ISO 27001 Krav 7.4 – Kommunikasjon

Hva innebærer punkt 7.4?

Som med andre deler av ISMS er det muligheter for å bli med og demonstrere styringssystemet for informasjonssikkerhet, spesielt kommunikasjonskravene er en sammenhengende integrert del av organisasjonens kommunikasjons-, utdannings-, opplærings- og bevissthetsprosesser.

Denne klausulen 7.4 samsvarer også med vedlegg A 7 for menneskelig sikkerhet der kravene rundt kommunikasjon starter med HR-sikkerhetsscreening, går inn i informasjonssikkerhetsvilkår for ansettelseskontrakter, disiplinære prosesser og etter rolleendringer eller avslutning. Den viktigste integrasjonen for HR-sikkerhet er med A 7.2.2 hvor det er kontroll for informasjonssikkerhetsbevissthet, utdanning og opplæring.

ISO 27001 ser etter følgende ting i denne klausulen:

• hva du skal kommunisere om ISMS
• når det vil bli kommunisert
• hvem som vil være part i den kommunikasjonen
• hvem som foretar kommunikasjonen
• hvordan det hele skjer, dvs. hvilke systemer og prosesser som skal brukes for å demonstrere at det skjer og er effektivt

Spesielt ISO 27001: 2013 A.7.2.2-kontroll krever at: "Alle ansatte i organisasjonen og, der det er relevant, entreprenører skal motta passende bevissthetsopplæring og opplæring og regelmessige oppdateringer i organisasjonens retningslinjer og prosedyrer, som er relevant for deres jobbfunksjon."

Denne kontrollen, tatt med kravet i paragraf 7.4 i de viktigste ISO 27001-kravene for å demonstrere "hvordan" og hvor effektiv kommunikasjon er, sammen med behovet for at toppledelsen faktisk beskytter organisasjonen sin og ikke bare krysser av, betyr at dynamisk og trygg kommunikasjon for tillit til samsvar er nødvendig.

Hvem må vurderes i kommunikasjonen er det sannsynlig at de er interessert i?

Utgangspunktet for dette bør være arbeidet som gjøres i 4.2, se på interessentene og se tilbake for å forstå deres behov og krav til kommunikasjon, noe som åpenbart vil stemme overens med deres posisjon på interessentkartet og de underliggende problemene og bekymringene de har. har om ytelsen. Som før vil ikke én størrelse passe alle når det gjelder hva, hvorfor og hvordan kommunikasjonen foregår. For eksempel vil en "hold fornøyd"-interessert part som UK Information Commissioner for å vise overholdelse av databeskyttelsesloven og GDPR bare ønske å vite to ting: a) er du registrert som behandlingsansvarlig og/eller behandler; og b) når du har opplevd en sikkerhetshendelse som skaper tap eller potensielle konsekvenser faller innenfor deres interesseområde.

Andre holder fornøyde interessenter vil sannsynligvis være sterke kunder, og også eksterne revisorer for ISO 27001, spesielt hvis uavhengig UKAS eller lignende sertifisering vurderes. De ønsker å ha tillit til at ISMS fungerer godt og ha den regelmessige informasjonssikkerheten som kommer fra overvåkingsrevisjoner og kanskje revisjonsretten på tidspunkter de selv velger, samt holdes informert om vesentlige endringer eller hendelser.

Nøkkelaktører og hold informerte interessenter som toppledelse, ansatte eller nært involverte leverandører som hadde tilgang til dine mest verdifulle informasjonsressurser, må være engasjert og oppmerksomme på mye mer om styringssystemet for informasjonssikkerhet.

