ISO 27001-krav 10.2 – Kontinuerlig forbedring

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Gå til emnet

Hva innebærer punkt 10.2?

Det er flere mekanismer som allerede er dekket innenfor ISO 27001 for kontinuerlig evaluering og forbedring av ISMS, inkludert:

6.1 risikovurdering og behandling – pågår
6.2 mål overvåking, måling og evaluering – pågår
9.2 Internrevisjoner – pågår
9.3 ledelsesgjennomganger – pågår
10.1 avvik og korrigerende tiltak – pågår
Vedlegg A 5 – gjennomgang av retningslinjer – pågår
Vedlegg A 7 – menneskelig ressursengasjement og bevissthet
Vedlegg A 16 – sikkerhetshendelser, hendelser og svakheter – pågår
Vedlegg A 18 – samsvarsvurderinger – pågår
Generelle eksterne revisjoner (f.eks. for UKAS-sertifisering av ISO-sertifiserte organer)

De fleste av disse ovenfor vil typisk skje uten å måtte settes på en forbedringsliste i seg selv (så vær tydelig om det i policyen) og kan demonstreres som en del av den kontinuerlige forbedringen av å ta ISMS-operasjonen på alvor.

Forbedringer kan også komme fra mange andre steder, og det bør oppmuntres til at de blir dokumentert innenfor ISMS-forbedringsprosessen. Disse inkluderer:

Kundenes forespørsler eller bekymringer
Trenddata fra andre driftssystemer
Andre observasjoner f.eks fra leverandører eller andre interesserte

Det er også nyttig å finne ut hva som ikke er en forbedring i styringssystemet for informasjonssikkerhet. For eksempel når du driver en servicedesk som mottar produktspørsmål, vil det være smertefullt å behandle hver billett som en mulighet for forbedring, mens gjentatte problemer kan være et avvik eller et generelt område for forbedring – så sørg for at det er klart hva som er og hva er ikke vurdert.

Bli sertifisert opptil 5 ganger raskere med ISMS.online

Overholdelse trenger ikke å være komplisert – ISMS.online er utviklet for å hjelpe deg med å oppnå ISO 27001-sertifisering raskt og rimelig uten behov for opplæring.
Vi har strømlinjeformet ISO 27001-prosessen med vår Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, enkel onboarding og ekspertstøtte.

Bestill en plattformdemo for å se hvordan ISMS.online kan hjelpe bedriften din

Bestill en demonstrasjon

Overholdelse trenger ikke å være komplisert.

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på.
Alt du trenger å gjøre er å fylle ut de tomme feltene.

Bestill en demonstrasjon

ISO 27001-krav 10.2 – Kontinuerlig forbedring

Gå til emnet

Hva innebærer punkt 10.2?

Bli sertifisert opptil 5 ganger raskere med ISMS.online

Overholdelse trenger ikke å være komplisert.

ISO 27001:2022-krav

4.1 Forstå organisasjonen og dens kontekst

4.2 Forstå behovene og forventningene til interesserte parter

4.3 Bestemme omfanget av ISMS

4.4 Informasjonssikkerhetsstyringssystem (ISMS)

5.1 Ledelse og engasjement

5.2 Informasjonssikkerhetspolicy

5.3 Organisatoriske roller, ansvar og myndigheter

6.1 Handlinger for å møte risikoer og muligheter

6.2 Informasjonssikkerhetsmål og planlegging for å nå dem

7.1 Ressurser

7.2 Kompetanse

7.3 Awareness

7.4 Kommunikasjon

7.5 Dokumentert informasjon

8.1 Driftsplanlegging og kontroll

8.2 Informasjonssikkerhetsrisikovurdering

8.3 Behandling av informasjonssikkerhetsrisiko

9.1 Overvåking, måling, analyse og evaluering

9.2 Internrevisjon

9.3 Gjennomgang av ledelsen

10.1 Avvik og korrigerende tiltak

10.2 Kontinuerlig forbedring

ISO 27001:2022 vedlegg A kontroller Organisasjonskontroller

En 5.1 Retningslinjer for informasjonssikkerhet

En 5.2 Informasjonssikkerhetsroller og ansvar

En 5.3 Ansvarsfordeling

En 5.4 Ledelsesansvar

En 5.5 Kontakt med offentlige myndigheter

En 5.6 Kontakt med spesielle interessegrupper

En 5.7 Threat Intelligence

En 5.8 Informasjonssikkerhet i prosjektledelse

En 5.9 Inventar over informasjon og andre tilknyttede eiendeler

En 5.10 Akseptabel bruk av informasjon og andre tilknyttede eiendeler

En 5.11 Retur av eiendeler

En 5.12 Klassifisering av informasjon

En 5.13 Merking av informasjon

En 5.14 Informasjonsoverføring

En 5.15 Access Control

En 5.16 Identitetshåndtering

En 5.17 Autentiseringsinformasjon

En 5.18 Tilgangsrettigheter

En 5.19 Informasjonssikkerhet i leverandørforhold

En 5.20 Adressering av informasjonssikkerhet innenfor leverandøravtaler

En 5.21 Håndtere informasjonssikkerhet i IKT-leverandørkjeden

En 5.22 Overvåking og gjennomgang og endringsstyring av leverandørtjenester

En 5.23 Informasjonssikkerhet for bruk av skytjenester

En 5.24 Informasjonssikkerhetshendelsesplanlegging og -forberedelse

En 5.25 Vurdering og beslutning om informasjonssikkerhetshendelser

En 5.26 Respons på informasjonssikkerhetshendelser

En 5.27 Lær av informasjonssikkerhetshendelser

En 5.28 Samling av bevis

En 5.29 Informasjonssikkerhet under avbrudd

En 5.30 IKT-beredskap for forretningskontinuitet

En 5.31 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav

En 5.32 Immaterielle rettigheter

En 5.33 Beskyttelse av poster

En 5.34 Personvern og beskyttelse av PII

En 5.35 Uavhengig gjennomgang av informasjonssikkerhet

En 5.36 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet

En 5.37 Dokumenterte driftsprosedyrer

Personkontroller

En 6.1 Screening

En 6.2 Vilkår og betingelser for ansettelse

En 6.3 Informasjonssikkerhetsbevissthet, utdanning og opplæring

En 6.4 Disiplinær prosess

En 6.5 Ansvar etter oppsigelse eller endring av ansettelse

En 6.6 Konfidensialitet eller taushetserklæring

En 6.7 Fjernarbeid

En 6.8 Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

En 7.1 Fysiske sikkerhetsomkretser

En 7.2 Fysisk inngang

En 7.3 Sikring av kontorer, rom og fasiliteter

En 7.4 Fysisk sikkerhetsovervåking

ISO 27001:2022 vedlegg A kontroller

Organisasjonskontroller