ISO 27001 Krav 7.2 – Kompetanse

Hva innebærer punkt 7.2?

ISO IEC 27001 for klausul 7.2 sier i utgangspunktet at organisasjonen vil sikre at den har:

• bestemte kompetansen til personene som utfører arbeidet med ISMS som kan påvirke ytelsen
• personer som anses som kompetente på grunnlag av relevant utdanning, opplæring eller erfaring
• der det er nødvendig, iverksette tiltak for å tilegne seg nødvendig kompetanse og evaluert effektiviteten til handlingene
• beholdt bevis på ovennevnte for revisjonsformål

På grunnlag av disse kravene er det lett å tenke at svaret for 7.2 kan være å ansette en informasjonssikkerhetsekspert – men det er ikke alltid nødvendig!

Det kreves en hel haug med ferdigheter og erfaringer for en vellykket implementering og løpende styring av et ISMS som er sertifisert til ISO 27001, utover ekspertise innen fysisk sikkerhet, cybersikkerhet, datasikkerhet eller andre former for informasjonssikkerhet i seg selv.

Disse inkluderer: kommersiell, juridisk, HR, IT, samt relevant produkt- og tjenesteekspertise for arbeidet i omfang.

Å bygge og drive en ISMS er vanligvis en samarbeidende teamjobb. Det viktigste er en forståelse av organisasjonen, dens formål og mål, dens kultur, risikovilje og kravene uttrykt i punktene 4.1, 4.2, 4.3, 6.1, 6.2.

Demonstrere samsvar med klausul 7.2

Ved siden av 7.3 bevissthet og 7.4 kommunikasjonsklausuler, kan 7.2 demonstreres med en generell uttalelse om teamet som er involvert og deres troverdighet, med lenker på tvers av ISMS for å demonstrere arbeidet deres som bevis for å spare tid (hvis du bruker en sammenslått plattform som f.eks. ISMS.online).

I tillegg er en enkel tabell for å vise de involverte personene, rollen de utfører med notater sammen med relevant erfaring, opplæring eller utdanning nyttig, og noen revisorer liker å se den detaljen. Det trenger ikke være en CV, bare vis hvorfor de er involvert:
F.eks Fred Bloggs – implementeringsleder med dagjobb med tjenestelevering og IT-ansvarlig. Har 5 års erfaring innen begge felt, og relevant opplæring eller utdanning, f.eks. deltatt på nettkurs i cybersikkerhet, gjennomført en mastergrad i informatikk.

Dette kan holdes veldig enkelt, det er ikke en behovsanalyse for informasjonssikkerhetstrening eller detaljert handlingsplan (selv om du kanskje vil ha en av dem også avhengig av organisasjonsstilen og dens tilnærming til HR-utviklingsplaner).

Alt ekstern revisor vil vite er at teamet som er involvert er kompetent, og det er sannsynlig at noen eller hele teamet vil være involvert i revisjonsprosessen uansett, da vil revisor uansett danne seg sin egen mening.

Husk at informasjonssikkerhet utført med en forretningsledet tilnærming handler om å drive virksomheten bedre, ikke bare å implementere 114-kontroller for dens skyld. Derfor er det lite sannsynlig at det vil være hull i kjerneferdighetene og forståelsen av organisasjonen din, ellers er det usannsynlig at den fungerer!

Hvis det imidlertid er hull i kompetansen, ferdighetene og erfaringene rundt implementering og drift av et styringssystem for informasjonssikkerhet for å møte denne klausulen, kan de lukkes på en rekke måter:

• Sende de involverte ansatte på ISO 27001 hovedrevisor, ledende implementer og implementeringskurs, eller et av de mange andre informasjonssikkerhetskursene der ute. Dette kan imidlertid bli dyrt for én person enn si et team både når det gjelder kostnader og tidsavbrudd på kontoret. Det kan føre til implementeringsproblemer i seg selv hvis treneren eller programmet er for generelt, gammeldags eller ikke forstår organisasjonskulturen, arbeidsmåter osv.
• Å lese rundt mange av de gratis ressursene på internett som denne nettsidens ressurser, nettsteder som National Cyber ​​Security Center (NCSC) med sine spesialistveiledninger og sjekklister, og fordøye ISO 27001- og ISO 27002-standardene kommer til å vise revisor et nivå av kompetanse også. Dette samsvarer med vedlegg A 6.1.4 for å holde seg oppmerksom på og involvert i spesialiserte informasjonssikkerhetsfora og fagforeninger.
• Lei inn spesialiserte fysiske ressurser for å bygge kompetanse – det er et voksende marked for virtuelle CISO (Chief Information Security Officers) og team rundt dem. Dette kan absolutt gi mening, og vi anbefaler det for målrettet arbeid sammen med de interne ressursene som er spesialist på sine felt når organisasjonen har kapasitets- og kompetanseproblemer og budsjett er et mindre problem. Mange av ISMS.online-partnerne tilbyr en slik tjeneste, og vi er veldig glade for å foreslå en partner som kan hjelpe til med å lukke disse hullene og legge til enda mer verdi på toppen av ISMS.online.
• Bruk Virtual Coach-tjenesten inne i ISMS.online for å bygge og vokse kompetanse på tvers av implementeringsteamet og vise revisoren at hvert medlem av teamet har vært gjennom informasjonssikkerhetsveiledning/veiledning og fått opplæring i forberedelsesplanen slik at de vet fra bakken opp hva et styringssystem for informasjonssikkerhet er, hvorfor det kreves og hva jobben deres er i teamet. De kan også demonstrere at de jobber selvsikkert og konsekvent til et nivå som følger Virtual Coach-guidene, tipsene og videoene innenfor hvert av kravene og kontrollområdene i vedlegg A.

Bli sertifisert opptil 5 ganger raskere med ISMS.online

Overholdelse trenger ikke å være komplisert – ISMS.online er utviklet for å hjelpe deg med å oppnå ISO 27001-sertifisering raskt og rimelig uten behov for opplæring.
Vi har strømlinjeformet ISO 27001-prosessen med vår Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, enkel onboarding og ekspertstøtte.

Bestill en plattformdemo for å se hvordan ISMS.online kan hjelpe bedriften din