ISO 27001-krav 9.1 – Evaluering af ydeevne

Hvad indebærer paragraf 9.1?

Hvis organisationen søger certificering til ISO 27001, vil den uafhængige revisor, der arbejder i et certificeringsorgan tilknyttet UKAS (eller et tilsvarende akkrediteret organ internationalt for ISO-certificering), se nærmere på følgende områder:

• hvad den har besluttet at overvåge og måle, ikke kun målene, men også processerne og kontrollerne
• hvordan det vil sikre valide resultater i måling, overvågning, analyse og evaluering
• hvornår den måling, overvågning, evaluering og analyse finder sted, og hvem gør det
• hvordan resultaterne bliver brugt

Som alt andet med ISO IEC internationale standarder, herunder ISO 27001, er den dokumenterede information vigtig - så at beskrive den og derefter demonstrere, at den sker, er nøglen til succes!

Hvordan opfylder man kravene i paragraf 9.1

Som med meget af paragraf 8 for driften af ​​informationssikkerhedsstyringssystemet, bliver paragraf 9.1 taget hånd om ved at se på hele ISMS og de andre dele, der bidrager til dette krav.

For eksempel:

• Arbejdet udført i 4.1, 4.2 og 4.3 identificerer problemerne (inklusive informationsaktiverne), interesserede parter og omfanget
• 6.1 fremhæver derefter risikoidentifikation, evaluering og behandling på en struktureret måde for at hjælpe med at imødekomme dette krav
• 6.2 dokumenterer faktisk målene for ISMS, og hvis det gøres godt, vil det omfatte måling, overvågning, frekvens, kildestyring og bevis
• 9.2 hjælper med interne revisioner af hele systemet, der viser, hvad der virker, og hvad der kan forbedres
• 9.3 bringer meget af disse krav sammen til ledelsesgennemgange og -analyser med den strategiske beslutningstagning fra den dagsorden, den dækker over
• Klausul 10.1 ser derefter på manglende overensstemmelse og 10.2 de bredere muligheder for løbende forbedringer i informationssikkerhedsstyringssystemet
• Mange af kontrollerne i bilag A driver også evaluering og gennemgang af ydeevne, herunder bilag A.5.1, bilag A.18, både for overholdelse af lovgivning og uafhængige gennemgange af informationssikkerhed

Så hvis man antager, at disse dele af ISMS er blevet implementeret med paragraf 7.5 robustheden af ​​dokumentation i tankerne, kan du trække vejret roligt. Der er ikke andet at gøre end at dokumentere, at 9.1 er opfyldt af ovenstående punkter og samle ledelsessystemet, så en revisor kan se, at alt fungerer i praksis. Det er nemt at gøre med ISMS.online.

Bliv certificeret op til 5 gange hurtigere med ISMS.online

Overholdelse behøver ikke at være kompliceret – ISMS.online er designet til at hjælpe dig med at opnå ISO 27001-certificering hurtigt og til en overkommelig pris uden behov for uddannelse.
Vi har strømlinet ISO 27001-processen med vores Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, nem onboarding og ekspertsupport.

Book en platformdemo for at se, hvordan ISMS.online kan hjælpe din virksomhed