ISO 27001 Krav 7.4 – Kommunikation

Vad innebär paragraf 7.4?

Som med andra delar av ISMS finns det möjligheter att gå med och demonstrera informationssäkerhetshanteringssystemet, i synnerhet dess kommunikationskrav är en sammanhållen integrerad del av organisationens kommunikations-, utbildnings-, tränings- och medvetenhetsprocesser.

Denna paragraf 7.4 passar även ihop med bilaga A 7 för personalsäkerhet där kraven kring kommunikation börjar med HR-säkerhetsscreening, går in på informationssäkerhetsvillkor för anställningsavtal, disciplinära processer och efter rollbyten eller avgång. Den viktigaste integrationen för HR-säkerhet är med A 7.2.2 där det finns en kontroll för informationssäkerhetsmedvetenhet, utbildning och träning.

ISO 27001 letar efter följande saker i denna klausul:

• vad man ska kommunicera om ISMS
• när det kommer att meddelas
• vem som kommer att vara part i den kommunikationen
• vem gör kommunikationen
• hur allt händer, dvs vilka system och processer som kommer att användas för att visa att det händer och är effektivt

Specifikt ISO 27001: 2013 A.7.2.2-kontroll kräver att: "Alla anställda i organisationen och, där det är relevant, entreprenörer ska få lämplig utbildning och utbildning i medvetenhet och regelbundna uppdateringar av organisationens policyer och procedurer, som är relevanta för deras arbetsfunktion."

Denna kontroll, tagen med kravet i klausul 7.4 i de huvudsakliga ISO 27001-kraven för att visa "hur" och hur effektiv kommunikation är, tillsammans med behovet av att den högsta ledningen faktiskt skyddar sin organisation och inte bara kryssar i en ruta, innebär att dynamisk och säker kommunikation för förtroende för efterlevnad krävs.

Vem behöver beaktas i kommunikationen är det troligt att de är intresserade av?

Utgångspunkten för detta bör vara det arbete som görs i 4.2, där man tittar på de berörda parterna och ser tillbaka för att förstå deras behov och krav på kommunikation, vilket uppenbarligen skulle överensstämma med deras position på kartan över intressenter och de underliggande frågorna och farhågorna de hade. har om dess prestanda. Som tidigare kommer inte en storlek att passa alla när det gäller vad, varför och hur kommunikationen sker. Till exempel kommer en "håll nöjd"-intresserad part som UK Information Commissioner för att visa efterlevnad av Data Protection Act och GDPR bara att vilja veta två saker: a) är du registrerad som personuppgiftsansvarig och/eller processor; och b) när du har upplevt en säkerhetsincident som skapar förluster eller potentiella konsekvenser faller inom deras intresseområde.

Andra behåller nöjda intressenter är sannolikt starka kunder, och även externa revisorer för ISO 27001, särskilt om oberoende UKAS eller liknande certifiering övervägs. De vill lita på att ISMS fungerar bra och har den regelbundna informationssäkerhet som kommer från övervakningsrevisioner och kanske revisionsrätten vid tidpunkter som de själva väljer, samt hållas informerade om väsentliga förändringar eller incidenter.

Nyckelaktörer och hålla informerade intressenter som ledande befattningshavare, personal eller intimt involverade leverantörer som fick tillgång till dina mest värdefulla informationstillgångar måste vara engagerade och medvetna om mycket mer om ledningssystemet för informationssäkerhet.

Saker som skulle behöva övervägas här inkluderar:

• Vad informationssäkerhet betyder för organisationen och dess fördelar samt konsekvenserna
• Medvetenhet om nyckelspråksbegrepp och exempel på god och dålig konfidentialitet, integritet och tillgänglighet som är meningsfulla för dem
• Organisationens informationssäkerhetspolicyer och kontroller som påverkar deras jobb och de som arbetar runt dem
• Vad man ska göra i händelse av en incident, händelse eller svaghet som de är först med att identifiera
• Vad ska man göra när något har hänt någon annanstans i organisationen och de behöver vidta åtgärder för att förbli skyddade
• Allmänna uppdateringar och dynamisk kommunikation som är relevant för deras roll (utöver policyer och kontroller)

Säkerställande av kommunikation och efterlevnad för ISO 27001 framgång

Medan en extern revisor som utför ISO 27001-certifiering kommer att leta noggrant efter bevis för kommunikationen ovan, är den mer betydande affärsfrågan mer om att intressenterna inte är medvetna om eller inte följer kommunikationen. Det kan snabbt leda till en allvarlig informationssäkerhetsincident och stora förluster, särskilt om det rör sig om personuppgifter där GDPR-böter och stora anseendeskador var under övervägande.

Det är troligt att de flesta organisationer redan har kanaler för kommunikation; ansikte mot ansikte arbete, lagdagar, e-post, intranät och andra sätt att engagera personal. Vi rekommenderar att man överväger alla dessa om dessa vanor är väl uppbyggda för personalen och de kommer att reagera på dem. Men när du redan får för många e-postmeddelanden, glider iväg i team-telekonferenser, kommer den spännande ISMS-kommunikationen att nå platsen och leverera det resultat du behöver?

Utmaningen för de flesta organisationer är oförmågan att kostnadseffektivt bevisa att kommunikation har ägt rum och att efterlevnad säkerställs över hela den interna och externa försörjningskedjan för nyckelintressenter. Internrevisioner i linje med paragraf 9.2 är till stor hjälp eftersom de dock i allmänhet är sällsynta och mycket kostsamma för allt annat än granskningar av urvalsstorlek och i allmänhet inte håller jämna steg med de snabba förändringarna i informationssäkerhetsrisker och särskilt cybersäkerhetsfrågor.