Ting som må vurderes her inkluderer:

• Hva informasjonssikkerhet betyr for organisasjonen og dens fordeler samt konsekvenser
• Bevissthet om de viktigste språkbegrepene og eksempler på god og dårlig konfidensialitet, integritet og tilgjengelighet som er meningsfulle for dem
• Organisasjonens retningslinjer og kontroller for informasjonssikkerhet som påvirker jobben deres og de som jobber rundt dem
• Hva de skal gjøre i tilfelle en hendelse, hendelse eller svakhet som de først identifiserer
• Hva de skal gjøre når noe har skjedd andre steder i organisasjonen og de må iverksette tiltak for å forbli beskyttet
• Generelle oppdateringer og dynamisk kommunikasjon som er relevant for deres rolle (utover retningslinjer og kontroller)

Sikre at kommunikasjon og samsvar oppnås for suksess i ISO 27001

Mens en ekstern revisor som foretar ISO 27001-sertifisering vil se nøye etter bevis på kommunikasjonen ovenfor, er det mer vesentlige forretningsproblemet mer om at interessentene ikke er klar over eller ikke overholder kommunikasjonen. Det kan fort føre til en alvorlig informasjonssikkerhetshendelse og store tap, spesielt om personopplysninger der GDPR-bøter og store omdømmeskader var under vurdering.

Det er sannsynlig at de fleste organisasjoner allerede har kanaler for kommunikasjon; ansikt til ansikt arbeid, teamdager, e-post, intranett og andre midler for å engasjere ansatte. Vi anbefaler at alle disse vurderes hvis disse vanene er godt bygget opp for personalet og de vil svare på dem. Men når du allerede mottar for mange e-poster, sklir av i team-telekonferanser, vil den spennende ISMS-kommunikasjonen nå frem og levere resultatet du trenger?

Utfordringen for de fleste organisasjoner er manglende evne til å kostnadseffektivt bevise at kommunikasjon har funnet sted og at samsvar er sikret på tvers av den interne og eksterne forsyningskjeden til sentrale interessenter. Internrevisjoner i tråd med paragraf 9.2 er til stor hjelp ved at de vanligvis er sjeldne og svært kostbare for noe annet enn revisjoner av utvalgsstørrelser, og de holder generelt ikke tritt med de raske endringene i informasjonssikkerhetsrisikoer og spesielt cybersikkerhetsproblemer.

Revisorer ser nå mye nærmere på disse kommunikasjonsområdene gitt de økende konsekvensene av feil. Smarte kunder og aksjonærer tar også mye mer hensyn utover ISO-sertifikatet, utover erklæringen om anvendelighet og omfang, til kravene for mer dynamisk overvåking av informasjonssikkerhetsoppdateringer og samsvarssikring. Personbasert overholdelse beveger seg mye tettere mot teknologien og digital systemovervåking som allerede er sett i slike som brannmurer, antivirus-sanntidsovervåkingstjenester.

Hvordan ISMS.online hjelper med ISMS-kommunikasjon

I hjertet er ISMS.online en kommunikasjons- og samarbeidsplattform, slik at den får et godt forsprang på gammeldagse statiske opptakssystemer som pleide å være populære for ISMS og Governance Regulation and Compliance (GRC) stilsystemer. Den distribuerer også informasjon via e-post til sluttbrukere, noe som er flott for enkle oppdateringer og bevissthet, så det passer inn i den vanebaserte måten å kommunisere på. Alt som kreves for mer detaljert overholdelsesarbeid, for eksempel bevis forpliktelse til å gjøre noe, f.eks. å lese en policy bringer brukerne tilbake til plattformen der rettsmedisinske revisjonsspor og bevis imponerer revisorer og sparer enorme mengder tid for ISMS-administratorer, som igjen kan kommunisere med tillit tilbake til toppledelsen.

Plattformen tjener de ulike interessentgruppene svært godt med sin brukervennlighet og fokuserte arbeidsområder som alle er reviderbare og bevisbaserte i tråd med kravene i standarden.

