ISO 27001 krav 9.1 – ytelsesevaluering

Hva innebærer punkt 9.1?

Hvis organisasjonen søker sertifisering for ISO 27001, vil den uavhengige revisoren som arbeider i et sertifiseringsorgan tilknyttet UKAS (eller et tilsvarende akkreditert organ internasjonalt for ISO-sertifisering) se nøye på følgende områder:

• hva den har bestemt seg for å overvåke og måle, ikke bare målene, men også prosessene og kontrollene
• hvordan det vil sikre gyldige resultater i måling, overvåking, analyse og evaluering
• når den måling, overvåking, evaluering og analyse finner sted og hvem gjør det
• hvordan resultatene blir brukt

Som alt annet med ISO IEC internasjonale standarder, inkludert ISO 27001, er den dokumenterte informasjonen viktig – så å beskrive den og deretter demonstrere at den skjer er nøkkelen til suksess!

Hvordan oppfylle kravene i punkt 9.1

Som med mye av paragraf 8 for driften av styringssystemet for informasjonssikkerhet, blir punkt 9.1 ivaretatt ved å se på hele ISMS og de andre delene som bidrar til dette kravet.

For eksempel:

• Arbeidet som er fullført i 4.1, 4.2 og 4.3 identifiserer problemstillingene (inkludert informasjonsmidlene), interessentene og omfanget
• 6.1 fremhever deretter risikoidentifikasjon, evaluering og behandling på en strukturert måte for å hjelpe til med å møte dette kravet
• 6.2 dokumenterer faktisk målene for ISMS, og hvis det gjøres godt vil det inkludere måling, overvåking, frekvens, kildestyring og bevis
• 9.2 hjelper med interne revisjoner av hele systemet, som viser hva som fungerer og hva som kan forbedres
• 9.3 bringer mye av at kravene fungerer sammen for ledelsesgjennomganger og analyser med den strategiske beslutningstakingen fra agendaen den dekker
• Klausul 10.1 ser deretter på avviket og 10.2 de bredere mulighetene for kontinuerlig forbedring i styringssystemet for informasjonssikkerhet
• Mange av vedlegg A-kontrollene driver også evaluering og gjennomgang av ytelse, inkludert vedlegg A.5.1, vedlegg A.18 både for overholdelse av lovgivning og uavhengige vurderinger av informasjonssikkerhet

Så forutsatt at disse delene av ISMS har blitt implementert med klausul 7.5 robustheten av dokumentasjon i tankene, kan du puste lettet ut. Det er ikke noe annet å gjøre enn å dokumentere at 9.1 oppfylles av punktene ovenfor og slå sammen styringssystemet slik at en revisor kan se at alt fungerer i praksis. Det er enkelt å gjøre med ISMS.online.

Bli sertifisert opptil 5 ganger raskere med ISMS.online

Overholdelse trenger ikke å være komplisert – ISMS.online er utviklet for å hjelpe deg med å oppnå ISO 27001-sertifisering raskt og rimelig uten behov for opplæring.
Vi har strømlinjeformet ISO 27001-prosessen med vår Assured Results Method, en 80 % Headstart, din egen 24/7 Virtual Coach, enkel onboarding og ekspertstøtte.

Bestill en plattformdemo for å se hvordan ISMS.online kan hjelpe bedriften din