ISO 27001 – Bilag A.5: Informationssikkerhedspolitikker

Hvad er formålet med bilag A.5.1?

Bilag A.5.1 handler om ledelsesretning for informationssikkerhed. Formålet i dette bilag er at styre retning og støtte til informationssikkerhed i overensstemmelse med organisationens krav, samt i overensstemmelse med relevante love og regler.

Det inkluderer de to kontroller, der er anført nedenfor. Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering. Lad os forstå disse krav, og hvad de betyder i lidt mere dybde nu.

A.5.1.1 Politikker for informationssikkerhed

Et sæt politikker for informationssikkerhed skal defineres, godkendes af ledelsen, offentliggøres og kommunikeres til medarbejdere og relevante eksterne parter. Politikkerne skal ledes af forretningsbehov sammen med de gældende regler og lovgivning, der også påvirker organisationen.

Disse politikker er i praksis bilag A-kontrollerne, også opsummeret i et overordnet informationssikkerhedspolitikdokument på et højere niveau, der styrker organisationens nøgleudsagn omkring sikkerhed til at dele med interessenter som kunder.

Den overordnede politik bliver meget mere troværdig og kraftfuld med uafhængig certificering til ISO 27001 fra UKAS bag sig.

Politikker udgør også rygraden i informationssikkerhed og bør være en del af uddannelses-, trænings- og oplysningsprogrammet i overensstemmelse med A7.2.2.

Politikkerne fastlægger de principper, som medlemmer af organisationen og nøgleparter som leverandører skal følge. Disse politikker skal revideres regelmæssigt og opdateres, når det er nødvendigt, i overensstemmelse med A.5.1.2 nedenfor.

A.5.1.2 Gennemgang af politikkerne for informationssikkerhed

Politikkerne for informationssikkerhed skal revideres med planlagte intervaller, eller hvis der sker væsentlige ændringer, for at sikre deres fortsatte egnethed, tilstrækkelighed og effektivitet.

Når der foretages ændringer i virksomheden, dens risici og problemer, teknologi eller lovgivning og regulering, eller hvis sikkerhedssvagheder, hændelser eller hændelser indikerer et behov for politikændring.

Politikker skal også gennemgås og opdateres med jævne mellemrum. ISO anser 'regelmæssig' for at være mindst årligt, hvilket kan være hårdt arbejde, hvis du manuelt administrerer så mange anmeldelser og også kobler det sammen med den uafhængige anmeldelse som en del af A.18.2.1.

Hvordan hjælper ISMS.online med informationssikkerhedspolitikker?

Ud over mange andre funktioner inkluderer ISMS.online synlige og automatiserede processer for at hjælpe med at forenkle hele gennemgangskravet og spare enorme mængder admintid i forhold til andre måder at arbejde på.

ISMS.online giver dig handlingsrettede ISO 27001-politikker og kontroller for at give dig dette fantastiske forspring.