Hvordan gjennomføre ISO 27001 Management Review

Hva er formålet med ISO 27001:2013 Management Review?

Verdien av styringssystemet for informasjonssikkerhet (ISMS) Management Review er ofte undervurdert.

Noen kan se på det som et avkrysningskrav som må skje rent for å oppfylle ISO 27001 krav 9.3. Men for å virkelig "leve og ånde" god informasjonssikkerhetspraksis, er dens rolle uvurderlig.

Formålet med ledelsesgjennomgangen er å sikre at ISMS og dets mål fortsetter å forbli passende, tilstrekkelige og effektive gitt organisasjonens formål, problemer og risikoer. Disse vil tidligere ha vært behandlet innenfor 4.1 Organisasjonen og dens kontekst, 4.2 Kravene til interesserte parter, og 6.1.Risk Management.

Resultatene av ledelsesgjennomgang vil gjøre det mulig for toppledelsen å gjøre godt informert, strategiske beslutninger som vil ha en vesentlig effekt på informasjonssikkerhet og måten organisasjonen forvalter den på.

Hva bør inkluderes i ledelsesgjennomgangen?

Ledergjennomgangen skal følge a Standard format som ser på forventningene til ISO 27001: 2103.

Det kan også være at organisasjonen ønsker å inkludere andre compliance-regimer i gjennomgangen, som f.eks Cyber ​​Essentials, ISO 9001 og annen god praksis, for å lette effektive gjennomganger og informert beslutningstaking.

ISO 27001-ledelsesgjennomgangen bør inkludere vurdering av:

a) status for handlinger fra tidligere ledelsesgjennomganger;

b) endringer i eksterne og interne problemstillinger som er relevante for informasjonssikkerhetsstyring system;

c) tilbakemelding om informasjonssikkerhetsytelsen, inkludert trender innen:

1. avvik og korrigerende handlinger;
2. overvåking og måling resultater;
3. revisjon resultater; og
4. oppfyllelse av informasjonssikkerhetsmål.

d) tilbakemelding fra interesserte parter;

e) resultater av risk_assessment">risikovurdering og status for risikobehandling plan; og

f) muligheter for kontinuerlig forbedring.

Det kan også være lurt å legge til et ekstra punkt g) Bli enige om revisjonsfokus for kommende periode. Dette er valgfritt hvis du er smidig organisasjon og ikke i stand til å spesifisere hele revisjonsprogrammet fullt ut og planlegge for langt i forveien. Men husk at noen eksterne revisorer ønsker mer klarhet over hele programmet gjennom sertifiseringssyklusen!

Resultatene fra ledelsens gjennomgang bør inkludere beslutninger knyttet til kontinuerlig forbedring muligheter og eventuelle behov for endringer i styringssystemet for informasjonssikkerhet.

Hvem bør delta på ledergjennomgangen?

Tatt i betraktning ovenfor, er det klart å se at, gitt behørig hensyn, ISO 27001 ledelsesgjennomgang er en uunnværlig verktøy for å sikre at ISMS fortsetter å være effektivt i et av hovedmålene, det å redusere informasjonssikkerhetsrisikoer.

For at ISMS skal være effektivt i en organisasjon, trenger det senior ledelsesengasjement og som sådan er det fornuftig at medlemmene av et ISMS "styre" har myndighet i saker som gjelder informasjonssikkerhet.

Vanligvis kan et ISMS-styre inkludere Chief Information Security Officer (CISO), Senior Information Risk Owner (SIRO), Chief Technical Officer og kanskje til og med administrerende direktør.

Resultatene fra ledelsens gjennomgang vil inkludere beslutninger knyttet til kontinuerlig forbedring muligheter og eventuelle behov for endringer i styringssystemet for informasjonssikkerhet.

Frekvens for ledelsens gjennomgang

Det er et minimumskrav for å gjennomføre en gjennomgang av ledelsen en gang i året, og oftere hvis det er vesentlige endringer som kan påvirke informasjonssikkerheten og ISMS.

Imidlertid vil frekvensen bli definert av ledelsens krav om å overvåke suksessen til ISMS. Det er også en fare for at jo større intervall, desto større arbeid vil det være med å gjennomgå forrige periode. Det øker også risikoen for at feil i ISMS ikke blir identifisert umiddelbart.

Av den grunn vil vi anbefale månedlig, annenhver måned eller til og med kvartalsvis hvis ISMS-en din er ganske stabil. Sikkert, ledelsesgjennomganger skal skje ved planlagt intervaller for å sikre at ISMS forblir "egnet, tilstrekkelig og effektiv".

For de som søker ISO 27001-sertifisering av deres ISMS, er det også viktig å merke seg at det er et krav om å bevise, under Stage 1 desktop revisjon, at de vanlige gjennomgangene finner sted.

At ISMS.online vi foreslår ukentlige ledelsesgjennomganger før trinn 1-revisjon, da dette vil holde implementeringsprosjektet på rett spor, bygge opp vanen, og innen en måned vil du ha bygget opp nok bevis ved å bruke den enkle Management Review-program i plattformen, for å tilfredsstille revisor.

Hvordan administrere kommunikasjon og handlinger

Vanligvis vil en ledelsesgjennomgang involvere å sirkulere, via e-post på forhånd, møteinvitasjonene, agendaen, bevisene og rapportene for gjennomgang, eller for å støtte gjennomgangen, og de tidligere punktene som krevde handling.

Under gjennomgangen kan det tas notater til funnene for senere oppskrivning og distribusjon.

Områder som er identifisert for korrigerende handlinger og forbedringer, må også dokumenteres og gis til personene som er ansvarlige for å fullføre disse handlingene.

Ved hvert trinn må det oppbevares bevis for å tilfredsstille en ekstern revisor om at gjennomgangen og prosessene finner sted og er effektive.

Det er mange e-poster, mye planlegging og mye bevis!

Tenk deg en online program for ledervurdering som gjorde det enkelt å sette opp ISMS Board-teamet ditt, enkelt å planlegge gjennomganger og følge en standard agenda, enkelt å koble til tidligere anmeldelser, og all nødvendig informasjon, og enkelt å tilordne og spore korrigerende handlinger og forbedringer?

Du innbiller deg ISMS.online som gjør det enkelt å administrere hele ISMS.

Samle alt i ett sikkert, online miljø der du kan samarbeide med kolleger, fange opp de nødvendige bevisene bare én gang og enkelt navigere til det før, under og etter gjennomgangen.

Du trenger ikke engang at alle styremedlemmene er samlet på ett sted ... gjør det på nettet og spar reisetid og kostnader!

Ta med vår Virtuell coach Program for ekspertveiledning og pragmatisk råd i hver av de nødvendige aktivitetene