Oppnå kommunikasjonssikkerhet for sterke kunder, toppledelse og eksterne revisorer

Spesielt utviklet i nært samarbeid med sluttbrukere en stor del av funksjonssett i ISMS.online er Policy Pack-tjenesten som gjør det mulig for ISMS-administratorer å demonstrere samsvar med retningslinjene og kontrollene for alle i omfanget. Den innovative tjenesten kombinert med ISMS-oversiktsrapporten (lenger nedenfor) og de generelle gruppesamarbeidsfunksjonene gir mange kostnadsbesparende, risikoreduserende og andre fordeler.

• produksjon av retningslinjer og kontroller én gang, men tillater distribusjon til målrettede grupper enkelt (f.eks. etter avdeling, plassering, rolle, produkt osv.)
• muligheten til å se retningslinjer lest og overholdt dynamisk når som helst
• evnen til å oppdage og adressere områder med mulig avvik raskt og enkelt – fokusere oppmerksomheten mot de høyeste risikoene og ikke kaste bort revisjonstid eller andre begrensede ressurser
• evnen til å vise eksterne revisorer, kraftige sluttkunder og toppledelsen at de har kontroll over hele ISMS fra identifisering av informasjonselementet, risikovurderingen, kontrollene som brukes på den og publikummet/publikummet som retningslinjene brukes mot – alle nøkkelaspekter ved å overholde ISMS-kravene for ISO 27001

For mer avanserte brukere som ønsker å se forholdet mellom informasjonsressurser, risikoer, kontroller og kommunikasjon av policyene til brukerne av Policy Packs, gjør ISMS-oversiktsrapporten nettopp det. Den viser ende til ende tillit og hjelper raskt å isolere hull, problemer eller sløsing utover den kraftige erklæringen om anvendelighet som kreves for ISO 27001 klausul 6.1.3.

Informasjonssikkerhetskommunikasjon til ansatte, leverandører og andre interessenter som må engasjeres og vise samsvar for ISO 27001

Det er flott at kraftige styringssystemer for informasjonssikkerhet fungerer godt for ISMS-administrasjonen og administratorene for å nå sine mål. De ISMS-løsninger må også fungere godt for de sporadiske brukerne som trenger å forstå og overholde retningslinjene deres, være klar over hva som skjer, delta i diskusjoner, ta opp hendelser og svare på oppgaver. Det er akkurat det ISMS.online tilbyr, en evne til å holde disse viktige interessentene kompatible og engasjert i en dynamisk, men sporadisk tilgangsmodell.

Personalet kan lese og overholde retningslinjer for informasjonssikkerhet (og andre) i en Kindle-lignende leseopplevelse, uten støy fra spesialistdelene av ISMS. De kan enkelt vise lesefremgangen og etterlevelsen når de fullfører arbeidet. Dette oppdaterer også administrasjonskonsollen ovenfor dynamisk. Når en policy er oppdatert, kan administratoren ganske enkelt sende den ut til alle leserne og bringe den til deres oppmerksomhet.

I tillegg til Policy Pack-tjenesten, tilbyr ISMS online en rekke måter å sikre kommunikasjon og engasjement for personalet, inkludert ISMS-kommunikasjonsgrupper, som er flotte å kringkaste oppdateringer, delta i diskusjoner, tildele oppgaver via e-postvarsler og vise bevis på det til revisorer samt beholde kunnskap for nyansatte og andre som må engasjeres i fremtiden. Disse kravene er ikke så enkle med noen av de mer tradisjonelle kommunikasjons- og messenger-produktene ute på markedet eller e-post alene. Utover disse kjernetjenestene til grupper og policypakker, gjør mange andre funksjoner på plattformen også hele kommunikasjonsprosessen til en rikere og mer integrert opplevelse.

Bli sertifisert opptil 5 ganger raskere med ISMS.online

Overholdelse trenger ikke å være komplisert – ISMS.online er utviklet for å hjelpe deg med å oppnå ISO 27001-sertifisering raskt og rimelig uten behov for opplæring.
Vi har strømlinjeformet ISO 27001-prosessen med vår Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, enkel onboarding og ekspertstøtte.

Bestill en plattformdemo for å se hvordan ISMS.online kan hjelpe bedriften din