ISO 27001 Krav 9.3 – Ledelsesgennemgang

Hvad indebærer paragraf 9.3?

ISO siger selv, at gennemgangene skal finde sted med planlagte intervaller, hvilket generelt betyder mindst én gang om året og inden for en ekstern revisionsovervågningsperiode. Men med hastigheden af ​​ændringer i informationssikkerhedstrusler og meget, der skal dækkes i ledelsesanmeldelser, er vores anbefaling at gøre dem langt oftere, som beskrevet nedenfor og sikre, at ISMS fungerer godt i praksis, ikke blot at sætte kryds for ISO-overholdelse.

Værdien af ​​informationssikkerhedsstyringssystemet (ISMS) Management Review er ofte undervurderet. Nogle vil måske se på det som et afkrydsningsfelt krav, der skal finde sted udelukkende for at opfylde ISO 27001 krav 9.3. Men for virkelig at 'leve og ånde' god informationssikkerhedspraksis er dens rolle uvurderlig.

Formålet med ledelsesgennemgangen er at sikre, at ISMS og dets mål fortsat forbliver passende, tilstrækkelige og effektive i betragtning af organisationens formål, problemer og risici omkring informationsaktiverne. Disse vil tidligere være blevet behandlet inden for 4.1 organisationen og dens kontekst, 4.2 kravene fra interesserede parter, 4.3 omfanget af ISMS og 6.1 for risikostyringsarbejdet.

Arbejdet op til og omkring ledelsesgennemgangen vil sætte den øverste ledelse i stand til at træffe velinformerede, strategiske beslutninger, som vil have en væsentlig effekt på informationssikkerheden og den måde, organisationen styrer den på.

Hvad skal inkluderes i ISO 27001 Management Review?

Ledelsesgennemgangen skal som minimum følge et standardformat, der ser på kravene i 9.3 for ISO 27001:2103. Disse er skitseret nedenfor. Derudover kan det også være, at organisationen ønsker at inkludere andre compliance-regimer i gennemgangen, såsom Cyber ​​Essentials, ISO 9001 og anden god praksis, for at lette effektive anmeldelser og informeret beslutningstagning. Det kan endda binde 9.3 informationssikkerhedsaspekterne for 9.3 til bredere topledelsesmøder eller formelle bestyrelsesmøder. Uanset hvad skal den dokumentere resultaterne og handlingerne fra anmeldelserne.

For organisationer, der er i implementeringsfasen af ​​deres ISMS, anbefaler vi også, at de udfører ledelsesgennemgange ugentligt som en del af en god praksis-opbygningsvane og inkluderer implementeringslektioner, næste periodes mål og problemstillinger sammen med de elementer af den formelle ledelsesdagsorden, der kan dækket af. Eksterne revisorer kan rigtig godt lide at se organisationen omfavne ledelsesgennemgangens ånd og ser gerne effektivitet fra planlægnings- og implementeringsarbejdet, hvilket også passer ind i kravene til paragraf 7.5 og paragraf 8 til drift.

Den formelle dagsorden for ISO 27001 ledelsesgennemgang 9.3 bør omfatte overvejelser om:

• Status for handlinger fra tidligere ledelsesgennemgange
• Ændringer i eksterne og interne problemstillinger, der er relevante for informationssikkerhedsstyringssystemet
• Feedback om informationssikkerhedens ydeevne, herunder tendenser inden for:
• uoverensstemmelser og korrigerende handlinger;
• overvågnings- og måleresultater;
• revisionsresultater; og
• opfyldelse af informationssikkerhedsmål.
• Feedback fra interesserede parter
• Resultater af risikovurdering og status for risikobehandlingsplan; og
• Muligheder for løbende forbedringer.

Du vil måske også tilføje et ekstra punkt:

• Aftal revisionsfokus for den kommende periode. Dette er valgfrit, hvis du er en agil organisation og ikke er i stand til fuldt ud at specificere hele revisionsprogrammet og planlægge for langt i forvejen. Men husk på, at nogle eksterne revisorer ønsker mere klarhed over hele programmet for certificeringscyklussen!

Resultaterne af ledelsesgennemgangen bør omfatte beslutninger relateret til løbende forbedringsmuligheder og eventuelle behov for ændringer af informationssikkerhedsstyringssystemet.

Hvem skal deltage i ISO 27001 Management Review?

I betragtning af ovenstående er det tydeligt at se, at ISO 27001-ledelsesgennemgangen taget behørigt i betragtning er et uundværligt værktøj til at sikre, at ISMS fortsat er effektiv til at hjælpe organisationen med at opnå de tilsigtede resultater fra investeringerne i informationssikkerhedsstyring.

For at ISMS skal være effektivt i en organisation, kræver det engagement fra den øverste ledelse, og som sådan giver det mening for medlemmerne af en ISMS "Bestyrelse" at have autoritet i spørgsmål vedrørende informationssikkerhed. Typisk kan en ISMS-bestyrelse omfatte Chief Information Security Officer (CISO) og anden topledelse sammen med de repræsentanter, der administrerer ISMS i praksis. Roller omkring informationssikkerhed behøver ikke at være på fuld tid eller eksklusive, men kræver klarhed i roller, ansvar og myndigheder som beskrevet i paragraf 5.3. At have et ISMS Board hjælper også denne proces.

Resultatet af ledelsesgennemgangen vil omfatte beslutninger relateret til løbende forbedringsmuligheder og eventuelle behov for ændringer i informationssikkerhedsstyringssystemet.

Hvad er den ideelle ledelsesgennemgang?

Der er et minimumskrav til at gennemføre en ledelsesgennemgang én gang om året, og oftere, hvis der er væsentlige ændringer, der kan påvirke informationssikkerheden og ISMS. Hyppigheden vil dog blive defineret af ledelsens krav om at overvåge ISMS'ens succes. Der er også en fare for, at jo større interval, jo større arbejde vil der være med at gennemgå den foregående periode. Det øger også risikoen for, at fejl i ISMS ikke bliver identificeret med det samme.

Af den grund vil vi anbefale månedligt, hver anden måned eller endda kvartalsvis, hvis dit ISMS er ret stabilt. Bestemt, ledelsesgennemgange skal finde sted med planlagte intervaller for at sikre, at ISMS forbliver "egnet, tilstrækkeligt og effektivt".

For dem, der søger ISO 27001-certificering af deres ISMS, er det også vigtigt at bemærke, at der er et krav om at bevise, under trin 1 desktop audit, at de regelmæssige gennemgange finder sted.

Vi foreslår ugentlige ledelsesgennemgange før trin 1-revision, da dette vil holde dit implementeringsprojekt på sporet, opbygge vanen, og inden for en måned vil du have opbygget nok beviser ved at bruge det nemme Management Review-program i platformen til at tilfredsstille revisor og komme ind i rillen for fremtidige anmeldelser.

Ledelsesanmeldelser ved hjælp af ISMS.online

ISMS.online gør det nemt at administrere dit komplette ISMS, inklusive ledelsesanmeldelserne for informationssikkerhed.

ISMS.online samler alt i ét sikkert, online miljø, hvor du kan samarbejde med kolleger, fange det nødvendige bevis blot én gang og nemt navigere til det før, under og efter gennemgangen.