Gå til emnet
Hva innebærer punkt 5.3?
ISO 27001 søker ganske enkelt etter klarhet og fokus på nøkkeldelene av ISMS - hvem som er ansvarlig overordnet, hvem som er ansvarlig for visse deler, all god og logisk forretningspraksis. Du må demonstrere at visse roller (ikke nødvendigvis personer) eksisterer, er utnevnt av toppledelsen og de kommuniseres til relevante interesserte parter og dokumenteres tydelig slik at det ikke er noen tvetydighet. Kravet her er ganske høyt og det er enkelt å dokumentere, og passer også med andre deler av informasjonssikkerhetsstyringssystemet f.eks sikkerhetsrisikoeiere i 6.1, info sec objektiv eiere i 6.2 etc.
Hvordan ISMS.online hjelper deg
ISMS.online gjør også mye av ISMS-eierskapet og -engasjementet enkelt i praksis med sine samarbeidende teammedlemskap, eiere av policyaktivitet, eiere av risiko, hendelser, forbedringer osv. – som alle kan strømme ned fra toppledelsens klarhet som kommer fra denne klausulen 5.3.
Bestill en plattformdemo for å se den i aksjon.
Bestill en plattformdemoSå én person kan gjøre mer enn én rolle, og du kan forene arbeidet, f.eks. ved å ha et administrasjonsstyre til å overvåke alt for å hjelpe til med å demonstrere ledelsesgjennomganger i tråd med 9.3 og fullstendig slå sammen styringssystemet for informasjonssikkerhet. Bare gjør det klart hvem som har ansvaret for hva. Tenk på rollene med interesserte i tankene samt praktisk levering. For eksempel kan rollen som CISO (Chief Information Security Officer) bety for kundene dine at du tar informasjonssikkerhet på alvor, og at det kan gjøres av en toppleder i tillegg til deres daglige jobb, eller hvis det i en større organisasjon kan være en full -tidsrolle i seg selv.
Du kan også velge å ha en TISO (Technical Information Security Officer), eller tilsvarende, som vil være mer teknisk og i stand til å fokusere på disse aspektene ved ISMS hvis de andre rollene leveres av mer kommersielle/strategiske personer. Se vedlegg A 6.1.1 (om organisering av informasjonssikkerhet) og sørg for at du tilpasser dette kravet til den vedlegg A-kontrollen.
ISO 27001 ser spesifikt etter klarhet i roller og ansvar for:
- Sørge for at styringssystemet for informasjonssikkerhet er i samsvar med kravene til International Organization for Standardization
- Rapportering av ytelsen til ISMS (som er mye enklere når alt er på ett sted)
Det kan godt være at en toppleder har ansvaret for ISMS som en del av lederskapets forpliktelse til informasjonssikkerhet (5.1), men kan selvfølgelig delegere driften av den til andre i organisasjonen, eller sette ut til spesialiserte parter som den virtuelle CISO, som mange av ISMS.online-partnerne tilbyr tjenester rundt. Bare husk å dokumentere det!
Gjør det enklere med ISMS.online
ISMS.online-plattformen gjør det enkelt for toppledelsen å etablere en informasjonssikkerhetspolicy som er i samsvar med formålet og konteksten til organisasjonen.
Din ISMS vil inkludere en forhåndsbygd informasjonssikkerhetspolicy som enkelt kan tilpasses din organisasjon. Denne policyen fungerer som et rammeverk for gjennomgang av mål og inkluderer forpliktelser til å tilfredsstille alle gjeldende krav og kontinuerlig forbedre styringssystemet. Denne policyen kan enkelt deles med interesserte og sendes inn for anbud eller annen ekstern kommunikasjon.
Få et forsprang på 81 %
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på.
Alt du trenger å gjøre er å fylle ut de tomme feltene.
