ISO 27001-krav 5.1 – Ledelse og engagement

Hvad indebærer paragraf 5.1?

Denne klausul identificerer specifikke aspekter af ledelsessystemet, hvor topledelsen forventes at udvise både lederskab og engagement. Disse omfatter, men er ikke begrænset til:

• Ansvarlighed for effektiviteten af ​​ledelsessystemet;
• Sikring af, at politikken og målene er etableret og er kompatible med organisationens kontekst og strategiske retning;
• Sikring af integration af ledelsessystemet er indlejret i forretningsprocesser;
• Fremme brugen af ​​procestilgangen og risikobaseret tænkning
• at sikre, at der er tilstrækkelige ressourcer på plads;
• Sikre, at ledelsessystemet opnår de tilsigtede resultater;
• Engagere, dirigere og støtte personer til at bidrage til effektiviteten af ​​ledelsessystemet

Vigtigheden af ​​ledelsesforpligtelse

Hvis ledelsen ikke er aktivt involveret, f.eks. ikke deltager i ledelsesgennemgange eller ikke kan demonstrere over for den eksterne revisor, at der er en ledelsesrepræsentant, der tager det alvorligt under en revision, vil organisationen næsten helt sikkert fejle. Revisorer taler om, at ånden i ISO 27001 kommer fra toppen, og hvis de ikke kan se det, vil de sandsynligvis kigge meget mere dybere og skeptisk under revisionen.

Som det er blevet sagt mange gange før er informationssikkerhedsstyring en forretningskritisk filosofi og skal være forenelig med en organisations forretningsmål og processer, for at den kan fungere i praksis. Uden ledelsesstøtte eller et krav om at gøre 25 ting, før nogen rent faktisk udfører det arbejde, de ønsker at udføre, vil ISO 27001-rejsen kæmpe for at komme i gang.

At kunne demonstrere dette ledelsesforpligtelse er afgørende for paragraf 5.1, og det er her, et mere seriøst informationssikkerhedsledelsessystem kommer i spil, der både beviser ledelsens forpligtelse til at investere i et ISMS og have de beviser, de har været involveret i f.eks. ledelsesgennemgange og bredere ISMS-beslutningstagning samt de påkrævede årlige eksterne revisioner for ISO 27001. Hvis en lovpligtig finansiel revisor så, at alt det finansielle regnskab kun blev udført med regneark i stedet for en professionel regnskabsapplikation, ville de måske stille spørgsmålstegn ved dets integritet og bruge længere tid, end hvis arbejdet var udført med xero, salvie eller en anden anerkendt løsning. Det er det samme for informationssikkerhedsstyring. At bruge de rigtige værktøjer og have de rigtige mennesker involveret afføder selvtillid.

At have disse fundamenter på plads gør denne klausul let at demonstrere, og overholdelse kræver blot dokumenteret bevis som bemærkninger for at forstærke, at ledelse og engagement er på plads og adresserer klausul 5.1 punkter ah i ISO 27001-standarden. Alle dele af det samlede ISMS vil så vise det i praksis.

Gør det nemmere med ISMS.online

Vi har inkluderet en skabelonpolitik med en foreslået erklæring, som organisationer kan vedtage eller tilpasse vedrørende, hvad den øverste ledelse laver omkring og inden for ISMS. Den linker til de områder, hvor den øverste ledelse typisk vil være involveret, hvilket gør det virkelig nemt for revisorer at se det bevis, de har brug for.

Det omfatter brug af ISMS.online-softwaretjenesten til at bevise, at der har fundet ledelsesgennemgange sted, som omfatter evalueringen af, hvordan ISMS klarer sig i forhold til dets erklærede mål, som alle nemt kan demonstreres i ISMS.softwaren og viser, at den øverste ledelse har været involveret. Om de kommer dybt ind i arbejdet med ISMS, f.eks. ved at eje informationssikkerhedsorienterede risici, deltage i sikkerhedsrevisioner, se på bedste praksis for informationssikring og vurdere de igangværende privatlivsproblemer omkring organisationen og håndtere sikkerhedshændelser, vil sandsynligvis være baseret på organisationen størrelse og ressourcer investeret.