Nedenfor finder du kernekravene i ISO 27001:2013. Hvis du leder efter den opdaterede
ISO 27001:2022 kernekrav, klik venligst på knappen nedenfor.
Hvad indebærer paragraf 5.3?
Ganske enkelt søger ISO 27001 klarhed og fokus på de centrale dele af ISMS - hvem er overordnet ansvarlig, hvem er ansvarlig for visse dele, al god og logisk forretningspraksis. Du skal demonstrere, at visse roller (ikke nødvendigvis personer) eksisterer, er udpeget af topledelsen, og de kommunikeres til de relevante interesserede parter og dokumenteres tydeligt, så der ikke er nogen tvetydighed. Kravet her er et ret højt niveau og det er nemt at dokumentere, og passer også med andre dele af informationssikkerhedsstyringssystemet fx sikkerhedsrisikoejere i 6.1, info sec objektive ejere i 6.2 osv.
Så én person kan udføre mere end én rolle, og du kan forene arbejdet, f.eks. ved at have en bestyrelse til at overvåge alt for at hjælpe med at demonstrere ledelsesanmeldelser i overensstemmelse med 9.3 og fuldstændig tilslutte informationssikkerhedsstyringssystemet. Bare gør det klart, hvem der har ansvaret for hvad. Tænk over rollerne med interesserede parter i tankerne samt praktisk levering. For eksempel kan rollen som CISO (Chief Information Security Officer) betyde for dine kunder, at du tager informationssikkerhed seriøst, og det kan udføres af en ledende medarbejder ud over deres daglige arbejde, eller hvis det i en større organisation kan være en fuld -tidsrolle i sig selv.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Du kan også vælge at have en TISO (Technical Information Security Officer) eller tilsvarende, som ville være mere teknisk og i stand til at fokusere på disse aspekter af ISMS, hvis de andre roller leveres af mere kommercielle/strategiske personer. Se bilag A 6.1.1 (om organiseringen af informationssikkerhed) og sørg for, at du afstemmer dette krav med den bilag A-kontrol.
ISO 27001 søger specifikt efter klarhed i roller og ansvar for:
- At sikre, at informationssikkerhedsstyringssystemet er i overensstemmelse med kravene fra Den Internationale Standardiseringsorganisation
- Rapportering af ISMS'ens ydeevne (hvilket er meget nemmere, når det hele er samlet ét sted)
Det kan meget vel være, at en ledende medarbejder har ansvaret for ISMS'et som en del af ledelsens engagement i informationssikkerhed (5.1), men kan naturligvis delegere driften af det til andre i organisationen eller outsource til specialiserede parter som den virtuelle CISO, som mange af ISMS.online-partnerne tilbyder tjenester omkring. Husk blot at dokumentere det!
Gør det nemmere med ISMS.online
ISMS.online-platformen gør det nemt for topledelsen at etablere en informationssikkerhedspolitik, der er i overensstemmelse med organisationens formål og kontekst.
Dit ISMS vil omfatte en forudbygget informationssikkerhedspolitik, som nemt kan tilpasses din organisation. Denne politik tjener som en ramme for gennemgang af målsætninger og inkluderer forpligtelser til at opfylde alle gældende krav og løbende forbedre ledelsessystemet. Denne politik kan nemt deles med interesserede og sendes til udbud eller anden ekstern kommunikation.
