostningskrævende for andet end stikprøvestørrelsesrevisioner og generelt ikke holder trit med de hurtige ændringer i informationssikkerhedsrisici og især cybersikkerhedsproblemer.

Revisorer ser nu meget nærmere på disse kommunikationsområder i betragtning af de stigende konsekvenser af fiasko. Smarte kunder og aktionærer tager også meget mere hensyn ud over ISO-certifikatet, ud over erklæringen om anvendelighed og omfanget, til kravene til mere dynamisk overvågning af informationssikkerhedsopdateringer og overensstemmelsessikring. Personbaseret overholdelse bevæger sig meget tættere mod teknologien og digital systemovervågning, der allerede er set i f.eks. firewalls, antivirus-realtidsovervågningstjenester.

Hvordan ISMS.online hjælper med ISMS-kommunikation

I sit hjerte er ISMS.online en kommunikations- og samarbejdsplatform, så den får et godt forspring på gammeldags statiske optagelsessystemer, der plejede at være populære til ISMS og Governance Regulation and Compliance (GRC) stilsystemer. Det distribuerer også information via e-mail til slutbrugere, hvilket er fantastisk til simple opdateringer og bevidsthed, så det passer ind i den vanebaserede måde at kommunikere på. Alt, hvad der kræves til mere detaljeret overholdelsesarbejde, såsom beviser en forpligtelse til at gøre noget, f.eks. at læse en politik bringer brugerne tilbage på platformen, hvor det retsmedicinske revisionsspor og beviser imponerer revisorer og sparer enorme mængder tid for ISMS-administratorer, som igen kan kommunikere med tilliden tilbage til den øverste ledelse.

Platformen tjener de forskellige interessentgrupper meget godt med dens brugervenlighed og fokuserede arbejdsrum, der alle er reviderbare og evidensbaserede i overensstemmelse med kravene i standarden.

Opnåelse af kommunikationstillid for stærke kunder, topledelse og eksterne revisorer

Specifikt udviklet i tæt samarbejde med slutbrugere en stor del af funktionssæt i ISMS.online er Policy Pack-tjenesten, som gør det muligt for ISMS-administratorer at demonstrere overholdelse af politikker og kontroller for alle i omfanget. Denne innovative service kombineret med ISMS-oversigtsrapporten (længere nedenfor) og de generelle gruppers samarbejdsfunktioner giver mange omkostningsbesparende, risikoreducerende og andre fordele.

• produktion af politikker og kontroller én gang, men tillader let distribution til målrettede grupper (f.eks. efter afdeling, lokation, rolle, produkt osv.)
• muligheden for at se politikker læst og overholdt dynamisk på ethvert tidspunkt
• evnen til at opdage og adressere områder med mulig manglende overholdelse hurtigt og nemt – fokusere opmærksomheden på de højeste risici og ikke spilde revisionstid eller andre begrænsede ressourcer
• evnen til at vise eksterne revisorer, magtfulde slutkunder og den øverste ledelse, at de har kontrol over hele ISMS fra identifikation af informationsaktivet, dets risikovurdering, de kontroller, der anvendes på det, og det/de publikum, som politikkerne anvendes over for – alle nøgleaspekter for at overholde ISMS-kravene til ISO 27001

For mere avancerede brugere, der ønsker at se forholdet mellem informationsaktiver, risici, kontroller og kommunikationen af ​​politikkerne til brugerne af Policy Packs, gør ISMS-oversigtsrapporten netop dette. Det viser ende til ende-tillid og hjælper hurtigt med at isolere huller, problemer eller spild ud over den kraftfulde erklæring om anvendelighed, der kræves for ISO 27001 paragraf 6.1.3.

Informationssikkerhedskommunikation til personale, leverandører og andre interessenter, der skal engageres og vise overholdelse af ISO 27001

Det er fantastisk, at kraftfulde informationssikkerhedsstyringssystemer fungerer godt for ISMS-administrationen og administratorerne for at nå deres mål. Det ISMS løsninger skal også fungere godt for de lejlighedsvise brugere, der har brug for at forstå og overholde deres politikker, være opmærksomme på, hvad der foregår, deltage i diskussioner, rejse hændelser og reagere på opgaver. Det er præcis, hvad ISMS.online tilbyder, en evne til at holde disse vigtige interessenter kompatible og engageret i en dynamisk, men lejlighedsvis adgangsmodel.

Personalet kan læse og overholde deres informationssikkerhed (og andre) politikker i en Kindle-lignende læseoplevelse, fri for støj fra de specialiserede dele af ISMS. De kan nemt vise deres læsefremskridt og compliance, når de fuldfører arbejdet. Dette er også en dynamisk opdatering af administrationskonsollen ovenfor. Når en politik opdateres, kan administratoren blot skubbe den ud til alle læsere og gøre dem opmærksom på den.

Ud over Policy Pack-tjenesten tilbyder ISMS online en række måder at sikre medarbejdernes kommunikation og engagement, herunder ISMS-kommunikationsgrupper, som er gode til at udsende opdateringer, deltage i diskussioner, tildele opgaver via e-mail-meddelelser og vise beviser for det til revisorer samt fastholde viden til nyansatte og andre, der fremover skal engageres. Disse krav er ikke så nemme med nogle af de mere traditionelle kommunikations- og messenger-produkter på markedet eller e-mail alene. Ud over disse kernetjenester i grupper og politikpakker gør mange andre funktioner på platformen også hele kommunikationsprocessen til en rigere mere integreret oplevelse.

Bliv certificeret op til 5 gange hurtigere med ISMS.online

Overholdelse behøver ikke at være kompliceret – ISMS.online er designet til at hjælpe dig med at opnå ISO 27001-certificering hurtigt og til en overkommelig pris uden behov for uddannelse.
Vi har strømlinet ISO 27001-processen med vores Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, nem onboarding og ekspertsupport.

Book en platformdemo for at se, hvordan ISMS.online kan hjælpe din virksomhed