ISO 27001-krav 4.2 – Interesserte parter

Hva er en interessert part?

På det enkleste er en interessent en interessent – ​​noen, en gruppe eller en enhet med interesse i ditt ISMS (eller kanskje selve organisasjonen).

Du skal enkelt kunne identifisere mange av dine interesserte parter etter å ha fullført de interne og eksterne problemene som påvirker de tiltenkte resultatene av styringssystemet for informasjonssikkerhet.

Disse vil inkludere ansatte, leverandører, kunder, aksjonærer, direktører, prospekter, styremedlemmer, konkurrenter, lovgivere og regulatorer, fagforeninger etc.

Interesserte parter er ikke alltid de åpenbare også – for eksempel kan hackere og relaterte ondsinnede parter trenge vurdering, det samme gjør media og andre avhengig av virksomhetens art og problemene den står overfor.

Men i stedet for å lage et utvalg av én størrelse som passer til alle retningslinjer og kontroller for alle dine interesserte parter, er det bedre å se på de interesserte partene med tanke på deres makt, interesse og støtte – enkelt sagt handler dette om deres evne til å påvirke deres tilnærming til ISMS.

Deretter kan du utvikle passende tilnærminger for å demonstrere at du har deres behov dekket (og selvfølgelig dine der det er en mulig sabotør også!)

Som et eksempel hvis du hadde en kunde som krever at du investerer i ISO 27001 og bygger et uavhengig sertifisert ISO 27001 ISMS, ville du gjort det hvis de var en veldig liten ikke-innflytelsesrik aktør? Du ville sannsynligvis tro om igjen hvis den kunden var en av mange du ønsket å vinne, eller en stor, kraftfull aktør i seg selv.

Ville du tenkt på kryptering hvis det ikke var et reguleringskrav for GDPR – lovgivere og regulatorer (tilsynsmyndigheter) er en mektig "hold fornøyd" interessent du må vurdere og vise at du har deres interesser ivaretatt!

Hvem er de som er interessert i å holde seg fornøyde?

Hvis en interessent har høy makt og lav interesse, bør du tenke på den personen eller gruppen som en "hold fornøyd" interessent. Spør deg selv, hva vil du gjøre i ditt ISMS med retningslinjer og kontroller for å holde dem fornøyde?

I dette området med høy makt og lav interesse, kan du se organisasjoner som lovgivere og regulatorer, veldig mektige kundegrupper, aksjonærer osv. Det kan også være eksterne revisorer og andre bransjeorganer som kan påvirke bedriftens suksess.

Interessen deres er ganske lav fra dag til dag, men deres evne til å påvirke forretningsmålene dine er høy, så de må holdes fornøyde – vanligvis på avstand og å ha et uavhengig sertifisert ISO 27001-sertifikat er en del for å dekke deres behov.

De svært mektige interessentene for informasjonssikkerhet som regulatorer kan også foreskrive spesifikke måter å jobbe på – GDPR og databeskyttelsesloven er svært aktuelle eksempler.

Vurderer andre interesserte parters behov for et vellykket ISO 27001 ISMS

Hvis en interessent har både høy interesse og høy makt, vil vi kalle dem en nøkkelaktør. Disse interessentene bør involveres aktivt. Din toppledergruppe, sentrale avdelingsledere, boutiquekritiske leverandører osv. vil sannsynligvis falle inn i denne kategorien. Du kan faktisk ha noen av dine nært engasjerte viktige kunder i denne kategorien. De kan være veldig interessert i hvordan du jobber fra dag til dag, da det også påvirker dem.

Det er lett å lage lange lister over interessenter å vurdere, men vær forsiktig med å bruke for lang tid på de med lavere makt. De med lavere makt og høyere interesse trenger å holde seg informert, men trenger kanskje ikke å bli konsultert om hva ISMS-en din dekker – det kan hende du bare trenger å fortelle dem, ellers kan de være et stort sug på tids- og investeringsbudsjettet ditt!

Vær også forsiktig med å bare dumpe interessenter du ikke liker i de lavere kraftbøttene – vi så dette skje i ett firma. De betalte for det senere fordi interessenten faktisk var ganske mektig og forsinket dem i å nå målene sine fordi kravene deres ikke ble prioritert.

Ved å kombinere dette interessentarbeidet og interessentarbeidet med de interne og eksterne problemene du har identifisert i 4.1, bidrar det til en bedre forståelse av hvor trusler og muligheter kan stamme fra i styringssystemet for informasjonssikkerhet.

Dette kombinert med omfanget av ditt ISMS (4.3) fører til en mye mer logisk og forretningsledet tilnærming til risikovurderingen i 6.1 og mye større informasjonssikkerhet med retningslinjer og kontroller som dine ansatte og interessenter vil verdsette og omfavne.

I ISMS.online tilbyr vi en mal og verktøyet med en "bank av interessenter" for å hjelpe deg enkelt å oppfylle kravene i ISO 27001 klausul 4.2. Det valgfrie Virtual Coach-programmet kommer også med videocoaching om hvordan man oppfyller kravene.