Gå til emnet
Hvad indebærer paragraf 5.3?
Ganske enkelt søger ISO 27001 klarhed og fokus på de centrale dele af ISMS - hvem er overordnet ansvarlig, hvem er ansvarlig for visse dele, al god og logisk forretningspraksis. Du skal demonstrere, at visse roller (ikke nødvendigvis personer) eksisterer, er udpeget af topledelsen, og de kommunikeres til de relevante interesserede parter og dokumenteres tydeligt, så der ikke er nogen tvetydighed. Kravet her er et ret højt niveau og det er nemt at dokumentere, og passer også med andre dele af informationssikkerhedsstyringssystemet fx sikkerhedsrisikoejere i 6.1, info sec objektive ejere i 6.2 osv.
Hvordan ISMS.online hjælper dig
ISMS.online gør også meget af ISMS-ejerskabet og -engagementet nemt i praksis med dets samarbejdende teammedlemskaber, ejere af politikaktiviteter, ejere af risici, hændelser, forbedringer osv. – som alle kan strømme ned fra topledelsens klarhed, der kommer fra denne klausul 5.3.
Book en platformsdemo for at se den i aktion.
Book en platformsdemoSå én person kan udføre mere end én rolle, og du kan forene arbejdet, f.eks. ved at have en bestyrelse til at overvåge alt for at hjælpe med at demonstrere ledelsesanmeldelser i overensstemmelse med 9.3 og fuldstændig tilslutte informationssikkerhedsstyringssystemet. Bare gør det klart, hvem der har ansvaret for hvad. Tænk over rollerne med interesserede parter i tankerne samt praktisk levering. For eksempel kan rollen som CISO (Chief Information Security Officer) betyde for dine kunder, at du tager informationssikkerhed seriøst, og det kan udføres af en ledende medarbejder ud over deres daglige arbejde, eller hvis det i en større organisation kan være en fuld -tidsrolle i sig selv.
Du kan også vælge at have en TISO (Technical Information Security Officer) eller tilsvarende, som ville være mere teknisk og i stand til at fokusere på disse aspekter af ISMS, hvis de andre roller leveres af mere kommercielle/strategiske personer. Se bilag A 6.1.1 (om organiseringen af informationssikkerhed) og sørg for, at du afstemmer dette krav med den bilag A-kontrol.
ISO 27001 søger specifikt efter klarhed i roller og ansvar for:
- At sikre, at informationssikkerhedsstyringssystemet er i overensstemmelse med kravene fra Den Internationale Standardiseringsorganisation
- Rapportering af ISMS'ens ydeevne (hvilket er meget nemmere, når det hele er samlet ét sted)
Det kan godt være, at en topleder har ansvaret for ISMS som en del af ledelsens forpligtelse til informationssikkerhed (5.1), men kan selvfølgelig uddelegere driften af den til andre i organisationen eller outsource til specialister som den virtuelle CISO, som mange af ISMS.online-partnerne tilbyder tjenester omkring. Bare husk at dokumentere det!
Gør det nemmere med ISMS.online
ISMS.online-platformen gør det nemt for topledelsen at etablere en informationssikkerhedspolitik, der er i overensstemmelse med organisationens formål og kontekst.
Dit ISMS vil omfatte en forudbygget informationssikkerhedspolitik, som nemt kan tilpasses din organisation. Denne politik tjener som en ramme for gennemgang af målsætninger og inkluderer forpligtelser til at opfylde alle gældende krav og løbende forbedre ledelsessystemet. Denne politik kan nemt deles med interesserede og sendes til udbud eller anden ekstern kommunikation.
Få et forspring på 81 %
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
