Nedenfor finner du kjernekravene i ISO 27001:2013. Hvis du ser etter den oppdaterte
ISO 27001:2022 kjernekrav, vennligst klikk på knappen nedenfor.
Hva innebærer punkt 5.3?
ISO 27001 søker ganske enkelt etter klarhet og fokus på nøkkeldelene av ISMS - hvem som er ansvarlig overordnet, hvem som er ansvarlig for visse deler, all god og logisk forretningspraksis. Du må demonstrere at visse roller (ikke nødvendigvis personer) eksisterer, er utnevnt av toppledelsen og de kommuniseres til relevante interesserte parter og dokumenteres tydelig slik at det ikke er noen tvetydighet. Kravet her er ganske høyt og det er enkelt å dokumentere, og passer også med andre deler av informasjonssikkerhetsstyringssystemet f.eks sikkerhetsrisikoeiere i 6.1, info sec objektiv eiere i 6.2 etc.
Så én person kan gjøre mer enn én rolle, og du kan forene arbeidet, f.eks. ved å ha et administrasjonsstyre til å overvåke alt for å hjelpe til med å demonstrere ledelsesgjennomganger i tråd med 9.3 og fullstendig slå sammen styringssystemet for informasjonssikkerhet. Bare gjør det klart hvem som har ansvaret for hva. Tenk på rollene med interesserte i tankene samt praktisk levering. For eksempel kan rollen som CISO (Chief Information Security Officer) bety for kundene dine at du tar informasjonssikkerhet på alvor, og at det kan gjøres av en toppleder i tillegg til deres daglige jobb, eller hvis det i en større organisasjon kan være en full -tidsrolle i seg selv.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Du kan også velge å ha en TISO (Technical Information Security Officer), eller tilsvarende, som vil være mer teknisk og i stand til å fokusere på disse aspektene ved ISMS hvis de andre rollene leveres av mer kommersielle/strategiske personer. Se vedlegg A 6.1.1 (om organisering av informasjonssikkerhet) og sørg for at du tilpasser dette kravet til den vedlegg A-kontrollen.
ISO 27001 ser spesifikt etter klarhet i roller og ansvar for:
- Sørge for at styringssystemet for informasjonssikkerhet er i samsvar med kravene til International Organization for Standardization
- Rapportering av ytelsen til ISMS (som er mye enklere når alt er på ett sted)
Det kan godt hende at en toppleder har ansvaret for ISMS-systemet som en del av ledelsens forpliktelse til informasjonssikkerhet (5.1), men kan selvfølgelig delegere driften av det til andre i organisasjonen, eller outsource til spesialistgrupper som den virtuelle CISO-en, som mange av ISMS.online-partnerne tilbyr tjenester rundt. Bare husk å dokumentere det!
Gjør det enklere med ISMS.online
ISMS.online-plattformen gjør det enkelt for toppledelsen å etablere en informasjonssikkerhetspolicy som er i samsvar med formålet og konteksten til organisasjonen.
Din ISMS vil inkludere en forhåndsbygd informasjonssikkerhetspolicy som enkelt kan tilpasses din organisasjon. Denne policyen fungerer som et rammeverk for gjennomgang av mål og inkluderer forpliktelser til å tilfredsstille alle gjeldende krav og kontinuerlig forbedre styringssystemet. Denne policyen kan enkelt deles med interesserte og sendes inn for anbud eller annen ekstern kommunikasjon.
