ISO 27001 – Bilaga A.5: Informationssäkerhetspolicyer

Vad är syftet med bilaga A.5.1?

Bilaga A.5.1 handlar om ledningsriktning för informationssäkerhet. Målet i denna bilaga är att hantera inriktning och stöd för informationssäkerhet i linje med organisationens krav samt i enlighet med relevanta lagar och förordningar.

Den inkluderar de två kontrollerna nedan. Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering. Låt oss förstå dessa krav och vad de betyder lite mer djupgående nu.

A.5.1.1 Policyer för informationssäkerhet

En uppsättning policyer för informationssäkerhet måste definieras, godkännas av ledningen, publiceras och kommuniceras till anställda och relevanta externa parter. Policyerna måste styras av affärsbehov, tillsammans med tillämpliga regler och lagstiftning som också påverkar organisationen.

Dessa policyer är i praktiken bilaga A-kontrollerna, också sammanfattade i ett överordnat informationssäkerhetspolicydokument på högre nivå som förstärker organisationens nyckeluttalanden kring säkerhet att dela med intressenter som kunder.

Den övergripande policyn blir mycket mer trovärdig och kraftfull med oberoende certifiering för ISO 27001 från UKAS bakom sig.

Policyer utgör också ryggraden i informationssäkerhet och bör vara en del av utbildnings- och medvetenhetsprogrammet i linje med A7.2.2.

Policyerna anger de principer som medlemmar i organisationen och nyckelparter som leverantörer måste följa. Dessa policyer måste ses över regelbundet och uppdateras vid behov i enlighet med A.5.1.2 nedan.

A.5.1.2 Granskning av policyerna för informationssäkerhet

Policyerna för informationssäkerhet måste ses över med planerade intervall, eller om betydande förändringar inträffar, för att säkerställa deras fortsatta lämplighet, tillräcklighet och effektivitet.

Närhelst förändringar görs i verksamheten, dess risker och problem, teknik eller lagstiftning och reglering eller om säkerhetsbrister, händelser eller incidenter indikerar ett behov av policyändring.

Policyer måste också ses över och uppdateras regelbundet. ISO anser att "vanlig" vara minst årligen, vilket kan vara hårt arbete om du manuellt hanterar så många recensioner och även kopplar ihop det med den oberoende granskningen som en del av A.18.2.1.

Hur hjälper ISMS.online med informationssäkerhetspolicyer?

Förutom många andra funktioner inkluderar ISMS.online synliga och automatiserade processer som hjälper till att förenkla hela granskningskravet och spara enorma mängder admintid jämfört med andra sätt att arbeta.

ISMS.online ger dig handlingsbara ISO 27001-policyer och kontroller för att ge dig detta fantastiska försprång.