ISO 27001-krav 9.3 – Ledergjennomgang

Hva innebærer punkt 9.3?

ISO selv sier at gjennomgangene bør finne sted med planlagte intervaller, som vanligvis betyr minst én gang per år og innenfor en ekstern revisjonsovervåkingsperiode. Men med endringstakten i informasjonssikkerhetstrusler, og mye å dekke i ledelsesgjennomganger, er vår anbefaling å gjøre dem langt oftere, som beskrevet nedenfor, og sikre at ISMS fungerer godt i praksis, ikke bare krysse av for ISO-samsvar.

Verdien av styringssystemet for informasjonssikkerhet (ISMS) Management Review er ofte undervurdert. Noen kan se på det som et avkrysningskrav som må skje rent for å oppfylle ISO 27001-krav 9.3. Men for å virkelig "leve og ånde" god informasjonssikkerhetspraksis, er dens rolle uvurderlig.

Formålet med ledelsesgjennomgangen er å sikre at ISMS og dets mål fortsetter å forbli passende, tilstrekkelige og effektive gitt organisasjonens formål, problemstillinger og risiko rundt informasjonsmidlene. Disse vil tidligere ha vært behandlet innenfor 4.1 organisasjonen og dens kontekst, 4.2 kravene til interessenter, 4.3 omfanget av ISMS, og 6.1 for risikostyringsarbeidet.

Arbeidet frem mot og rundt ledergjennomgangen vil gjøre det mulig for toppledelsen å ta godt informerte, strategiske beslutninger som vil ha en vesentlig effekt på informasjonssikkerheten og måten organisasjonen forvalter den på.

Hva bør inkluderes i ISO 27001 Management Review?

Ledergjennomgangen skal minimum følge et standardformat som ser på kravene i 9.3 for ISO 27001:2103. Disse er skissert nedenfor. I tillegg kan det også være at organisasjonen ønsker å inkludere andre samsvarsregimer i gjennomgangen, som Cyber ​​Essentials, ISO 9001 og annen god praksis, for å lette effektive gjennomganger og informert beslutningstaking. Det kan til og med knytte 9.3 informasjonssikkerhetsaspektene for 9.3 til bredere toppledermøter eller formelle styremøter. Uansett må den dokumentere resultatene og handlingene fra vurderingene.

For organisasjoner som er i implementeringsfasen av ISMS, anbefaler vi også at de gjennomfører ledelsesgjennomganger ukentlig som en del av en god praksis å bygge vaner, og inkluderer implementeringsleksjoner, neste periodes mål og problemstillinger sammen med de elementene i den formelle ledelsesagendaen som kan dekket av. Eksterne revisorer liker veldig godt å se organisasjonen omfavne ånden i ledelsesgjennomgangen og liker å se effektivitet fra planleggings- og gjennomføringsarbeid, som også passer inn i kravene til paragraf 7.5 og punkt 8 for drift.

Den formelle agendaen for ISO 27001 ledelsesgjennomgang 9.3 bør inkludere vurdering av:

• Status for handlinger fra tidligere ledelsesgjennomganger
• Endringer i eksterne og interne problemstillinger som er relevante for styringssystemet for informasjonssikkerhet
• Tilbakemelding om informasjonssikkerhetsytelsen, inkludert trender innen:
• avvik og korrigerende handlinger;
• overvåking og måleresultater;
• revisjonsresultater; og
• oppfyllelse av informasjonssikkerhetsmål.
• Tilbakemeldinger fra interesserte
• Resultater av risikovurdering og status for risikobehandlingsplan; og
• Muligheter for kontinuerlig forbedring.

Du vil kanskje også legge til et ekstra punkt:

• Bli enige om revisjonsfokus for kommende periode. Dette er valgfritt hvis du er en smidig organisasjon og ikke er i stand til å spesifisere hele revisjonsprogrammet og planlegge for langt i forveien. Men husk at noen eksterne revisorer ønsker mer klarhet over hele programmet for sertifiseringssyklusen!

Resultatene fra ledelsens gjennomgang bør inkludere beslutninger knyttet til kontinuerlige forbedringsmuligheter og eventuelle behov for endringer i styringssystemet for informasjonssikkerhet.

Hvem bør delta på ISO 27001 Management Review?

Tatt i betraktning ovenfor er det tydelig å se at, gitt behørig hensyn, er ISO 27001-ledelsesgjennomgangen et uunnværlig verktøy for å sikre at ISMS fortsetter å være effektivt for å hjelpe organisasjonen med å oppnå de tiltenkte resultatene fra investeringene i informasjonssikkerhetsstyring.

For at ISMS skal være effektivt i en organisasjon, trenger det seniorledelsens engasjement, og som sådan er det fornuftig at medlemmene i et ISMS "styre" har myndighet i saker som gjelder informasjonssikkerhet. Vanligvis kan et ISMS-styre inkludere Chief Information Security Officer (CISO) og annen toppledelse sammen med representantene som administrerer ISMS i praksis. Roller rundt informasjonssikkerhet trenger ikke å være heltid eller eksklusive, men trenger klarhet i roller, ansvar og myndighet som skissert i punkt 5.3. Å ha et ISMS Board hjelper også den prosessen.

Resultatene fra ledelsens gjennomgang vil inkludere beslutninger knyttet til muligheter for kontinuerlige forbedringer og eventuelle behov for endringer i styringssystemet for informasjonssikkerhet.

Hva er den ideelle frekvensen for ledelsesgjennomgang?

Det er et minimumskrav om å gjennomføre en ledelsesgjennomgang én gang i året, og oftere dersom det er vesentlige endringer som kan påvirke informasjonssikkerheten og ISMS. Imidlertid vil frekvensen bli definert av ledelsens krav om å overvåke suksessen til ISMS. Det er også en fare for at jo større intervall, desto større arbeid vil det være med å gjennomgå forrige periode. Det øker også risikoen for at feil i ISMS ikke blir identifisert umiddelbart.

Av den grunn vil vi anbefale månedlig, annenhver måned eller til og med kvartalsvis hvis ISMS-en din er ganske stabil. Selvsagt må ledelsesgjennomganger finne sted med planlagte intervaller for å sikre at ISMS forblir "egnet, tilstrekkelig og effektivt".

For de som søker ISO 27001-sertifisering av deres ISMS, er det også viktig å merke seg at det er et krav om å bevise, under trinn 1 skrivebordsrevisjonen, at de vanlige gjennomgangene finner sted.

Vi foreslår ukentlige ledelsesgjennomganger før trinn 1-revisjon, da dette vil holde implementeringsprosjektet ditt på sporet, bygge opp vanen, og innen én måned vil du ha bygget opp nok bevis ved å bruke det enkle Management Review-programmet på plattformen til å tilfredsstille revisor og komme inn i sporet for fremtidige anmeldelser.

Ledelsesanmeldelser ved hjelp av ISMS.online

ISMS.online gjør det enkelt å administrere hele ISMS, inkludert ledelsesanmeldelser for informasjonssikkerhet.

ISMS.online samler alt i ett sikkert, nettbasert miljø hvor du kan samarbeide med kolleger, fange de nødvendige bevisene bare én gang og enkelt navigere til det før, under og etter gjennomgangen.