Gå til emnet
Hva innebærer punkt 5.1?
Denne klausulen identifiserer spesifikke aspekter ved styringssystemet der toppledelsen forventes å vise både lederskap og engasjement. Disse inkluderer, men er ikke begrenset til:
- Ansvar for effektiviteten til styringssystemet;
- Sikre at politikken og målene er etablert og er kompatible med konteksten og den strategiske retningen til organisasjonen;
- Sikre at integreringen av styringssystemet er innebygd i forretningsprosesser;
- Fremme bruk av prosesstilnærming og risikobasert tenkning
- sikre at tilstrekkelige ressurser er på plass;
- Sikre at styringssystemet oppnår de tiltenkte resultatene;
- Engasjere, lede og støtte personer for å bidra til effektiviteten til styringssystemet
Viktigheten av lederengasjement
Hvis ledelsen ikke er aktivt involvert, for eksempel ikke deltar i ledelsesgjennomganger eller ikke kan vise til ekstern revisor at det er en lederrepresentant som tar det på alvor under en revisjon, vil organisasjonen nesten helt sikkert mislykkes. Revisorer snakker om at ånden i ISO 27001 kommer fra toppen, og hvis de ikke ser det, vil de sannsynligvis se mye dypere og mer skeptisk under revisjonen.
Som det har vært nevnt mange ganger før er informasjonssikkerhetsstyring en forretningskritisk filosofi og må være kompatibel med organisasjonens forretningsmål og prosesser for at den skal fungere i praksis. Uten lederstøtte, eller et krav om å gjøre 25 ting før noen faktisk gjør jobben de ønsker å gjøre, vil ISO 27001-reisen slite med å komme i gang.
Å kunne demonstrere denne lederforpliktelsen er avgjørende for paragraf 5.1, og det er her et mer seriøst styringssystem for informasjonssikkerhet kommer inn i bildet som både beviser lederskapets forpliktelse til å investere i et ISMS og ha bevisene de har vært involvert i, f.eks. i ledelsesgjennomganger og bredere. ISMS beslutningstaking så vel som de nødvendige årlige eksterne revisjonene for ISO 27001. Hvis en lovpålagt finansiell regnskapsfører så at all finansregnskapet bare ble utført med regneark i stedet for en profesjonell regnskapsapplikasjon, kan de stille spørsmål ved dens integritet og bruke lengre tid enn om arbeidet ble gjort med xero, salvie eller annen anerkjent løsning. Det er det samme for informasjonssikkerhetsstyring. Å bruke de riktige verktøyene og ha de riktige personene involvert skaper selvtillit.
Å ha dette grunnlaget på plass gjør denne klausulen enkel å demonstrere, og overholdelse krever ganske enkelt dokumenterte bevis som merknader for å forsterke at ledelse og engasjement er på plass og adresserer klausul 5.1 punkt ah i ISO 27001-standarden. Alle delene av det sammenslåtte ISMS vil da vise det i praksis.
Gjør det enklere med ISMS.online
Vi har inkludert en malpolicy med en foreslått uttalelse for organisasjoner å ta i bruk eller tilpasse angående hva toppledelsen gjør rundt og innenfor ISMS. Den kobler til områdene hvor toppledelsen typisk vil være involvert, noe som gjør det veldig enkelt for revisorer å se bevisene de trenger.
Dette inkluderer bruk av ISMS.online-programvaretjenesten for å bevise at ledelsesgjennomgangsmøter har funnet sted, som inkluderer evaluering av hvordan ISMS presterer i forhold til de uttalte målene, som alle enkelt kan demonstreres i ISMS.software og viser at toppledelsen har vært involvert. Enten de kommer dypt inn i arbeidet med ISMS, for eksempel ved å eie informasjonssikkerhetsorienterte risikoer, delta i sikkerhetsrevisjoner, se på beste praksis for informasjonssikkerhet og vurdere pågående personvernspørsmål rundt organisasjonen og administrere sikkerhetshendelser, vil sannsynligvis være basert på organisasjonen. størrelse og investerte ressurser.
Overholdelse trenger ikke å være komplisert.
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på.
Alt du trenger å gjøre er å fylle ut de tomme feltene.
