ISO 27001 Krav 4.2 – Intresserade parter

Vad är en intressent?

Som enklast är en intresserad part en intressent – ​​någon, en grupp eller en enhet med intresse för ditt ISMS (eller kanske organisationen själv).

Du bör enkelt kunna identifiera många av dina intressenter efter att ha genomfört de interna och externa frågor som påverkar de avsedda resultaten av ledningssystemet för informationssäkerhet.

Dessa kommer att omfatta personal, leverantörer, kunder, aktieägare, styrelseledamöter, potentiella kunder, styrelsemedlemmar, konkurrenter, lagstiftare och tillsynsmyndigheter, fackföreningar etc.

Intresserade parter är inte alltid de självklara – till exempel kan hackare och relaterade skadliga parter behöva övervägas, liksom media och andra beroende på din verksamhets karaktär och de problem som den står inför.

Men snarare än att skapa ett sortiment av en storlek som passar alla policyer och kontroller för alla dina intresserade parter, är det bättre att titta på de berörda parterna i termer av deras makt, intresse och stöd – i enkla termer handlar det om deras förmåga att påverka din inställning till ISMS.

Sedan kan du utveckla lämpliga tillvägagångssätt för att visa att du har deras behov täckta (och naturligtvis dina där det också är en möjlig sabotör!)

Som ett exempel om du hade en kund som kräver att du investerar i ISO 27001 och bygger ett oberoende certifierat ISO 27001 ISMS skulle du göra det om de var en mycket liten icke-inflytelserik aktör? Du skulle förmodligen tänka om om den kunden var en av många du ville vinna, eller en stor kraftfull spelare i sig.

Skulle du tänka på kryptering om det inte var ett regleringskrav för GDPR – lagstiftare och tillsynsmyndigheter (tillsynsmyndigheter) är en kraftfull 'håll dig nöjd' intressent du måste ta hänsyn till och visa att du har deras intressen tillgodosedda!

Vilka är de intresserade parterna att hålla nöjda?

Om en intressent har hög makt och lågt intresse bör du tänka på den personen eller gruppen som en "behåll nöjd" intressent. Fråga dig själv, vad kommer du att göra i ditt ISMS med policyer och kontroller för att hålla dem nöjda?

I detta område med hög makt och lågt intresse kan du se organisationer som lagstiftare och tillsynsmyndigheter, mycket mäktiga kundgrupper, aktieägare etc. Det kan också finnas externa revisorer och andra branschorgan som kan påverka din affärsframgång.

Deras intresse är ganska lågt på en daglig basis, men deras förmåga att påverka dina affärsmål är hög så de måste hållas nöjda – vanligtvis på distans och att ha ett oberoende certifierat ISO 27001-certifikat är en del för att tillgodose deras behov.

De mycket kraftfulla intressenterna för informationssäkring som tillsynsmyndigheter kan också föreskriva specifika arbetssätt – GDPR och dataskyddslagen är mycket aktuella exempel.

Med tanke på andra intressenters behov för ett framgångsrikt ISO 27001 ISMS

Om en intressent har både stort intresse och hög makt skulle vi kalla dem en nyckelspelare. Dessa intressenter bör involveras aktivt. Din ledningsgrupp, nyckelavdelningschefer, viktiga butiksleverantörer etc. kommer sannolikt att hamna i denna kategori. Du kanske faktiskt har några av dina intimt engagerade viktiga kunder i den här kategorin. De kan vara mycket intresserade av hur du arbetar från dag till dag eftersom det också påverkar dem.

Det är lätt att skapa långa listor med intressenter att ta hänsyn till men var försiktig med att spendera för lång tid på de med lägre makt. De med lägre makt och högre intresse är i behov av att hålla sig informerade men behöver kanske inte rådfrågas om vad ditt ISMS täcker – du kanske bara behöver berätta för dem annars kan de bli ett stort sug på din tids- och investeringsbudget!

Var också försiktig med att helt enkelt dumpa intressenter som du inte gillar i de lägre kraftskorna – vi såg detta hända i ett företag. De betalade för det senare eftersom intressenten faktiskt var ganska mäktig och försenade dem att nå sina mål eftersom deras krav inte prioriterades.

Att kombinera detta intressenter och intressentarbete med de interna och externa frågor som du har identifierat i 4.1 hjälper till att leda till en bättre förståelse av var hot och möjligheter kan komma ifrån i ditt ledningssystem för informationssäkerhet.

Detta tillsammans med omfattningen av ditt ISMS (4.3) leder till ett mycket mer logiskt och affärsstyrt tillvägagångssätt för riskbedömningen i 6.1 och mycket större informationssäkerhet med policyer och kontroller som din personal och dina intressenter kommer att värdera och omfamna.

I ISMS.online tillhandahåller vi en mall och verktyget med en "bank av intressenter" för att hjälpa dig att enkelt uppfylla kraven i ISO 27001 klausul 4.2. Det valfria programmet Virtual Coach kommer också med videocoaching om hur man uppfyller kraven.