ISO 27001 Krav 9.3 – Management Review

Vad innebär paragraf 9.3?

ISO själv säger att granskningarna bör ske med planerade intervall, vilket i allmänhet innebär minst en gång per år och inom en extern revisionsövervakningsperiod. Men med förändringstakten i informationssäkerhetshot och mycket att ta upp i ledningsgranskningar, är vår rekommendation att göra dem mycket oftare, som beskrivs nedan och se till att ISMS fungerar väl i praktiken, inte bara kryssa i en ruta för ISO-efterlevnad.

Värdet av ledningssystemet för informationssäkerhet (ISMS) Management Review underskattas ofta. Vissa kanske ser det som ett kryssningskrav som måste äga rum enbart för att uppfylla ISO 27001 krav 9.3. Men för att verkligen "leva och andas" bra informationssäkerhetspraxis är dess roll ovärderlig.

Syftet med ledningsöversikten är att säkerställa att ISMS och dess mål fortsätter att förbli lämpliga, adekvata och effektiva med tanke på organisationens syfte, problem och risker kring informationstillgångarna. Dessa kommer tidigare att ha behandlats inom 4.1 organisationen och dess sammanhang, 4.2 kraven från berörda parter, 4.3 ISMS:s omfattning och 6.1 för riskhanteringsarbetet.

Arbetet fram till och kring ledningsöversynen kommer att göra det möjligt för högsta ledningen att fatta välinformerade, strategiska beslut som kommer att ha en väsentlig effekt på informationssäkerheten och hur organisationen hanterar den.

Vad ska inkluderas i ISO 27001 Management Review?

Ledningsgranskningen måste som minimum följa ett standardformat som tar hänsyn till kraven i 9.3 för ISO 27001:2103. Dessa beskrivs nedan. Dessutom kan det också vara så att organisationen vill inkludera andra efterlevnadsregimer i granskningen, såsom Cyber ​​Essentials, ISO 9001 och annan god praxis, för att underlätta effektiva granskningar och informerat beslutsfattande. Det kan till och med knyta 9.3 informationssäkerhetsaspekterna för 9.3 till bredare ledningsmöten eller formella styrelsemöten. Hur som helst måste den dokumentera resultaten och åtgärderna från granskningarna.

För organisationer som befinner sig i implementeringsfasen av sitt ISMS rekommenderar vi också att de genomför ledningsgenomgångar varje vecka som en del av en god praxis för att bygga upp vana, och inkluderar implementeringslektioner, nästa periods mål och frågor vid sidan av de delar av den formella ledningsagenda som kan vara täckt av. Externa revisorer gillar verkligen att se organisationen ta till sig andan i ledningsöversynen och ser gärna effektivitet från planerings- och genomförandearbete, vilket också passar in i kraven för paragraf 7.5 och paragraf 8 för drift.

Den formella agendan för ISO 27001 management review 9.3 bör innehålla övervägande av:

• Status för åtgärder från tidigare ledningsgenomgångar
• Förändringar i externa och interna frågor som är relevanta för ledningssystemet för informationssäkerhet
• Feedback om informationssäkerhetsprestanda, inklusive trender inom:
• avvikelser och korrigerande åtgärder;
• övervaknings- och mätresultat;
• revisionsresultat; och
• uppfyllande av informationssäkerhetsmål.
• Feedback från intresserade parter
• Resultat av riskbedömning och status för riskbehandlingsplan; och
• Möjligheter till ständiga förbättringar.

Du kanske också vill lägga till en ytterligare punkt:

• Kom överens om revisionsfokus för kommande period. Detta är valfritt om du är en smidig organisation och inte kan specificera hela revisionsprogrammet och planera för långt i förväg. Tänk dock på att vissa externa revisorer vill ha mer klarhet över hela programmet för certifieringscykeln!

Resultatet av ledningens granskning bör inkludera beslut relaterade till möjligheter till ständiga förbättringar och eventuella behov av förändringar i ledningssystemet för informationssäkerhet.

Vem bör delta i ISO 27001 Management Review?

Med tanke på ovanstående är det tydligt att, med vederbörlig hänsyn, är ISO 27001-ledningsöversynen ett oumbärligt verktyg för att säkerställa att ISMS fortsätter att vara effektivt för att hjälpa organisationen att uppnå de avsedda resultaten från investeringarna i informationssäkerhetshanteringen.

För att ISMS ska vara effektivt i en organisation krävs engagemang från ledningen och som sådan är det vettigt att medlemmarna i en ISMS "styrelse" har befogenheter i frågor som rör informationssäkerhet. Vanligtvis kan en ISMS-styrelse inkludera Chief Information Security Officer (CISO) och annan högre ledning tillsammans med de representanter som hanterar ISMS i praktiken. Roller kring informationssäkerhet behöver inte vara heltid eller exklusiva, men behöver klarhet i roller, ansvar och befogenheter som beskrivs i paragraf 5.3. Att ha en ISMS-bräda hjälper även den processen.

Resultatet av ledningens granskning kommer att inkludera beslut relaterade till möjligheter till ständiga förbättringar och eventuella behov av förändringar i ledningssystemet för informationssäkerhet.

Vilken är den idealiska frekvensen för Management Review?

Det finns ett minimikrav på att genomföra en ledningsgenomgång en gång per år, och oftare om det sker några väsentliga förändringar som kan påverka informationssäkerheten och ISMS. Frekvensen kommer dock att definieras av ledningens krav på att övervaka framgången för ISMS. Det finns också en fara att ju större intervall det är, desto större arbete kommer det att läggas på med att granska föregående period. Det ökar också risken för att fel i ISMS inte identifieras snabbt.

Av den anledningen rekommenderar vi månadsvis, varannan månad eller till och med kvartalsvis om ditt ISMS är ganska stabilt. Visst måste ledningsgranskningar ske med planerade intervaller för att säkerställa att ISMS förblir "lämpligt, adekvat och effektivt".

För de som söker ISO 27001-certifiering av sitt ISMS är det också viktigt att notera att det finns ett krav på att bevisa, under steg 1 skrivbordsrevisionen, att de regelbundna granskningarna äger rum.

Vi föreslår veckovisa ledningsgenomgångar före steg 1-revision eftersom detta kommer att hålla ditt implementeringsprojekt på rätt spår, bygga upp vanan och inom en månad har du byggt upp tillräckligt med bevis, med hjälp av det enkla Management Review-programmet i plattformen, för att tillfredsställa revisorn och komma in i spåret för framtida recensioner.

Ledningsrecensioner med ISMS.online

ISMS.online gör det enkelt att hantera ditt fullständiga ISMS, inklusive ledningsrecensioner för informationssäkerhet.

ISMS.online samlar allt i en säker, onlinemiljö där du kan samarbeta med kollegor, fånga nödvändiga bevis bara en gång och enkelt navigera till det före, under och efter granskningen.