ISO 27001 Krav 7.2 – Kompetens

Vad innebär paragraf 7.2?

ISO IEC 27001 för klausul 7.2 säger i princip att organisationen kommer att säkerställa att den har:

• fastställt kompetensen hos de personer som utför arbetet med ISMS som kan påverka dess prestanda
• personer som anses kompetenta på grundval av relevant utbildning, träning eller erfarenhet
• vid behov, vidta åtgärder för att skaffa den nödvändiga kompetensen och utvärderade åtgärdernas effektivitet
• behållit bevis på ovanstående för revisionsändamål

Utifrån dessa krav är det lätt att tro att svaret för 7.2 kan vara att anlita en expert på informationssäkerhet – men det är inte alltid nödvändigt!

Det krävs en hel drös kompetenser och erfarenheter för en framgångsrik implementering och löpande förvaltning av ett ISMS som är certifierat enligt ISO 27001, bortom expertis inom fysisk säkerhet, cybersäkerhet, datorsäkerhet eller andra former av informationssäkerhet i sig.

Dessa inkluderar: kommersiella, juridiska, HR, IT, samt relevant produkt- och tjänstexpertis för arbetet i omfattning.

Att bygga och driva ett ISMS är vanligtvis ett samarbetande teamjobb. Det viktigaste är en förståelse för organisationen, dess syfte och mål, dess kultur, riskaptit och de krav som uttrycks i punkterna 4.1, 4.2, 4.3, 6.1, 6.2.

Visa efterlevnad av klausul 7.2

Vid sidan av 7.3 medvetenhet och 7.4 kommunikationsklausuler kan 7.2 demonstreras med ett generellt uttalande om det inblandade teamet och deras trovärdighet, med länkar över ISMS för att demonstrera deras arbete som bevis för att spara tid (om du använder en sammanfogad plattform som t.ex. ISMS.online).

Dessutom är en enkel tabell för att visa de inblandade personerna, rollen de utför med anteckningar tillsammans med deras relevanta erfarenhet, utbildning eller utbildning till hjälp och vissa revisorer gillar att se den detaljen. Det behöver inte vara ett CV, bara visa varför de är inblandade:
T.ex. Fred Bloggs – implementeringsledare med ett dagligt jobb med tjänsteleverans och IT-chef. Har 5 års erfarenhet inom båda områdena, och relevant utbildning eller utbildning t.ex. deltagit i cybersäkerhetskurser online, genomfört en masterexamen i datavetenskap.

Detta kan hållas väldigt enkelt, det är inte en behovsanalys av informationssäkerhetsutbildning eller detaljerad handlingsplan (även om du kanske vill ha en av dem också beroende på organisationsstilen och dess inställning till HR-utvecklingsplaner).

Allt den externa revisorn vill veta är att det inblandade teamet är kompetent och det är troligt att en del av eller hela teamet kommer att vara involverade i revisionsprocessen ändå, då revisorn ändå kommer att bilda sig sin egen uppfattning.

Kom ihåg att informationssäkerhet gjord med ett företagsstyrt tillvägagångssätt handlar om att driva verksamheten bättre, inte bara att implementera 114-kontroller för sakens skull. Därför är det osannolikt att det kommer att finnas luckor i kärnkompetensen och förståelsen för din organisation, annars är det osannolikt att den fungerar!

Om det däremot finns luckor i kompetens, färdigheter och erfarenheter kring implementering och drift av ett ledningssystem för informationssäkerhet för att uppfylla denna klausul, kan de lösas på ett antal sätt:

• Att skicka den inblandade personalen på ISO 27001 ledande revisor, ledande implementerare och implementeringsutbildningar, eller någon av de många andra informationssäkerhetskurserna som finns. Detta kan dock bli dyrt för en person än mindre ett team både när det gäller kostnad och timeout på kontoret. Det kan leda till implementeringsproblem i sig om utbildaren eller programmet är för allmänt, gammaldags eller inte förstår organisationskulturen, arbetssätt etc.
• Att läsa runt många av de kostnadsfria resurserna på internet som resurserna på denna webbplats, webbplatser som National Cyber ​​Security Center (NCSC) med dess specialistguider och checklistor och smälta ISO 27001- och ISO 27002-standarderna kommer att visa revisorn en nivå av kompetens också. Det stämmer överens med bilaga A 6.1.4 för att hålla sig medveten om och involverad i specialiserade informationssäkerhetsforum och yrkessammanslutningar.
• Hyr in specialiserade fysiska resurser för att bygga upp kompetens – det finns en växande marknad för virtuella CISO (Chief Information Security Officers) och team runt dem. Detta kan säkert vara vettigt och vi rekommenderar det för ett målinriktat arbete tillsammans med de interna resurserna som är specialister inom sina områden när organisationen har kapacitets- och kompetensfrågor och budget är mindre problem. Många av ISMS.online-partnerna erbjuder en sådan tjänst och vi är mycket glada att föreslå en partner som kan hjälpa till att täppa till dessa luckor och tillföra ännu mer värde utöver ISMS.online.
• Använd tjänsten Virtual Coach inuti ISMS.online för att bygga upp och växa kompetens inom implementeringsteamet och visa revisorn att varje medlem i teamet har gått igenom viss informationssäkerhetscoachning/mentorskap och fått utbildning i förberedelseplanen så att de vet från marken upp vad ett ledningssystem för informationssäkerhet är, varför det krävs och vad deras jobb är i teamet. De kan också visa att de arbetar säkert och konsekvent till en nivå som följer Virtual Coach-guiderna, tipsen och videorna inom vart och ett av kraven och bilaga A-kontrollområden.

Bli certifierad upp till 5 gånger snabbare med ISMS.online

Efterlevnad behöver inte vara komplicerat – ISMS.online är utformad för att hjälpa dig att uppnå ISO 27001-certifiering snabbt och till ett överkomligt pris utan utbildning som krävs.
Vi har effektiviserat ISO 27001-processen med vår metod för garanterade resultat, en 80 % försprång, din egen virtuella coach dygnet runt, enkel onboarding och expertsupport.

Boka en plattformsdemo för att se hur ISMS.online kan hjälpa ditt företag