Revisorer tittar nu mycket närmare på dessa kommunikationsområden med tanke på de ökande konsekvenserna av misslyckanden. Smarta kunder och aktieägare tar också mycket mer hänsyn utöver ISO-certifikatet, bortom uttalandet om tillämplighet och omfattning, till kraven på mer dynamisk övervakning av informationssäkerhetsuppdateringar och efterlevnadsförsäkran. Människobaserad efterlevnad går mycket närmare den teknik och digitala systemövervakning som redan finns i brandväggar, antivirustjänster för realtidsövervakning.

Hur ISMS.online hjälper till med ISMS-kommunikation

I grunden är ISMS.online en kommunikations- och samarbetsplattform så den får ett bra försprång på gammaldags statiska inspelningssystem som brukade vara populära för ISMS och Governance Regulation and Compliance-system (GRC). Den distribuerar också information via e-post till slutanvändare, vilket är bra för enkla uppdateringar och medvetenhet, så det passar in i det vanabaserade sättet att kommunicera. Allt som krävs för mer detaljerat efterlevnadsarbete, såsom bevis på ett åtagande att göra något, t.ex. att läsa en policy tar användarna tillbaka till plattformen där det kriminaltekniska granskningsspåret och bevis imponerar över revisorer och sparar enorma mängder tid för ISMS-administratörer, som i sin tur kan kommunicera med förtroendet tillbaka till den högsta ledningen.

Plattformen betjänar de olika intressentgrupperna mycket väl med sin användarvänlighet och fokuserade arbetsytor som alla är revisionsbara och evidensbaserade i linje med kraven i standarden.

Att uppnå kommunikationsförtroende för kraftfulla kunder, ledande befattningshavare och externa revisorer

Speciellt utvecklad i nära samarbete med slutanvändare en stor del av funktionsuppsättning i ISMS.online är Policy Pack-tjänsten som gör det möjligt för ISMS-administratörer att visa efterlevnad av policyer och kontroller för alla i omfattningen. Den innovativa tjänsten tillsammans med ISMS-översiktsrapporten (längre nedan) och de allmänna samarbetsfunktionerna för grupper ger många kostnadsbesparande, riskreducerande och andra fördelar.

• produktion av policyer och kontroller en gång, men tillåter distribution till riktade grupper enkelt (t.ex. efter avdelning, plats, roll, produkt etc)
• möjligheten att se policyer läsas och efterlevs dynamiskt när som helst
• förmågan att snabbt och enkelt upptäcka och ta itu med områden med eventuell bristande efterlevnad – fokusera uppmärksamheten på de högsta riskerna och inte slösa bort revisionstid eller andra begränsade resurser
• förmågan att visa externa revisorer, kraftfulla slutkunder och ledande befattningshavare att de har kontroll över hela ISMS från identifiering av informationstillgång, dess riskbedömning, kontrollerna som tillämpas på den och publiken/publiken som policyerna tillämpas mot – alla nyckelaspekter för att uppfylla ISMS-kraven för ISO 27001

För mer avancerade användare som vill se förhållandet mellan informationstillgångar, risker, kontroller och kommunikationen av policyerna till användarna av policypaket, gör ISMS-översiktsrapporten just det. Den visar förtroende från början och hjälper till att snabbt isolera luckor, problem eller slöseri utöver det kraftfulla uttalandet om tillämplighet som krävs för ISO 27001 klausul 6.1.3.

Informationssäkerhetskommunikation till personal, leverantörer och andra intressenter som behöver engageras och visa efterlevnad för ISO 27001

Det är bra för kraftfulla hanteringssystem för informationssäkerhet att fungera bra för ISMS-ledning och administratörer för att nå sina mål. De ISMS-lösningar måste också fungera bra för de tillfälliga användare som behöver förstå och följa deras policyer, vara medvetna om vad som händer, delta i diskussioner, ta upp incidenter och svara på uppgifter. Det är precis vad ISMS.online erbjuder, en förmåga att hålla dessa viktiga intressenter kompatibla och engagerade i en dynamisk men tillfällig åtkomstmodell.

Personalen får läsa och följa sina policyer för informationssäkerhet (och andra) i en Kindle-liknande läsupplevelse, utan störningar från specialdelarna av ISMS. De kan enkelt visa sina läsframsteg och efterlevnad när de slutför arbetet. Detta är en dynamisk uppdatering av administrationskonsolen ovan också. När en policy uppdateras kan administratören helt enkelt skicka ut den till alla läsare och göra dem uppmärksamma på den.

Förutom Policy Pack-tjänsten erbjuder ISMS online ett antal sätt att säkerställa personalens kommunikation och engagemang, inklusive ISMS-kommunikationsgrupper, som är utmärkta för att sända uppdateringar, delta i diskussioner, tilldela uppgifter via e-postmeddelanden och visa bevis på det till revisorer samt behålla kunskap för nyanställda och andra som behöver engageras i framtiden. Dessa krav är inte så lätta med några av de mer traditionella kommunikations- och meddelandeprodukterna på marknaden eller enbart e-post. Utöver dessa kärntjänster för grupper och policypaket, gör många andra funktioner på plattformen också hela kommunikationsprocessen till en rikare mer integrerad upplevelse.

Bli certifierad upp till 5 gånger snabbare med ISMS.online

Efterlevnad behöver inte vara komplicerat – ISMS.online är utformad för att hjälpa dig att uppnå ISO 27001-certifiering snabbt och till ett överkomligt pris utan utbildning som krävs.
Vi har effektiviserat ISO 27001-processen med vår metod för garanterade resultat, en 80 % försprång, din egen virtuella coach dygnet runt, enkel onboarding och expertsupport.

Boka en plattformsdemo för att se hur ISMS.online kan hjälpa ditt företag