ISO 27001-krav 5.2 – Informationssikkerhedspolitik

Klausul 5.2 i ISO 27001-standarden kræver, at topledelsen etablerer en informationssikkerhedspolitik. Dette krav for at dokumentere en politik er ret ligetil. Det er dog, hvad der er inde i politikken, og hvordan det forholder sig til det bredere ISMS, der vil give interesserede parter den tillid, de har brug for til at stole på, hvad der ligger bag politikken.

Nedenfor finder du kernekravene i ISO 27001:2013. Hvis du leder efter den opdaterede
ISO 27001:2022 kernekrav, klik venligst på knappen nedenfor.

Se de reviderede ISO 27001:2022-krav

Hvad indebærer paragraf 5.2?

Den øverste ledelse skal gøre en række ting omkring denne politik for at føre den ud i livet – ikke bare have politikken klar til at blive delt som en del af et udbudssvar! Tidligere, når en kunde bad en potentiel leverandør om en kopi af deres informationssikkerhedspolitik, kunne dokumentet indeholde nogle pæne og fladtrykte ting om informationssikkerhedsstyring, risikostyring og informationssikring for at imødekomme en afkrydsningsfeltøvelse udført af en indkøbsperson i indkøbsafdelingen.

Det er (generelt) ikke længere tilfældet. Smarte købere vil ikke kun gerne se en sikkerhedspolitik, de vil måske også gerne have den bakket op af dokumentation for, at politikken fungerer i praksis – naturligvis hjulpet af et uafhængigt informationssikkerhedscertificeringsorgan som UKAS, der understøtter den, og et fornuftigt ISMS bagved.

Nogle af de andre ting, som topledelsen skal gøre omkring denne klausul ud over at etablere selve politikken inkluderer:

Sørg for, at det er relevant for formålet med organisationen (så ikke bare kopiere en fra Google;)
Tydeliggørelse af informationssikkerhedsmålene (dækket mere i 6.2) eller i det mindste opstiller betingelserne for dem – tip, dette bør omfatte de relevante og målbare aspekter af beskyttelse af fortrolighed, integritet og tilgængelighed omkring de informationsaktiver, der er identificeret i 4.1 og holdt i overensstemmelse med A8.1 .XNUMX
En forpligtelse til at opfylde de gældende krav til informationssikkerhedsbehovene i organisationen (dvs. dem, der er dækket på tværs af ISO 27001 kernekrav og bilag A kontroller)
Sikring af dens løbende kontinuerlige forbedring - et ISMS er for livet, og med overvågningsrevisioner hvert år, som vil være indlysende at se (eller ej)
Dele og kommunikere det med organisationen og interesserede efter behov

ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang

Gør det nemmere med ISMS.online

ISMS.online-platformen gør det nemt for topledelsen at etablere en informationssikkerhedspolitik, der er i overensstemmelse med organisationens formål og kontekst.

Dit ISMS vil omfatte en forudbygget informationssikkerhedspolitik, som nemt kan tilpasses din organisation. Denne politik tjener som en ramme for gennemgang af målsætninger og inkluderer forpligtelser til at opfylde alle gældende krav og løbende forbedre ledelsessystemet. Denne politik kan nemt deles med interesserede og sendes til udbud eller anden ekstern kommunikation.

David Holloway

Chief Marketing Officer

David Holloway er Chief Marketing Officer hos ISMS.online med over fire års erfaring inden for compliance og informationssikkerhed. Som en del af lederteamet fokuserer David på at give organisationer mulighed for at navigere i komplekse regulatoriske landskaber med selvtillid og udvikle strategier, der afstemmer forretningsmål med effektive løsninger. Han er også medvært på podcasten Phishing For Trouble, hvor han dykker ned i højprofilerede cybersikkerhedshændelser og deler værdifulde erfaringer, der kan hjælpe virksomheder med at styrke deres sikkerheds- og compliancepraksis.

ISO 27001:2013 Krav

ISO 27001:2013 Bilag A Kontrolelementer

Om ISO 27001