isms software

Sådan udfører du din ISO 27001 Management Review

Hvad er formålet med ISO 27001:2013 Management Review?

Værdien af ​​informationssikkerhedsstyringssystemet (ISMS) Management Review er ofte undervurderet.

Nogle vil måske se på det som et afkrydsningsfelt-krav, der skal finde sted udelukkende for at opfylde ISO 27001 krav 9.3. Men for virkelig at 'leve og ånde' god informationssikkerhedspraksis er dens rolle uvurderlig.

Formålet med ledelsesgennemgangen er at sikre, at ISMS og dets mål fortsat forbliver passende, tilstrækkelige og effektive i betragtning af organisationens formål, problemer og risici. Disse vil tidligere være blevet behandlet inden for 4.1 Organisationen og dens kontekst, 4.2 Kravene til interesserede parter, og 6.1.Risk Management.

Resultaterne af ledelsesgennemgang vil gøre det muligt for den øverste ledelse at gøre sig velinformeret, strategiske beslutninger, der vil have en væsentlig effekt på informationssikkerheden og den måde, organisationen forvalter den på.

 

Hvad skal medtages i ledelsesberetningen?

Ledelsesgennemgangen skal følge a standard format, der ser på forventningerne til ISO 27001: 2103.

Det kan også være, at organisationen ønsker at inddrage andre compliance-ordninger i gennemgangen, som f.eks Cyber ​​Essentials, ISO 9001 og anden god praksis for at lette effektive anmeldelser og informeret beslutningstagning.

 

ISO 27001 ledelsesgennemgangen bør omfatte overvejelser om:

a) status for handlinger fra tidligere ledelsesgennemgange;

b) ændringer i eksterne og interne forhold, der er relevante for informationssikkerhedsstyring system;

c) feedback om informationssikkerhedens ydeevne, herunder tendenser inden for:

  1. uoverensstemmelser og korrigerende handlinger;
  2. overvågning og måling resultater;
  3. revision resultater; og
  4. opfyldelse af informationssikkerhedsmål.

d) feedback fra interesserede parter;

e) resultater af risk_assessment">risikovurdering og status for risikobehandling plan; og

f) muligheder for løbende forbedring.

Du vil måske også tilføje et ekstra punkt g) Aftal revisionsfokus for den kommende periode. Dette er valgfrit, hvis du er agil organisation og ikke i stand til fuldt ud at specificere hele revisionsprogrammet og planlæg for langt i forvejen. Men husk på, at nogle eksterne revisorer ønsker mere klarhed over hele programmet i løbet af certificeringscyklussen!

Resultaterne af ledelsesgennemgangen bør omfatte beslutninger vedrørende løbende forbedring muligheder og eventuelle behov for ændringer af informationssikkerhedsstyringssystemet.

Hvem skal deltage i ledelsesgennemgangen?

I betragtning af ovenstående er det klart at se, at under behørig hensyntagen ISO 27001 ledelsesgennemgang er uundværlig værktøj for at sikre, at ISMS fortsat er effektiv i forhold til et af dets nøglemål, nemlig at afbøde informationssikkerhedsrisici.

For at ISMS skal være effektivt i en organisation, har det brug for senior ledelsesforpligtelse og som sådan giver det mening, at medlemmerne af en ISMS "Bestyrelse" har myndighed i spørgsmål vedrørende informationssikkerhed.

Typisk kan en ISMS-bestyrelse omfatte Chief Information Security Officer (CISO), Senior Information Risk Owner (SIRO), Chief Technical Officer og måske endda administrerende direktør.

Resultaterne af ledelsesgennemgangen vil omfatte beslutninger relateret til løbende forbedring muligheder og eventuelle behov for ændringer af informationssikkerhedsstyringssystemet.

 

Ledelsesgennemgang hyppighed

Der er et minimumskrav til at udføre en ledelsesgennemgang en gang om året og oftere, hvis der er væsentlige ændringer, der kan påvirke informationssikkerheden og ISMS.

Hyppigheden vil dog blive defineret af ledelsens krav om at overvåge ISMS'ens succes. Der er også en fare for, at jo større interval, jo større arbejde vil der være med at gennemgå den foregående periode. Det øger også risikoen for, at fejl i ISMS ikke bliver identificeret med det samme.

Af den grund vil vi anbefale månedligt, hver anden måned eller endda kvartalsvis, hvis dit ISMS er ret stabilt. Sikkert, ledelsesgennemgange skal finde sted ved planlagt intervaller for at sikre, at ISMS forbliver "egnet, passende og effektiv".

For dem der søger ISO 27001 certificering af deres ISMS, er det også vigtigt at bemærke, at der er et krav om at bevise, under trin 1 desktop audit, at de regelmæssige gennemgange finder sted.

At ISMS.online vi foreslår ugentlige ledelsesgennemgange før trin 1-revision, da dette vil holde dit implementeringsprojekt på sporet, opbygge vanen, og inden for en måned vil du have opbygget tilstrækkeligt med bevis ved hjælp af den nemme Management Review-program i platformen, for at tilfredsstille revisor.

 

Hvordan man styrer kommunikation og handlinger

Typisk vil en ledelsesgennemgang involvere at rundsende mødeinvitationerne, dagsordenen, beviserne og rapporterne til gennemgang eller for at understøtte gennemgangen, via e-mail på forhånd, og de tidligere punkter, der krævede handling.

Under gennemgangen kan der tages notater af fundene til efterfølgende opskrivning og distribution.

Områder, der er identificeret for korrigerende handlinger og forbedringer, skal også dokumenteres og overdrages til de personer, der vil være ansvarlige for at gennemføre disse handlinger.

Ved hvert trin skal der opbevares bevis for at overbevise en ekstern revisor om, at gennemgangen og processerne finder sted og er effektive.

Det er en masse e-mails, en masse planlægning og en masse beviser!

Forestil dig en online ledelsesgennemgangsprogram der gjorde det nemt at konfigurere dit ISMS Board-team, nemt at planlægge anmeldelser og følge en standarddagsorden, nemt at linke til tidligere anmeldelser og alle de nødvendige oplysninger og nemt at tildele og spore korrigerende handlinger og forbedringer?

 

Du forestiller dig ISMS.online der gør det nemt at administrere dit komplette ISMS.

 

Saml alt i ét sikkert online miljø, hvor du kan samarbejde med kollegaer, fange det nødvendige bevis blot én gang og nemt navigere til det før, under og efter gennemgangen.

Du behøver ikke engang, at alle bestyrelsesmedlemmer er samlet ét sted ... gør det online og spar rejsetid og -udgifter!

Inkluder vores Virtuel coach Program for ekspertvejledning og pragmatisk rådgivning i hver af de påkrævede aktiviteter

« Sådan skriver du en intern revisionsrapport til ISO 27001

De bedste tips til din første ISO 27001 Stage 2 audit »

Sidst redigeret: 9. februar 2022
Forfatter

Julia Heron

Julia er ISMS.online Solutions Specialist for virksomhedskunder og arbejder sammen med organisationer for at hjælpe dem med deres overholdelsesmål.

Se alle indlæg af Julia Heron

Relaterede indlæg

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere